Cyberbedrohung im großen Stil: Die massenhafte Ausnutzung von Schwachstellen

Sobald ein Unternehmen einen gewissen Wert hat, kann man darauf wetten, dass bösartige Akteure darüber nachdenken, wie sie die Schwachstellen in der IT des Unternehmens ausnutzen können, um finanziellen Gewinn zu erzielen. Ransomware-Angriffe sind dabei die größte Bedrohung. Sie machen die Daten ihres Opfers unbrauchbar und erpressen es zur Entschlüsselung. Je stärker Unternehmen gefährdet sind, desto genauer müssen sie wissen, wo ihr Risiko liegt, und ihre kritischen Anlagen besonders gut schützen. Alle Unternehmen mit IT-Infrastruktur, auch kleine Firmen, profitieren jedoch von einer Bewertung ihrer Angriffsfläche und der Beseitigung von Schwachstellen.

Angriffe durch die massenhafte Ausnutzung von Schwachstellen („Mass Exploitations“) funktionieren in Form automatisierter Kampagnen, bei denen das öffentliche Internet kontinuierlich auf der Suche nach leichten Opfern durchsucht wird. Diese Kampagnen werden von Bots durchgeführt, die Cyberangriffe qua Automatisierung in großem Maßstab dirigieren. CloudFlare behauptet, dass nur 7 % des Internetverkehrs auf bösartige Bots entfallen, während anderen Berichten zufolge bösartige Bots bis zu 32 % der gesamten Internetaktivitäten ausmachen. Nach dem Eindringen missbrauchen die Angreifer die kompromittierten Ressourcen für bösartige Aktivitäten.

Was geschieht mit den kompromittierten Vermögenswerten?

Sobald ein Angreifer die Kontrolle über die IT-Infrastruktur eines Opfers erlangt hat, schätzt er den Wert seiner neuen Beute ein und entscheidet, wie er daraus am besten Kapital schlagen kann. Das Dark Web ist ein Untergrund-Ökosystem von Cybercrime-Services mit einer eigenen Wirtschaft von Angebot und Nachfrage für illegale Handlungen. Innerhalb dieses Ökosystems verkaufen Initial Access Broker (IAB) unbefugten Zugang an RaaS-Gruppen (Ransomware as a Service), die sich auf die Ausführung von Ransomware spezialisiert haben, d. h. auf die Verschlüsselung der Dateien eines Opfers und dessen Erpressung. Mass Exploitation ist eine Möglichkeit für diese IABs, Fuß zu fassen.

Kompromittierte Anlagen mit geringerem Erpressungswert können Teil des „Zombie-Botnets“ des IAB werden, das das Internet kontinuierlich nach anfälligen Systemen durchsucht, die es zu kompromittieren gilt. Andernfalls können gekaperte Systeme zum Versenden von Malspam- und Phishing-E-Mails verwendet werden, mit Krypto-Mining-Malware infiziert werden oder als unauffälliger Host für eine C2-Infrastruktur (Command and Control) dienen, die gezieltere Angriffskampagnen unterstützt.

Wie die automatisierte Ausnutzung funktioniert

Verteidiger können Mass Exploitations durch die Brille der „Taktiken, Techniken und Verfahren“ (Tactics, Techniques and Procedures; TTP) des MITRE ATT&CK-Frameworks untersuchen, um das Verhalten von Angreifern besser zu verstehen. Wenn Sie mit MITRE ATT&CK nicht vertraut sind, ist jetzt ein guter Zeitpunkt, um die MITRE ATT&CK Enterprise Matrix zu lesen: Sie dient als Referenzpunkt für die Vorgehensweise von Angreifern.

Die automatisierten Attacken zielen auf eine große Anzahl von Systemen. Mit hochentwickelten Tools sind sie in der Lage, viele IP-Adressen zu scannen und automatisch Cyberangriffe auszuführen, wenn Schwachstellen gefunden werden. Sie nutzen Schwachstellen in Software aus, die üblicherweise dem öffentlichen Internet ausgesetzt ist, insbesondere solche, die zum Hosten von Websites und für den Fernzugriff auf Webserver verwendet wird.

Schritt für Schritt zum automatisierten Angriff:

• Auskundschaftung [TA0043]: Angreifer sammeln Quellen für Schwachstelleninformationen wie NIST NVD, wo CVEs mit Schweregraden und Berichten, die technische Details enthalten, veröffentlicht werden. Sie nutzen dabei auch Quellen für Exploit-Code wie Exploit-db, GitHub oder andere Quellen wie Dark-Web-Marktplätze. Alternativ dazu können Angreifer auch ihre eigenen bösartigen Exploits entwickeln.
• Bewaffnung [TA0042]: Angreifer bauen Cyberwaffen, die Schwachstellen automatisch erkennen und ausnutzen [T1190], ohne dass ein Mensch eingreifen muss.
• Aktives Scannen [T1595]: Angreifer führen aktive Scans des öffentlichen Internets in großem Umfang durch, um Abhördienste und deren Versionen zu entdecken [T1595.002]. Dieser Prozess ähnelt der Art und Weise, wie Cyber-Verteidiger Schwachstellen-Scans ihrer eigenen Infrastruktur durchführen – mit dem Unterschied, dass Angreifer, anstatt erkannte Schwachstellen zu beheben, Strategien planen, um sie auszunutzen.
• Einsatz und Ausnutzung von Angriffen: Sobald eine aktive Schwachstelle gefunden wurde, versuchen automatisierte Tools, diese auszunutzen, um das System des Opfers aus der Ferne zu kontrollieren [TA0011] oder einen Denial of Service (DoS) zu verursachen [T1499]. Dabei kann eine Vielzahl von Software-Schwachstellen ausgenutzt werden, beispielsweise Standard-Kontoanmeldeinformationen [CWE-1392], SQL-Injection [CWE-89], Buffer Overflows [CWE-119], nicht autorisierte Dateiuploads [CWE-434] oder anderweitig ausgehebelte Zugriffskontrollen [CWE-284].
• Bewertung und Maßnahmen zur Erreichung der Ziele [TA0040]: Nach der Kompromittierung entscheidet der Angreifer, wie er das Opfer am besten zu seinem eigenen Vorteil beeinflussen kann. Angreifer können beschließen, weitere Erkundungen durchzuführen und versuchen, „seitlich“ auf andere angeschlossene Systeme im Netzwerk vorzudringen [TA0008], Daten des Opfers zu stehlen [TA0010], Ransomware einzusetzen [T1486] oder den ursprünglichen Zugang an andere Cyber-Kriminelle mit speziellen Fähigkeiten zu verkaufen [T1650].

Schutzmaßnahmen gegen automatisierte Angriffe

Die Abwehr von „Mass Exploitation“-Angriffen erfordert einen proaktiven Ansatz, der potenzielle Schwachstellen beseitigt, bevor sie ausgenutzt werden können. Unternehmen sollten grundlegende Best Practices für die IT-Sicherheit anwenden, einschließlich regelmäßiger Bewertungen, kontinuierlicher Überwachung und rechtzeitiger Behebung erkannter Schwachstellen.

Hier sind einige wichtige Sicherheitsmaßnahmen zum Schutz vor den automatisierten Angriffen:

• Erstellen Sie ein IT-Bestandsinventar: Die Erstellung eines umfassenden Inventars aller Hardware-, Software- und Netzwerkgeräte in Ihrem Unternehmen stellt sicher, dass keine Systeme bei der Risiko- und Schwachstellenbewertung und beim Patch-Management übersehen werden.
• Bewerten Sie Ihre Risiken: Legen Sie die Prioritäten für die Vermögenswerte nach ihrer Bedeutung für den Geschäftsbetrieb fest und bestimmen Sie, worauf sich die Präventionsmaßnahmen konzentrieren sollen. Regelmäßige Risikobewertungen tragen dazu bei, dass die kritischsten Bedrohungen angegangen werden, um die Wahrscheinlichkeit einer schwerwiegenden Verletzung zu verringern.
• Regelmäßige Überprüfung aller Anlagen und Behebung festgestellter Schwachstellen: Führen Sie regelmäßige Schwachstellen-Scans für alle IT-Ressourcen durch, insbesondere für diejenigen, die dem öffentlichen Internet ausgesetzt sind und ein hohes Risiko darstellen. Wenden Sie Patches oder alternative Abhilfemaßnahmen sofort an, um eine Ausnutzung zu verhindern. Verfolgen und messen Sie die Fortschritte beim Schwachstellenmanagement in quantifizierter Form.
• Entfernen Sie ungenutzte Dienste und Anwendungen: Ungenutzte Software stellt eine zusätzliche Angriffsfläche dar, die Angreifern die Möglichkeit bietet, Schwachstellen auszunutzen. Indem Sie die Zahl aktiver Dienste und installierter Anwendungen verkleinern, schränken Sie potenzielle Einstiegspunkte für Angreifer ein.
• Ausbildung und Schulung: Schulung ist wichtig, um das Bewusstsein für IT-Sicherheit in der Unternehmenskultur zu fördern. Eine Sensibilisierung trägt auch wesentlich dazu bei, Malspam- und Phishing-Angriffe auf ein Unternehmen zu verhindern.
• Verwenden Sie Anti-Malware-Lösungen: Malware wird oft durch automatisierte Spam- und Phishing-Kampagnen in großem Umfang verbreitet. Stellen Sie sicher, dass alle Systeme mit aktueller Antiviren-Software ausgestattet sind, und implementieren Sie Spam-Filter, um bösartige Dateien zu erkennen und zu isolieren.
• Richtlinien für starke Authentifizierung: Credential Stuffing-Angriffe sind oft automatisierte Bestandteile von Massen-Exploits. Wenn Sie bewährte Kennwortpraktiken wie die Verwendung starker, zufällig generierter Kennwörter einhalten und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden, verringern Sie das Risiko durch gestohlene Kennwörter. Die Einführung von Richtlinien zur Passwortrotation, die Multi-Faktor-Authentifizierung (MFA) und die Verwendung von Passwortmanagern erhöhen ebenfalls die Passwortsicherheit.
• Verwenden Sie Firewalls und IPS: Firewalls und Intrusion Prevention Systeme (IPS) können bösartigen Datenverkehr mit Hilfe von Regeln oder Mustern blockieren. Konfigurieren Sie Regelsätze so streng wie möglich, um unnötigen eingehenden Datenverkehr vom Scannen sensibler Dienste abzuhalten. Überprüfen und aktualisieren Sie Firewall- und IPS-Konfigurationen regelmäßig, um aktuellen Bedrohungen Rechnung zu tragen.

Zusammenfassung

In automatisierten Kampagnen werden Schwachstellen massenhaft ausgenutzt. Dabei werden Botnetze eingesetzt, um das öffentliche Internet nach anfälligen Systemen zu durchsuchen. Die Angriffe zielen auf ein breites Spektrum von Opfern und nutzen bekannte Schwachstellen in Software aus, die üblicherweise im Internet steht. Sobald die Systeme kompromittiert sind, verwenden Angreifer sie für verschiedene böswillige Zwecke, zum Beispiel um Ransomware einzuschleusen, den Zugang an andere kriminelle Gruppen zu verkaufen oder Botnetze weiter auszubauen. Mass Exploitations sind eine große Bedrohung, da sie es Angreifern ermöglichen, mit minimalem Aufwand in großem Maßstab zu operieren.

Um sich gegen die automatisierten Angriffe zu schützen, müssen Unternehmen proaktive Sicherheitsmaßnahmen wie regelmäßige Schwachstellen-Scans, rechtzeitige Patch-Verwaltung, strenge Zugangskontrollen und Netzwerküberwachung durchführen. Darüber hinaus kann eine angemessene Sicherheitsschulung des Personals dazu beitragen, das Risiko zu verringern, den automatisierten Kampagnen zum Opfer zu fallen.