Während die Zerschlagung eines Teils des Emotet-Malware-Netzwerks ein gutes Omen für die Cybersicherheitswelt zu sein schien, ist sein potenzieller Nachfolger IceID bereits gut etabliert. Eines von vielen Anzeichen dafür, dass es im Jahr 2021 keine Flaute in der Cyberlandschaft geben wird?
Für das Jahr 2021 gibt es bereits viele Cybernews, und nach der Ankündigung eines Konjunkturplans in Frankreich, der Unternehmen noch besser vor Cyberangriffen schützen soll, sind Cyberkriminelle mehr denn je auf dem Posten. Was gibt es dieses Jahr Neues in Bezug auf Cyberbedrohungen? Welche großen IT-Ereignisse haben den Jahresbeginn bereits geprägt? Welche verschiedenen Arten von Cyberangriffen wird es in den kommenden Monaten geben? Ein kurzer Blick darauf, was uns die ersten Monate des Jahres 2021 sagen.
Der Gesundheitskontext kommt dem Social Engineering immer zugute
Im Jahr 2021 reiten die Cyberangreifer noch immer auf der Pandemiewelle.Die Kontinuität der Fernarbeit, die Isolation der Mitarbeiter und die Nachrichten rund um das Thema Impfung steigern das Interesse von Cyberkriminellen an Social Engineering.„Die Betrüger nutzen den gesundheitlichen und sozialen Kontext, um die von ihnen verschickten E-Mails glaubwürdig erscheinen zu lassen.Die Verschlüsselungstools sind ziemlich standardmäßig, aber die Nachrichten werden durch Gesundheitsthemen, Telearbeitsplatz-Verbindungstools oder Lieferankündigungen personalisiert.Diese sorgfältigen Formulierungen ermöglichen es Cyberangreifern, die Effektivität ihrer Aktionen zu verstärken“, sagt Nicolas Arpagian, stellvertretender Vorsitzender für Strategie, öffentliche Angelegenheiten und CSR bei Orange Cyberdefense. Der Bericht über die Landschaft der Phishing-Angriffe von 2020 erklärt, dass im vergangenen Jahr der Erfolg von Phishing-Angriffen um 30 % gestiegen ist. Dies ist ein explosiver Cocktail, der cyber-bösartigen Gruppen zu gefallen scheint, die ein Maximum an Daten über ihre Ziele ausnutzen, um bei ihren Angriffen die größtmögliche Wirkung zu erzielen.Für dieses Jahr bestätigt sich ein trauriger Cybertrend.
Die Betrüger nutzen den gesundheitlichen und sozialen Kontext, um die von ihnen verschickten E-Mails glaubwürdig erscheinen zu lassen.
Nicolas Arpagian, stellvertretender Vorsitzender für Strategie, öffentliche Angelegenheiten und CSR bei Orange Cyberdefense
Cyberkriminelle durchforsten beispielsweise soziale Netzwerke und greifen E-Mail-Konten an, um so viele Informationen wie möglich über ihre zukünftigen Ziele zu sammeln. In der Regel Mitarbeiter, die Zugang zu sensiblen Informationen haben. „Wenn Angreifer beispielsweise in das E-Mail-System einer Führungskraft eindringen, können sie sensible Informationen über das Unternehmen erlangen, aber auch Betrügereien mit Vorstandsvorsitzenden oder Geldüberweisungen durchführen“, erklärt Jean-Jacques Latour, Leiter der Cybersecurity-Expertise bei der französischen Plattform Cybermalveillance, und fügt hinzu: „Diese Betrügereien stehen an zehnter Stelle – von 45 – der Bedrohungen, mit denen wir uns über die Plattform cybermalveillance.gouv.fr beschäftigen, und die Folgen dieser Arbeitsweise können erschreckend sein.“
Die französische Wirtschaftsprüfungsgesellschaft CDER wurde im vergangenen Februar Opfer eines Betrugs zum Nachteil des Vorstandsvorsitzenden. Den Cyberkriminellen gelang es, auf das E-Mail-Konto eines Geschäftsführers zuzugreifen, sich als dieser auszugeben und eine Überweisung von fast 15 Millionen Euro zu veranlassen. Die Operation war ein Erfolg für die Cyberangreifer, die die ungewöhnlichen und Fernarbeitsbedingungen der Firma ausnutzten, um von der Sicherheitslücke zu profitieren.
Ransomware auf der Tagesordnung: Gesundheitswesen und öffentliche Verwaltungen besonders betroffen
Seit 2019 sind Ransomware-Angriffe (leider) immer noch sehr erfolgreich. Im Jahr 2020 waren laut Cybermalveillance.gouv.fr allein in Frankreich mehr als 1.000 Organisationen von Ransomware betroffen. „Ransomware hat sich im Jahr 2020 durchgesetzt, und die Angreifer üben zusätzlichen Druck auf Unternehmen aus, indem sie den Nerv treffen: gestohlene Daten zu veröffentlichen“, analysiert Jean-Jacques Latour.
Diese Entwicklung der Datenerpressung scheint besonders gegen die Welt des Gesundheitswesens eingesetzt zu werden – und das weltweit.In den USA zum Beispiel haben Angreifer im vergangenen Februar tausende von Patientendaten im Dark Web veröffentlicht.Die Daten gehörten zwei Krankenhäusern im Land, beide Ransomware-Opfer. In Frankreich soll die Biotech-Firma Yposkesi Opfer des gleichen Modus Operandi gewesen sein.Das Unternehmen wurde Berichten zufolge mit der Babuk-Ransomware angegriffen.Ergebnis: Ein Teil der IT wurde verschlüsselt und die gestohlenen Daten wurden im Dark Web veröffentlicht.Als Folge dieses Cybertrends sehen viele Länder ihre Gesundheitssysteme und medizinischen Einrichtungen durch diese Angriffe geschwächt.Dax, Villefranche und Oloron Sainte-Marie in Frankreich, Newberry County Memorial Hospital und Rehoboth McKinley Christian Health Care in den USA, oder die Urologische Klinik München-Planegg in Deutschland sind Teil einer (zu) langen Liste von Krankenhäusern, die bereits im Jahr 2021 Opfer von Ransomware geworden sind.Ende letzten Jahres veröffentlichten die USA über das FBI und die National Security Agency einen Bericht über die besorgniserregende Zunahme von Ransomware-Angriffen auf den Gesundheitssektor, die das Land im Jahr 2020 21 Milliarden US-Dollar gekostet hätten.In Frankreich hat Cedric O, der Staatssekretär für den digitalen Wandel, kürzlich die Punkte für Frankreich gezählt:„27 größere Angriffe im Jahr 2020 und einer pro Woche im Jahr 2021“.
Angreifer üben zusätzlichen Druck auf Unternehmen aus, indem sie die Achillessehne treffen: sie veröffentlichen die gestohlenen Daten
Jean-Jacques Latour, Leiter für Cybersecurity-Expertise der Plattform Cybermalveillance.gouv.fr
Das Thema Cybersicherheit in Gesundheitseinrichtungen ist ein komplexes Thema, das durch die Gesundheitskrise in den Vordergrund gerückt wurde. Einige Institutionen leiden darunter, dass sie nicht ausreichend mit Computern ausgestattet sind, während andere in Bezug auf die Reife in Cyberfragen hinterherhinken. Und bei Strukturen, die sich weigern, sich zu fügen und das Lösegeld zu zahlen, gehen die Angreifer so weit, dass sie die Patienten direkt angreifen. Wie in Finnland, wo Patienten der Firma Vastaamo – die Psychotherapiezentren betreibt und 2018 Opfer einer Ransomware wurde – zwei Jahre nach dem Angriff von Hackern bedroht wurden. Denn innerhalb eines Krankenhauses kann es mehrere Daten geben, wie Borja Perez, Country Manager bei Stormshield Iberia, erklärt: „Angriffe auf den Gesundheitssektor finden auch statt, um Daten zu stehlen: Patientendaten, Patentdaten und Daten der wissenschaftlichen Forschung.“ Hinzu kommen Daten in Bezug auf die Mitarbeiter dieser Einrichtungen, Informationen über Dienstabläufe, strategische Daten ... All diese sensiblen Elemente kommen zu dem Druck hinzu, dem vor allem Krankenhäuser ausgesetzt sind, die jederzeit betriebsbereit bleiben müssen, da die geringste Unterbrechung der Tätigkeit Folgen für die Gesundheit der Patienten haben und zur Gefährdung von Menschenleben führen kann.
Neben dem Gesundheitssektor ist auch der gesamte öffentliche Sektor Opfer von Ransomware.Während es im Moment keine nennenswerten Neuerungen in der Vorgehensweise, Infektion oder Verbreitung von Ransomware gibt, ist es die Häufigkeit von Angriffen dieser Art, die Anlass zur Sorge gibt.Ende letzten Jahres wurden die französischen Städte La Rochelle und Annecy durch eine Ransomware teilweise lahmgelegt.Das gleiche Schicksal für die Städte Vincennes und Alfortville, bei denen die Angriffe einen Teil der Verwaltung beschädigten, bevor Anfang 2021 die Rathäuser der Städte Houilles, Angers oder Douai betroffen waren.Französische Kommunen sind also auch Opfer von Cyber-Malware und können sich der Bedrohung durch Ransomware nicht entziehen.Auch hier kennt der Cybertrend keine Grenzen.In Spanien wurde vor kurzem auch die SEPE – Servicio Publico de Empleo Estatal (staatliche Arbeitsvermittlung) – getroffen. Die 710 ECCE-Filialen wurden durch die Ryuk-Ransomware lahmgelegt. Dadurch waren die Mitarbeiter gezwungen, „mehrere Tage lang mit Papier und Stiften zu arbeiten“, sagt Borja Perez.
Eine wachsende Cyberbedrohung gegen Software-Herausgeber
Für IT-Software-Anbieter ist eine Bedrohung wie SolarWinds nach wie vor präsent. Im Jahr 2021 sind Angriffe auf die Lieferkette kein Epiphänomen, und ein Trend zum SolarWinds-Nachfolger scheint sich abzuzeichnen.Der Angriff auf große IT-Anbieter (wie Mimecast, Codecov oder Qualys) durch Ausnutzung von Schwachstellen mit immer ausgefeilterer Malware wie Sunburst ist ein von Cyberkriminellen bevorzugter Modus Operandi.Diese Cyberangriffe verbreiten die Unsicherheit in einer Kaskade und erzeugen eine sehr große Angriffskraft.„Es handelt sich um Cyberangriffe mit einem hohen technischen Niveau, die gleichzeitig Organisationen jeder Größe und überall auf der Welt treffen können.Das schwächt die Sicherheit durch Kapillarwirkung: Die Inhaber dieser Tools werden de facto geschwächt und das trägt dazu bei, ganze Bereiche der Wirtschaft oder der Verwaltung zu infizieren“, warnt Nicolas Arpagian.
Diese Art von Vorfällen ermutigt uns, angesichts von Cyberrisiken bescheiden zu bleiben, weil sie konkret die Tatsache hervorheben, dass niemand sicher ist und sich auch niemand für sicher halten sollte.
Pierre-Yves Hentzen, Vorstandsvorsitzender von Stormshield
„Seit 2020 gibt es eine wahre Explosion dieser Art von Angriffen“, sagt Davide Pala, Pre-Sales bei Stormshield Italien. „Dies impliziert, dass die angreifenden Gruppen Zeit und Ressourcen haben und gut organisiert sind, um ihre Ziele zu erreichen.“ Eine echte Entwicklung sind jedoch die Angriffe auf Anbieter von Cybersicherheitslösungen. Im Jahr 2020 wurde auch Stormshield Opfer eines Angriffs auf diese Netzwerke. Ein Sicherheitsvorfall, der unbefugten Zugriff auf ein technisches Portal ermöglichte, das insbesondere zur Verwaltung von Produkt-Support-Tickets verwendet wird. „Diese Art von Vorfällen ermutigt uns, angesichts von Cyberrisiken bescheiden zu bleiben, weil sie die Tatsache hervorheben, dass niemand sicher ist und auch nicht glauben sollte, dass er es ist, erklärt Pierre-Yves Hentzen, Vorstandsvorsitzender von Stormshield. Auf der positiven Seite hat es unsere Reaktionsfähigkeit und Belastbarkeit sowie die Tugenden der transparenten Kommunikation getestet – Transparenz schafft Vertrauen.Ein Vorfall wie dieser, der nun geklärt ist, macht Sie in vielen Bereichen stärker.Allerdings würde ich es niemandem für diesen Nutzen wünschen.“
Aber die Bedrohung kann eine noch beunruhigendere Form annehmen, wenn Sicherheitsprodukte selbst angegriffen werden ...
Sicherheitsprodukte unter Beschuss
„Dies ist ein neuer Trend und eine logische Weiterentwicklung von Cyberangriffen: Da Sicherheitslösungen hohe Privilegien haben und strategisch in Informationssystemen platziert sind, müssen sie angegriffen werden“, sagt Adrien Brochot, Produktmanager bei Stormshield. Er fügt hinzu: „Das Prinzip einer Malware ist es, nicht von einem System erkannt zu werden, um sich verbreiten zu können.Das Deaktivieren oder sogar Kompromittieren von Sicherheitslösungen ist eine gute Möglichkeit, dies zu erreichen.“ In der Tat haben Cyberkriminelle verstanden, dass sie, wenn sie Sicherheitsprodukte in die Hände bekommen, auch einen Teil der IT der Organisationen in die Hände bekommen, die diese Produkte schützen.
Das Prinzip einer Malware ist es, nicht von einem System erkannt zu werden, um sich verbreiten zu können. Das Deaktivieren von Sicherheitslösungen ist eine gute Möglichkeit, dies zu erreichen.
Adrien Brochot, Product Manager Stormshield
Die Anfänge dieses Trends sind bereits in den Jahren 2019–2020 angekommen, insbesondere mit dem Beispiel Mitsubishi. Die Angreifer nutzten eine Schwachstelle in einer von dem japanischen Unternehmen eingesetzten Trend Micro-Lösung aus, kompromittierten einen Teil des Informationssystems und verursachten Datenlecks bei den Partnern des Unternehmens.Mit diesem Modus Operandi wenden Angreifer das Schutzgerät gegen eine Organisation und finden so Einfallstore.Dieser Trend zwingt Anbieter von Cybersicherheitsprodukten dazu, einen noch robusteren Schutz für ihre Produkte zu entwickeln: Stärkung der Firmware, verstärkte Softwarelösungen, Anpassung an restriktive Sicherheitsstandards ... „Der verstärkte Schutz von Sicherheitsprodukten liegt in der Verantwortung der Herausgeber, aber es ist eine komplexe Aufgabe, denn hinter jedem Sicherheitsprodukt steht eine komplette Architektur, die berücksichtigt werden muss“, erklärt Adrien Brochot. Ganz zu schweigen von den damit verbundenen technologischen und organisatorischen Notwendigkeiten, wie z. B. strenge Produktions- und Code-Reviews, um Fehler einzugrenzen, die dann für böswillige Zwecke ausgenutzt werden könnten, kontinuierliches Management von Schwachstellen und deren Patches und Code-Audits durch die zuständigen Behörden.Aber Verlage müssen auch ihre eigene Integrität, ihre eigenen Ressourcen und sogar die Robustheit ihrer IT kontrollieren.Während die Anbieter von Cybersicherheitslösungen schon immer die Sicherheit ihrer Produkte in Frage gestellt haben, werden sie im Jahr 2021 alle Register ziehen müssen, wenn es um den Schutz geht.
Dies gilt umso mehr, als parallel dazu eine weitere Form der Cyberbedrohung auftritt.Sie zielt auf Sicherheitsredakteure, Beratungsunternehmen und Forscher ab und besteht darin, gefälschte Cybersecurity-Firmen zu gründen, um Experten in diesem Bereich in die Falle zu locken.Ein aktuelles Beispiel ist Nordkorea, wo Berichten zufolge eine Gruppe von Angreifern SecuriElite, eine gefälschte Cybersicherheitsfirma, gegründet hat. Angriffe auf Anbieter von Cybersicherheitslösungen wären daher ein aufkommender, aber bereits polymorpher Trend.
Profil des idealen Zielmitarbeiters
Nicht eine, sondern fünf Skizzen sollten für 2021 im Hinterkopf behalten werden. Denn obwohl im Allgemeinen die gesamte Kette einer Organisation technische oder funktionale Schwachstellen aufweisen kann, verdienen bestimmte Mitarbeiterprofile besondere Aufmerksamkeit.
Entsprechend dem Trend der Angriffe auf Cybersicherheitsanbieter sind technische Bevölkerungsgruppen – Cyberspezialisten, Entwickler, Cybersicherheitsforscher – gefährdet und besonders dem Social Engineering in sozialen Netzwerken oder dem Identitätsdiebstahl ausgesetzt. Für Angreifer geht es darum, technische Schlüsselinformationen zu extrahieren, um dann Sicherheitsprodukte anzugreifen. Ebenso sind Dienstleister aufgrund der Vielfalt ihrer Endkunden ein wichtiges Element und können bei den Überlegungen zur Sicherheit von Unternehmen nicht mehr ignoriert werden, um u. a. Angriffe auf die Lieferkette abzuwehren. IT-Mitarbeiter und IT-Manager sind ebenfalls ein Hauptziel, da sie Infrastrukturen betreiben oder verwalten und oft hohe Privilegien über die IT der Organisationen haben.
Aber das Risiko für ein Unternehmen liegt auch auf der Seite der Zahlen, durch die Mitarbeiter, die für die Validierung oder Ausführung von Finanzbewegungen innerhalb einer Organisation verantwortlich sind, oder durch die Personen, die hohe Privilegien bei finanziellen Entscheidungen haben. Diese Mitarbeiter sind mit größerer Wahrscheinlichkeit als andere das Ziel von Fake President Fraud oder Überweisungsbetrug. „Die Erfahrung zeigt, dass die Cyberkriminellen es auf Finanz-, Buchhaltungs- oder kaufmännische Funktionen abgesehen haben, um ihnen vorzugaukeln, dass es sich um legitime Transaktionen handelt“, sagt Nicolas Arpagian. Schließlich sind auch die Führungskräfte des Unternehmens gefährdete Mitarbeiter. Laut Jean-Jacques Latour „hantieren Führungskräfte mit hochstrategischen Informationen, aber nicht alle von ihnen wenden für sich selbst das gleiche Maß an Sicherheit an wie für ihr eigenes Unternehmen“, was für viele von Interesse ist.
Es gibt keine Anzeichen dafür, dass die Cyberbedrohungen im Jahr 2021 nachlassen werden. Die Rentabilität von Angriffen und der verstärkte Einsatz digitaler Tools sind gute Gründe für Angreifer, ihr Geschäft fortzusetzen. Und obwohl es sehr schwierig ist, sich in die Gedankenwelt von Cyberkriminellen hineinzuversetzen, kann man zumindest zwei Dinge vorhersagen: Sie werden weiterhin kreativ und überraschend erfinderisch sein, und Unternehmen müssen weiterhin ihre digitale Hygiene und Cybersicherheit stärken.
