>
Research (Insikt)

Der Automatisierungsrevolution in der Schattenwirtschaft entgegenwirken

Veröffentlicht: 24. März 2020
Von: DAS AUFGENOMENE ZUKUNFTSTEAM

Die Automatisierung ist zu einem wesentlichen Bestandteil nahezu jeder Branche geworden, und nirgendwo trifft dies mehr zu als in der Cybersicherheit. Doch leider kommen die Vorteile der Automatisierung sowohl kriminellen Organisationen als auch den Verteidigern gleichermaßen zugute. Während die kriminelle Unterwelt ein Ökosystem aus Tools und Ressourcen geschaffen hat, um Kampagnen zu operationalisieren und zu monetarisieren, können SOARs genutzt werden, um das Gleichgewicht wieder zugunsten der Verteidiger zu verschieben, indem defensive Geheimdienst-Feeds automatisiert und mit automatisierter Erkennung und Prävention kombiniert werden.

Im Rahmen einer Untersuchung der Insikt Group von Recorded Future wurden die Tools und Dienste untersucht, die von Bedrohungsakteuren zur Automatisierung von Aufgaben im Zusammenhang mit bösartigen Kampagnen verwendet werden, sowie die Minderungsstrategien, die über SOAR und Threat-Intelligence-Lösungen zur Verfügung stehen.

Untergrundwirtschaft-Automatisierung-1-1.gif

Cyberangriffe beginnen häufig mit einem kompromittierten Netzwerk oder einer Datenbank mit Anmeldeinformationen, weil Bedrohungsakteure unbefugten Zugriff auf ein Netzwerk erhalten und die Anmeldeinformationen dann in Untergrundforen verkaufen. Dieser Zugriff kann zur Rechteausweitung innerhalb des Netzwerks, zum Angriff auf geschäftliche E-Mails, für Ransomware und andere Arten von Angriffen missbraucht werden.

Zu den Minderungsstrategien gehören:

  • Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand
  • Filtern von E-Mails auf Spam und Überprüfen von Links und Anhängen
  • Regelmäßiges Erstellen von Systemsicherungen und deren Offline-Speicherung
  • Abschottung unternehmensrelevanter Daten
  • Rollenbasierten Zugriff einführen
  • Anwenden von Datenverschlüsselungsstandards

Untergrundwirtschaft-Automatisierung-2-2.gif

Angreifer, die über durch Datenlecks erlangte Anmeldeinformationen verfügen, nutzen dann Prüf- und Brute-Force-Programme, um groß angelegte automatisierte Anmeldeanforderungen zu senden und so die Gültigkeit der Opfer festzustellen. Oder sie verschaffen sich durch einen Credential-Stuffing-Angriff unbefugten Zugriff auf Tausende von Konten.

Zu den Minderungsstrategien gehören:

  • Verwenden Sie neben einem Passwort-Manager auch eindeutige Passwörter für Konten.
  • Erfordern zusätzliche Details für die Anmeldung (z. B. CAPTCHA) oder erfordern eine Multi-Faktor-Authentifizierung (MFA)
  • Einrichten maßgeschneiderter Web Application Firewalls
  • Verlangsamung des Anmeldeverkehrs durch Datum oder Ratenbegrenzung
  • Entfernen ungenutzter öffentlicher Logins
  • Festlegen einer Basislinie für Datenverkehr und Netzwerkanforderungen zur Überwachung auf unerwarteten Datenverkehr

Untergrundwirtschaft-Automatisierung-3-1.gif

Bedrohungsakteure wenden außerdem Loader und Crypter an, um der Erkennung durch Endgerätesicherheitsprodukte wie etwa Antivirenprogramme zu entgehen, und laden dann eine oder mehrere schädliche Payloads wie etwa Malware herunter und führen diese aus.

Zu den Minderungsstrategien gehören:

  • Regelmäßiges Aktualisieren der Antivirensoftware
  • Implementierung zusätzlicher Reaktions- und Erkennungskontrollen über den Virenschutz hinaus, um bösartige Payloads zu erkennen
  • Schulung und Aufklärung von Einzelpersonen zum Thema Phishing und den damit verbundenen Risiken

Untergrundwirtschaft-Automatisierung-4-1.gif

Stealer und Keylogger werden eingesetzt, um vertrauliche Informationen wie Anmeldeinformationen, personenbezogene Daten und Zahlungskarteninformationen der Opfer zu extrahieren und sekundäre Nutzdaten auf den Systemen der Opfer zu installieren.

Zu den Minderungsstrategien gehören:

  • Investition in Lösungen mit Patch-Postion-Reporting
  • Konfigurieren von Netzwerkabwehrmechanismen zur Warnung vor böswilligen Aktivitäten auf Geräten
  • Überwachung auf verdächtige Änderungen an Dateilaufwerken und Registrierungen

Untergrundwirtschaft-Automatisierung-5-1.gif

Da Bedrohungsakteure den Vorgang automatisieren und kein eigenes Skript schreiben müssen, können sie sich problemlos Banking-Injections besorgen. Dabei handelt es sich um weithin bekannte, beliebte und leistungsstarke Tools zur Durchführung von Betrug. Bei Banking-Trojanern werden gefälschte Overlays oder Module verwendet, um HTML- oder JavaScript-Code einzuschleusen und vertrauliche Informationen zu sammeln, bevor die Weiterleitung auf eine legitime Website erfolgt.

Zu den Minderungsstrategien gehören:

  • Halten Sie Software und Anwendungen auf dem neuesten Stand
  • Installieren von Antivirenlösungen, Planen von Updates und Überwachen des Antivirenstatus auf allen Geräten
  • Aktivieren von MFA über SMS-Authentifizierungsanwendungen
  • Ausschließliche Verwendung einer HTTPS-Verbindung
  • Schulung der Mitarbeiter und Durchführung von Trainings
  • Einsatz von Spam- und Webfiltern
  • Verschlüsselung aller sensiblen Unternehmensinformationen
  • Deaktivieren von HTML oder Konvertieren von HTML-E-Mails in Nur-Text-E-Mails

Untergrundwirtschaft-Automatisierung-6-1.gif

Exploit-Kits werden verwendet, um Schwachstellen in Webbrowsern automatisch auszunutzen und so die Verbreitung erfolgreicher Infektionen zu maximieren. Sie liefern schädliche Payloads wie Trojaner, Loader, Ransomware und andere Schadsoftware.

Zu den Minderungsstrategien gehören:

  • Priorisierung des Patchens von Microsoft-Produkten und älteren Schwachstellen im Technologie-Stack
  • Sicherstellen, dass Adobe Flash Player in den Browsereinstellungen automatisch deaktiviert wird
  • Sensibilisierung für Phishing-Sicherheit und deren Aufrechterhaltung

Untergrundwirtschaft-Automatisierung-7-1.gif

Bedrohungsakteure nutzen Spamming- und Phishing-Dienste, um E-Mail-Kampagnen durchzuführen, die ihnen Zugriff auf Hunderttausende Opfer verschaffen, um Malware zu verbreiten oder weiteren Zugriff auf ein Netzwerk zu erlangen.

Zu den Minderungsstrategien gehören:

  • Veröffentlichen Sie Ihre E-Mail-Adresse nicht online und beantworten Sie keine Spam-Nachrichten.
  • Herunterladen zusätzlicher Spamfilter-Tools und Antivirensoftware
  • Vermeiden Sie die Verwendung persönlicher oder geschäftlicher E-Mail-Adressen bei der Online-Registrierung
  • Entwickeln einer Kennwortsicherheitsrichtlinie
  • Verschlüsselung für alle Mitarbeiter vorschreiben
  • Mitarbeiter schulen und Schulungen durchführen

Untergrundwirtschaft-Automatisierung-8-1.gif

Um die Dauer ihrer kriminellen Aktionen zu verlängern, nutzen Bedrohungsakteure Proxy- und Bulletproof-Hosting-Dienste (BPHS), um ihre Aktivitäten zu verschleiern. BPHS bietet sicheres Hosting für bösartige Inhalte und Aktivitäten sowie Anonymität, indem es sich auf ein Modell stützt, das verspricht, rechtlichen Anfragen, die den Betrieb stören oder zu Verhaftungen führen würden, nicht nachzukommen.

Zu den Minderungsstrategien gehören:

  • Nutzung von Bedrohungsinformationsplattformen wie Recorded Future zur Unterstützung der Überwachung böswilliger Dienstanbieter
  • Blacklisting von Servern, die mit bekanntermaßen bösartigen BPHS verbunden sind

Untergrundwirtschaft-Automatisierung-9-1.gif

In der Schattenwirtschaft ist mit Sniffer eine Art von in JavaScript geschriebener Schadsoftware gemeint, die darauf ausgelegt ist, auf den Checkout-Seiten von E-Commerce-Websites Card-Not-Present-Daten (CNP) zu infiltrieren und zu stehlen.

Zu den Minderungsstrategien gehören:

  • Durchführen regelmäßiger Audits einer Website, um verdächtige Skripte oder Netzwerkverhalten zu identifizieren
  • Verhindern des Ladens nicht unbedingt erforderlicher, extern geladener Skripte auf Checkout-Seiten
  • Bewertung von Plug-ins von Drittanbietern auf einer E-Commerce-Website und Überwachung auf Änderungen in deren Code oder Verhalten

Untergrundwirtschaft-Automatisierung-10-1.gif

Um mit den erworbenen Inhalten Geld zu verdienen, verkaufen die Bedrohungsakteure die gestohlenen Daten in Online-Kreditkartenshops, Kontoshops und auf Marktplätzen. Geld wird durch den Kauf und Verkauf von Zugangsdaten für Bankkonten, Handykonten, Online-Shop-Konten, Dating-Konten und sogar digitalen Fingerabdrücken kompromittierter Systeme verdient, um weitere Sicherheitsverletzungen zu ermöglichen.

Zu den Minderungsstrategien gehören:

  • Monitoring von Shops und Marktplätzen auf unternehmensrelevante Accounts
  • Reagieren auf Spitzen bei der Anzahl der in Geschäften verfügbaren Konten
  • Achten Sie auf Anmeldeinformationen für nicht öffentliche Domänen
  • Aktivieren von MFA über SMS-Authentifizierungsanwendungen

Weitere Informationen zu den 10 Arten von Tools und Diensten, die Bedrohungsakteure derzeit zur Automatisierung von Aufgaben verwenden, sowie Vorschläge für Abhilfemaßnahmen, die Verteidiger implementieren sollten, finden Sie im vollständigen Bericht „ Automatisierung und Kommerzialisierung in der Untergrundökonomie“ der Insikt Group von Recorded Future.

Verwandt