Assume Breach

Warum jeder Sicherheitsverantwortliche von einem erfolgreichen Cyberangriff ausgehen sollte

Im Februar wurden interne Informationen über die äußerst erfolgreiche Ransomware-Gruppe Conti veröffentlicht, nachdem diese ihre volle Unterstützung für die russische Regierung erklärt hatte.

Sie versprach, auf jeden Angriff gegen Russland, ob Cyberangriff oder konventionell, mit „allen möglichen Ressourcen zu reagieren, um auf die kritischen Infrastrukturen eines Feindes zurückzuschlagen.“ Radikale Umstände schaffen radikale Veränderungen. Erinnern wir uns daran, wie sich die Welt und unser Verhalten mit Covid-19 fast über Nacht verändert haben. Aber ganz unabhängig von der geopolitischen Situation ist es gerade für Sicherheitsverantwortliche sinnvoll, sich auch mit dem Innenleben einer Ransomware-Gruppe zu beschäftigen, um auf mögliche Angriffe besser vorbereitet zu sein.

Anzeige

Was die geleakten Chats der Hackergruppe enthüllen

Es ist schwer, einen Sicherheits-Spezialisten zu finden, der in den letzten zwei Jahren nicht mehrfach mit der Conti-Ransomware-Gruppe zu tun hatte. Die veröffentlichten Gespräche offenbaren eine Organisationsstruktur und Gehaltsabrechnung, die einem seriösen Unternehmen sehr ähnelt. Conti beschäftigt zwischen 65 und 100 Hacker, deren „Gehaltskosten“ sich jährlich auf 6 Millionen Dollar belaufen. Diese „erwirtschafteten“ durch Datendiebstahl und Erpressung Berichten zufolge allein im Jahr 2021 180 Millionen Dollar.

Aus den Chats geht hervor, dass die Gruppe Datenbanken gekauft hat, um ihre Opfer zu analysieren, überzeugende Phishing-Angriffe gegen Mitarbeiter und Geschäftspartner zu entwickeln und herauszufinden, wie viel ihre Opfer zu zahlen bereit wären. Sie kauft Sicherheitsprodukte, um im Labor zu testen, ob ihre Malware in der Lage ist, sie unbemerkt zu überwinden. Aus den Gesprächen geht auch hervor, dass die Gruppe den Kauf von Exploits und Backdoors von Dritten in Erwägung zieht – und das alles, während sie ihre Bilanz sorgfältig im Auge behält.

Conti verfolgt einen disziplinierten Ansatz mit Sicherheitsregeln für seine Mitglieder, die von guter Passworthygiene bis hin zu bewährten Praktiken zur Wahrung der Anonymität on- und offline reichen. Die Dokumentation und die Anleitungen enthalten Video-Tutorials, die weniger erfahrenen und technisch weniger versierten Angreifern helfen, schnell gefährlich zu werden. Und wie in jedem Unternehmen tauschen sich die „Mitarbeitenden“ untereinander über ihre Techniken aus.

Einerseits ist Conti ein recht typisches Beispiel für ein Cybercrime-Unternehmen, andererseits scheint die Gruppe auch politisch motiviert zu sein. Insofern spielt hier der russische Angriffskrieg gegen die Ukraine eine bedeutende Rolle. Eine Form des Cyberkriegs könnte sich anbahnen, bei der staatliche Akteure immer raffinierter vorgehen. Wie wir in der Vergangenheit schön öfter gesehen haben, werden ihre Techniken und Taktiken rasch von finanziell motivierten Angreifern übernommen. Cyberkriminelle sind sehr lernfähig und bedienen sich aus allen Bereichen. So werden Entwicklungen wie Entwicklungs-Frameworks, Automatisierung und No-Code-Programmierung auf den Bereich der Cyberkriminalität übertragen und helfen den Angreifern dabei, ihre Fähigkeiten zu verbessern, ihre Modelle zu entwickeln und zu skalieren.

Warum man von einem erfolgreichen Angriff ausgehen sollte

Wie die geleakten Chats von Conti zeigen, kann jedes System, jedes Konto und jede Person zu jeder Zeit ein potenzieller Angriffsvektor sein. Bei einer so großen Angriffsfläche muss man davon ausgehen, dass Angreifer irgendwann mindestens über einen Vektor eindringen werden – wenn sie es nicht schon getan haben. Folgt man dem „Assume Breach“-Ansatz, ist die erste Überlegung, auf welche Ziele es Angreifer am wahrscheinlichsten abgesehen haben könnten. In den allermeisten Fällen werden dies die großen kritischen Datenspeicher sein. Dies deckt sich mit den Beobachtungen in der Praxis: Sobald die Angreifer in die Systeme eingedrungen sind, übernehmen sie die Fernkontrolle, nutzen alle Schwachstellen, die sie finden können, und versuchen, über Konten mit erweiterten Zugriffsrechten Daten zu stehlen. Leider stoßen sie nur selten auf großen Widerstand, wenn sie erst einmal in den Systemen sind.

Möchte man herausfinden, wie viel Aufwand Angreifer betreiben müssen, um auf wichtige Unternehmensdaten zuzugreifen, wählt man am besten einen Mitarbeitenden der mittleren Ebene aus und untersucht seinen Explosionsradius. Dies sind alle Daten, die ein Angreifer stehlen könnte, wenn dieser Mitarbeitende kompromittiert wird. Kann der Mitarbeitende oder Angreifer auf kritische Daten zugreifen oder muss er weitere Schritte unternehmen, indem er beispielsweise andere Systeme kompromittiert? Die traurige Realität ist: Oftmals müssen die Cyberkriminellen keinen großen Aufwand betreiben, da in den meisten Unternehmen die Mitarbeitenden unnötigerweise Zugriff eine Unzahl an Dateien haben. So hat der Datenrisiko-Report für den Finanzsektor gezeigt, dass auch in dieser an sich sicherheitsaffinen Branche jeder Mitarbeitende durchschnittlich Zugriff auf knapp 11 Millionen Dateien hat.

Die kritische Frage lautet: Sind die Sicherheitsverantwortlichen in der Lage zu erkennen, wenn ein Angreifer oder ein Insider auf eine ungewöhnliche Menge wichtiger Daten zugreift? Leider sind nur relativ wenige Unternehmen so aufgestellt, dass sie Angriffe früh genug erkennen können, um Datenverluste zu verhindern. Dies gilt insbesondere für Insider. Niemand möchte seinen eigenen Mitarbeitenden misstrauen. Und auch wenn die meisten ehrlich sind, sollte man nicht vergessen, dass ein einziger Insider sehr viel Zugang haben und damit großen Schaden anrichten kann. Hinzu kommt, dass Ransomware-Banden aktiv nach Mitarbeitern suchen, die ihnen gegen Bezahlung Zugang gewähren.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Wie sich Angriffe erschweren lassen

Sicherheitsverantwortliche müssen dafür sorgen, den Explosionsradius so klein wie möglich zu halten. Dies bedeutet, dass jeder nur den Zugriff erhält, den er auch tatsächlich für seine Arbeit benötigt (Least-Privilege-Ansatz). Sie sollten zudem in der Lage sein, ungewöhnliche Zugriffe zu erkennen, die auf einen Angriff hindeuten könnten. Jede zusätzliche Hürde, die sie einem Angreifer oder Insider abverlangen, verlangsamt ihn und gibt den Sicherheitsteams die Möglichkeit, einen Angriff zu erkennen und zu vereiteln.

Der erste Schritt besteht darin, eine Bestandsaufnahme der wichtigsten und kritischen Daten vorzunehmen, auf die es Angreifer abgesehen haben. Wo befinden sich das geistige Eigentum, der Quellcode, die Kunden- und Mitarbeiterdaten? Im nächsten Schritt wird eine Bestandsaufnahme der Kontrollen vorgenommen, die die kritischen Daten schützen. Haben nur die richtigen Personen Zugang, sowohl innerhalb als auch außerhalb des Unternehmens? Können ungewöhnliche Aktivitäten in Bezug auf diese kritischen Daten erkannt werden? Wenn eine kritische Konfiguration verändert würde: Wäre man in der Lage, dies zu erkennen und rückgängig zu machen?  Nachdem der Status Quo festgestellt wurde, kann man sich auf konkrete Schritte zur Optimierung und Aufrechterhaltung dieser Kontrollen konzentrieren. Angesichts der zahlreichen möglichen Angriffsvektoren und Bedrohungen ist es sinnvoller, deren Ziel, die Daten des Unternehmens, effektiv zu schützen, bevor man sich Gedanken über Angriffsarten und Hintergründe macht. Denn eins sollte man nicht vergessen: Nach den Mitarbeitenden sind die Daten das wertvollste Gut eines Unternehmens.

Michael Scheffler

Varonis Systems -

Country Manager DACH

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.