VERANSTALTUNGEN

Developer Week 2018
25.06.18 - 28.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

IT kessel.18
11.07.18 - 11.07.18
In Reithaus Ludwigsburg

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

Backdoor

Skyhigh Networks, der Anbieter des führenden Cloud Access Security Brokers (CASB), hat einen neuen Cyber-Angriff von einem bisher unbekannten Botnet aufgespürt: KnockKnock. Dabei handelt es sich um einen komplexen Angriff auf Exchange-Online-Konten als Bestandteil von Office 365. 

Die Attacken gingen von insgesamt 16 Ländern aus und und wurden bei mehr als der Hälfte der Unternehmen entdeckt, die "Skyhigh for Office 365" im Einsatz haben. Im Visier der Angreifer sind vor allem automatisierte E-Mail-Accounts, die nicht mit einer bestimmten Person verknüpft sind und in der Regel nicht den strengen Sicherheitsrichtlinien der Unternehmen unterliegen.

Im Gegensatz zum jüngsten Brute-Force-Angriff auf Office-365-Accounts, den Skyhigh Networks zuvor entdeckt hatte, verfolgt KnockKnock eine ganz spezifische Strategie. Der Angriff zielt auf Systemkonten ab, die üblicherweise Teil der E-Mail-Systeme von Unternehmen sind. Dazu gehören beispielsweise Konten für Administratoren oder Software zur Marketing- und Sales-Automatisierung. Da solche Accounts nicht mit einer Person verknüpft sind und eine automatische Nutzung erlauben müssen, unterliegen sie nicht unbedingt den sonst in Unternehmen üblichen Security-Richtlinien, etwa einer Multi-Faktor-Authentifizierung (MFA) und dem Ändern von Passwörtern in bestimmten Zeitabständen.

KnockKnock hat drei Stoßrichtungen: Der Angriff will neue Regeln für den Posteingang aufstellen, eine Phishing-Attacke initiieren und Unternehmen über diese, unter Kontrolle gebrachte E-Mail-Adresse infizieren.

"Dieser Angriff auf Office 365 ist besonders heimtückisch. Systemkonten sind für die Business-Automatisierung essenziell, unterliegen aber üblicherweise nur geringen Sicherheitsanforderungen", sagt Daniel Wolf, Regional Director DACH bei Skyhigh Networks. "Nur ein Cloud-basierter Sicherheitsansatz kann diese Attacken auf das schwächste Glied in Office 365 wirkungsvoll eindämmen."

Details und Umfang der Attacke

Die KnockKnock-Attacke startete im Mai 2017 und ist bislang noch nicht zum Stillstand gekommen. Der bisherige Höhepunkt der Angriffe wurde zwischen Juni und August erreicht. Der Fokus lag hier auf gezielten Adress-Konten und nicht auf einem breit gestreuten Angriff, wodurch im Schnitt pro Unternehmen fünf E-Mail-Adressen attackiert wurden. Die Threat-Protection-Funktionalität des CASB von Skyhigh Networks schlug an, als die Log-In-Standorte vom Standard-Verhaltensmuster für diese Accounts abwichen. Eine Analyse ergab folgende Details:

  • Die Hacker griffen von 63 verschiedenen Netzwerken an und nutzten 83 IP-Adressen für ihre Attacke.
  • Ungefähr 90 Prozent der Log-in-Versuche gingen von China aus, der Rest kam von Russland, Brasilien, den USA, Argentinien und elf weiteren Ländern.
  • Zu den Opfern der Angriffe gehörten unter anderem Anbieter für Infrastruktur sowie Internet-of-Things-Lösungen (IoT), außerdem Abteilungen in großen Unternehmen, die für die Infrastruktur und IoT-Projekte zuständig sind - in einer Vielzahl von Branchen: im Maschinenbau, Finanz- und Gesundheitswesen, bei Konsumgüterherstellern sowie in den USA bei öffentlichen Einrichtungen.
  • So gut wie alle betroffenen Accounts waren solche, die nicht einer bestimmten Person zugeordnet sind.

Weltweit nutzen rund 30 Millionen Anwender die CASB-Lösung von Skyhigh Networks. Dadurch hat der Cloud-Security-Anbieter umfassenden Einblick in den globalen Cloud-Traffic und kann so Cyber-Attacken wie KnockKnock durch die Korrelation der anonymisierten Nutzerdaten identifizieren. Vor allem durch maschinelles Lernen und Analysen des Nutzerverhaltens (User Behavior Analytics) lassen sich atypische und dadurch verdächtige Anwenderaktionen entdecken. Dadurch zählen diese Verfahren zu den zentralen Verteidigungsstrategien, um Daten in der Cloud zu entdecken, zu kontrollieren und zu schützen.

Weitere Informationen:

Skyhigh Networks auf der it-sa 2017 (Halle 9 / 9-411):

Welchen Mehrwert bieten Cloud Access Security Broker? Diskutieren Sie darüber mit Daniel Wolf, Regional Director DACH, Skyhigh Networks auf der it-sa 2017 (Halle 9/ Stand 9-411) vom 10.-12. Oktober.
 

GRID LIST
Fußball WM Pokal

Cyberbedrohung zur Fussball WM

Alle vier Jahre steht sie wieder an, die Fußball-Weltmeisterschaft und viele sind bereits…
Malware Hacker

Malware und kriminelles Netzwerk für Online-Werbebetrug identifiziert

Bitdefender hat einen für Werbebetrug entwickelte Malware entdeckt, die seit 2012 aktiv…
Karsten Glied

Botnetze: Gefährliche Sicherheitslücken in Routern offengelegt

Fälschlicherweise gehen viele davon aus, dass das Schließen von Sicherheitslücken Aufgabe…
Tb W190 H80 Crop Int C643b2c4d7af3e5bf9a53fb7d888e4a0

Jedes Unternehmen kann betroffen sein

Wie bekannt wurde, warnt das Bundesamt für Sicherheit in der Informationstechnologie…
Tb W190 H80 Crop Int 97be3dc65976ed6114c76ebb824e349e

Zip Slip bedroht tausende Programmbibliotheken

Eine neue Sicherheitslücke ermöglicht es Hackern, Dateien in Archiven zu kompromittieren…
Hacker E-Mail Login

Identitätsdiebstahl über ehemalige E-Mail-Adressen

Haben Sie einen genauen Überblick darüber, wie viele E-Mail-Adressen auf Ihren Namen…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security