Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Backdoor

Skyhigh Networks, der Anbieter des führenden Cloud Access Security Brokers (CASB), hat einen neuen Cyber-Angriff von einem bisher unbekannten Botnet aufgespürt: KnockKnock. Dabei handelt es sich um einen komplexen Angriff auf Exchange-Online-Konten als Bestandteil von Office 365. 

Die Attacken gingen von insgesamt 16 Ländern aus und und wurden bei mehr als der Hälfte der Unternehmen entdeckt, die "Skyhigh for Office 365" im Einsatz haben. Im Visier der Angreifer sind vor allem automatisierte E-Mail-Accounts, die nicht mit einer bestimmten Person verknüpft sind und in der Regel nicht den strengen Sicherheitsrichtlinien der Unternehmen unterliegen.

Im Gegensatz zum jüngsten Brute-Force-Angriff auf Office-365-Accounts, den Skyhigh Networks zuvor entdeckt hatte, verfolgt KnockKnock eine ganz spezifische Strategie. Der Angriff zielt auf Systemkonten ab, die üblicherweise Teil der E-Mail-Systeme von Unternehmen sind. Dazu gehören beispielsweise Konten für Administratoren oder Software zur Marketing- und Sales-Automatisierung. Da solche Accounts nicht mit einer Person verknüpft sind und eine automatische Nutzung erlauben müssen, unterliegen sie nicht unbedingt den sonst in Unternehmen üblichen Security-Richtlinien, etwa einer Multi-Faktor-Authentifizierung (MFA) und dem Ändern von Passwörtern in bestimmten Zeitabständen.

KnockKnock hat drei Stoßrichtungen: Der Angriff will neue Regeln für den Posteingang aufstellen, eine Phishing-Attacke initiieren und Unternehmen über diese, unter Kontrolle gebrachte E-Mail-Adresse infizieren.

"Dieser Angriff auf Office 365 ist besonders heimtückisch. Systemkonten sind für die Business-Automatisierung essenziell, unterliegen aber üblicherweise nur geringen Sicherheitsanforderungen", sagt Daniel Wolf, Regional Director DACH bei Skyhigh Networks. "Nur ein Cloud-basierter Sicherheitsansatz kann diese Attacken auf das schwächste Glied in Office 365 wirkungsvoll eindämmen."

Details und Umfang der Attacke

Die KnockKnock-Attacke startete im Mai 2017 und ist bislang noch nicht zum Stillstand gekommen. Der bisherige Höhepunkt der Angriffe wurde zwischen Juni und August erreicht. Der Fokus lag hier auf gezielten Adress-Konten und nicht auf einem breit gestreuten Angriff, wodurch im Schnitt pro Unternehmen fünf E-Mail-Adressen attackiert wurden. Die Threat-Protection-Funktionalität des CASB von Skyhigh Networks schlug an, als die Log-In-Standorte vom Standard-Verhaltensmuster für diese Accounts abwichen. Eine Analyse ergab folgende Details:

  • Die Hacker griffen von 63 verschiedenen Netzwerken an und nutzten 83 IP-Adressen für ihre Attacke.
  • Ungefähr 90 Prozent der Log-in-Versuche gingen von China aus, der Rest kam von Russland, Brasilien, den USA, Argentinien und elf weiteren Ländern.
  • Zu den Opfern der Angriffe gehörten unter anderem Anbieter für Infrastruktur sowie Internet-of-Things-Lösungen (IoT), außerdem Abteilungen in großen Unternehmen, die für die Infrastruktur und IoT-Projekte zuständig sind - in einer Vielzahl von Branchen: im Maschinenbau, Finanz- und Gesundheitswesen, bei Konsumgüterherstellern sowie in den USA bei öffentlichen Einrichtungen.
  • So gut wie alle betroffenen Accounts waren solche, die nicht einer bestimmten Person zugeordnet sind.

Weltweit nutzen rund 30 Millionen Anwender die CASB-Lösung von Skyhigh Networks. Dadurch hat der Cloud-Security-Anbieter umfassenden Einblick in den globalen Cloud-Traffic und kann so Cyber-Attacken wie KnockKnock durch die Korrelation der anonymisierten Nutzerdaten identifizieren. Vor allem durch maschinelles Lernen und Analysen des Nutzerverhaltens (User Behavior Analytics) lassen sich atypische und dadurch verdächtige Anwenderaktionen entdecken. Dadurch zählen diese Verfahren zu den zentralen Verteidigungsstrategien, um Daten in der Cloud zu entdecken, zu kontrollieren und zu schützen.

Weitere Informationen:

Skyhigh Networks auf der it-sa 2017 (Halle 9 / 9-411):

Welchen Mehrwert bieten Cloud Access Security Broker? Diskutieren Sie darüber mit Daniel Wolf, Regional Director DACH, Skyhigh Networks auf der it-sa 2017 (Halle 9/ Stand 9-411) vom 10.-12. Oktober.
 

GRID LIST
Cyberangriffe

Neue Cyberangriffe auf Regierungen

McAfee Advanced Threat Research-Analysten haben eine neue globale Kampagne, die auf einen…
Tb W190 H80 Crop Int 28773ce6ebccd9323162fd11c9fd7dd5

Was erwartet uns im neuen Jahr?

Das Jahr neigt sich dem Ende zu und in der IT-Security-Branche ist es Zeit, Geschehnisse…
Tb W190 H80 Crop Int B34a63b800b442247f4ef4c805db59d1

IT-Risiken an die niemand denkt

NTT Security (Germany) warnt vor den Gefahren, die den Unternehmensnetzen durch…
Hacker

DarkVishnya: Beispiellose Cyberüberfälle auf Banken

Kaspersky Lab warnt Banken und Finanzinstitute vor einer heimtückischen…
Weihnachtsmann Dieb

Weihnachten: Ein Fest für Datendiebe

Der Online-Handel floriert zur Weihnachtszeit und wird gleichzeitig zum Schauplatz für…
Malware

Emotet-Malware verursacht hohe Schäden in Unternehmensnetzen

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) und mehrere…
Smarte News aus der IT-Welt