Anzeige

Anzeige

VERANSTALTUNGEN

SAMS 2019
25.02.19 - 26.02.19
In Berlin

Plutex Business-Frühstück
08.03.19 - 08.03.19
In Hermann-Ritter-Str. 108, 28197 Bremen

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

ELO Solution Day Hannover
13.03.19 - 13.03.19
In Schloss Herrenhausen, Hannover

Anzeige

Anzeige

Backdoor

Skyhigh Networks, der Anbieter des führenden Cloud Access Security Brokers (CASB), hat einen neuen Cyber-Angriff von einem bisher unbekannten Botnet aufgespürt: KnockKnock. Dabei handelt es sich um einen komplexen Angriff auf Exchange-Online-Konten als Bestandteil von Office 365. 

Die Attacken gingen von insgesamt 16 Ländern aus und und wurden bei mehr als der Hälfte der Unternehmen entdeckt, die "Skyhigh for Office 365" im Einsatz haben. Im Visier der Angreifer sind vor allem automatisierte E-Mail-Accounts, die nicht mit einer bestimmten Person verknüpft sind und in der Regel nicht den strengen Sicherheitsrichtlinien der Unternehmen unterliegen.

Im Gegensatz zum jüngsten Brute-Force-Angriff auf Office-365-Accounts, den Skyhigh Networks zuvor entdeckt hatte, verfolgt KnockKnock eine ganz spezifische Strategie. Der Angriff zielt auf Systemkonten ab, die üblicherweise Teil der E-Mail-Systeme von Unternehmen sind. Dazu gehören beispielsweise Konten für Administratoren oder Software zur Marketing- und Sales-Automatisierung. Da solche Accounts nicht mit einer Person verknüpft sind und eine automatische Nutzung erlauben müssen, unterliegen sie nicht unbedingt den sonst in Unternehmen üblichen Security-Richtlinien, etwa einer Multi-Faktor-Authentifizierung (MFA) und dem Ändern von Passwörtern in bestimmten Zeitabständen.

KnockKnock hat drei Stoßrichtungen: Der Angriff will neue Regeln für den Posteingang aufstellen, eine Phishing-Attacke initiieren und Unternehmen über diese, unter Kontrolle gebrachte E-Mail-Adresse infizieren.

"Dieser Angriff auf Office 365 ist besonders heimtückisch. Systemkonten sind für die Business-Automatisierung essenziell, unterliegen aber üblicherweise nur geringen Sicherheitsanforderungen", sagt Daniel Wolf, Regional Director DACH bei Skyhigh Networks. "Nur ein Cloud-basierter Sicherheitsansatz kann diese Attacken auf das schwächste Glied in Office 365 wirkungsvoll eindämmen."

Details und Umfang der Attacke

Die KnockKnock-Attacke startete im Mai 2017 und ist bislang noch nicht zum Stillstand gekommen. Der bisherige Höhepunkt der Angriffe wurde zwischen Juni und August erreicht. Der Fokus lag hier auf gezielten Adress-Konten und nicht auf einem breit gestreuten Angriff, wodurch im Schnitt pro Unternehmen fünf E-Mail-Adressen attackiert wurden. Die Threat-Protection-Funktionalität des CASB von Skyhigh Networks schlug an, als die Log-In-Standorte vom Standard-Verhaltensmuster für diese Accounts abwichen. Eine Analyse ergab folgende Details:

  • Die Hacker griffen von 63 verschiedenen Netzwerken an und nutzten 83 IP-Adressen für ihre Attacke.
  • Ungefähr 90 Prozent der Log-in-Versuche gingen von China aus, der Rest kam von Russland, Brasilien, den USA, Argentinien und elf weiteren Ländern.
  • Zu den Opfern der Angriffe gehörten unter anderem Anbieter für Infrastruktur sowie Internet-of-Things-Lösungen (IoT), außerdem Abteilungen in großen Unternehmen, die für die Infrastruktur und IoT-Projekte zuständig sind - in einer Vielzahl von Branchen: im Maschinenbau, Finanz- und Gesundheitswesen, bei Konsumgüterherstellern sowie in den USA bei öffentlichen Einrichtungen.
  • So gut wie alle betroffenen Accounts waren solche, die nicht einer bestimmten Person zugeordnet sind.

Weltweit nutzen rund 30 Millionen Anwender die CASB-Lösung von Skyhigh Networks. Dadurch hat der Cloud-Security-Anbieter umfassenden Einblick in den globalen Cloud-Traffic und kann so Cyber-Attacken wie KnockKnock durch die Korrelation der anonymisierten Nutzerdaten identifizieren. Vor allem durch maschinelles Lernen und Analysen des Nutzerverhaltens (User Behavior Analytics) lassen sich atypische und dadurch verdächtige Anwenderaktionen entdecken. Dadurch zählen diese Verfahren zu den zentralen Verteidigungsstrategien, um Daten in der Cloud zu entdecken, zu kontrollieren und zu schützen.

Weitere Informationen:

Skyhigh Networks auf der it-sa 2017 (Halle 9 / 9-411):

Welchen Mehrwert bieten Cloud Access Security Broker? Diskutieren Sie darüber mit Daniel Wolf, Regional Director DACH, Skyhigh Networks auf der it-sa 2017 (Halle 9/ Stand 9-411) vom 10.-12. Oktober.
 

GRID LIST
Trojaner

RTM-Banking-Trojaner hat es auf KMUs abgesehen

Experten von Kaspersky Lab warnen vor dem ,RTM-Banking-Trojaner‘: Der Schädling hat es…
Cyberattacken

Cyberangriffe auf Lieferketten – neue Waffen im Handelskrieg

Sie sind schwerbewaffnet und richten oft großen Schaden an – egal ob Hobbyhacker,…
Phishing

Achtung Phishing: Gefälschte Amazon-Mails

Erneut ist der Versandhändler Amazon Opfer einer Phishing-Welle geworden. Unbekannte…
Stephan von Gündell-Krohne

Darum ist das IoT das Thema auf der Sicherheitskonferenz

Smarte Technologie gehört fest zum Unternehmensalltag – trotz bekannter…
Marc Wilczek

Account-Daten im Darknet

Wie bekannt wurde, steht eine enorm große Datenbank mit E-Mailadressen sowie Passwörtern…
Danger Online-Dating

Valentinstag: Die Gefahr hinter Dating-Apps

Die neue Netflix-Serie „You“ zeigt auf, wie einfach es im Zeitalter von Social Media und…
Smarte News aus der IT-Welt