Glücksspiel-Branche im Visier: Jackpot per Telefon

Glücksspiel
LinkedInXingPocketWhatsAppFlipboard

Die Gaming-Industrie erlebt derzeit einen sprunghaften Anstieg an Cyberangriffen. Reich an sensiblen Kundendaten und Finanztransaktionen sowie einer zweifelhaften Reputation unterliegend, entpuppt sich das Glücksspiel aktuell als Goldgrube für Angreifer. Das ThreatLabz-Team von Zscaler bestätigte Mitte des Jahres in seinem Ransomware-Report, dass Angriffe mit Erpressungstrojanern im Vergleich zum Vorjahr insgesamt um 37 Prozent zugenommen haben.

Verantwortlich für die Angriffe auf die Glücksspielbranche scheint mit UNC3944 ein Ableger der BlackCat Ransomware-Gruppe zu sein. Bei den jüngsten Cyberangriffen auf die Casinos spielten vor allem Social Engineering-Taktiken per Telefon eine wichtige Rolle. Da Ransomware-Angriffe einer gleichbleibenden Vorgehensweise folgen, hilft der Einblick in die Infektionsabfolge beim Aufbau von Sicherheitsstrategien auf Basis von Zero Trust, die für effizienten Schutz sorgen.

Anzeige

Die Gruppe UNC3944 ist seit Mai 2022 aktiv und auch bekannt unter den Namen Scattered Spider, Muddled Libra, 0ktapus und Scatter Swine. Die ersten Angriffe richteten sich gegen Telekommunikationsunternehmen, wobei Techniken wie SIM-Swap-Betrug, Multi-Faktor-Authentifizierung Fatigue-Angriffe und SMS-Phishing eingesetzt wurden. In jüngster Zeit hat sich UNC3944 zu einer Partnergruppe für die BlackCat/ALPHV-Ransomware entwickelt – eine berüchtigte Malware-Familie, die nach Angaben des ThreatLabz-Reports von Zscaler zum Stand der Ransomware 2023 zu den fünf aktivsten Gruppierungen gehört.

Phishing und Spam-Emails zählten lange Zeit zu den bevorzugten Angriffsvektoren für die Erstinfektion eines Systems. Nachdem mit Emotet und Qakbot zwei der berüchtigtsten Spamquellen von Strafverfolgungsbehörden ausgehoben wurden, beobachten die ThreatlabZ-Analysten einen Rückgang dieser Vektoren. Die Angriffe auf die Gaming-Industrie zeigen nun die Wandlungsfähigkeit der Angreifer. Es kommt hierbei verstärkt zu Social Engineering, das nicht mehr per E-Mail, sondern per Telefon umgesetzt wird. Diese Taktik scheint erfolgversprechend zu sein, da hier noch ein Mangel an Aufklärung besteht im Unterschied zur Erkennung von Spam. Sind die Angreifer auf diese Weise ins Netzwerk eingedrungen, gehört die laterale Fortbewegung innerhalb eines Netzwerks auf der Suche nach Administratorrechten zu den Methoden der BlackCat-Gruppierung.

Die folgenden drei Techniken und Taktiken werden derzeit von Ransomware-Gruppen am häufigsten eingesetzt und kamen auch bei den Vorfällen in der Glücksspielbranche zum Tragen:

  1. Ransomware-as-a-Service: Viele der populärsten und schädlichsten Ransomware-Gruppen des letzten Jahres sind in der Lage, ihre Gewinne und Operationen mithilfe eines Ransomware-as-a-Service-Modells (RaaS) zu skalieren. Bei diesem Modell lagern Ransomware-Gruppen die Infiltration, die lateralen Bewegungen, den Datendiebstahl und die endgültige Bereitstellung der Ransomware-Payload gegen eine Provision aus.
  2. Double-Extortion: Bei Ransomware mit doppelter Erpressung verschlüsseln die Bedrohungsakteure nicht nur die Daten auf den Systemen der Opfer, sondern exfiltrieren sie zuvor. Sie drohen anschließend mit der Veröffentlichung der Daten, wenn kein Lösegeld gezahlt wird. Im Jahr 2021 beobachtete das ThreatLabz-Team nur 19 Ransomware-Gruppen, die bei ihren Cyberangriffen einen doppelten oder mehrfachen Erpressungsansatz verfolgen. Diese Zahl ist inzwischen auf 44 angestiegen. Die Datenerpressungskomponente des Angriffs ist so profitabel geworden, dass viele Akteure inzwischen ihre Angriffe ohne Verschlüsselung durchführen. Diese verschlüsselungslosen Ransomware-Aktivitäten haben den Nebeneffekt, dass sie bei den Strafverfolgungsbehörden weniger Aufmerksamkeit erregen, aber dennoch sehr lukrativ für die Cyberkriminellen sind.
  3. Social Engineering als Kompromittierungsmethode: UNC3944 nutzt häufig Social Engineering-Taktiken, um Systeme zu kompromittieren. Viele ihrer jüngsten Angriffe begannen mit Phishing, um Anmeldedaten zu erbeuten und darüber Zugang zu Systemen zu erhalten, ohne Sicherheitskontrollen auszulösen. Allerdings wurde bei den Angriffen auf die Glücksspielindustrie vor allem auf das Telefon zurückgegriffen.

Schutz vor Ransomware durch Zero Trust-Ansatz

Um Ransomware-Angriffe zu stoppen, sollte eine Sicherheitsstrategie an möglichst vielen Punkten der Angriffskette ansetzen. Die folgenden Punkte tragen zu einem umfänglichen Sicherheitskonzept bei:

  • Verhindern der Erstinfektion durch die Implementierung umfassender SSL-Überprüfungsfunktionen, Browser-Isolierung, Inline-Sandboxing und eine richtliniengesteuerte Zugriffskontrolle. So können Zugriffe auf bösartige Websites vereitelt, Kanäle für eine erste Kompromittierung blockiert und unbekannte Bedrohungen erkannt werden, bevor diese die Anwender erreichen.
  • Stoppen von kompromittierten Usern und Insider-Bedrohungen durch die Kombination von Inline-Anwendungsinspektion und Identity Threat Detection & Response (ITDR) mit integrierten Täuschungsfunktionen. Dadurch sind Unternehmen in der Lage, potenzielle Angreifer zu erkennen, zu täuschen und effektiv zu stoppen, unabhängig davon, ob es sich um externe Bedrohungen oder Insider mit böswilligen Absichten handelt.
  • Minimieren der externen Angriffsfläche und das Ausschalten von seitlichen Bewegungen durch eine Zero Trust Network Access (ZTNA)-Architektur, die für eine direkte Verbindung von Benutzern zu Anwendungen und von Anwendungen zu Anwendungen sorgt. Besteht keine Exposition im Internet, tun sich Angreifer schwerer, ihr Ziel zu erreichen, bzw. sie können sich durch Mikrosegmentierung nicht mehr durch das Netzwerk manövrieren.
  • Verhindern von Datenverlusten durch Inline-Data Loss Prevention mit vollständiger TLS-Prüfung. Daten werden dann sowohl „in transit“ als auch „at rest“ gründlich geprüft, um Datendiebstahl wirksam zu unterbinden.
  • Durchführung regelmäßiger Audits hilft dabei, Compliance zu gewährleisten und Schutzlücken in User-Trainings zu erkennen.
  • Regelmäßige Schulungen tragen dazu bei, Wissenslücken zu schließen und Veränderungen im Bewusstsein der Mitarbeitenden herbeizuführen, um auch neuartige Techniken zu erkennen.

Fazit

Alle Unternehmen, die mit sensiblen oder personenbezogenen Daten umgehen, sollten einen proaktiven Ansatz für Cybersecurity-Gegenmaßnahmen verfolgen. Hierfür eignet sich eine Zero-Trust-Architektur, um die Zugriffsanfragen kontinuierlich zu verifizieren. Ransomware-Angriffe folgen stets einer standardisierten Angriffsabfolge. Ein Einblick in diese Abfolgen und die Implementierung von Sicherheitsmaßnahmen und -strategien an mehreren Stellen ist entscheidend für moderne Cybersicherheitsabwehr.

www.zscaler.com


Anzeige

Artikel zu diesem Thema

zscaler
8. Oktober 2023
Mit Zero Trust die Transformation voran bringen
Cyber Crime, Malware, China, chinesisch
22. September 2023
Chinesische Malware verändert die Bedrohungslandschaft
Cyberangriff, Ransomware, Angriff
19. September 2023
KMU am stärksten von Ransomware betroffen
Malware
30. August 2023
DLL-Hijacking im asiatischen Glücksspielsektor

Weitere Artikel

Cybercrime
KI vs. KI: Wie Künstliche Intelligenz hilft, KI-generierte BEC-Angriffe abzuwehren
Cybercrime
Unternehmen haben Schwierigkeiten beim Managen von Cyber-Risiken
Cyber & Cloud Security
Zscaler Plugin erkennt String-Verschleierung von Pikabot automatisch
Cybercrime
Alarmierende Zunahme von KI-gestütztem Betrug in der Finanzbranche
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.