IT-Sicherheit: Was haben wir 2020 zu erwarten

Was haben wir auf dem IT-Security-Sektor in 2020 zu erwarten? Das kann natürlich niemand genau wissen. Fakt ist, dass auch die letztes Jahr beherrschenden Themen in 2020 wieder eine große Rolle spielen. Adenike Cosgrove, Cybersecurity Strategist bei Proofpoint hat für TREND REPORT sechs Themenfelder ausgemacht, die aus Ihrer Sicht in den kommenden Monaten auf jeden Fall große Beachtung finden sollten.

2019 war sicherlich das Jahr der Rückkehr von Emotet, einer der schlimmsten Schadsoftwarevarianten ihrer Art. Doch auch für dieses Jahr können die Cybersecurity-Experten des US-amerikanischen Unternehmens Proofpoint keine Entwarnung in diesem Bereich geben.

Die Autorin Adenike Cosgrove ist Cybersecurity Strategist bei Proofpoint.

Bereits seit einigen Jahren sind E-Mails das beliebteste Angriffswerkzeug der Cyberkriminellen. Die E-Mail ist Grundlage für Phishing-Kampagnen, gezielte Angriffe mit Malware zur Schaffung eines Brückenkopfes innerhalb einer Unternehmens-IT, sowie um Banking-Trojaner, Downloader, Backdoors und vieles mehr zu verbreiten. Allerdings werden auch Cloud-basierte E-Mail-Systeme wie Microsoft Office 365 und Googles GSuite selbst zu Hauptzielen der Angreifer.

Ransomware

Obwohl 2019 Ransomware in den E-Mails selbst eher selten zu finden war, ist davon auszugehen, dass sie 2020 insbesondere bei Angriffen eingesetzt werden, die sich auf Server und Endgeräte in unternehmenskritischen Umgebungen konzentrieren. Dort dürften die Opfer am ehesten für die schnelle Entschlüsselung ihrer Dateien zur Wiederherstellung ihrer Systeme bezahlen. Vor einer Infektion mit Ransomware greifen Kriminelle in der Regel zu Remote Access Trojanern (RATs), Downloadern und Banking-Trojanern, um die Verteidigung des Systems gegen Schadsoftware zu schwächen. Im Jahr 2020 werden mittels Ransomware erpresste Unternehmen folglich zunächst mit vielseitigen Malware-Familien konfrontiert werden, die potenzielle Schwachstellen für künftige Attacken schaffen und Daten von Mitarbeitern sowie geistiges Eigentum kompromittieren.

Komplexe Infektionsketten

Im vergangenen Jahr überstieg die Anzahl von E-Mails, die Links zu mit Malware infizierten Webseiten oder Dokumenten zum Download enthielten, die der E-Mails mit Schadsoftware in Form infizierter Dateianhänge. Da immer mehr Menschen digital zusammenarbeiten und gemeinsam auf Dokumente zugreifen, wird diese Form der Bedrohung weiter an Bedeutung gewinnen.

Darüber hinaus können Kriminelle mit Hilfe von URLs immer komplexer werdende Infektionsketten verschleiern und die Erkennung schwieriger machen als das bei einer einfach verlinkten Payload der Fall wäre. Während URLs in der Vergangenheit häufig direkt mit einer schädlichen Datei verknüpft waren, werden im Jahr 2020 vermehrt URL-Shortener und andere Mechanismen zum Einsatz kommen, die verstärkt versuchen werden, die tatsächliche Schadsoftware – also die Payload – vor den Security-Lösungen zu verbergen.

Gleichzeitig werden die Kampagnen der Angreifer immer komplexer. Sie verbessern ihre Social-Engineering-Fähigkeiten, um Benutzer zur Installation von Malware zu verleiten. Das bedeutet, dass BEC-Taktiken (Business Email Compromise, auch Chef-Masche) ihren Weg in Malware- und Phishing-Kampagnen finden, bei denen Cyberkriminelle den Kontakt zunächst über verschiedene Wege wie LinkedIn oder XING suchen, oderThread-Hijacking betreiben und zunächst unverfängliche E-Mails austauschen, bevor sie nach Aufbau einer persönlichen Beziehung ihre Payload an den Mann bringen. Ebenso wird modulare Malware, die zum Herunterladen weiterer Funktionen oder einer Sekundärmalware verwendet werden kann, verstärkt zum Einsatz kommen und den Trend hin zu mehrstufigen Attacken fortsetzen.

Missbrauch legitimer Dienste

Dementsprechend werden Kriminelle auch den Missbrauch legitimer Dienste für das Hosting der Payloads und die Verbreitung ihrer Angriffe ausweiten. Während beispielsweise SharePoint-Links zum Hosten von Malware schon seit einiger Zeit üblich sind, werden sie nun auch für internes Phishing genutzt. Beispielsweise wird ein kompromittiertes Office-365-Konto dazu verwendet, eine interne Phishing-E-Mail zu senden, die eine Verknüpfung zu einem auf SharePoint gehosteten Phishing-Kit enthält, das über ein anderes, ebenfalls kompromittiertes Konto bereitgestellt wird. Die Opfer werden also niemals auf eine externe Phishing-Website umgeleitet, und die E-Mails scheinen von legitimen Konten, in der Regel Kollegen des eigenen Unternehmens, zu stammen.

Darüber hinaus haben wir Malvertising-Aktivität auf einem hohen Niveau beobachten können, die mit dem Keitaro Traffic Distribution System (TDS) in Verbindung stehen. Keitaro ist ein Service mit einer Reihe von Anwendungen, der vor allem im Web-Marketing eingesetzt wird. Doch mittlerweile wird er zudem häufig von den Cyberkriminellen missbraucht, die die Opfer damit zu einer bestimmten Schadsoftware leiten. Dabei berücksichtigen die Angreifer auch die regionale Herkunft und / oder das Betriebssystem der potenziellen Opfer. Diese Taktik wird 2020 verstärkt genutzt werden.

Brute-Force-Angriffe werden intelligenter

Während traditionelle Brute-Force-Attacken auf Office 365 und andere Cloud-Dienste auch im Jahr 2020 noch anhalten werden, entwickeln sich diese Angriffe technisch immer weiter: So steigt die Zahl digitaler Angriffe unter anderem immer dann, wenn in großem Maßstab Passwörter (auch ältere) von Kriminellen erbeutet werden. Die Angreifer setzen dabei auf Automatisierung, um kompromittierte Passwörter oder solche mit Querverweisen von mehreren Dumps durch gängige Variationen zu ersetzen.

Es ist zudem zu erwarten, dass die Automatisierung von Brute-Force-Angriffen mit Tools wie Python und PowerShell genauso zunehmen wird, wie hybride Angriffe, die sowohl Legacy-Protokolle als auch andere Infiltrationstechniken nutzen, um sich unbefugt Zugriff zu verschaffen.

Lieferketten gefährden Partnerunternehmen

Die Lieferketten stellen einen besonders gefährdeten Bereich dar. Kriminelle werden hier künftig alle verfügbaren Methoden nutzen, vom Kreditkartendiebstahl bis hin zur Chef-Masche (BEC). Doch dürften die Angriffe im Jahr 2020 noch erheblich ausgefeilter werden.

Eine kürzlich durchgeführte Stichprobe bei Organisationen im Gesundheitswesen zeigte ein komplexes Netz von Lieferanten, von denen viele nicht auf die gleichen, hohen Sicherheitsmaßnahmen setzen wie die Organisationen selbst. Daher entstehen Schwachstellen in der Lieferkette. Das Wissen, wer diese Lieferanten sind, und das Bestehen auf hohen Sicherheitsstandards bei E-Mails innerhalb der Lieferketten ist entscheidend dafür, die Möglichkeiten der Angreifer zu beschränken, von einem Lieferanten zum anderen „zu springen“, bis sie ihr ursprünglich anvisiertes Ziel erreicht haben.

Schulung im Fokus

Automatisierte Systeme verhindern, dass eine große Anzahl an Bedrohungen überhaupt im Posteingang der Anwender landet. Aber selbst, wenn nur eine einzige dort ankommt, muss der Anwender diese erkennen können. Das gilt auch dann, wenn sich die Angreifer auf Sprach- und SMS-Phishing sowie Multi-Channel-Angriffe konzentrieren. Folglich ist das Thema Schulung ein Kernelement in Sachen Sicherheit. Nur wenn technische Schutzmaßnahmen mit kritischen, geschulten Anwendern Hand in Hand gehen, lässt sich eine nachhaltige Verbesserung der IT-Sicherheit gewährleisten.

Weitere Informationen unter:
https://www.proofpoint.com/de