Sie sind hier: Startseite » IT Security » Security-Tipps, -Hintergründe und -Wissen

Angreifer agieren im Geheimen

Erstzugriff, Auskundschaften, Ausnutzung – der typische Ablauf eines Cyberangriffs
Social-Engineering-Angriffe wie Phishing sind bei Cyberkriminellen sehr beliebt, wie auch die Nutzung von öffentlich zugänglichen Schwachstellen

Cyberangriffe auf Unternehmensnetzwerke sind wie Schimmel in einer Wohnung – oftmals fallen sie erst dann auf, wenn der Schaden bereits angerichtet ist. Angreifer agieren im Geheimen, was es schwierig macht, den Hergang eines Angriffs im Nachhinein zu rekonstruieren und auf dieser Basis effektive Schutzmaßnahmen für die Zukunft zu etablieren. aDvens hat anhand der Daten aus ihrem Security Operations Center den typischen Ablauf eines Cyberangriffs analysiert (abgesehen von Angriffen, denen keine finanziellen Motive zugrunde liegen – zum Beispiel Sabotage) und drei unterschiedliche Schritte identifiziert:

>> Erstzugriff: In diesem Schritt verschaffen sich Angreifer auf diskrete Art und Weise Zugang zum Unternehmensnetzwerk. Laut aDvens geschieht dies in 80 Prozent aller Fälle über legitime, zugangsberechtigte Nutzerkonten und in 80 Prozent davon wiederum über externe Zugänge von Drittanbietern oder Dienstleistern. Auch Social- Engineering-Angriffe wie Phishing sind bei Cyberkriminellen beliebt, wie auch die Nutzung von öffentlich zugänglichen Schwachstellen. Obwohl es zu diesem Zeitpunkt noch keine oder kaum direkte Auswirkungen auf das Unternehmen gibt, ist bereits dieses Stadium des Angriffs gefährlich. Denn viele Angreifer verkaufen die erbeuteten Anmeldedaten zusätzlich im Darknet, was weitere Angriffe zur Folge haben kann.

>> Auskundschaften: Im nächsten Schritt identifizieren Angreifer potenziell für ihre Ziele relevante Daten (z. B. HR-Daten oder Verträge). Dafür bewegen sie sich innerhalb des Systems mithilfe kompromittierter, aber legitimer Nutzerkonten und Verwaltungs-Tools, die keinen Verdacht erregen. Obwohl das Auskundschaften manchmal die Verbindung mit Systemkomponenten wie dem ERP oder mit Authentifizierungs-Tools stören kann, gibt es auch zu diesem Zeitpunkt noch keine oder kaum Auswirkungen auf das Unternehmen.
>> Ausnutzung: Im letzten Schritt sind die Auswirkungen auf das Unternehmen am größten, denn jetzt kommt üblicherweise die Ransomware zum Einsatz. Sobald die Angreifer die für sie relevanten Daten identifiziert haben, werden diese gestohlen und/oder verschlüsselt, um ein Lösegeld für die Entschlüsselung oder den Nichtverkauf der Daten zu fordern. Um die Zahlung des Lösegelds wahrscheinlicher zu machen, werden Tools verwendet, die es den Angreifern ermöglichen, die Kontrolle über die Systemverwaltung zu erlangen und evtl. vorhandene Daten-Backups zu löschen – so soll der Druck auf das Unternehmen erhöht werden, indem Alternativen zur Lösegeldzahlung wegfallen. (aDvens: ra)

eingetragen: 01.12.24
Newsletterlauf: 11.12.24

aDvens: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

Meldungen: Security-Tipps und Background-Wissen

Hinter den Kulissen der Hacktivisten
Check Point Software Technologies bietet Einblicke in die Machenschaften der Hacktivisten-Gruppen, die zu einer wachsenden Bedrohung geworden sind. Hacktivismus hat sich von digitalen Protesten zu ausgeklügelten, staatlich geförderten Cyber-Operationen entwickelt. Check Point Research (CPR) analysierte 20 000 Nachrichten von 35 Hacktivisten-Gruppen mithilfe von maschinellem Lernen und linguistischer Analyse, um verborgene Zusammenhänge und Handlungsmuster aufzudecken. Die Untersuchung zeigt, wie geopolitische Ereignisse solche Aktivitäten antreiben, wobei einige Gruppen während Krisen wieder auftauchen, um gezielte Angriffe durchzuführen.
Robuster Disaster-Recovery-Plan erfordert
Eine aktuelle Studie von Microsoft Security belegt, dass eines von drei KMU sich in den letzten 12 Monaten gegen einen Cyberangriff wehren musste. Diese ernüchternde Statistik zeigt, dass zahlreichen kleinen oder mittelständischen Unternehmen ein robuster Disaster-Recovery-Plan fehlt. Dabei könnte es schon helfen, eine lokale Datensicherung zu etablieren.
Dem Software-Lieferketten-Risiko begegnen
In den vergangenen Jahren mussten sich IT-Sicherheitsverantwortliche und ihre Teams zunehmend mit Cyberrisiken auseinandersetzen, die mit den Software-Lieferketten ihrer Anbieter und Partner in Zusammenhang stehen. Immer häufiger machen Cyberkriminelle Schwachstellen in Entwicklungspipelines, Open-Source-Komponenten und Drittanbieter-Integrationen zu einem integralen Bestandteil ihrer Angriffsvektoren.

Firmengeheimnisse in Gefahr Als legitime Tools getarnte Überwachungs-Apps