Cyberbedrohungen
Die Cloud of Logs
Auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht.
Originalartikel von Robert McArdle, Director Threat Research
Es wird viel Wirbel um die Cloud gemacht, und dies ist auch gerechtfertigt. Schließlich lassen sich mithilfe des Konzepts Ressourcen optimieren, Zeit sparen, die Automatisierung erhöhen und einen Teil der Sicherheitsverantwortung abgeben. Aber auch Cyberkriminelle nutzen die Cloud: Gestohlene Zugangsinformationen und Infos über Nutzer werden in der Cloud vorgehalten und auf Abonnement- oder Einmalbasis vermietet. Trend Micro hat diesen Trend ausführlich untersucht. In einem Sample-Datenset von 1.000 Logs konnten die Sicherheitsforscher 67.712 URLs für kompromittierte Konten identifizieren. Der Zugang zu diesen so genannten „Cloud of Logs“ lässt sich über eine monatliche Gebühr von 350 - 1000 $ erwerben. Die Logs umfassen unter Umständen Millionen E-Mails und Passwörter für beliebte Sites wie Google, Amazon, Twitter, Facebook und PayPal.
Gestohlene Zugangsdaten führen zu kompromittierten Unternehmen, und die Cloud macht diesen Prozess effektiver denn je. Es geht nicht um Kriminelle, die die Cloud-Infrastruktur von Firmen angreifen, sondern darum, dass sie die Cloud-Technologie dafür verwenden, ihre Abläufe zu verbessern und zu erweitern.
Die Wiederverwendung von Zugangsdaten ist ein weit verbreitetes Problem in vielen Unternehmen. Deshalb ist es wichtig, die persönlichen Daten der Mitarbeiter bei einer Risikobewertung des Unternehmens ebenfalls zu berücksichtigen.
Neuer Markt für Cyberkriminalität entsteht
Der Diebstahl von Anmeldedaten hat in den letzten Jahren zugenommen, da Angreifer massenhaft Anmeldedaten und damit verbundene E-Mail-Adressen oder Domänennamen erbeuten. Dies ist eine der grundlegendsten und seit langem bestehenden Bedrohungen für Unternehmen weltweit.
Doch nutzt eine große Mehrheit der heutigen Angriffe immer noch die grundlegendsten Sicherheitsschwächen aus: die Wiederverwendung von Passwörtern als eine der häufigsten. So könnte zum Beispiel ein Mitarbeiter ein Passwort für sein persönliches Konto auch als Passwort für seine Unternehmensdomäne wiederverwenden. Und die Anmeldedaten für dieses persönliche Account können in diesen Cloud-basierten Logs landen, um von anderen Kriminellen für einen neuen Cyberangriff wiederverwendet zu werden. Allein in sechs der identifizierten Cloud-Logs fanden die Forscher insgesamt 5 TB Logs, also Millionen kompromittierter persönlicher Nutzerdaten.
Im Allgemeinen sieht ein „traditioneller“ Verlauf von Cyberverbrechen über den Diebstahl von Zugangsdaten folgendermaßen aus:
- Eine kriminelle Gruppe kompromittiert ihre Opfer mit verschiedenen Mitteln und setzt Malware zum Informationsdiebstahl ein, um an die Account-Daten der Opfer (Verbraucher und Unternehmen) zu gelangen. Aufgrund der Wiederverwendung von Passwörtern kann jedes kompromittierte persönliche Konto das Unternehmen in Gefahr bringen.
- Die Kriminellen lagern diese Accounts an einen zentralen Ort aus, einen Server, den sie kontrollieren.
- Angesichts des Datenvolumens ist eine manuelle Verarbeitung unmöglich - daher starten sie einige einfache Suchläufe über die Daten, um die erfolgversprechenden Konten und Daten (Kreditkarten, E-Mail, Netflix usw.) zu finden. Für jede dieser zielgerichteten Suchen sieht die Gruppe die Listen manuell durch, um herauszufinden, welche dieser Accounts einen effektiveren Zugriff auf ein hochwertiges Ziel ermöglicht. Das ist zeitaufwändig, wenn man Zehntausende Logs und ein Team von vielleicht einem halben Dutzend Personen zur Verfügung hat, die auch noch andere Rollen in der Gruppe haben - der Prozess kann also Tage bis Wochen dauern.
- Die nicht genutzten Konten werden gebündelt und auf Untergrundmarktplätzen zum Verkauf angeboten. Dies sind die „Filetstücke“, die sich immer gut verkaufen und die leicht zu verarbeiten sind - aber es lässt sich viel mehr daraus machen. Die Zeit, bis zum Verkauf beträgt nicht mehr als ein paar Wochen, da die Daten mit der Zeit „abgestanden“ sind.
- Der Rest der Daten wird weitgehend verworfen - obwohl sie für den passenden Käufer von Wert sein könnten.
- Dann erfolgen die Einbrüche bei neuen Opfern, und der Zyklus geht weiter.
Der neue Ablauf beginnt wie der erste, doch gibt es einige Verbesserungen und Zusätze:
- Die Gruppe transferiert die Logs nun kurz auf einen zentralen Server und nimmt Kürzungen vor, lädt den Rest dann aber sofort in eine „Cloud of Logs“ hoch. Die Rentabilität der „Cloud of Logs“ und das planbare monatliche Gebührenmodell (das für Streaming-Dienste so gut funktioniert) bedeuten, dass es in ihrem Interesse ist, dies als Haupteinnahmequelle zu betrachten. Dadurch verkürzt sich die Zeit von der ersten Kompromittierung bis zum Verkauf von ein paar Wochen auf Tage oder Stunden.
- Statt einer Gruppe wird es so viele Gruppen geben, die die Daten durchsuchen, wie die Cloud of Logs-Plattform es erlaubt.
- Als Ergebnis werden nicht nur mehr Accounts als früher zu Geld gemacht, sondern auch die Zeitspanne vom ursprünglichen Datendiebstahl bis zur Wiederverwendung gegen Unternehmen verkürzt sich von ein paar Wochen auf Tage oder gar Stunden.
- Da die meisten Verstöße nicht sofort entdeckt werden, hat zum Zeitpunkt der Erkennung häufig bereits eine andere Gruppe von Angreifern den ersten Einbruch für den Zugang zum Netzwerk genutzt, um sich dort auf einem Unternehmensserver einzunisten, oder um Ziele für einen Angriff über Social Engineering, BEC-Betrug oder Ransomware zu finden.
Unabhängig vom Endziel nutzen Kriminelle Cloud-Ressourcen, um schneller zu werden und ihre Angriffe weiter zu streuen.
Neue Rollen in cyberkriminellen Gangs
Kriminelle Unternehmen werden Data-Mining-Spezialisten benötigen, um den größtmöglichen Ertrag aus jedem Terabyte gestohlener Daten zu erzielen. Diese Rolle in der cyberkriminellen Organisation wird nicht darin bestehen, Zugangsdaten zu stehlen oder zu vermarkten, sondern diese Person wird die Daten nach ihrer Bedeutung trennen. Ein idealer Kandidat in diesem neuen Cloud-gesteuerten Geschäftsmodell wird maschinelles Lernen nutzen, um effizient jeden Datentyp zu identifizieren und den für verschiedene Käufer attraktiven zu bündeln. Datenanalysten und Experten für maschinelles Lernen sowie Cloud-Architekten sind in der Geschäftswelt sehr gefragt, und Cyberkriminelle schätzen deren Wissen genauso.
Folgen für die Verteidigungsstrategie von Unternehmen
Das kriminelle Potenzial der gestohlenen Daten wird in vollem Umfang genutzt, da die Informationen unter verschiedenen Cyberkriminellen verteilt werden, die auf verschiedene Verbrechen spezialisiert sind. Zudem nutzen sie Cloud-Technologien genau wie Unternehmen, um agiler zu agieren.
Für die Verteidigungsstrategie eines Unternehmens ist die Zeitspanne vom Diebstahl einer Information bis zu ihrer Verwendung in einem Angriff viel kürzer. Das bedeutet, Organisationen haben jetzt viel weniger Zeit, um den Vorfall des Diebstahls von Anmeldeinformationen zu erkennen und darauf zu reagieren.
Organisationen müssen die Grundlage ihrer Sicherheitshaltung stärken, um Verstöße schnell zu erkennen. Auch die Schulung von Mitarbeitern bezüglich der Basis der Cybersicherheit und wie ihre Sorgfalt zum Schutz des Unternehmens beitragen kann ist wichtig. .
Den vollständigen Bericht über diesen neuen Markt finden Interessierte hier.