:quality(80)/p7i.vogel.de/wcms/dd/ea/ddeafa7bbc4d1d69c146caeb15c94f0e/0112151534.jpeg "Von links: Christian Neumann (Bereichsleiter d-NRW), Dr. Roger Lienenkamp (Geschäftsführer d-NRW), Stefan Obermeier (Geschäftsführer BayKommun), Johanna Reinker (stv. Geschäftsführerin d-NRW), Katja Linnenschmidt (Teamleiterin d-NRW) und Felix Appel (stv. Geschäftsführer BayKommun) (© d-NRW)")
:quality(80)/p7i.vogel.de/wcms/18/25/18254f5547943a19daa4564715eda411/0112162796.jpeg "Thomas Bönig, CIO und CDO Stuttgarts: „In Wahrheit ist in Deutschland alles durch politische Vorgaben inzwischen viel zu kompliziert oder komplex ausgestaltet“ (Bild: Messe Berlin GmbH)")
:quality(80)/p7i.vogel.de/wcms/f6/bb/f6bb4be6c013bcaf777012df1378bb30/0112181905.jpeg "Judith Gerlach ist seit November 2018 bayerische Staatsministerin für Digitales (© StMD / Anne Hufnagl)")
:quality(80)/p7i.vogel.de/wcms/f4/f4/f4f4e36aa59f7a2438eaa6bf4f352d43/0112115978.jpeg "Der 115 soll eine stärkere Rolle bei der Verwaltungsdigitalisierung zuteil werden. (© henvryfo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b6/47/b6472dd3491a1f0393aa473dd4d63dfb/0112178143.jpeg "Im DIN-Standard 32791 ist der Umgang mit eAkten geregelt. (© blende11.photo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/d4/acd4a1411ddc1b33cd3060b5f8710dfc/0111745791.jpeg "„Eine ‚Souveräne Cloud‘ verdient diesen Namen aber nur, wenn sie es dem Verantwortlichen ermöglicht, seinen datenschutzrechtlichen Pflichten effektiv, nachprüfbar und dauerhaft nachzukommen.“ (aus dem Positionspapier der DSK) (©Ruslan Batiuk – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/ff/abff67b8c6d6f56b8cb439104c2420fc/0112173281.jpeg "Mit der Vison Pro hat Apple die lang erwartete Datenbrille auf der Entwicklerkonferenz WWDC 2023 präsentiert. (Bild: Apple)")
:quality(80)/p7i.vogel.de/wcms/63/ec/63ec39004016f183a1f8d61379ef4822/0112112876.jpeg "Digitalisierungsminister Christian Pegel über die Online-Dienste Mecklenburg-Vorpommerns (Bild: susieknoll)")
:quality(80)/p7i.vogel.de/wcms/13/0d/130d624022f86b514e4bf4422207de84/0111671698.jpeg "Ein Studium im eGovernment oder Verwaltungsmangement? Für die meisten Studienanfänger bisher oft keine Alternative. (© Deejpilot – Getty Images Signature via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/c1/cb/c1cbbc14b071f7943676207edc122fef/0108389737.jpeg "Viele Bürger würden am liebsten digital mit ihrer Verwaltung kommunizieren. Aber noch liegen digitale Verwaltungsservices vielerorts in weiter Ferne. Um das zu ändern, braucht es mehr Pragmatismus (© Maskot Images , licensed via EyeEm Mobile GmbH)")
:quality(80)/p7i.vogel.de/wcms/16/9b/169b8bfabeb2fcf608ab92456ed5f59d/0100581755.jpeg "Damit die Personalbedarfsermittlung in Öffentlichen Verwaltungen effizient gelingt – fünf Tipps für eine PBE auf Knopfdruck (© Cassini)")
:quality(80)/p7i.vogel.de/wcms/fe/96/fe9605555d2adec1553cd69671ea9054/0100018562.jpeg "Themenfelder einer bedarfsgerechten Digitalisierungsstrategie für Schulen (©Moysies & Partner)")
:quality(80)/p7i.vogel.de/wcms/2b/73/2b736ac77e9eca550e3f73ed8d23df12/0112067098.jpeg "Mitarbeiter von AKDB und Living Data auf den Techniktagen 2023 in Fürth (© AKDB)")
:quality(80)/p7i.vogel.de/wcms/e8/d7/e8d7075a3d9c951b31eb2e7ea3dc49d7/0111745810.jpeg "30 Jahre LEARNTEC: Gut 13.500 Besucherinnen und Besucher kamen zur diesjährigen Veranstaltung vom 23. bis 25. Mai in der Messe Karlsruhe (©Messe Karlsruhe / Lars Behrendt)")
:quality(80)/p7i.vogel.de/wcms/75/6a/756a50810f475a5419d5910733b18661/0111768414.jpeg "Das Rokoko-Schloss Dornburg war Schauplatz der openDVA 2023 (© Lapping Pictures - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/9b/089b474ed2b4257fc55fadd50380a425/0112111170.jpeg "(©Miha Creative – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/31/23315307f48d378f483004a7074a1c27/0111672239.jpeg "Es ist einfach, Dinge schwierig zu machen, aber es ist schwierig, etwas einfach zu machen. (© Prosoz)")
:quality(80)/p7i.vogel.de/wcms/fe/02/fe02e5419a93d73bec3a0e051d76feae/0111672728.jpeg "(© Optimal Systems)")
:quality(80)/p7i.vogel.de/wcms/c8/4a/c84a7ecf0df24ccc36cd60c6d7b5f654/0111671850.jpeg "(© Capgemini)")
:quality(80)/p7i.vogel.de/wcms/b6/f8/b6f88f91322d077cfa5cb7e1607c480f/0112111131.jpeg "Ziel des Summits ist die Erarbeitung gemeinsamer Ansätze und Handlungsmodelle zur Bewältigung der aktuellen politischen, gesellschaftlichen und administrativen Herausforderungen durch die IT – und mithilfe der IT (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/02/6a/026a7a13bac9ae68217de6a37d0f7e71/0111234928.jpeg "Zum 16. Mal eGovernment Summit kommen erneut die Spitzen der Bundes-, Landes- und Kommunalverwaltung sowie Experten aus Wissenschaft, Industrie und Forschung zusammen. Diesmal auf dem Bonner Petersberg (Bild: Steigenberger Hotels & Resorts)")
:quality(80)/p7i.vogel.de/wcms/00/84/008499da62176484461a2e25407be021/0111256989.jpeg "Der Schirmherr des eGovernment Summit 2023, der Beauftragte der Bundesregierung für Informationstechnik, Dr. Markus Richter (Bild: Vogel IT-Akademir)")
:quality(80)/p7i.vogel.de/wcms/ef/8d/ef8d5ab4a92cfdc9b931b7fb2077c745/0112165180.jpeg "(© Sophos)")
:quality(80)/p7i.vogel.de/wcms/4c/0d/4c0de169fbce22d9a750037ed1d4d66b/0111495677.jpeg "(© VMware)")
:quality(80)/p7i.vogel.de/wcms/13/2b/132bb48c68be3db224a1608e8891bb4f/0111416944.jpeg "(© Maridav - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/16/b1/16b18e0e142172cd4ab6238ce91eb92d/0112147804.jpeg "eBO: Sichere Kommunikation zwischen Bürgern und Gerichten (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/eb/e1/ebe1c7c630f3530fa2bfb52284df169f/0112110381.jpeg "Die elektronische Brieftasche: das ID-Wallet (Bild: aga7ta – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/3b/da3ba7ed74f63b61d367a962fa33b446/0112006966.jpeg "Multi-Faktor-Authentifizierung (MFA): Mehr Sicherheit durch mehrstufige Authentifikation (Bild: aga7ta – stock.adobe.com)")
Trends und Taktiken in den Zeiten von COVID-19 5 Cybercrime-Trends in der Corona-Krise
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/61/26/6126551f995c4/liferay-logo-full-color-digital.png "liferay-logo-full-color-digital (Liferay GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/64/60642f3bc4aeb/mgm-logo-2016-rgb.png "mgm Logo 2016 RGB.png (mgm)"){kind=logo}
Die Corona-Krise hat wenig überraschend Cyberkriminelle unterschiedlichster Couleur auf den Plan gerufen. Dabei sind ihre Kampagnen nicht unbedingt neu oder besonders ausgefeilt. Vielfach bedienen sich bei existierenden Malware-Kits „von der Stange“, die sich mit vergleichsweise wenig Aufwand aktualisieren lassen.
Das Threat Research Team von Securonix hat sich in den letzten Wochen vor allem der Beobachtung neuer Trends und Szenarien gewidmet und zusätzlich einige grundlegende Empfehlungen für Security Operations Teams zusammengestellt.
Trend 1: Malware Domains
In den vergangenen Wochen tauchten vermehrt Domains auf, die Wörter wie „corona“ oder „covid19“ verwenden. Dabei wurden Versuche beobachtet, auf die Registry-Einstellungen von Anwendungen zuzugreifen, um Anmeldedaten oder andere Benutzerinformationen abzuziehen. Daneben gibt es diverse Formen von Ransomware-Angriffen auf das Gesundheitswesen, aber im Zuge des großen Informationsbedürfnisses der Bevölkerung auch auf Endnutzer. Die Domain „coronavirusapp[.]site” verbreitet beispielsweise einen falschen COVID-19-Tracker. Erst nach Zahlung von 100 Dollar in Bitcoin innerhalb einer Frist von 48 Stunden erhalten die Opfer angeblich Informationen zur Entschlüsselung ihrer Daten. Der Malware-Autor hat allerdings keine der sonst üblichen Verschleierungstaktiken gewählt, um den Quellcode zu verbergen. Der Schlüssel lautet „4865083501”.
Was man tun sollte
- Vorsichtshalber Firewall-Regeln auf Proxy-Geräten deaktivieren, um die Kommunikation zwischen diesen Domains zu unterbinden
- Passwörter der Benutzer ändern, die diese Domains besucht haben
- Einige der böswilligen COVID-19 Domains sind neu und nutzen ausschließlich Community-basierte Threat Intelligence-Dienste, die nicht unbedingt komplette Transparenz bieten. So hat sich die Kategorisierung der „coronavirus-map[.]com“ Domain seit dem 18. März 2020 von „Miscellaneous/UnknownÅ zu „Phishing“ geändert. Es empfiehlt sich, einige dieser Domains generell zu blockieren, unabhängig von ihrem jeweiligen Score.
Trend 2: Phishing
Etliche Phishing-Kampagnen machen sich die Pandemie zunutze. eMails, die scheinbar von offiziellen Einrichtungen kommen, Updates enthalten oder Verhaltensmaßregeln, haben nicht selten eine Schadsoftware im Gepäck. Allein in der ersten behördlich verordneten Home-Office-Woche tauchten fünf verschiedene Phishing-Kampagnen auf.
Was man tun sollte
- Überwachen, ob der Datenverkehr zu neu registrierten oder seltenen Domains ansteigt
- Auf Anzeichen von C2-Aktivitäten achten – beides effektive Maßnahmen, um Frühwarnzeichen zu erkennen.
Trend 3: Remote/VPN
Eine größere Herausforderung ist das hohe Login-Volumen bei 2-Faktor- und Multifaktor-Anwendungen. Die Sicherheitsforscher haben beispielsweise einen Anstieg um Faktor 8 bis 10 bei MFA-Enrollment-Anfragen allein in einem Zeitfenster von 72 Stunden registriert.
Dazu kommt eine Flut von technischen Support-Anfragen. Angreifer haben die aktuelle Schwachstelle schnell identifiziert. Mithilfe von altbekannten Social-Engineering-Methoden mithilfe von öffentlich zugänglichen Informationen aus Business-Netzwerken wie LinkedIn, versuchen die Angreifer über scheinbare Support-Anfragen an Einmal-Passwörter zu gelangen oder ihre eigenen Geräte für die Multifaktor-Authentifizierung anzumelden.
Was man tun sollte
- Verhaltensanomalien zwischen Benutzerkonten und MFA erkennen; gleiches gilt für die Geräte, die über MFA von diesen Konten aus auf das Netzwerk zugreifen.
- Man darf angesichts der Situation an gängige Social-Engineering-Methoden erinnern und Support-Teams auf diverse aktuelle Scaming-Möglichkeiten hinweisen
- Rund um den Globus arbeiten Menschen jetzt zumindest zeitweise vom Home Office aus, was zu einem 50- bis teilweise sogar 100-prozentigen Anstieg bei der Nutzung von VPNs und anderen Remote-Authentifizierungsmethoden geführt hat. Behalten Sie deshalb VPN-Anomalien im Blick und überprüfen Sie sämtliche Aktivitäten, die auf die VPN- oder Remote-Authentifizierung folgen.
Trend 4: Missbrauch von Benutzerkonten
Die Sicherheitsforscher beobachteten, wie sich ein Vertragsnehmer von verschiedenen Ländern aus über ein Firmen-VPN einzuloggen versuchte. Einige der Standorte fielen allerdings aus dem Rahmen des firmenüblichen. Insgesamt erfolgten über dieses Benutzerkonto Anmeldungen aus 26 unterschiedlichen Ländern über eine Zeitspanne von 14 Tagen. Derart unterschiedliche Standortinformationen sind oft ein Zeichen für ein kompromittiertes Konto.
In einem anderen Fall authentifizierte sich ein Benutzer innerhalb von kurzer Zeit von zwei unterschiedlichen Orten aus, in diesem Fall den USA und Deutschland. Sich aus Deutschland anzumelden war für diesen Benutzer allerdings eher untypisch. Zudem hatte er große Dateimengen aus dem Content Management System „SharePoint" zusammengetragen und per eMail an eine Empfänger-Domain geschickt, die seinem Zunamen enthielt. Das verwendete Threat Model setzte die beiden Szenarien mit den Informationen aus unterschiedlichen Datenquellen zusammen. Es handelt sich um einen Insider-Betrug mit Identitätsdiebstahl.
Telefonkonferenzsysteme und mit ihnen verbundene Instant-Messaging-Optionen kommen jetzt vermehrt zum Einsatz. Damit wächst die Wahrscheinlichkeit, dass Benutzer auch nicht autorisierte Anwendungen installieren. Eine nicht autorisierte Version eines populären Instant Messengers löste nach Aussagen der Sicherheitsforscher für die Anwendung untypische Befehlseingaben aus. Solche Vorkommnisse lassen sich oft schwer erkennen und einordnen, weil die entsprechenden BYOD-Sicherheitsmaßnahmen fehlen.
Was man tun sollte
- Benutzer-basierte Überwachung einsetzen, um verdächtige Login-Versuche anhand von Standortinformationen oder der Zahl der Anmeldeversuche zu erkennen
- Richtlinien zum richtigen Gebrauch und potenziellen Missbrauch von Passwörtern erneut kommunizieren – insbesondere angesichts der veränderten Arbeitsbedingungen
- Strenge Endpunkt-Kontrollen, die verhindern, dass nicht autorisierte Anwendungen auf Unternehmensgeräten benutzt werden
Zum Abschluss einige grundsätzliche Empfehlungen
- 1. Durch die stark gestiegene Zahl von Mitarbeitern, die von zuhause arbeiten, ist der Stellenwert von VPN-Sicherheit enorm gestiegen. VPN-Ports von VPNs wie OpenVPN (1194) oder SSL VPN (TCP/UDP 443, IPsec/IKEv2 UDP 500/4500) sollten akribisch überwacht und die Konten am besten über eine Multifaktor-Authentifizierung geschützt werden. Die Login-Daten sollten in die bestehende SIEM/UEBA-Lösung einfließen und dort analysiert werden. In den kommenden Wochen sind DDoS-Angriffe auf VPN-Server nicht unwahrscheinlich.
- 2. EDR-Logs sollten neue Bedrohungsmodelle integrieren. Sie erkennen, wenn Prozesse unübliche Beziehungsabfolgen nutzen und überwachen Netzwerkverbindungen speziell über DNS und HTTP(S) sowie Dateimodifikationen aller Art.
- 3. Unterbinden Sie das Installieren von „privaten“ Anwendungen, gegebenenfalls zentral.
- 4. Setzen Sie alle Aktivitäten zu Benutzer- und Systeminformationen in Beziehung. Das stellt sicher, dass nur dazu berechtigte Nutzer im Netzwerk aktiv sind.
Über den Autor: Oleg Kolesnikov ist VP Threat Research bei Securonix.
(ID:46714810)