Einblicke ins Darknet: Mit diesen Methoden greifen Cyberkriminelle an

Mittlerweile ist jeder sechste Angriff einer professionellen Ransomware-Gruppe erfolgreich. Im Webinar von Gryps zeigten Experten, wie sich Unternehmen schützen können.

Verfasst von der Gryps-Redaktion

Dunkle Nahaufnahme einer Tastatur
Ohne einen starken IT-Partner mit Zugang zum Darknet und zur Bedrohungslandschaft bleiben Unternehmen blind gegenüber vielen Gefahren.

Cyberkriminalität hat sich längst zu einer organisierten Industrie entwickelt. Wer nicht aktiv vorbeugt, riskiert, ins Visier von professionellen Ransomware-Gruppen zu geraten. Das zeigen reale Beispiele wie der Hack auf die zweitgrösste Kryptobörse der Welt Bybit, auf die Oracle Cloud oder die israelische Polizei. Doch auch KMU stehen im Visier.

Im Webinar von Gryps gaben die beiden Experten Patrizio Marinaccio und Daniel Rossgatterer (Präsentation des Webinars herunterladen) Einblicke ins Darknet und in aktuelle Cyberbedrohungen. Zudem zeigten sie, wie Unternehmen sich vor Cyberangriffen schützen können.

Cybersecurity ist ein C-Level-Thema

Patrizio Marinaccio, CCO und Mitgründer des IT-Unternehmens zurichnetgroup, bringt es auf den Punkt: «Cybersecurity ist ein C-Level-Thema». IT-Security beginnt nicht in der Technik, sondern in der Geschäftsführung und stützt sich auf vier zentrale Bausteine.

Die vier Bausteine der IT-Security:

  1. Training: Der Mensch ist prozentual gesehen der grösste Entry Point für Cyberkriminelle. Schulungen der Mitarbeitenden und klare Prozesse sind deshalb essenziell.
  2. Assessments: Externe Analysen wie ein Audit decken blinde Flecken auf, die intern übersehen werden.
  3. Business Continuity Management: Ein Business-Continuity-Plan ist ein Must-have. «Es ist erschreckend, wie viele leitende KMU-Personen mir sagen, ein Cyberangriff wäre kein Problem», so Marinaccio. «Sie hätten ja ein Backup und es sei eh alles in der Cloud.» Jedes Unternehmen sollte das Thema Cybersecurity auf Verwaltungsrat- oder Geschäftsleitungsebene diskutieren. Denn wenn es zu einem Ernstfall kommt und das Unternehmen keinen Notfallplan hat, dann kann es auch nicht reagieren.  Ein Business-Continuity-Plan gehört deshalb oft zu den ersten Massnahmen, die zurichnetgroup für ihre Kundinnen und Kunden umsetzt. 
  4. Partner, die im Darknet zuhause sind: Ohne starke Partner mit Zugang zum Darknet und zur Bedrohungslandschaft bleibt man blind gegenüber vielen Gefahren. Mithilfe spezialisierter Partner können Angriffsversuche frühzeitig erkannt werden.

Als IT-Unternehmen verfolgt die zurichnetgroup den Ansatz, seine Kundinnen und Kunden an der Hand zu nehmen und mit ihnen zusammen nachhaltige IT-Strategien oder IT-Security-Strategien zu entwickeln. Für den Zugang zum Darknet arbeitet das Unternehmen mit Secutec zusammen, einem der wenigen europäischen Hersteller für Cyber-Threat-Intelligence-Technologie.

Ein Blick ins Darknet: So arbeiten professionelle Hacker

Secutec betreut Unternehmen jeder Grösse im Bereich der IT-Sicherheit – vom kleinen Unternehmen mit drei Mitarbeitenden bis zu Regierungen. Im Gryps-Webinar gab Geschäftsführer Daniel Rossgatterer einen Einblick ins Darknet und in den Ablauf eines Hackerangriffs.

Laut dem Experten ist derzeit jeder sechste Angriff einer professionellen Ransomware-Gruppe erfolgreich – vor drei bis vier Jahren seien es noch deutlich weniger gewesen. Und was auffällt: Hackergruppen sprechen von «kostenpflichtigen Penetrationstests» statt «Cyberangriffen» und behandeln ihre Opfer als «Partner». Wurde man zum Ziel einer Ransomware-Attacke und erhält eine solche Bedrohung, hat man nicht das Gefühl, dass man es mit Schwerkriminellen zu tun hat. Das täuscht jedoch, denn dahinter stecken gut organisierte Ransomware-Gruppen mit dem einzigen Ziel, Geld zu machen. Dabei gehen sie wie folgt vor:

  1. Exfiltrieren von Daten
  2. Backups zerstören
  3. Daten verschlüsseln
Was ist Ransomware?Ransomware sind Schadprogramme, die unbemerkt auf dem Computer einer Person installiert werden. Sie sperren den Computer und die Daten, die sich darauf befinden. Ransomware-Gruppen nutzen solche Schadprogramme für finanzielle Erpressungen.

Aktuell betreut Secutec täglich mindestens einen realen Cybervorfall auf Unternehmen. Dazu gehört auch die forensische Analyse. Insbesondere eine Frage spielt dabei eine zentrale Rolle: Wie viel Zeit vergeht vom ersten Eindringen über eine Schwachstelle bis zur vollständigen Verschlüsselung der Daten? Zahlen aus der Praxis und Statistiken zeigen, dass Hacker dafür heute nur noch rund 70 bis 90 Stunden brauchen. Zum Vergleich: 2019 waren es noch 1'637 Stunden oder 68 Tage.

Es gibt verschiedene Angriffsvektoren für Hacker. Die grössten Angriffsvektoren erläuterte Rossgatterer im Webinar und stellte konkrete Lösungen vor.

Phishing

Beim Phishing werden betrügerische E-Mails, Textnachrichten, Anrufe oder Websites genutzt, um Personen dazu zu verleiten, vertrauliche Informationen preiszugeben. Oft verwenden Hacker neu registrierte Domains, die noch keine zwei oder drei Stunden alt sind, für Phishing-Angriffe.

Lösung: Durch DNS-Monitoring (Domain-Name-System-Monitoring) können Unternehmen Anfragen von schädlichen Domänen erkennen.  Secutec bietet DNS-Monitoring als Dienstleistung an, blockiert Anfragen von schädlichen Domänen und benachrichtigt den Kunden oder die Kundin aktiv bei Bedrohungen.

Keylogger

Keylogger sind eine Form von Malware, die es Hackern erlaubt, alles Getippte auf dem Gerät ihrer Opfer mitzulesen. Klassische Firewalls erkennen gute Keylogger nicht. Allein aus den letzten zehn Fällen, die Secutec betreut hat, seien bei drei davon Keylogger die Ursache für den Cyberangriff gewesen.

Lösung: Über das Darknet-Monitoring erkennt Secutec frühzeitig, wenn Geräte mit Keylogger infiziert sind.

Exploit Vulnerability

Bei sogenannten Zero-Day-Schwachstellen, also bisher unbekannten Sicherheitslücken, platzieren Hacker automatisiert Zugangspunkte (Vektoren) in betroffene Systeme. Die betroffenen Unternehmen werden dann nicht sofort, sondern zeitlich verzögert angegriffen – teils erst Monate oder sogar ein Jahr später.

Lösung: Unternehmen können dieses Risiko durch sogenanntes Attack Surface Management reduzieren. Dabei wird ein Unternehmen von aussen permanent gescannt, um allfällige angreifbare Schwächen frühzeitig zu identifizieren.

Office-365-Phishing

Beim Phishing auf die Microsoft-365-Umgebung fischen Hacker nicht nur die klassischen Login-Daten, sondern auch den Multifaktor mit.

Lösung: Secutec hat eine Lösung entwickelt, mit der sie bei jeder Anmeldung erkennt, ob die Anmeldeseite durch Secutec verifiziert wurde. Ist sie es nicht, so erhält der User die Warnmeldung, die Login-Daten nicht einzugeben.

Webinar verpasst?

Mehr über die Sicherheitslösungen der zurichnetgroup und Secutec und über die Welt der Hackergruppen lesen Sie in der Präsentation des Webinars.

Präsentation herunterladen

Jedes zweite betroffene Unternehmen zahlt Lösegeld

Rund 50% der Unternehmen, die Opfer einer Ransomware-Attacke werden, zahlen das geforderte Lösegeld. Auch in den Lösegeldverhandlungen, die Secutec begleitet, entscheiden sich viele Unternehmen dafür – obwohl Secutec praktisch immer dagegen rät. Dafür gibt es verschiedene Gründe:

  • Gelöschte Backups und verschlüsselte Systeme: In vielen Fällen löschen die Angreifer gezielt Backups, bevor sie die Daten verschlüsseln. Wenn kein sauberes Backup mehr vorhanden ist, bleibt dem Unternehmen oft nur die Zahlung, um wieder an ihre Daten zu gelangen.
  • Geringerer wirtschaftlicher Schaden für das Unternehmen: Viele Geschäftsführerinnen und Geschäftsführer machen eine ganz einfache Rechnung: Was kostet ihnen ein Tag Stillstand? Was kostet es, diverse Systeme aus dem Backup wiederherstellen zu müssen, damit der Betrieb wieder aufgenommen werden kann? Und dem gegenüber: Wie hoch sind die Lösegeldforderungen? In der Praxis ist der wirtschaftliche Schaden bei Lösegeldforderungen oft ein bisschen geringer. Aktuell liegen sie im Bereich zwischen fünf und acht Prozent vom Jahresumsatz des Unternehmens oder sie decken sich mit den liquiden Mitteln. Der Grund: Wenn die Hacker im System sind, haben sie oft Zugriff auf die Bank- oder Bilanzdaten und können somit gut einschätzen, was ein Unternehmen sich an Lösegeld leisten kann.
  • Druck durch «Wall of Shame» im Darknet: Hacker nutzen Seiten im Darknet, um Druck auf ihre Opfer auszuüben. Auf dieser sogenannten Wall of Shame ist oft ein Timer platziert. Die Hacker drohen damit, die Daten zu veröffentlichen, wenn das Unternehmen das Lösegeld nicht vor Ablauf des Timers zahlt.

Interne und externe Schutzmassnahmen

Rossgatterer betont, dass man Cyber Security unbedingt von zwei Sichten aus betrachten muss. Die Kundinnen und Kunden von Secutec hätten die interne Sicht mittlerweile gut im Griff. «Da gibt es hervorragende Partner wie die zurichnetgroup, die im Bereich der Firewall, Anomalieerkennung, im Virenscanner-Bereich oder bei Backup-Themen unterstützen.»

Bei der externen Sicht kommt Secutec ins Spiel. Secutec zeigt den IT-Partnern und den Unternehmen eine Welt, in die sie sonst nur schwer einblicken können. Dabei ist Darknet-Monitoring ein grosses Thema. Dazu zählen etwa das externe Scannen von Schwachstellen und die Sicherheit im Office 365. Auch das DNS-Monitoring spielt eine grosse Rolle. «Wir sind davon überzeugt, dass wir mit der Überwachung der DNS- und IP-Verbindungen extrem viel präventiv machen können», so Rossgatterer.

So schützen sich Unternehmen – Empfehlungen der Experten:

  • Zusätzlich zur Firewall DNS-Monitoring betreiben
  • Externe Schwachstellen permanent überwachen
  • Darknet-Monitoring aktiv nutzen
  • Incident-Response vorbereiten
  • Playbook für Notfälle vorbereiten
  • Multifaktor-Authentifizierung einsetzen
  • Anomalie-basierte Virenscanner verwenden
  • Umfassendes Backup-Konzept erstellen
  • Backup für die wichtigsten Server Logs erstellen
  • Netzwerke segmentieren
  • Keine lokalen Adminrechte
  • Active Directory Tiering einführen (ein Sicherheitskonzept, bei dem Benutzerkonten und Zugriffsrechte in verschiedene Stufen unterteilt werden, um kritische Systeme besser zu schützen)
  • Passwortmanager für Mitarbeitende bereitstellen
Zur Übersicht