(openPR) Wien, 31. März 2016. Das erste Quartal 2016 stand im Zeichen von drei globalen Trends:
• gezielte und hochprofessionelle Angriffe von Hackergruppen auf Großbanken,
• Ransomware-Angriffe auf Krankenhäuser, öffentliche Institutionen, Industrieunternehmen und Privatnutzer und
• koordinierte DDoS-Attacken auf Onlineplattformen.
Gezielte und hochprofessionelle Angriffe von Hackergruppen auf Großbanken auf dem historischen Höhepunkt: der Cyberangriff auf eine Zentralbank, der erstmals zu einem Millionenschaden führte
Vorfall
Die Zentralbank von Bangladesch verlor bei einem Angriff im Februar 80 Millionen USD. Aus dem internen Netzwerk wurden Legitimationsdaten genutzt mit denen mehrere Überweisungen von der New York Federal Reserve Bank an Konten auf den Philippinen ausgeführt wurden.
Bewertung
Die Attacke trägt die Handschrift einer hochprofessionellen Hackergruppe, die sich sehr lange im Netzwerk der Zentralbank aufgehalten haben muss, um ihren Angriff strategisch zu planen und auszuarbeiten, an die Daten und das Knowhow über die internen Prozesse, die sie für die erfolgreiche Ausführung brauchten, zu kommen und schlussendlich den richtigen Zeitpunkt für die Ausführung zu nutzen.
Die Ausführung der Attacke wurde sodann auf einen Donnerstagabend, dem Beginn des Wochenendes in Bangladesch gelegt. Das ist ein strategisch gewählter Zeitpunkt. Die meisten Institutionen haben zu dieser Zeit sehr wenig oder gar kein Personal anwesend, das akute Auffälligkeiten hätten feststellen und sofort reagieren können.
Gegenmaßnahmen & Ausblick
Mechanismen zur Erkennung von Angreifern im Netzwerk, wie ein Security Information and Event Management (SIEM) oder Network-based Intrusion Detection (NIDS), wurden im vorliegenden Fall entweder nicht eingesetzt, versagten oder ihre Ergebnisse wurden von den IT-Sicherheitsverantwortlichen nicht ausreichend analysiert und bewertet.
Der gezielte Angriff war nicht das einzige Vorkommnis in der Bankenbranche in den vergangen drei Monaten. Alarmierend war unter anderem auch der Bericht des russischen Innenministeriums, im Februar eine 50-köpfige Hackergruppe festgenommen zu haben, die massive Angriffe auf das gesamte russische Bankensystem und das internationale Zahlungssystem, insbesondere SWIFT, plante. Insgesamt ist auch für das zweite Quartal 2016 von einer hohen Gefahr durch weitere Angriffe von Hackergruppen auf Großbanken weltweit auszugehen.
Ransomware-Angriffe auf Krankenhäuser, öffentliche Institutionen, Industrieunternehmen und Privatnutzer
Vorfälle
Erpressungen mittels Ransomware unterliegen weltweit einem unvergleichbaren Hype. Locky, Cryptolocker, Cryptowall, Teslacrypt und andere Varianten wurden über das gesamte Quartal hinweg gegen Großkrankenhäuser, Stadtverwaltungen und Industrieunternehmen gerichtet. Institutionen in Deutschland, Österreich, den USA und Kanada waren besonders stark betroffen. Schadsoftware fand über verschiedene Wege Eingang in die Institutionen, verschlüsselte sämtliche Daten am PC, in gesamten Netzwerken und auf eingebundenen Cloud-Diensten und gab sie nur nach Lösegeldzahlungen wieder frei.
Bewertung
Die Verbreitungsstrategien der Angreifer werden dabei immer ausgefeilter. So wurden nicht nur Einzelinstitutionen attackiert. Am Wochenende des 12. März führte eine koordinierte Attacke durch die Infizierung von Werbeanzeigen auf den millionenfach aufgerufenen Webseiten der New York Times, BBC, AOL und NFL zu zehntausenden Betroffenen, vielfach Privatnutzer.
Ein Großteil aller Betroffenen zahlt die Lösegeldforderungen und macht damit die Angriffsart immer attraktiver. Dabei ist das „Freikaufen“ keine gute Idee: Zahlungswillige werden von Angreifern in der Regel auch ein zweites und drittes Mal heimgesucht.
Gegenmaßnahmen & Ausblick
Vielmehr müssen Präventionsmaßnahmen für die IT in Institutionen und Unternehmen stärker in den Vordergrund rücken – zum eigenen Schutz als auch zum Schutz von Nutzern ihrer Onlineportale. Die als State-of-the Art etablierten Mechanismen wie Advanced Threat Detection (ATD), Network-based Intrusion Detection und das kontinuierliche Vulnerability Assessments (VAS) werden entweder noch zu wenig eingesetzt oder nicht in ihrem vollen Leistungsspektrum genutzt. Sie würden den verlässlichsten Schutz bieten und die wohl auch über die nächsten Monate überproportional steigende Zahl der erfolgreichen Angriffe am besten eindämmen.
DDoS-Attacken auf Onlineplattformen: führende Medienportale in Schweden und die größten Onlineshops der Schweiz waren stundenlang nicht erreichbar
Vorfälle
Die vier größten Onlineshops der Schweiz (Digitec, Galaxus, Interdiscount und Microspot) waren am Wochenende des 12. März offline. Am darauffolgenden Wochenende fielen die Onlineportale der sieben führenden schwedischen Medienhäuser (u.a. Dagens Nyheter, Svenska Dagbladet, Expressen, Aftonbladet, Dagens Industri, Sydsvenskan und Helsingborgs Dagblad) über Stunden aus. Basis dieser koordinierten Großangriffe waren DDoS-Attacken, die durch massenhafte Anfragen an Webseiten zu deren Überlastung und Ausfall führen.
Bewertung
Technisch ist ein DDoS-Angriff heute keine Herausforderung und findet täglich weltweit vielfach statt. Der Umfang der zum selben Zeitpunkt angegriffenen Großunternehmen jeweils einer Branche ist aber eine neue Dimension.
Gegenmaßnahmen & Ausblick
DDoS-Angriffen wird nicht präventiv sondern reaktiv begegnet: schnelle Erkennung und Analyse ist die Basis für die Einleitung der richtigen Behebungsmaßnahmen. Wie die gezielten Angriffe auf Banken und die Ransomware-Angriffe in verschiedensten Branchen suchten sich die DDoS-Angreifer wohl deshalb auch die Wochenenden aus. IT-Security Abteilungen in Unternehmen sind gerade dann stark unter- oder gar nicht besetzt. Der Effekt eines längeren und damit schädlicheren Ausfalls der Onlineplattformen wird erzielt.
Aufbauend auf der generellen Tendenz zu Angriffen in „Randzeiten“ empfehlen wir großen Unternehmen (ab ca. 5.000 Mitarbeitern als Richtwert) sich mit der Einführung eines 24/7 IT-Security Betriebes - durch interne Ressourcen oder mit Unterstützung von externen Dienstleistern - auseinanderzusetzen. Diese Präventionsmaßnahme mindert das Schadensausmaß bei gezielten Attacken, die zukünftig weiter zunehmen werden, oftmals drastisch und rechtfertigt so ein notwendiges Investment.
+++++++++++++
Allgemeiner Hinweis:
Diese Publikation ist lediglich eine unverbindliche Stellungnahme zu aktuellen Cyberangriffswellen und möglichen Gegenmaßnahmen zum Zeitpunkt der Herausgabe der vorliegenden Information am 31.3.2016. Die vorliegende Publikation beruht unserer Auffassung nach auf als zuverlässig und genau geltenden allgemein zugänglichen Quellen, ohne dass wir jedoch eine Gewähr für die Vollständigkeit und Richtigkeit der herangezogenen Quellen übernehmen können. Insbesondere sind die dieser Publikation zugrunde liegenden Informationen weder auf ihre Richtigkeit noch auf ihre Vollständigkeit (und Aktualität) überprüft worden. Eine Gewähr für die Richtigkeit und Vollständigkeit können wir daher nicht übernehmen. Die vorliegende Veröffentlichung dient ferner lediglich einer allgemeinen Information und ersetzt keinesfalls eine persönliche Beratung für den Einzelfall.
+++++++++++++
