Wiper-Angriffe über Phishing

Am 6. März meldete das Israel National Cyber Directorate, dass Angreifer, die vermutlich mit dem Iran in Verbindung stehen, Server und Workstations löschten, um Betriebsabläufe zu stö­ren. In einigen Fällen nutzten sie gestohlene Zugangsdaten, um Zugriff auf Netzwerke von is­rae­li­schen Unternehmen zu erhalten. „Dem National Cyber ​​Command liegen Berichte über meh­re­re Fälle vor, in denen Angreifer sich Zugang zu Unternehmensnetzwerken verschafften und Server und Arbeitsstationen löschten, um den Betrieb der angegriffenen Organisationen zu stören. In einigen Fällen verfügte der Angreifer über Zugriff auf Daten legitimer Unterneh­mens­be­nutzer, die er nutzte, um sich anfänglichen Zugang zum Netzwerk zu verschaffen“, heißt es auf der Webseite des Israel National Cyber Directorate.

Eine Hackergruppe sei Unit 42 besonders aufgefallen: „Handala Hack.“ Die Gruppe, die auch als „Void Manticore“, „COBALT MYSTIQUE“ sowie „Storm-1084/Storm-0842“bekannt ist, nutze vor allem Phishing sowie administrativen Zugriff über Microsoft Intune, um Zugang zu Un­ternehmensnetzwerken zu erlangen. Mittlerweile werde Handala Hack von der Threat-Intelligence-Community als Frontorganisation des iranischen Ministry of Intelligence and Security (MOIS) eingestuft.

Angriffe, gesponsert von Iran und Russland

Die Lage im Cyberraum nach dem An­griff der USA und Israels auf den Iran

Wiper-Angriffe stoppen

Vor dem Hintergrund geopolitischer Konflikte, sind Wiper-Angriffe keine Seltenheiten. Sie zielen darauf ab, Daten zu zerstören und kritische Infrastruktur lahmzulegen, was zu lang­fristigen Ausfällen und weitreichenden, globalen Auswirkungen führen kann. Während Ransomware-Gruppen Zeit benötigen, um einen Einbruch zu monetarisieren, handeln destruktive Akteure schnell. Ihr Ziel ist eine Störung im größtmöglichen Umfang, nicht finanzieller Gewinn. Sobald sie Zugang zu einem Netzwerk erlangt haben, bewegen sie sich lateral, erweitern ihre Berechtigungen und löschen so viele Systeme wie möglich, bevor die Verteidiger begreifen, was überhaupt vor sich geht.

Herkömmliche Perimeter-Abwehrmaßnahmen und Malware-Erkennung allein können diese Angriffe Zero Networks zufolge nicht stoppen. Verteidiger müssten kontrollieren, wie der Zu­griff genutzt wird, sobald er innerhalb der Umgebung besteht. Der Hersteller hat fünf prä­ven­tive und reaktive Maßnahmen veröffentlicht, wie Unternehmen den Schaden von Wiper-An­grif­fen begrenzen oder sie zumindest in ihrer Ausbreitung einzudämmen können:

• Gestohlene Zugangsdaten vermeiden Netzwerkzugang: Zerstörerische Angriffe beginnen oft mit kompromittierten Zugangsdaten, die Angreifern ermöglichen, Unternehmensnetzwerke zu infiltrieren. Cyberakteure nutzen häufig Phishing, um administrative Dienste zu er­rei­chen. CISOs sollten identitätsbasierten Zugriff implementieren, Multifaktor-Authen­ti­fi­zier­ung erzwingen und die Verbindung zu sensiblen Diensten ohne zusätzliche Verifizierung verweigern.

• Laterale Bewegung verhindern: Angreifer nutzen häufig Standard-Verwaltungstools wie Remote Desktop Protocol und PowerShell, um sich im Netzwerk seitlich zu bewegen. Ge­gen­maßnahmen schränken den Zugriff auf administrative Ports ein und erfordern explizite Authentifizierung. Echtzeit-Mapping ermöglicht kontrollierte Kommunikation, wodurch angreifende Aktivitäten auf Hindernisse stoßen.

• Privilegierte Konten beschränken: Handala-Kampagnen würden oft direkt mit kom­pro­mit­tier­ten Systemen interagieren. Eine Segmentierung, die Administratoren auf bestimmte Systeme beschränkt und kontinuierliche Überwachung privilegierter Zugriffe einschließt, könne den Schadensradius erheblich reduzieren.

• Unbefugte Zugriffspfade erkennen: Iranianische Akteure würden Netzwerk-Tunneling-Tools einsetzen, die Perimeterüberwachung umgehen. Unternehmen benötigen Sichtbarkeit in­ner­halb des Netzwerks, einschließlich der Erkennung ungewöhnlicher Verbindungspfade oder Tunnel, um versteckte Zugangskanäle schnell zu identifizieren.

• Zerstörerische Aktivitäten eindämmen: Wiper-Angriffe arbeiten oft mit mehreren Lösch­mechanismen gleichzeitig. Schnelle Reaktionszeit ist entscheidend. Automatische Isolierung verdächtiger Systeme, Einschränkung administrativer Zugriffspfade und die Möglichkeit, kompromittierte Hosts schnell abzuriegeln, können helfen, den Angriff auf einen kleinen Bereich zu beschränken.

Cyberwarfare 2024

Es kommt alles wieder, auch Wiper und USB-Attacken

(ID:50792595)