Monthly Threat Report August 2024: Ein Monat voller globaler Cyberattacken
Einleitung
Der Monthly Threat Report von Hornetsecurity bietet Ihnen Einblicke in die Sicherheitstrends von M365, bedrohungsbezogene E-Mails sowie Kommentare zu aktuellen Ereignissen im Bereich der Cybersicherheit. Diese Ausgabe konzentriert sich auf die Daten des Monats Juli 2024.
Zusammenfassung
- Der CrowdStrike-Vorfall hat weiterhin Auswirkungen auf die Cybersicherheitsbranche.
- Microsoft führt als direkte Reaktion auf den CrowdStrike-Vorfall einige Änderungen und Richtlinien zum Kernel-Zugriff ein.
- In den letzten Monaten gab es Diskussionen über Cybersicherheitsregulierungen und ob ein Vorfall wie CrowdStrike sich wiederholen könnte.
- Es gibt einen neuen AI Jailbreak-Angriff namens Skeleton Key, der es Benutzern ermöglicht, Inhalte zu generieren, der normalerweise zensiert wäre.
- Es gibt eine neue kritische Sicherheitslücke im VMware ESXi Hypervisor, die einen Authentifizierungs-Bypass ermöglicht. Broadcom hat einen Patch veröffentlicht.
- HealthEquity, ein US-amerikanischer Anbieter von Gesundheitssparplänen, erlitt einen Datenleck sensibler Daten von 4,5 Millionen Personen.
- Der Report dieses Monats enthält Informationen zur Hackergruppe Anonymous Sudan, einschließlich ihrer Taktiken, Techniken und Vorgehensweise.
- Dieser Bericht enthält auch Kommentare zur Cybersicherheit für die laufenden Olympischen Spiele.
Update zum Format dieses Reports
Im vergangenen Monat haben wir diese Informationen bereits vorgestellt. Da wir nun ein neues Format nutzen, möchten wir diese wichtigen Punkte nochmals hervorheben.
Wenn Sie ein regelmäßiger Leser unseres Monthly Threat Reports sind, wissen Sie, dass wir üblicherweise die Veränderungen in der E-Mail-Bedrohungslandschaft behandeln. In den letzten Jahren der Berichterstattung über diese Statistiken haben wir festgestellt, dass sich die Trends bei E-Mail-Bedrohungen nur sehr subtil verschieben, es sei denn, es gibt einen neuen aufkommenden Trend, eine Schwachstelle, eine neue Angriffsart oder einen neuen Bedrohungsakteur. Vor diesem Hintergrund haben wir beschlossen, das Format dieses Berichts in den kommenden Monaten wie folgt zu ändern:
Statistische Datenpunkte (E-Mail-Bedrohungsarten, Markenimitationen, Bedrohungsdateitypen, Branchenbedrohungsindex) werden ab sofort vierteljährlich behandelt. Die genannten statistischen Daten umfassen die gesamten drei Monate des Geschäftsquartals (z. B. werden Daten für Januar bis März im April präsentiert). Dies bedeutet, dass statistische Berichte in diesen Monaten veröffentlicht werden:
- April (Q1 – Januar bis März)
- Juli (Q2 – April bis Juni)
- Oktober (Q3 – Juli bis September)
- Januar (Q4 – Oktober bis Dezember)
Berichte, die nicht auf einen der Quartalsmonate fallen, werden sich auf andere Aspekte der E-Mail-Sicherheit konzentriere:
- Kommentare zu Branchennews
- Bedrohungsanalysen
- Branchenprognosen
- Empfohlene Maßnahmen in Bezug auf Sicherheitsereignisse oder Vorfälle
- Leitlinien zu neuen Sicherheitstechnologien
Wir sind überzeugt, dass dieses neue Format unseren Lesern jeden Monat den größtmöglichen Mehrwert bieten wird.
HINWEIS: Wir erstellen außerdem einen jährlichen Hornetsecurity Cyber Security Report, der statistische Analysen mit Jahresdaten im Gegensatz zu monatlichen/vierteljährlichen Daten durchführt.
Hervorzuhebende Vorfälle und branchenrelevante Events
CrowdStrike
Die Technologie-Nachrichten wurden im letzten Monat natürlich von CrowdStrike dominiert. Es gibt einige Hinweise darauf, dass es sich nicht um einen reinen Windows-Vorfall handelte und Microsoft beruft sich darauf, dass nur 1 % der Windows-Rechner betroffen waren. Allerdings stellte sich heraus, dass die Bestandteile, aus denen dieses 1 % bestand, SEHR wichtig waren. Da CrowdStrike eine Software-Suite für den Unternehmensbereich ist, waren einige sehr große Namen stark betroffen, darunter:
- Delta Airlines
- American Airlines
- Air France-KLM
- The Royal Surrey Hospital in Großbritannien
- Britische Nationale Gesundheitsdienst (NHS)
- Allianz
- NBC Universal
- Und viele mehr
Die Auswirkungen waren so gravierend, dass allein Delta Airlines mehr als 5000 Flüge streichen musste, und Deltas CEO beziffert den Schaden auf über 500 Millionen Dollar. Das Royal Surrey Hospital musste die Röntgenbehandlung aussetzen, während der NHS erklärte, dass die meisten Arztpraxen betroffen seien. Kurz gesagt, es gab sehr reale Auswirkungen auf Menschen aufgrund dieses Problems.
Was ist passiert?
Am 19. Juli veröffentlichte CrowdStrike ein Update für Falcon Sensor – Teil der Falcon CrowdStrike-Plattform, die als Endpoint Detection and Response (EDR)-Lösung dient. Laut CrowdStrike enthielt das Update einen Fehler, der zu einem Out-of-Bounds-Speicherzugriff führte, was letztendlich zu einem Bluescreen führte.
Zitat CrowdStrike:
Beim Empfang durch den Sensor und Laden in den Content Interpreter führte problematischer Inhalt in Channel File 291 zu einem Out-of-Bounds-Speicherzugriff, der eine Ausnahme auslöste. Diese unerwartete Ausnahme konnte nicht korrekt behandelt werden, was zu einem Absturz des Windows-Betriebssystems (BSOD) führte.
CrowdStrike arbeitet auf Kernelebene innerhalb des Windows-Betriebssystems, weshalb jeder Fehler dieser Größenordnung schwerwiegende Folgen für das laufende System hat. Um betroffene Systeme wiederherzustellen, mussten VIELE Maschinen manuell bearbeitet und Wiederherstellungsmaßnahmen durchgeführt werden.
Die Frage nach der Verantwortung für den gravierenden Fehler bei CrowdStrike wird immer lauter. Während viele auf eine unzureichende Qualitätssicherung hinweisen, schiebt das Unternehmen die Schuld auf einen Bug in seiner eigenen Testsoftware.
Muss sich Microsoft auch verantworten?
In den Tech-Nachrichten wird viel darüber diskutiert, dass auch Microsoft für dieses Problem verantwortlich sein könnte. Dies rührt hauptsächlich daher, dass das Unternehmen Drittanbietern Zugriff auf den laufenden Kernel gewährt. Ohne diesen Zugriff wäre dieser spezielle Vorfall nicht passiert. Microsoft versucht, die Schuld dafür auf EU-Regulierungen zu schieben, die diesen Kernel-Zugriff vorschreiben. Trotz gegenseitiger Schuldzuweisungen ist klar, dass hier einiges verbessert werden muss, um einen erneuten Ausfall dieser Größenordnung zu verhindern.
Wie haben CrowdStrike und Microsoft bisher reagiert?
Als Reaktion auf diesen Vorfall haben sowohl CrowdStrike als auch Microsoft eine Reihe von Änderungen angekündigt, die ein positives Ergebnis haben sollten.
Um den Abschnitt über Testverbesserungen aus dem CrowdStrike Remediation Hub zu zitieren, wird CrowdStrike:
- Die Tests für Rapid Response Content verbessern durch die Verwendung von Testarten wie z.B.:
- Lokale Entwicklertests
- Content-Update- und Rollback-Tests
- Stresstests, Fuzzing und Fehlerinjektion
- Stabilitätstests
- Content-Schnittstellentests
- Zusätzliche Validierungsprüfungen zum Content Validator für Rapid Response Content hinzufügen. Eine neue Prüfung ist in Arbeit, um zu verhindern, dass solche problematischen Inhalte in Zukunft bereitgestellt werden.
- Die vorhandene Fehlerbehandlung im Content Interpreter verbessern.
Vorgeschlagene Verbesserungen von Microsoft sind folgende:
- Bereitstellung von Richtlinien, Best Practices und Technologien für einen sicheren Rollout, um Updates für Sicherheitsprodukte sicherer durchzuführen.
- Reduzierung des Bedarfs an Kerneltreibern für den Zugriff auf wichtige Sicherheitsdaten.
- Bereitstellung verbesserter Isolations- und Manipulationsschutzfunktionen mit Technologien wie den kürzlich angekündigten VBS-Enklaven.
- Ermöglichung von Zero-Trust-Ansätzen wie der Hochintegritäts-Attestierung, die eine Methode zur Bestimmung des Sicherheitszustands des Computers basierend auf der Integrität der nativen Windows-Sicherheitsfunktionen bietet.
Nachwirkungen in der Sicherheitsbranche
Obwohl die Branche die unmittelbaren Auswirkungen dieses Vorfalls weitgehend abgemildert hat, werden die langfristigen Folgen noch zu spüren sein. Cyberkriminelle nutzen die entstandene Unsicherheit schamlos aus und initiieren gezielte Phishing-Angriffe. Dieser Vorfall hat das Vertrauen in die Cybersecurity-Branche auf eine harte Probe gestellt. Steigende Verluste könnten dazu führen, dass CIOs, CISOs und Führungskräfte die Zuverlässigkeit von Sicherheitssoftware in Frage stellen. Manche könnten sogar befürchten, dass die Risiken den Nutzen übersteigen.
Zugegeben, diese Diskussionen werden wahrscheinlich nicht von Dauer sein. Aber es obliegt uns in der Sicherheitsbranche, das Vertrauen der Öffentlichkeit wiederherzustellen und die entstandene Unsicherheit zu zerstreuen. Parallel dazu ist es unvermeidlich, dass Regierungen und Technologieunternehmen über mögliche Regulierungen nachdenken. Diese Gespräche sind bereits im Gange.
Weitere Ressourcen zum CrowdStrike-Vorfall
Wenn Sie weitere Informationen zu diesem Thema möchten, empfehlen wir Ihnen eine Episode unseres Security Swarm Podcasts, in der es um den Drang nach Innovation um jeden Preis in der Technologiebranche und deren negative Auswirkungen auf die Sicherheit geht. Es ist zwar ein Nebenaspekt, aber in Anbetracht des CrowdStrike-Vorfalls durchaus relevant.
Neuer AI-Jailbreak-Angriff: Skeleton Key
Es gibt eine Reihe von sogenannten ‚AI-Jailbreaks‘, die in der Community bekannt sind und es Nutzern ermöglichen, die ethischen Schutzmechanismen großer Sprachmodelle zu umgehen. Die wohl bekannteste Methode ist ‚DAN‘, obwohl ihre Effektivität nachgelassen hat. Eine weitere Technik ist der sogenannte ‚Crescendo-Angriff‘. Hierbei wird das Modell schrittweise dazu gebracht, immer mehr Informationen preiszugeben, indem man es beharrlich mit gezielten Fragen konfrontiert. Anstatt gleich die gesamte Antwort zu fordern, werden die gewünschten Informationen nach und nach abgefragt, basierend auf den bisherigen Antworten des Modells
In einer aktuellen Studie von Microsoft wurde ein neuer Angriffstyp auf Large Language Models (LLMs) identifiziert, der als ‚Skeleton-Key-Angriff‘ bezeichnet wird. Bei dieser Methode wird das Modell dazu gebracht, zensierte Informationen preiszugeben, indem es in einem akademischen Kontext angesprochen wird. Der Nutzer gibt vor, für Forschungszwecke unzensierte Daten zu benötigen und fordert das Modell auf, diese mit einem entsprechenden Warnhinweis auszugeben.
Diese Jailbreak-Angriffe unterstreichen erneut, dass generative KI-Modelle weiterhin anfällig für Missbrauch durch Cyberkriminelle sind. Bereits 18 Monate nach ihrer Einführung finden Angreifer immer noch Wege, diese Systeme auszunutzen. In unseren Webinaren bei Hornetsecurity haben wir aufgezeigt, wie Cyberkriminelle diese Schwachstellen ausnutzen, um beispielsweise Phishing-Angriffe zu verstärken oder Desinformationen zu verbreiten
Schwere ESXi-Schwachstelle
Sowohl Broadcom als auch CISA und Microsoft warnen eindringlich vor einer neu entdeckten Schwachstelle in ESXi-Systemen. Die Sicherheitslücke CVE-2024-37085 ermöglicht es Angreifern, durch eine geschickte Manipulation von Active Directory-Gruppen unbefugt auf zuvor verwaltete ESXi-Hosts zuzugreifen. Selbst wenn Angreifer bereits einen gewissen Grad an Zugriff auf Active Directory erlangt haben, stellt diese Schwachstelle aufgrund der potenziellen Auswirkungen auf die gesamte Hypervisor-Umgebung ein erhebliches Risiko dar.
Microsoft hat festgestellt, dass die Hackergruppe Storm-0506 diese Schwachstelle bereits aktiv ausnutzt. In ihren Untersuchungen heißt es:
Microsoft stellte fest, dass die Angreifer zunächst die Gruppe ‚ESX Admins‘ in der Domäne anlegten und ihr ein neues Benutzerkonto hinzufügten. In der Folge führte dieser Angriff zur Verschlüsselung des ESXi-Dateisystems und damit zum Ausfall der auf diesem Hypervisor gehosteten virtuellen Maschinen.
Virtualisierungsplattformen stellen für Angreifer ein besonders attraktives Ziel dar, um Ransomware in einem Netzwerk zu verbreiten. Die Verschlüsselung des gesamten Speicherplatzes eines Hosts führt zu wesentlich gravierenderen Auswirkungen für Unternehmen als die Infektion eines einzelnen Systems. Da häufig mehrere virtuelle Maschinen betroffen sind, erhöht sich der Druck auf die betroffene Organisation erheblich.
Es wird dringend empfohlen, das zur Verfügung gestellte Sicherheitsupdate zu installieren, sofern Sie dies noch nicht getan haben.
Datenleck bei HealthEquity
Ein weiterer Monat, ein weiterer groß angelegter Datendiebstahl im US-Gesundheitswesen. Diesmal ist der Anbieter von Health Savings Accounts (HSA), HealthEquity, betroffen. Cyberkriminelle konnten Daten von 4,5 Millionen Menschen aus einem „unstrukturierten Datenrepository außerhalb unserer Kernsysteme“ entwenden. Das deutet darauf hin, dass eine Art von Cloud-Speicher für die Daten genutzt wurde, doch der genaue Anbieter wurde bislang nicht genannt.
Solche Vorfälle sind zwar nicht selten, aber sie verdeutlichen einmal mehr, dass die Sicherheit von Unternehmen maßgeblich von der Integrität ihrer Drittanbieter abhängt. Jeder einzelne Anbieter, der in die IT-Systeme eines Unternehmens integriert ist, muss sorgfältig geprüft und überwacht werden, um die Sicherheit der Unternehmensdaten zu gewährleisten. Dieser Fall wird wahrscheinlich ein weiteres Beispiel in der langen Liste von Gründen sein, die zu strengeren Regulierungen für Technologieunternehmen in den USA führen könnten.
Bedrohungsanalyse
Kurzer Überblick über Anonymous Sudan
Bei Hornetsecurity verfolgen und analysieren wir regelmäßig die Aktivitäten von Cyberkriminellen. Eine Gruppe, die wir in letzter Zeit genauer unter die Lupe genommen haben, ist Anonymous Sudan. In unserem neuen Format werden wir monatlich über die Aktivitäten oder die verwendeten Taktiken, Techniken und Verfahren (TTPs) solcher Gruppen informieren.
Anonymous Sudan ist ein im Januar 2023 gegründetes Kollektiv von Cyberaktivisten, das durch gezielte Angriffe auf verschiedene Institutionen und Unternehmen bekannt wurde. Diese Angriffe richteten sich primär gegen Akteure, die als islamfeindlich oder russlandfreundlich wahrgenommen wurden. Die Gruppe bezieht sich zwar auf das bekannte Hackerkollektiv Anonymous, eine offizielle Verbindung konnte jedoch nicht bestätigt werden. Zu den bekanntesten Aktionen zählt der Angriff auf die Microsoft-Infrastruktur im Juni 2023, der Azure, OneDrive und Outlook.com beeinträchtigte.
Darüber hinaus hat die Gruppe sich auch für weitere groß angelegte Ausfälle verantwortlich erklärt, darunter den ChatGPT-Ausfall im November 2023.
Taktiken / Tools
Anonymous Sudan setzt bevorzugt DDoS-Angriffe ein. Dabei beschränkt sich die Gruppe nicht auf eine einzige DDoS-Angriffsart. Es ist bekannt, dass die Gruppe verschiedene Arten von DDoS-Angriffen durchführt, darunter:
- HTTP-Floods
- SYN-Floods
- UDP-Floods
- ICMP-Floods
Anonymous Sudan scheint diese Art von Angriff aufgrund der potenziell großen Auswirkungen zu bevorzugen. Durch die Außerbetriebsetzung eines ausreichend großen Dienstes gelangen sie in die Schlagzeilen und haben die Gelegenheit, ihre hacktivistische Botschaft zu verbreiten.
Techniken
Wie bereits erwähnt, scheint Anonymous Sudan DDoS-Angriffe zu bevorzugen. Um dies zu erleichtern, nutzt die Gruppe bekanntermaßen die Botnetze Godzilla und Skynet. Diese Botnetze verwenden eine große Anzahl infizierter Geräte weltweit, um Traffic an das Ziel zu senden. Dabei werden häufig verschiedene Arten von Angriffsmethoden, wie oben erwähnt, kombiniert, um den Schaden zu maximieren und den Angriff zu verstärken.
Vorgang
Obwohl wir keinen detaillierten Einblick in die internen Strategien der Gruppe bei der Durchführung ihrer DDoS-Angriffe haben, können wir davon ausgehen, dass sie sich an bewährten DDoS-Angriffsmethoden orientieren. Nähere Informationen hierzu finden Sie in unserem Blogbeitrag.
Mehr Informationen zu Anonymous Sudan
Falls Sie sich für weitere Informationen über Anonymous Sudan interessieren, wurde die Gruppe in einer Folge des „The Security Swarm“-Podcasts behandelt.
Wie werden die Olympischen Spiele von Cyberkriminellen angegriffen?
Cyberangriffe auf die Olympischen Spiele sind bedauerlicherweise zur gängigen Praxis geworden. In den vergangenen Jahren haben wir miterlebt, wie diese globalen Sportereignisse von staatlichen Akteuren und Cyberkriminellen ins Visier genommen wurden. Selbst verdeckte Operationen, bei denen Nationen andere für ihre Angriffe verantwortlich machen wollten, sind keine Seltenheit mehr. Auch in diesem Jahr zeichnet sich ein ähnliches Bild ab.
Da wir uns hier nicht mit geopolitischen Machtspielen auseinandersetzen möchten, konzentrieren wir uns auf die technischen Aspekte der Cyberkriminalität. Die Angriffe auf die Olympischen Spiele weisen auffällige Parallelen zu den Zielen von Gruppen wie Anonymous Sudan auf, die wir bereits diskutiert haben. Sowohl Staaten als auch nichtstaatliche Akteure nutzen solche Angriffe, um Botschaften zu senden oder ihre Macht zu demonstrieren. Andy Syrewicze und Romain Basset gehen in einer aktuellen Folge unseres Podcasts ‚The Security Swarm‘ näher auf dieses Thema ein (siehe unten):“
Prognosen für die kommenden Monate
- Wir gehen davon aus, dass die Diskussionen um Cybersicherheitsregulierungen sowie unbegründete allgemeine Bedenken zur Stabilität von Sicherheitsanwendungen aufgrund des CrowdStrike-Vorfalls anhalten werden.
- Angesichts der Schwere der jüngsten ESXi-Schwachstelle ist es möglich, dass weitere betroffene Organisationen bekannt werden.
- Die Olympischen Spiele werden vor unserem nächsten Report abgeschlossen sein und nach ihrem Ende könnten wir erfahren, wie die Spiele tatsächlich angegriffen wurden und ob es Auswirkungen auf den laufenden Betrieb gab.
Monatliche Empfehlungen vom Security Lab
- Vor dem Hintergrund der jüngsten Ereignisse rund um CrowdStrike und HealthEquity, die die Bedeutung zuverlässiger Drittanbieter unterstrichen haben, empfehlen wir dringend eine umfassende Überprüfung Ihrer externen Dienstleister. Sollten Sie dies noch nicht kürzlich durchgeführt haben, ist jetzt der ideale Zeitpunkt dafür.
- Falls Sie ESXi in Ihrer IT-Infrastruktur einsetzen, möchten wir Sie eindringlich darauf hinweisen, das Sicherheitsupdate für die kürzlich entdeckte Schwachstelle unverzüglich zu installieren. Die Vernachlässigung dieses Schritts könnte schwerwiegende Folgen haben.
Über Hornetsecurity
Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs aktiv. Die Premium-Dienste des Unternehmens werden von mehr als 75.000 Kunden genutzt.