Monthly Threat Report September 2024: Ein weiterer Monat – Ein weiteres massives Datenleck

Written by Security Lab / 17.09.2024 /
Home » Blog » Monthly Threat Report September 2024: Ein weiterer Monat – Ein weiteres massives Datenleck

Einführung

Der Monthly Threat Report von Hornetsecurity liefert monatlich Einblicke in M365-Sicherheitstrends, Bedrohungen durch E-Mails, Informationen über Akteure der Bedrohungslandschaft und Kommentare zu aktuellen Ereignissen im Bereich der Cybersicherheit. Diese Ausgabe konzentriert sich auf Ereignisse und Informationen aus August 2024.

Zur Erinnerung: Dies ist keine unserer vierteljährlichen Ausgaben. Daher liegt der Fokus stärker auf Branchennachrichten, Bedrohungsinformationen und aktuellen Themen. Der Monthly Threat Report für Oktober (der Daten aus September enthält) wird ein vierteljährliches Update zu Bedrohungsstatistiken liefern und damit der Schwerpunkt der nächsten Ausgabe sein.

Zusammenfassung

  • Ein Datenleck bei National Public Data hat 2,9 Milliarden Datensätze freigelegt und die persönlichen Daten unzähliger Personen preisgegeben.
  • Die gestohlenen Daten ermöglichen es Cyberkriminellen, überzeugende Spear-Phishing-Angriffe durchzuführen und erleichtern Social Engineering Methoden.
  • Eine gemeinsame Erklärung mehrerer US-Regierungsbehörden warnt Unternehmen vor der Ransomware RansomHub und enthält eine Liste empfohlener Maßnahmen sowie technische Informationen zu dieser Bedrohung.
  • Ein extremer Erpressungsfall unterstreicht die Gefahr von Insider-Bedrohungen – selbst in IT-Teams, die als vertrauenswürdig gelten.
  • Die Abhängigkeit von einem einzigen Anbieter wird zunehmend zu einem Problem für Unternehmen, die mehrere geschäftskritische Dienste von einem einzigen Anbieter beziehen.
  • Mit der laufenden Wahlkampfperiode in den USA richten sich die Blicke verstärkt auf den Wahlprozess und mögliche Cyberangriffe, die Wahlen beeinflussen könnten.

Hervorzuhebende Vorfälle und branchenrelevante Events

National Public Data

Das wohl größte Thema in der Cybersicherheits- und Datenschutzwelt im August war der Datenleck bei National Public Data. Dieses Unternehmen gilt als Informationsvermittler und seine kurze Stellungnahme auf der „Über uns“-Seite verdeutlicht die Tragweite dieses Vorfalls:

„All unsere Daten werden regelmäßig aktualisiert. Wir garantieren Aktualität und Qualität. Durchsuchen Sie Milliarden von Datensätzen mit sofortigen Ergebnissen, viele Suchanfragen sind bei Nichterfolg kostenfrei. Unsere Dienste werden derzeit von Privatdetektiven, Webseiten für öffentliche Verbraucherdaten, Personalvermittlungen und mehr genutzt. Treten Sie bei und profitieren Sie von qualitativ hochwertigen Daten zu niedrigen Preisen.“

Besonders beunruhigend ist die Tatsache, dass die Daten unter anderem Namen, E-Mail-Adressen, Telefonnummern, Sozialversicherungsnummern und Postanschriften umfassen. Laut verschiedenen Quellen handelt es sich um:

  • 200 GB an Daten
  • 2,9 Milliarden Datensätze
  • 134 Millionen einzigartige E-Mail-Adressen

Noch problematischer ist, dass die Datensätze es ermöglichen, gezielt Personen im Umfeld von Opfern zu identifizieren, was die Gefahr von Spear-Phishing-Angriffen und fortgeschrittenen Social Engineering Methoden erhöht.

Dieser Vorfall wirft wichtige Fragen, wie z.B. diese aus einem Artikel von „Dark Reading“:

  • Warum erlauben die USA und andere Länder die massenhafte Sammlung persönlicher Daten?
  • Warum verwenden wir nach wie vor leicht zu fälschende Identifikationsmethoden wie Sozialversicherungsnummern?

Da die Anzahl der Vorfälle mit großen Mengen an persönlichen Daten weiterhin zunimmt, müssen sich staatliche Stellen die Frage stellen: „Wann ist genug?“. Das bedeutet: Wann werden wir sinnvolle Regulierungen und angemessene Strafen gegen Unternehmen sehen, die von solchen Datenschutzverletzungen betroffen sind? Australien hat beispielsweise einige der härtesten Geldstrafen gegen australische Unternehmen verhängt, die wiederholt Verstöße erlitten haben.

Das Gesetz zur Änderung des Datenschutzrechts (Durchsetzungs- und andere Maßnahmen) von 2022 erhöht die Höchststrafen für schwere oder wiederholte Datenschutzverletzungen von den bisherigen 2,22 Millionen Dollar auf den jeweils höheren Betrag von:

  • $50 Millionen Strafe;
  • Das Dreifache des erzielten Vorteils durch den Missbrauch von Informationen; oder
  • 30 % des angepassten Umsatzes eines Unternehmens im relevanten Zeitraum.

Es wird immer deutlicher, dass Unternehmen finanzielle Anreize oder Abschreckungen benötigen, um die notwendigen Schritte zu unternehmen, um persönliche Daten zu schützen.

Gemeinsame Warnung der US-Regierungsbehörden zu RansomHub

Immer häufiger warnen das FBI, die CISA, das Multi-State Information Sharing and Analysis Center (MS-ISAC) und das US-Gesundheitsministerium (HHS) die Öffentlichkeit vor der Reichweite und dem Ausmaß der RansomHub-Ransomware. Seit Februar 2024 wurden über 200 Opfer aus Organisationen der kritischen Infrastruktur der USA identifiziert. Laut Bleeping Computer gehören unter anderem folgende Unternehmen zu den Betroffenen:

  • Rite Aid
  • Frontier Communications
  • Halliburton
  • Patelco
  • Christie’s Auktionshaus
  • und weitere.

Es ist auch erwähnenswert, dass die Webseite von RansomHub in den Leak gestohlener Daten von Change Healthcare verwickelt war.

Die von den Behörden ausgesprochenen Empfehlungen entsprechen vielen der gängigen Ratschläge, die regelmäßig im Bereich der IT-Sicherheit gegeben werden. Dazu gehören regelmäßige Updates für bekannte Schwachstellen, die Implementierung von Multi-Faktor-Authentifizierung (MFA), VPNs usw.

Für eine vollständige Analyse der Bedrohung enthält die gemeinsame Ankündigung eine detaillierte Liste der TTPs (Taktiken, Techniken und Verfahren) sowie eine vollständige Liste der IOCs (Indikatoren für Kompromittierungen). Sicherheitsteams sollten sich umfassend mit dieser Bedrohung auseinandersetzen und entsprechende Vorkehrungen treffen.

Insider-Bedrohungen – sogar im IT-Team

Jeden Monat versuchen wir, mindestens eine weniger besprochene, aber dennoch gefährliche Bedrohung hervorzuheben. Kürzlich ereignete sich ein interessanter Fall, der perfekt die Gefahren von Insider-Bedrohungen aufzeigt. In der Regel handelt es sich bei Insider-Bedrohungen um unzufriedene Mitarbeiter, die dem Unternehmen schaden wollen oder Informationen aus finanziellen Gründen suchen. Was diesen Fall jedoch so einzigartig macht, ist die Tatsache, dass der Insider ein Infrastruktur-Ingenieur im IT-Team des betroffenen Unternehmens war.

Der Täter, der inzwischen festgenommen wurde, sperrte Administratoren von 254 Servern aus, indem er gegen Ende 2023 mehrere Logikbomben einrichtete. Er stellte Lösegeldforderungen in Höhe von 750.000 US-Dollar und drohte, andernfalls täglich 40 Server des Unternehmens herunterzufahren. Letztendlich wurde der Angreifer aufgrund belastender Internetsuchen überführt.

Dieser Vorfall verdeutlicht die Gefahren durch Insider-Risiken, selbst in vertrauenswürdigen IT-Teams. Eine Methode, mit der Unternehmen solche Risiken mindern können, ist der Einsatz einer PIM-Lösung (Privileged Identity Management) wie Microsoft Entra Privileged Identity Management. PIM ermöglicht es Sicherheitsteams, den Zugriff auf Ressourcen, einschließlich kritischer Infrastruktursysteme, granularer zu steuern und hätte in diesem Fall den Angriff wahrscheinlich verhindert.

Bedrohungsanalyse

Vendor Risk Management

Da Unternehmen zunehmend zentralisierte „as a Service“-Lösungen für ihre Software- und Geschäftsanwendungen einführen, rückt ein altes Konzept in der Branche wieder stärker in den Fokus: die Abhängigkeit von Anbietern, auch bekannt als „Vendor Risk Management“. Der Gedanke dahinter ist einfach: Je stärker sich Unternehmen auf einen externen Anbieter für kritische Geschäftsprozesse verlassen, desto höher ist das Risiko für das Unternehmen, falls dieser Anbieter Probleme hat.

Obwohl dieses Konzept nicht neu ist, wird es heute stärker auf Cloud-Dienste und digitale Angebote angewendet. Zum Beispiel: Wenn Organisationen stark auf die Microsoft-Umgebung setzen, nutzen sie möglicherweise M365 für Produktivität und Zusammenarbeit sowie Azure für Infrastruktur. Was passiert, wenn Microsoft Entra ausfällt (selten, aber es KANN vorkommen)? Dann verlieren Sie möglicherweise alle produktiven Systeme, bis das Problem behoben ist – und die Lösung liegt nicht in Ihrer Kontrolle.

Dieses Konzept gilt auch für Sicherheitssysteme. Was passiert, wenn Sie denselben Anbieter für Produktivitätssoftware und Sicherheitstools nutzen? Würde dieser Anbieter ein Risiko aufgrund einer Schwachstelle in einem seiner Produkte offenlegen, wenn er befürchten müsste, dass dies den Verkauf eines anderen Produkts beeinträchtigt? Tatsächlich war Microsoft bereits in einen solchen Fall verwickelt. Ein Sicherheitsmitarbeiter brachte Bedenken wegen eines kritischen Bugs gegenüber der Führungsebene vor, doch das Problem wurde ignoriert, da es den Verkauf negativ beeinflussen könnte – laut einem Bericht eines Whistleblowers. Bemerkenswert ist, dass dieser Fehler letztlich zum Solarwinds-Angriff im Jahr 2020 führte.

IT- und Führungsteams sollten diesen Punkt bei der Auswahl eines Anbieters berücksichtigen. Wenn Sie mehr Informationen zur Minderung von Anbieter-Risiken wünschen, haben wir dieses Thema in einer kürzlich veröffentlichten Folge des Security Swarm Podcasts behandelt.

Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Die Geschichte der Wahlmanipulation

Nach Abschluss mehrerer Wahlen in der EU und mitten in der Wahlsaison in den USA wird in der Branche viel über die Sicherheit der bevorstehenden Wahlen gesprochen, und es gibt berechtigte Bedenken. Es sind dokumentierte Fälle bekannt, in denen Angreifer Attacken auf den Wahlprozess oder die Wahlinfrastruktur sowohl in der Europäischen Union als auch in den USA durchgeführt haben.

Es gibt verschiedene Gründe, warum Cyberkriminelle solche Angriffe starten. In den meisten Fällen handelt es sich um staatlich unterstützte Akteure, die versuchen, eine Wahl in eine bestimmte Richtung zu lenken. In anderen Fällen sind es Hacktivisten, die mit einem öffentlichkeitswirksamen Angriff ihre Botschaft vermitteln wollen. In beiden Fällen sind die Angriffe eine Störung des demokratischen Prozesses.

Wenn Sie an weiteren Informationen zu diesem Thema interessiert sind, haben Umut Alemdar und Andy Syrewicze das Thema ausführlich in einer kürzlich erschienenen Folge des Security Swarm Podcasts besprochen.

Sie sehen gerade einen Platzhalterinhalt von Youtube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Prognosen für die kommenden Monate

  • Die Einmischung in Wahlen und Cyberangriffe auf die Wahlinfrastruktur werden voraussichtlich im Vorfeld der US-Wahl zunehmen. Weitere Angriffe sind wahrscheinlich.
  • Der Datendiebstahl bei National Public Data wird voraussichtlich die Diskussion über den Erwerb großer Mengen an persönlichen Daten neu entfachen. Es sollte ebenfalls angemerkt werden, dass die US-Regierung in der Vergangenheit langsam auf solche Themen reagiert hat, und es gibt keinen Hinweis darauf, dass es diesmal anders sein wird – aber man kann auf ein anderes Ergebnis hoffen.

Monatliche Empfehlungen vom Security Lab

  • Informieren Sie die Personen in Ihrer Organisation, die voraussichtlich Ziel von Spear-Phishing-Angriffen werden könnten, über den Datendiebstahl bei National Public Data. Erklären Sie ihnen, dass aufgrund der Art und Menge der veröffentlichten Daten diese Angriffe besonders überzeugend sein könnten. Falls Sie noch keine moderne E-Mail-Scanning-Lösung implementiert haben, ist jetzt der richtige Zeitpunkt dafür.
  • Lesen Sie die oben genannte Empfehlung zu RansomHub und setzen Sie alle notwendigen Gegenmaßnahmen oder Empfehlungen um.
  • Nehmen Sie sich die Zeit, potenzielle Insider-Risiken in Ihrer Organisation zu evaluieren – auch im IT-Team. Erstellen Sie einen Plan, um dieses Risiko zu minimieren, und implementieren Sie eine Lösung wie PIM (Privileged Identity Management).

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs aktiv. Die Premium-Dienste des Unternehmens werden von mehr als 75.000 Kunden genutzt.

Dies könnte Sie auch interessieren