Jahr für Jahr liefert Sophos Unternehmen und IT-Security-Experten Einblicke in die Abwehr von Angriffen neuer Ransomware. In diesem Jahr fällt auf, dass die Kriminellen für ihre Angriffe vor allem legitime Tools für Pentest und Fernzugriff nutzen.
Doch was bedeuten Pentest und Fernzugriff? Wir erklären und fassen den aktuellen Sophos 2023 Threat Report zusammen.
Unser Beitrag über Pentest und Fernzugriff im Überblick:
Was ist ein Pentest?
Bevor wir auf den aktuellen Threat Report von Sophos eingehen, klären wir vorab, was es mit den Begriffen Pentest und Fernzugriff auf sich hat. Um es vorweg zu nehmen: Beide sind wichtige Bausteine für die IT-Sicherheit eines Unternehmens.
Beim Pentest oder auch Penetrationstest findet ein umfassender Sicherheitscheck einzelner Rechner oder Netzwerke jeglicher Größe statt. Dabei simulieren IT-Sicherheitsexperten Cyberangriffe auf die IT-Infrastruktur eines Unternehmens. Die Verantwortlichen einer Firma erfahren auf diese Weise, wie und wo Hacker in das sensible Firmennetzwerk eindringen könnten und wie gut das Unternehmen gegen entsprechende Angriffe gewappnet wäre. Ein Ziel des Pentest ist die Aufdeckung von möglichen Sicherheitslücken. Weitere Ziele sind:
- das Aufdecken potenzieller Fehler, die sich aus der (fehlerhaften) Bedienung ergeben
- die Erhöhung der Sicherheit auf technischer und organisatorischer Ebene und
- die Bestätigung der IT-Sicherheit durch einen externen Dritten.
Nicht zu verwechseln oder gar gleichzusetzen ist der Penetrationstest mit einem automatischen Vulnerability Scan, dem Schwachstellen-Scan. Während dieser nämlich automatisch abläuft, braucht ein echter Penetrationstest manuelle Vorbereitung. Dabei muss das Unternehmen und zu testende IT gesichtet werden. Es folgt die Planung der Testverfahren und der Ziele, die Auswahl der notwendigen Tools und letztendlich die manuell angestoßene Durchführung.
Was ist ein Pentest, was bedeutet Fernzugriff? Wir definieren. Bild: ©PC-SPEZIALIST
Was bedeutet Fernzugriff?
Der Fernzugriff bietet die Möglichkeit, von einem lokalen Rechner auf entfernte Computer, Server, Netzwerke oder andere IT-Systeme zuzugreifen, beispielsweise für die Fernwartung eines Computersystems. Der englische Begriff dafür lautet Remote Access.
Der Fernzugriff kommt im privaten und im professionellen Umfeld zum Einsatz. Typisch ist der Zugriff auf zentral bereitgehaltene Daten und Anwendungen für das Arbeiten unterwegs oder vom Home Office aus.
Wichtig für den Fernzugriff auf ein entferntes System ist eine sichere Netzwerkverbindung. Sie wird häufig durch ein VPN über das Internet sichergestellt. Nutzbar sind aber auch private Datennetze oder Einwahlverbindungen über Telefonnetze.
Der Fernzugriff stellt ohne Sicherheitsmaßnahmen ein großes Sicherheitsrisiko dar. Der Grund: Prinzipiell kann jeder beliebige Rechner eine Verbindung zum entfernten System aufbauen und es missbräuchlich verwenden, es manipulieren oder Daten stehlen. Remote-Access-Verbindungen sind daher über verschiedene Mechanismen geschützt.
Wenn Sie einen kontrollierten Fernzugriff in Form einer Fernwartung wünschen, wenden sie sich an PC-SPEZIALIST. Via Fernwartung können unsere IT-Experten schnell und unkompliziert auf Ihre Geräte zugreifen – egal, ob Sie privat oder geschäftlich Unterstützung benötigen.
Angespannte Bedohungslage in 2022
Sophos fasst zusammen, dass „die Bedrohungslandschaft im Jahr 2022 […] extrem angespannt [war].“ Nur ein Grund dafür ist der russische Angriffskrieg auf die Ukraine und der damit verbundenen Cyberkrieg. Aber auch die Bedrohung der KRITIS und immer neue Ransomware wie Yanluowang oder Ransom Cartel bedrohen Firmen jeder Größe.
Umso wichtiger ist es für Betriebe, auf die Cybersicherheit am Arbeitsplatz mit einer ausgefeilten IT-Strategie, zu der beispielsweise eine Backup-Strategie gehört, zu reagieren. Und auch die Politik hat mit dem Cyber Resilience Act auf die immer weiter steigende Zahl an Angriffen reagiert.
Sophos stellt fest: Cyberkriminalität hat sich mittlerweile zu einem Wirtschaftszweig entwickelt, in dem Cyberkriminelle immer mehr auf ein „As-a-Service“-Modell, wie Ransomware-as-a-Service oder Cybercrime-as-a-Service, setzen.
Um mögliche Schwachstellen in der IT des eigenen Unternehmens zu finden, gehören Sicherheitstools zur Grundausstattung von IT-Sicherheitsteams. Allerdings können solche Anwendungen, wie beispielsweise Tools für Pentest und Fernzugriff, auch von Cyberkriminellen genutzt werden, um die Lücken aufspüren und für die eigenen, kriminellen Zwecke zu nutzen.
Die Bedrohungslage war 2022 angespannt wie nie, die Ursachen sind vielfältig. Bild: Pexels/@sora-shimazaki
Pentest und Fernzugriff beliebt
Wenn Kriminelle sich Zugriff verschafft haben, dann steht die Frage im Vordergrund, wie sie das geschafft haben. Wer hinter dem Angriff steckt, ist meistens zweitrangig. Bilden Mitarbeiter die Schwachstelle, dann ist es wichtig und notwendig, regelmäßig Awareness-Schulungen anzubieten.
Die Sicherheitsexperten von Sophos kommen im aktuellen Threat Report allerdings zu dem Schluss, dass immer häufiger legitime Sicherheitswerkzeuge das Einfallstor bilden. Besonders beliebt sind Anwendungen für den Pentest und Tools für den Fernzugriff.
Sophos fand außerdem heraus, dass Angreifer oftmals nur an einzelnen Komponenten kommerzieller Sicherheitstools interessiert sind. So entdeckten sie beispielsweise in der Malware TurtleLoader das Kommunikationsprotokoll von Cobalt Strike und von Metasploit. Diese sogenannten Multi-Tool-Akteure stellen laut Sophos eine besondere Herausforderung dar.
Gefahr durch Raubkopien
Beispiel Cobalt Strike: Dabei handelt es sich um eine Software mit flexiblen Funktionen. Sie wird genutzt, um Wirtschaftsspionage auf dem eigenen Netzwerk zu simulieren und Abwehrmaßnahmen zu testen. Cyber-Erpresser nutzen Raubkopien von Cobalt Strike, um Ransomware einzuschleusen. 47 Prozent der Sicherheitsvorfälle passierten mit Cobald Strike. Sophos erfasste im Jahr 2022 aber auch missbrauchte Open-Source-Werkzeuge wie Mimikatz, PowerSploit und das teilweise als Open Source verfügbare Metasploit.
Mimikatz ist ein quelloffenes Programm für Microsoft Windows, mit dem zwischengespeicherte Anmeldeinformationen angezeigt werden können, wenn Schwachstellen ausgenutzt werden. Mimikatz machte laut Sophos etwa 40 Prozent aller erkannten Angriffe aus. Die Software Metasploit wird beim Pentest eingesetzt und Powersploit ist eine Sammlung von Microsoft PowerShell-Modulen, die dem Penetrationstester beim Pentest helfen können.
Die Fernwartung und damit der Zugriff aus der Ferne auf einen Rechner ist auch für Kriminelle von Interesse. Bild: Pexels/@thisisengineering
Pentest: Brute Ratel und die Conti-Gruppe
Auf der Suche nach immer neuen Sicherheitstools, die für den Pentest und/oder den Fernzugriff genutzt werden, gingen die Kriminelle im Laufe des Jahres 2022 immer neue Wege. So gründen sie beispielsweise Unternehmen, um Sicherheitswerkzeuge zu kaufen. Sophos vermutet, dass die Ransomgruppe Conti auf diesem Weg an eine Kopie des kommerziellen Pentest-Tool Brute Ratel gekommen ist.
Mittlerweile handeln Kriminelle mit Raubkopien von Brute Ratel im Darknet. Deshalb geht Sophos davon aus, dass das Tool im kommenden Jahr eine wichtige Rolle bei den Angriffen durch Cyberkriminelle spielen wird.
Die genannten Beispiele für den Missbrauch legitimer Sicherheitsanwendungen durch Hacker sind nur eine kleine Auswahl. Sophos nennt im Threat Report weitere: das Pentest Framework Core Impact, den Vulnerability Scanner Nexpose, die Endpoint Protection Platform Carbon Black und auch VirusTotal Enterprise. Und weiter stellt Sophos fest: „Einige Tools sind so beliebt, dass Cybercrime-Gruppen in Untergrundforen gezielt nach Mitarbeitern mit Kenntnissen über diese Werkzeuge suchen.“
Pentest und Fernzugriff beliebt
Neben den Tools für den Pentest sind auch Fernwartungszugänge bei Cyberkriminellen beliebt, da sie sich gut für kriminelle Zwecke eignen. Sophos rät Unternehmen, lückenlos nach Anzeichen einer missbräuchlichen Nutzung solcher Tools Ausschau zu halten. Beispiele hierfür sind laut Sophos TeamViewer Remote Access, NetSupport Manager, ConnectWise Control, AnyDesk, Atera, Radmin und Action1 RMM.
Die kriminellen Angreifer setzen die Fernwartungstools entweder selbst ein oder kaufen Zugänge von Access Brokern. Sie sind darauf spezialisiert, dauerhafte Hintertüren zu IT-Netzwerken von Unternehmen und Organisationen einzurichten. Access Broker sind also die Schlösserknacker der IT und darauf spezialisiert, in ein Ziel einzudringen, um Türen und Fenster für die Cyberkriminellen zu öffnen, die das meiste Geld zahlen.
Sie können das Einschleusen von Remote-Tools unter anderem mithilfe einer verhaltensbasierten Erkennung verhindern. Laut Sophos sind Installationen mit Testlizenzen oder in „unübliche“ Verzeichnisse auffällig.
Mangelndes Sicherheitsbewusstsein und damit einhergehend Sicherheitslücken sind oft die Ursache für erfolgreiche Angriffe. Bild: Pexels/@olly
Sicherheitslücke als Gefahr
Das Problem hinter allem ist der Mangel an Sicherheitsbewusstsein. Kriminelle setzen jede eigentlich harmlose legitime Anwendungen als Waffe ein, wenn eine Sicherheitslücke vorliegt.
Und Sophos zieht ein ernüchterndes Fazit: „Es gibt keinen sicheren Schutz gegen all diese Bedrohungen. Aktiver Schutz ist erforderlich, um zu verhindern, dass Eindringlinge Schaden anrichten, und die Last der Verteidigung ist für viele Unternehmen zu groß, um sie selbst zu tragen.“
Wer seine Firmen-IT bestmöglich schützen will, wendet sich vertrauensvoll an PC-SPEZIALIST in der Nähe. Mit unseren All-in-One-Lösungen wie das Eins-für Alles-Paket für Privatpersonen und IT-Basisschutz für Firmen beobachten wir kontinuierlich Ihre IT. Zusätzliche Extras wie Backup-Routinen und Webfilter schützen Sie zusätzlich. Warten Sie nicht, bis Sie Opfer geworden sind, sondern nehmen Sie proaktiv Kontakt zu uns auf, um Ihre IT zuverlässig geschützt zu wissen.
_______________________________________________
Andere Stimmen zum Thema: Sophos, Wikipedia, security-insider
Schreiben Sie einen Kommentar