Wir leben Softwarefreiheit!

Wir leben Softwarefreiheit

Wir leben Softwarefreiheit!

Morgen feiern wir den „Software Freedom Day“ 2022. Ganz im Sinne dieses Tages möchten auch wir die Vorzüge und den Nutzen von Open-Source-Software in den Fokus rücken und das Bewusstsein für freie Software stärken.

In unserem SOC setzen wir vollständig auf Softwarefreiheit, d. h. wir nutzen ausschließlich Open-Source-Software. Open Source steht für ein Modell der Software-Entwicklung, bei der sowohl die Anwendung selbst als auch deren Quelltext veröffentlicht wird. Der Vorteil: Da der Quelltext als Open Source öffentlich verfügbar ist, können andere Entwickler auf dem letzten voll funktionalen Stand aufbauen und eigene, verbesserte Programme erstellen. Open Source geht dabei jedoch nicht zulasten der Sicherheit. Im Gegenteil, wir sind der festen Überzeugung, dass genau das der richtige Weg für sichere Softwarelösungen ist. Denn bereits vorhandener und voll verfügbarer Quellcode ermöglicht es uns erst mit ergänzenden selbst entwickelten Softwarelösungen, die volle Kontrolle über den Programmcode zu erhalten und die Sicherheit unserer Software gewährleisten zu können.

Der Software Freedom Day wurde am 28. August 2004 ins Leben gerufen. Etwa 12 Unternehmen nahmen am ersten Event teil. Seitdem ist der Software Freedom Day immer beliebter geworden und jedes Jahr gibt es mehr als 300 Veranstaltungen, die von über 100 Städten in der ganzen Welt organisiert werden. Der Software Freedom Day findet jährlich jeweils jeden dritten Samstag im September statt.

Geschäftsmodell „Hackers-for-Hire“ boomt

Geschäftsmodell „Hackers-for-Hire“ boomt

Geschäftsmodell „Hackers-for-Hire“ boomt

Die Cyberkriminalität hat eine neue Ära erreicht. Hacker agieren schon längst nicht mehr aus dem Verborgenen. Wie andere Unternehmer sind sie in den sozialen Netzwerken vertreten, haben professionelle Webauftritte, um ihre Kampagnen zu bewerben und nutzen insbesondere Foren, um anonym mit potentiellen Auftraggebern zu kommunizieren.

Hoch im Kurs stehen dabei offensive Dienste wie Spyware as a Service. In unserer Leitstelle beobachten wir, dass Hackergruppen meist wie folgt vorgehen: Zunächst verschaffen sie sich Zugang zu einem Netzwerk, um eine Verbindung aufbauen und diese aufrecht zu halten. Anschließend suchen sie Käufer für die zugänglichen Daten. Damit haben sie im Vergleich zu den vergangenen Jahren ihre Effizienz deutlich gesteigert. Haben Angreifer früher eher wahllos große Datenmengen gestohlen, beschaffen sie sich heute gezielt Daten für bestimmte Adressaten.

Was bedeutet "Hackers-for-Hire"?

„Hackers-for-hire“ sind Cyber-Experten oder -Gruppen, die sich darauf spezialisiert haben, Organisationen zu hacken, um an Informationen und Daten zu gelangen. Sie bieten ihre Dienste Personen oder Organisationen an, die sie gezielt für die Beschaffung beauftragen. Gebucht werden sie auch von Hackern, die über weniger eigenes Know-how verfügen und beim Versuch, in eine Organisation einzudringen, aus verschiedenen Gründen auf Probleme stoßen, z. B. weil ihnen die für die Operation erforderlichen Fähigkeiten fehlen.

Was sind die Ziele von "Hackers-for-Hire"?

Cyberkriminelle haben eine Vorliebe für KRITIS-Unternehmen, da sie Zugang zu sensiblen Daten wie Sozialversicherungsnummern, Kreditkartendaten usw. haben. Besonders gefährdet sind vor allem Finanzinstitute, Krankenhäuser, Mobilfunkanbieter sowie Funk- und Satellitenkommunikationsunternehmen.

Wie können Sie Ihr Unternehmen vor „Hackers-for-Hire“ schützen?

Die meistverbreitete Angriffsart ist die Hackingmethode Phishing. Diverse Cyberkriminelle nutzen diese als Ausgangspunkt für einen Angriff und gehen in der Regel nicht weiter als bis zur Kompromittierung von E-Mail-Konten und der Datenexfiltration. Das bedeutet im Umkehrschluss, dass Bedrohungsakteure nicht unbedingt Malware benötigen, da einfache Social-Engineering-Tricks ausreichen können. Dies zeigt mal wieder deutlich die Dringlichkeit für Unternehmen, ihre Mitarbeiter z. B. im Rahmen von Awareness-Schulungen darüber aufzuklären, wie sie sich vor Bedrohungen wie Phishing-Mails oder nicht vertrauenswürdigen URLs schützen können. Die Anbindung an ein SOC kann ebenfalls Schlimmeres verhindern. Mithilfe eines SOC’s werden Ihr Netzwerk und Ihre IT-Systeme in Echtzeit überwacht und Sie werden über Unregelmäßigkeiten, verdächtige Auffälligkeiten und Threats umgehend informiert.

Kompromittierte Systeme bleiben oft unentdeckt

Kompromittierte Systeme bleiben oft unentdeckt

Kompromittierte Systeme bleiben oft unentdeckt

Mit kompromittierten Systemen ist es wie mit einem Wasserrohrbruch: Häufig bleibt er unentdeckt und umso länger er unentdeckt bleibt, desto mehr Schaden richtet er in der Regel an. In manchen Fällen kann jedoch schlimmeres verhindert werden, so auch kürzlich bei einem unserer angeschlossenen Kunden. Von diesem Vorfall möchten wir Ihnen heute berichten.

Das betroffene Unternehmen hatte uns beauftragt, einen weiteren Standort Ihrer Organisation in unser SOCaaS einzubinden. Nachdem der Standort in unser SOCaaS übernommen wurde, identifizierten unsere Experten bei der Analyse der Baseline-Informationen eine Backdoor.

Ein mutmaßlicher APT-Angreifer (Advanced Persistent Threat) hatte einen Server kompromittiert. Hierfür hatte er über die Powershell einen decodierten Base64-Code als Service installiert und ausgeführt. Danach baute er eine Remote-Verbindung auf und schleuste per Powershell eine Schadsoftware ein. An dieser Stelle folgte eine Meldung des Windows Defenders, dass die Lsass.exe gedumpt wurde, d.h. es wurde eine Liste der im Arbeitsspeicher befindliche Usernamen und Kennwörter ausgelesen. Auf Grund eines fehlenden, zentralen Monitorings der Logdaten und Endpoint-Meldungen im Unternehmen blieben die Aktionen, vor der Integration in unser SOCaaS, auf dem Server jedoch vorerst unentdeckt.

Nachdem unsere Experten das kompromittierte System identifiziert hatten, wurde das betroffene System neu aufgesetzt, um eventuelle Schadcodereste vollständig zu beseitigen. Außerdem wurde die bestehende Domain aufgelöst und durch eine unternehmenseigene Domain ersetzt sowie neue Admin- und User-Accounts erstellt.

Auch wenn es in diesem beschriebenen Fall glimpflich abgelaufen ist: Wir konnten feststellen, dass die Kompromittierung mit der Ausnutzung der Exchange-Schwachstelle bereits Anfang des Jahres begonnen hatte. Eine tiefgehende Netzwerkanalyse bestätigte jedoch glücklicherweise, dass keine weiteren Systeme kompromittiert waren. Der Vorgang zeigt dennoch, wie wichtig ein zentrales Monitoring ist, denn alleine das Speichern von Logdaten und das Auslösen einer Endpointlösung ohne nachfolgende Maßnahmen bietet keinen Schutz von komplexen und zielgerichteten Angriffsszenarien.