Ein Fußgänger geht am 1. Dezember 2020 in San Francisco, Kalifornien, an einem Slack-Logo vor dem Hauptsitz des Unternehmens vorbei. Kollaborative Tools erwiesen sich während der Pandemie als leichtes Ziel für Hacker. (Foto: Stephen Lam/Getty Images)
Forscher berichteten am Mittwoch, dass sich Bedrohungsakteure während der Pandemie im vergangenen Jahr auf die Abhängigkeit der Mitarbeiter von neuen Kommunikationstechnologien wie Slack und Discord eingestellt und gezielte Malware-Angriffe auf diese Plattformen gestartet haben.
In einem Blog von Cisco Talos schreiben die Forscher, dass Slack und Discord eine attraktive Möglichkeit bieten, um bösartige Inhalte zu hosten, sensible Informationen zu exfiltrieren und bösartige Angriffe zu ermöglichen. Die Forscher beschrieben, wie diese Kommunikationsplattformen in drei Hauptphasen von Malware-Angriffen verwendet werden: Zustellung, Abrufen von Komponenten sowie Command and Control (C2) und Datenexfiltration.
“Als Verteidiger müssen wir entscheiden, welche Chat-Anwendungen erlaubt sind und warum, während wir dem Management die mit jeder Anwendung verbundenen Risiken klar kommunizieren”, schreiben die Forscher. “Für Unternehmen, die keine Chat-App intern oder für geschäftliche Zwecke nutzen, ist es wahrscheinlich eine Überlegung wert, einige der Domains zu blockieren, die für die Bereitstellung von Inhalten missbraucht werden können, oder andere Abschwächungsmaßnahmen zu ergreifen, um das Risiko zu verringern. Wir haben immer wieder erlebt, wie Angreifer dazu übergegangen sind, Anhänge direkt in E-Mails einzubinden, sie auf ihrer eigenen Infrastruktur zu hosten, File-Sharing-Dienste zu nutzen und nun auch Chat-Anwendungen zu missbrauchen.”
Die Nutzung gängiger kollaborativer Anwendungen als Mittel für Command-and-Control und Exfiltration kommt den Angreifern insofern zugute, als dass sie sich der Netzwerkerkennung und anderen Sicherheitskontrollen besser entziehen können, so John Hammond, Senior Security Researcher bei Huntress.
“Wenn eine Organisation Slack, Discord, Teams oder was auch immer verwendet, um ihre Arbeit zu erledigen, können Sie darauf wetten, dass die Kommunikation zugelassen wird”, sagte Hammond. “Um sich dagegen zu verteidigen, braucht ein Unternehmen eine starke Endpunktüberwachung und die Telemetrie, um den Kommunikationsprozess auf einer bestimmten Maschine zu korrelieren. Anwendungs-Whitelisting, Endpoint Detection and Response und natürlich Prozessprotokollierung und Netzwerkfilterung sind unerlässlich, um den Missbrauch von Collaboration-Tools zu verhindern.”
Die Tools, mit denen Unternehmen ihre normalen Geschäfte abwickeln, waren schon immer ein lohnendes Ziel für Angreifer, da jede ruchlose Aktivität innerhalb solcher Kommunikationskanäle dazu neigt, sich in die normalen Verkehrsmuster einzufügen, fügte Oliver Tavakoli, Chief Technology Officer bei Vectra, hinzu. Tavakoli sagte, dass die Kollaborationstools, die während der Pandemie für die Arbeitsweise von Unternehmen zentraler geworden sind, von den Infosec-Teams hinsichtlich der Angriffsfläche, die sie darstellen, nur unzureichend verstanden werden – und diese Tools sind auch relativ unausgereift, was die begleitenden Sicherheitsvorkehrungen von Drittanbietern angeht.
“Dieser Trend wird sich fortsetzen, bis die Anbieter solcher Kollaborationstools mehr Aufwand betreiben, um mehr Richtlinienkontrollen zum Sperren der Umgebung bereitzustellen und mehr Telemetrie zur Überwachung hinzuzufügen”, sagte Tavakoli. “Es wird auch erfordern, dass die Sicherheitsanbieter aufsteigen und die Telemetrie nutzen, um Angriffe innerhalb dieser Kommunikationskanäle zu erkennen und zu blockieren.”
Chris Hazelton, Director of Security Solutions bei Lookout, sagte, dass die meisten Unternehmen zu viele Kommunikations-Tools haben: E-Mail, Kollaborations- und Messaging-Plattformen wie Slack und Teams; Web-Conferencing-Chats wie Zoom; und Textnachrichten auf Telefonen und Tablets. Er sagte, dass es schwierig ist, festzulegen, welche Kommunikationstools in einem Unternehmen verwendet werden, und oft verwenden die Unternehmensleiter die Kommunikationstools, die die schnellsten Antworten erhalten. Das bedeutet, dass die Benutzer überfordert sind, da sie über mehrere Plattformen mit verschiedenen oder manchmal sogar denselben Personen kommunizieren. Dies führt zu einem geringeren Bewusstsein für die Risiken bei der gemeinsamen Nutzung von Kommunikationstools.
“Es gibt eine anhaltende Dringlichkeit für Unternehmen, digital zu werden, um Unterbrechungen des Geschäftsbetriebs zu vermeiden”, sagte Hazelton. “Das Ignorieren digitaler Schutzmaßnahmen, die Kollaborationsplattformen absichern, kann jedoch zu zusätzlichen Geschäftsunterbrechungen und erheblichen Markenschäden führen. Keine Sicherheitskontrollen für Kollaborationsplattformen zu aktivieren, ist das digitale Äquivalent dazu, Kriminellen und anderen Widersachern einen Platz am Vorstandstisch anzubieten.”
.
Einige Teile dieses Artikels stammen aus:
www.scmagazine.com
Das Modell des Ransomware-Kartells hat sein Potenzial noch nicht ausgeschöpft, diente aber als Testgelände für Cyberkriminalität