Cyberangriffe auf Lieferketten– wenn die eigene Sicherheit nicht ausreicht

Cyberangriffe auf Lieferketten– wenn die eigene Sicherheit nicht ausreicht

ID: 2087711
(PresseBox) - Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um Sicherheitskriterien? Cyberangriffe auf Lieferketten treffen besonders kleine und mittelständische Unternehmen zeigt der neueste Threat Report von Sophos.

Im neuesten Sophos Threat Report: Cybercrime on Main Street berichten die Security-Experten, dass das Sophos MDR Team in 2023 vermehrt auf Fälle reagierte, in denen Unternehmen über die sogenannte Supply Chain, sprich die Lieferkette im Business und in der IT-Infrastruktur, attackiert wurden. In mehreren Fällen lagen die Schwachstellen in der Remote-Monitoring- und Management-Software (RMM) eines Dienstanbieters. Die Angreifer nutzen dafür den RMM-Agent, der auf den Rechnern des anvisierten Opfers lief, um neue administrative Konten in dem angegriffenen Netzwerk zu erstellen und setzten dann kommerzielle Tools für Remote-Desktop, Netzwerkerkundung und Software-Einrichtung ein. Im Folgenden installierten sie erfolgreich die LockBit-Ransomware.

Wie reagiert man auf Angriffe des Dienstleisters?

Für KMUs ist es oft schon nicht leicht, die eigene Cybersicherheit aus wirtschaftlicher Perspektive und personell unter Dach und Fach zu bringen. Ist das einmal geschafft, bleiben externe Risiken bestehen. Angriffe, die vertrauenswürdige Software ausnutzen und die Option der Endpointschutz-Deaktivierung geben, sind besonders perfide, und gern im kriminellen Einsatz. Hier heißt es: besonders sorgfältig und aufmerksam auf Warnungen der Systeme achten, dass der Endpointschutz manipuliert oder deaktiviert wurde!

Der gerade veröffentlichte Threat Report: Cybercrime on Main Street dokumentiert für das letzte Jahr neben RMM-Software eine Reihe von Fällen, in denen Angreifer anfällige Kernel-Treiber von älterer Software nutzten, die noch über gültige digitale Signaturen verfügten. Zudem registrierten die Experten immer wieder Einsätze von speziell erstellter Software, die betrügerisch erlangte digitale Signaturen verwendete – einschließlich bösartiger Kernel-Treiber, die über das Windows Hardware Compatibility Publisher (WHCP)-Programm von Microsoft digital signiert wurden – um die Erkennung durch Sicherheitstools zu umgehen und Code auszuführen, der den Malware-Schutz deaktiviert.



Manipulation von Kernel-Treibern sind ein Problem

Da Kernel-Treiber auf einer sehr niedrigen Ebene innerhalb des Betriebssystems arbeiten und normalerweise vor anderer Software beim Starten des PCs geladen werden, heißt das: sie werden in vielen Fällen ausgeführt, bevor die Sicherheitssoftware überhaupt starten kann. Die digitalen Signaturen fungieren sozusagen als Eintrittskarte. In allen Windows-Versionen seit Windows 10 Version 1607 müssen Kernel-Treiber eine gültige digitale Signatur haben, sonst werden sie von Windows-Betriebssystemen mit aktiviertem Secure Boot nicht geladen.

Nachdem Sophos Microsoft über die Entdeckung der schädlichen Kernel-Treiber im Dezember 2022 informiert hatte und Microsoft einen Sicherheitshinweis herausgab, widerrief das Unternehmen im Juli 2023 eine Reihe von Zertifikaten bösartiger Treiber, die über WHCP bezogen wurden.

Treiber müssen allerdings nicht zwangsläufig bösartig sein, um ausgenutzt zu werden. Die Sophos Security-Spezialisten haben mehrere Fälle gesehen, in denen Treiber und andere Bibliotheken aus älteren und sogar aktuellen Versionen von Softwareprodukten von Angreifern genutzt wurden, um Malware in den Systemspeicher einzuschleusen.

Ebenso waren Microsoft-eigene Treiber bei Angriffen im Einsatz. Eine anfällige Version eines Treibers für das Microsoft-Dienstprogramm Process Explorer wurde mehrfach von Ransomware-Betreibern verwendet, um Endpunktschutzprodukte zu deaktivieren. Im April 2023 berichtete Sophos über ein Tool namens „AuKill", das diesen Treiber in mehreren Angriffen verwendete, um die Ransomware Medusa Locker und LockBit zu installieren.

Manchmal gelingt es, anfällige Treiber zu identifizieren, bevor sie ausgenutzt werden können. Im Juli wurden die Verhaltensregeln von Sophos durch die Aktivität eines Treibers für ein Sicherheitsprodukt eines anderen Unternehmens ausgelöst. Der Alarm wurde durch einen kundeneigene Angriffssimulationstest ausgelöst. Die Untersuchung des Vorfalls deckte drei Schwachstellen auf, die an den Softwarehersteller gemeldet und daraufhin gepatcht wurden.

KMUs können sich gegen Cyberbedrohungen wehren

Kleiner und mittlere Betriebe sind genauso Cyberbedrohungen ausgesetzt wie weltweit agierende Unternehmen und Konzerne, verfügen aber nicht über die finanziellen und personellen Mittel wie diese. Sie können sich aber wappnen:

konsequente Schulungen der Mitarbeiter

Nutzung von Multi-Faktor-Authentifizierung auf allen nach außen gerichteten Anlagen

konstante Server-und Netzwerkhygiene (regelmäßiges Patchen und Updaten)

Migration schwer zu verwaltender Ressourcen wie Microsoft Exchange-Server auf SaaS-E-Mail-Plattformen

Regelmäßige Schwachstellenbewertungen und Penetrationstests

Folgen Sie uns auf  und 

LinkedIn:         https://www.linkedin.com/groups/9054356/

X/Twitter:        @sophos_info

Weitere Infos zu dieser Pressemeldung:
Unternehmensinformation / Kurzprofil:
drucken  als PDF  Swissbit-Speicherkarten mit CmReady-Funktionalität: Lizenzschutz an Bord 1822direkt Wertpapieroffensive geht weiter– neue Funktionen im Wertpapiergeschäft freigeschaltet
Bereitgestellt von Benutzer: PresseBox
Datum: 21.03.2024 - 11:27 Uhr
Sprache: Deutsch
News-ID 2087711
Anzahl Zeichen: 5846

Kontakt-Informationen:
Ansprechpartner: Ariane WendtUlrike MasztalerzThilo ChristArno LüchtJörg Schindler
Stadt:

Wiesbaden


Telefon: +49 (172) 4536839+49 (30) 55248198+49 (8081) 95461

Kategorie:

New Media & Software



Diese Pressemitteilung wurde bisher 315 mal aufgerufen.


Die Pressemitteilung mit dem Titel:
"Cyberangriffe auf Lieferketten– wenn die eigene Sicherheit nicht ausreicht"
steht unter der journalistisch-redaktionellen Verantwortung von

Sophos Technology GmbH (Nachricht senden)

Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).

Compliance wächst schneller als die Kapazitäten der IT-Teams ...
Unternehmen in Deutschland, Österreich und der Schweiz stehen wie viele Organisationen weltweit vor der Herausforderung, eine wachsende Zahl an IT- und Cybersecurity-Vorgaben zu erfüllen. Eine aktuelle, von Sophos in Auftrag gegebene internationale Studie zeigt, wie stark regulatorische Anforderun

Entwickler-Tools als neue Angriffsfläche ...
Aktuelle Angriffe auf den Infrastruktur-Scanner Checkmarx KICS und den Kommandozeilen-Client von Bitwarden zeigen eine neue Qualität von Supply-Chain-Attacken. Die Angreifer verteilten trojanisierte Versionen über offizielle Kanäle wie npm, Docker Hub und GitHub Actions. Sie unterwanderten damit

Security-Blindspot: Wie Angreifer QEMU nutzen, um Erkennungssysteme zu umgehen ...
Sophos-Analysten untersuchen den aktiven Missbrauch von QEMU (Quick Emulator), einem Open-Source-Maschinenemulator und Virtualisierungs-Tool. Angreifer nutzen QEMU und weitere gängigere, auf Hypervisoren basierende Virtualisierungs-Tools, wie Hyper-V, VirtualBox und VMware, seit längerer Zeit. Gru


Weitere Mitteilungen von Sophos Technology GmbH


1822direkt Wertpapieroffensive geht weiter– neue Funktionen im Wertpapiergeschäft freigeschaltet ...
Die 1822direkt geht mit verbesserten Kundenprozessen an den Start und erhöht die Transparenz und das Kundenerlebnis im Wertpapiergeschäft. „Die Wertpapieroffensive geht weiter. Nachdem wir für unsere Wertpapierkunden vor kurzem bereits das Börseninformationssystem modernisiert hatten, gehen wi

Swissbit-Speicherkarten mit CmReady-Funktionalität: Lizenzschutz an Bord ...
Die neuen SD- und microSD-Karten PS-66(u) DP von Swissbit zeichnen sich nicht nur durch ihre bewährte Robustheit und Industrietauglichkeit aus, sondern bieten darüber hinaus ein ganz besonderes Feature: Sie sind für CmReady von Wibu-Systems zertifiziert, was die Integration der CodeMeter-Technolo

RTI auf der Aerospace Tech Week 2024, München: H 4/618 ...
Sunnyvale (USA)/München, März 2024 - Real-Time Innovations (RTI) stellt auf der Aerospace Tech Week in München auf Stand 618 in Halle 4 aus. Im Mittelpunkt steht die Lösung Connext TSS, bei dem die Nutzer von der Beschleunigung der Komponentenentwicklung und -integration profitieren. Connext TS

Security Operations Center (SOC) als Service ...
Paderborn, 21. März 2024 - Net at Work GmbH, einer der wichtigsten Systemintegratoren für Microsoft 365 im deutschsprachigen Raum mit mehr als 300 Kundenprojekten pro Jahr, bietet mit SOC as a Service eine perfekte Ergänzung zu den hervorragenden Security-Produkten von Microsoft. Die Bedrohun


 

Werbung



Sponsoren

foodir.org The food directory für Deutschland
News zu Snacks finden Sie auf Snackeo.
Informationen für Feinsnacker finden Sie hier.

Firmenverzeichniss

Firmen die firmenpresse für ihre Pressearbeit erfolgreich nutzen
1 2 3 4 5 6 7 8 9 A B C D E F G H I J K L M N O P Q R S T U V W X Y Z