Spieglein, Spieglein and der Wand, welche KI ist die beste im Cybersecurity-Land?
Die Technologie des maschinellen Lernens mit großen Sprachmodellen (LLM) verbreitet sich rasant, wobei mittlerweile mehrere konkurrierende Open-Source- und proprietäre Architekturen verfügbar sind. Zusätzlich zu den generativen Textaufgaben, die mit Plattformen wie ChatGPT verbunden sind, haben sich LLMs nachweislich in vielen Textverarbeitungsanwendungen als nützlich erwiesen – von der Unterstützung beim Schreiben von Code bis zur Kategorisierung von Inhalten.
Angesichts der Vielfalt an zur Verfügung stehenden LLMs stehen Forscher vor einer herausfordernden Frage: Wie lässt sich ermitteln, welches Modell für ein bestimmtes Problem des maschinellen Lernens am besten geeignet ist? SophosAI hat eine Reihe von Möglichkeiten untersucht, LLMs bei Aufgaben im Zusammenhang mit der Cybersicherheit einzusetzen. Eine gute Methode zur Auswahl eines Modells besteht darin, Benchmark-Aufgaben zu erstellen – typische Probleme, mit denen sich die Fähigkeiten des Modells einfach und schnell beurteilen lassen.
Allerdings spiegelt die Leistung bei den momentan verfügbaren, allgemeinen Aufgaben für Benchmarks möglicherweise nicht genau wider, wie gut Modelle im Kontext der Cybersicherheit funktionieren. Durch die Verallgemeinerung offenbaren sie möglicherweise keine Unterschiede im sicherheitsspezifischen Fachwissen zwischen Modellen, die sich aus ihren Trainingsdaten ergeben. Aus diesem Grund habe die Forscher aus dem SophosAI-Team drei neue Benchmarks erstellt, die auf Aufgaben basieren, die potenziell grundlegende Voraussetzungen für die meisten LLM-basierten defensiven Cybersicherheitsanwendungen sind:
- Das LLM fungiert als Assistent bei der Untersuchung von Vorfällen, indem es Fragen zur Telemetrie in natürlicher Sprache in SQL-Anweisungen umwandelt
- Das LLM generiert Vorfallzusammenfassungen aus Daten eines Security Operations Centers (SOC).
- Das LLM bewertet den Schweregrad des Vorfalls.
GPT-4 mit bester Leistung
Diese Benchmarks dienen zwei Zwecken: der Identifizierung grundlegender Modelle mit Potenzial für eine Feinabstimmung und der anschließenden Bewertung der standardmäßigen (nicht abgestimmten) Leistung dieser Modelle. Insgesamt hat das Sophos-AI-Team 14 Modelle auf Basis von Kriterien wie Modellgröße, Beliebtheit, Kontextgröße und Aktualität ausgewählt und anhand der Benchmarks getestet – darunter unterschiedlich große Versionen der Modelle LlaMa2 und CodeLlaMa von Meta, Amazon-Titan-Large und natürlich auch der Branchenprimus GPT-4. Das OpenAI-Tool zeigte bei den ersten beiden Aufgaben eindeutig die beste Leistung. Interessant: beim letzten Benchmark schnitt keines der Modelle bei der Kategorisierung der Schwere des Vorfalls genau genug ab, um besser zu sein als die Zufallsauswahl.
Aufgabe 1: Assistent für die Untersuchung von Vorfällen
Bei der ersten Benchmark-Aufgabe bestand das Hauptziel darin, die Leistung von LLMs als SOC-Analystenassistenten bei der Untersuchung von Sicherheitsvorfällen zu bewerten. Dabei mussten sie relevante Informationen auf der Grundlage von Abfragen in natürlicher Sprache abrufen – eine Aufgabe, mit der das SophosAI-Team bereits experimentiert hatte. Die Bewertung der Fähigkeit von LLMs, Abfragen in natürlicher Sprache unterstützt durch kontextbezogene Schemakenntnisse in SQL-Anweisungen umzuwandeln, hilft dabei, ihre Eignung für diese Aufgabe zu bestimmen.
Aufgabe 2: Zusammenfassung des Vorfalls
In Security Operations Centern (SOCs) untersuchen Bedrohungsanalysten täglich zahlreiche Sicherheitsvorfälle. In der Regel werden diese Vorfälle als eine Abfolge von Ereignissen dargestellt, die auf einem Benutzerendpunkt oder Netzwerk im Zusammenhang mit erkannten verdächtigen Aktivitäten aufgetreten sind. Bedrohungsanalysten nutzen diese Informationen, um weitere Untersuchungen durchzuführen. Allerdings kann diese Abfolge von Ereignissen für die Analysten oft sehr unübersichtlich sein, was es schwierig macht, die bemerkenswerten Ereignisse zu identifizieren. Hier können große Sprachmodelle wertvoll sein, da sie bei der Identifizierung und Organisation von Ereignisdaten auf der Grundlage einer bestimmten Vorlage helfen können und es Analysten erleichtern, das Geschehen zu verstehen und ihre nächsten Schritte festzulegen.
Aufgabe 3: Bewertung der Schwere des Vorfalls
Die dritte von Sophos bewertete Benchmark-Aufgabe war eine modifizierte Version eines traditionellen ML-Sec-Problems: Die Bestimmung, ob ein beobachtetes Ereignis Teil einer harmlosen Aktivität oder eines Angriffs ist. SophosAI verwendet spezielle Machine-Learning (ML)-Modelle, die für die Auswertung bestimmter Arten von Ereignisartefakten wie tragbare ausführbare Dateien und Befehlszeilen entwickelt wurden. Bei dieser Aufgabe bestand das Ziel darin, festzustellen, ob ein LLM eine Reihe von Sicherheitsereignissen untersuchen und deren Schweregrad beurteilen kann.
Noch einige Leitplanken für LLMs in der Cybersicherheit nötig
Auch wenn der Benchmark-Test sicherlich nicht alle potenziellen Problemstellungen berücksichtigen kann, lässt sich nach Abschluss der Untersuchung feststellen, dass LLMs die Bedrohungssuche und die Untersuchung von Vorfällen wirksam unterstützen und damit als sinnvoller SOC-Assistent eingesetzt werden können – allerdings sind weiterhin einige Leitplanken und Anleitungen notwendig.
Bei der Zusammenfassung von Vorfallinformationen aus Rohdaten erbringen die meisten LLMs eine ausreichende Leistung, es gibt jedoch Raum für Verbesserungen durch Feinabstimmung. Allerdings bleibt die Bewertung einzelner Artefakte oder Gruppen von Artefakten eine herausfordernde Aufgabe für vorab trainierte und öffentlich verfügbare LLMs. Um dieses Problem anzugehen, ist möglicherweise ein spezialisiertes LLM erforderlich, das speziell auf Cybersicherheitsdaten geschult ist.
Alle Details zu den Untersuchungsergebnissen und der Benchmark-Erstellung können im englischen SophosAI-Blogbeitrag „Benchmarking the Security Capabilities of Large Language Models“ nachgelesen werden.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
World Backup Day 2024: Warum Cyberkriminelle gezielt Backups ins Visier nehmen und wie Security die Datensicherung schützen kann
Harte Fakten belegen das Risiko
In einer Umfrage unter knapp 3.000 IT- und Cybersicherheitsexperten weltweit, die das Marktforschungsinstitut Vanson Bourne Anfang 2024 im Auftrag von Sophos durchführte, wurde deutlich, dass die finanziellen und betrieblichen Auswirkungen einer Kompromittierung von Backups durch einen Ransomware-Angriff immens sind. Insgesamt stechen vier Haupterkenntnisse aus der Umfrage ins Auge:
Erkenntnis 1: Ransomware-Angreifer versuchen fast immer, Ihre Backups zu kompromittieren. Bei 94 Prozent der Unternehmen, die im vergangenen Jahr von Ransomware betroffen waren, haben die Cyberkriminellen während des Angriffs versucht, auch die Backups zu kompromittieren.
Erkenntnis 2: Die Erfolgsquote bei Kompromittierungen variiert stark je nach Branche. Uber allen Branchen hinweg waren durchschnittlich 57 Prozent der Backup-Kompromittierungsversuche erfolgreich. Interessanterweise gibt es aber große Unterschiede in den unterschiedlichen Branchen, von 79 Prozent in den Sektoren Energie, Öl/Gas und Versorgung bis 30 Prozent für die Bereiche IT, Technologie und Telekommunikation.
Erkenntnis 3: Lösegeldforderungen verdoppeln sich, wenn Backups kompromittiert werden. Opfer, deren Backups kompromittiert wurden, erhielten im Durchschnitt mehr als doppelt so hohe Lösegeldforderungen wie diejenigen, deren Backups nicht betroffen waren. Die durchschnittlichen Lösegeldforderungen lagen bei 2,3 Millionen US-Dollar (Backups kompromittiert) und 1 Million US-Dollar (Backups nicht kompromittiert).
Erkenntnis 4: Die Kosten für die Wiederherstellung nach einem Ransomware-Angriff sind achtmal höher, wenn Backups kompromittiert sind. Durch Ransomware verursachte Ausfälle haben, neben potenziellen Lösegeldzahlungen, häufig erhebliche Auswirkungen auf den täglichen Geschäftsbetrieb. Zudem ist die Wiederherstellung von IT-Systemen komplex und teuer. Die durchschnittlichen Gesamtkosten für die Wiederherstellung nach einer Ransomware-Attacke betrugen bei Organisationen, deren Backups kompromittiert wurden, durchschnittlich 3 Millionen US-Dollar. Das entspricht der achtfachen Summe im Vergleich zu Organisationen, deren Backups nicht betroffen waren und die durchschnittlich 375.000 US-Dollar aufwenden mussten.
Alle Details zu der Backup-Umfrage können im englischen Blogartikel „The impact of compromised backups on ransomware outcomes“ nachgelesen werden.
Wichtige Tipps für den Schutz von Backups vor Ransomware
Unternehmen können mit Hilfe von Security-Services, wie Managed Detection and Response, böswillige Akteure in der kompletten IT-Infrastruktur rund um die Uhr erkennen und stoppen – noch bevor Systeme und damit auch die Backups kompromittiert werden. Dies hilft insbesondere solchen Unternehmen, die kein eigenes Security Operations Center (SOC) betreiben können oder keine eigenen Security-Spezialisten mit Forensikerfahrung und 24×7-Verfügbarkeit im Team haben.
Zudem ist es sinnvoll, das Backup mit dem Security-Ökosystem zu integrieren. Die Backup-Systeme sollten ähnlich wie alle Endpoints kontinuierlich und aktiv vor Ransomware und anderen böswilligen Beschädigungen geschützt sein. Besonders wirkungsvoll ist der Schutz dann, wenn die Security oder die Security-Services ein fester Bestandteil der Backup-Lösungen sind, wie es beispielsweise Sophos in Kooperation mit Arcserve und Veeam realisiert.
Darüber hinaus können die folgenden drei Tipps die Gefahren eines Ransomware-Angriffs erheblich reduzieren:
- Regelmäßig Erstellen von Backups und das Speichern an mehreren Orten, beispielsweise nach der 3-2-1-Regel.
- Aktivierung einer MFA (Multi-Faktor-Authentifizierung), insbesondere bei Cloud-Backup-Konten, um zu verhindern, dass Angreifer Zugriff erhalten.
- Regelmäßiges Testen und Üben der Daten-Wiederherstellung aus den Backups. Je fließender der Wiederherstellungsprozess beherrscht wird, desto schneller und einfacher können sich Unternehmen von einem Angriff erholen.
- Security-Monitoring und Überwachung der Backups, um rechtzeitig verdächtige Aktivitäten von potenziellen Angreifern zu erkennen und darauf zu reagieren.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Schwachstellenbewertungen und Penetrationstests der IT-Security sind wichtiger denn je
Das Problem sind selten die Sicherheitslösungen, sondern unerkannte Schwachstellen in der IT-Infrastruktur, die ohne eine eindeutige Identifizierung nicht abgesichert werden können. Daher sind regelmäßige Schwachstellenbewertungen als auch Penetrationstests wichtig. Erst sie liefern verlässliche Rückmeldungen über den tatsächlichen Stand der Sicherheit und Cyberresilienz im Unternehmen.
Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Laut NIST bieten Schwachstellenbewertungen eine „formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems“, während Penetrationstests eine Methodik verwenden, „bei der Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden“. Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über die existierenden Risiken und lassen Rückschlüsse zu, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden sollten.
Die Frequenz beider Maßnahmen hängt vom IT-Verhalten des Unternehmens und von gesetzlichen Regeln (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Fluktuation (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) kommen zwar keinesfalls ohne Tests, allerdings mit einer niedrigeren Frequenz aus. Organisationen mit hohem technologischem Wandel steigern ihre Cyberresilienz mit häufigeren Tests.
Stufen der Schwachstellenbewertungen und Penetrationstests
Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und einer abschließenden Berichterstattung:
- Definition des Umfangs: Klare Definition des Umfangs, einschließlich der zu prüfenden Systeme, Netze und Anwendungen sowie aller spezifischen Ziele oder Vorgaben.
- Erkundung: Sammeln von Informationen über die Zielsysteme, -netzwerke und -anwendungen mit passiven Mitteln, wie öffentlich zugänglichen Informationen und Social-Engineering-Techniken.
- Scannen auf Schwachstellen: Einsatz automatisierter Tools, um die Zielsysteme auf bekannte Schwachstellen, Fehlkonfigurationen und Schwachstellen zu überprüfen. Dies kann sowohl interne als auch externe Scans umfassen.
- Bewertung der Schwachstellen: Analyse der Ergebnisse der Schwachstellen-Scans, um Schwachstellen zu identifizieren und nach Schweregrad, Auswirkung und Wahrscheinlichkeit der Ausnutzung zu priorisieren.
- Manuelle Tests: Durchführung manueller Tests, um die Ergebnisse der automatisierten Scans zu validieren und zu verifizieren und um zusätzliche Schwachstellen zu identifizieren, die von den automatisierten Tools nicht erkannt wurden.
- Penetrationstests: Aktives Ausnutzen von Schwachstellen, um die Sicherheitslage der Zielsysteme, -netze und -anwendungen zu bewerten. Dabei können verschiedene Techniken zum Einsatz kommen, z. B. die Ausnutzung von Netzwerken, Angriffe auf Webanwendungen und Social Engineering.
- Post-Exploitation: Sobald in der Zielumgebung Fuß gefasst wurde, wird die Umgebung weiter erkundet und die Berechtigungen erweitert, um das Ausmaß des potenziellen Schadens zu ermitteln, den ein echter Angreifer verursachen könnte.
- Dokumentation: Erfassen und Zusammenstellen alle Ergebnisse, einschließlich der entdeckten Schwachstellen, der angewandten Ausnutzungstechniken und aller Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Berichterstattung: Erstellen eines umfassenden Berichts sowohl für Sicherheitsverantwortliche als auch das Management mit den Ergebnissen der Bewertung, einschließlich einer Zusammenfassung, technischen Details der Schwachstellen, Risikobewertungen und Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
- Planung von Abhilfemaßnahmen: Festlegung von Prioritäten und der Planung von Abhilfemaßnahmen auf der Grundlage der Ergebnisse der Bewertung sowie der Risikotoleranz und der geschäftlichen Prioritäten des Unternehmens.
- Erneute Bewertung: Durchführung von Folgebewertungen, um zu überprüfen, ob die Schwachstellen wirksam behoben wurden und um sicherzustellen, dass sich die Sicherheitslage der Systeme, Netzwerke und Anwendungen des Unternehmens verbessert hat.
- Kontinuierliche Überwachung: Implementieren von regelmäßigen Überwachungs- und Testprozessen, um neue Sicherheitslücken zu erkennen und zu beheben, sobald sie auftreten.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Sophos startet Event-Offensive für seinen Channel
Im Mittelpunkt steht dabei die neu geschaffene Partner-Tour „Elevate & Connect“, die vom Mitte April bis Mitte Mai an 12 Standorten in Deutschland, Österreich und der Schweiz stattfindet. Dazu gehören Berlin, Nürnberg, Stuttgart, Bremen, Düsseldorf, Augsburg, Frankfurt, Leipzig, Luzern, Zürich, Wien und Salzburg. Im Rahmen dieser Events erhalten die Teilnehmer ein komprimiertes Business-Update zu den Neuigkeiten bei Sophos, abgerundet wird die Veranstaltung anschließend durch einen Teamwettbewerb mit einem Drohnen-Parcours sowie einem gemeinsamen Abendessen.
„Wir haben die neue Eventreihe ganz bewusst ins Leben gerufen, um unsere Partner nicht nur mit Informationen zu ‚betanken‘, sondern auch Zeit für Spaß und das Miteinander zu haben“, so Stefan Fritz, Director Channel Sales für Sophos Central. „Cybersecurity ist Teamwork und das wollen wir im Channel leben. Das Commitment und Engagement unserer Partner ist einzigartig und basiert auf einer langen, vertrauensvollen Zusammenarbeit. Diese Werte wollen wir weiter fördern und damit die Grundlage für unser weiteres Wachstum legen.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Hasta La Vista, Baby
BYOVD (Bring Your Own Vulnerable Driver) stehen als EDR-Killer bei Bedrohungsakteuren nach wie vor hoch im Kurs. Ein Grund ist, dass hiermit ein Angriff auf Kernel-Ebene in Aussicht steht, was den Cyberkriminellen ein breites Spektrum an Handlungsmöglichkeiten einräumt – vom Verstecken von Malware über das Ausspähen von Anmeldedaten bis hin zum Versuch, die EDR-Lösungen zu deaktivieren. Die Sophos Security-Spezialisten Andreas Klopsch und Matt Wixey haben das Geschehen mit den Terminator-Tools während der letzten sechs Monate genau unter die Lupe genommen und im ausführlichen Report „It’ll be back: Attackers still abusing Terminator tool and variants„ zusammengefasst.
Treiber-Schleusereien sind keine Frage des cyberkriminellen Könnens mehr
BYOVD ist eine Angriffsklasse, bei der Bedrohungsakteure bekannte und zugleich anfällige Treiber auf einen kompromittierten Computer einschleusen, um Rechte auf Kernel-Ebene zu erlangen. Bei der Wahl von anfälligen Treibern haben die Cyberkriminellen leichtes Spiel: Beispielsweise auf dem Open-Source-Repository loldrivers.io sind 364 Einträge für anfällige Treiber inklusive entsprechender Signaturen und Hashes aufgeführt. Dieses bequeme Identifizieren von geeigneten Treibern ist einer der Gründe, weshalb BYOVD-Angriffe heute nicht nur hoch professionellen Bedrohungsakteuren vorbehalten sind, sondern auch von weniger versierten Ransomware- Angreifern durchgeführt werden können.
Ein weiterer möglicher Grund für die anhaltende Beliebtheit von BYOVD bei technisch weniger kompetenten Cyberkriminellen ist die Tatsache, dass sie die benötigten Kits und Tools quasi von der Stange in kriminellen Foren erwerben können. Eines dieser Tools erregte im Mai 2023 besondere Aufmerksamkeit, als der bekannte Bedrohungsakteur “spyboy“ im russischsprachigen Ransomware-Forum RAMP ein Tool namens Terminator anbot. Das Tool sollte zwischen 300 USD und 3.000 USD kosten und vierundzwanzig Sicherheitsprodukte deaktivieren können.
So können sich Unternehmen schützen
Viele der Security-Anbieter auf der Liste von spyboy, darunter auch Sophos, haben umgehend gehandelt, um Varianten von Treibern zu untersuchen und Schutzmaßnahmen zu entwickeln. Sophos empfiehlt vier wichtige Schritte, um sich vor BYOVD-Attacken zu schützen:
- Prüfen, ob das Endpoint Security-Produkt einen Manipulationsschutz implementiert hat.
- Umsetzung einer strengen Hygiene bei den Windows-Sicherheitsrollen, da BYOVD-Angriffe in der Regel durch Privilegienerweiterung und der Umgehung der UAC ermöglicht wird.
- Alle Betriebssysteme und Anwendungen stets auf dem neuesten Stand halten sowie das Entfernen von älterer Software.
- Aufnahme anfälliger Treiber in das Programm zum Schwachstellenmanagement. Bedrohungsakteure könnten versuchen, anfällige legitime Treiber auszunutzen, die bereits auf einem angegriffenen System vorhanden sind.
Zum kompletten Report von Sophos geht es hier:
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
In Untersuchungen der letzten 48 Stunden zur ScreenConnect Sicherheitslücke findet Sophos auch Malware-Technologie von Lockbit
Jetzt veröffentlicht Sophos X-Ops einen Bericht über die seit kurzem bekannte Sicherheitslücke bei der Remote Management und Monitoring Lösung ScreenConnect. Die detaillierte Analyse „ConnectWise ScreenConnect Attacks Deliver Malware“ stellt auch einen Zusammenhang mit Lockbit fest. Christopher Butt, Sophos X-Ops Principal Researcher bei Sophos, dazu:
„Wir haben in den letzten 48 Stunden mehrere Angriffe analysiert, die sich die ScreenConnect-Sicherheitslücke zu Nutzen gemacht haben. Am bemerkenswertesten war eine Malware, die mit dem im Jahr 2022 geleakten Ransomware-Builder-Tool Lockbit 3 erstellt wurde. Sie stammt möglicherweise nicht von den eigentlichen Lockbit-Entwicklern. Aber wir konnten auch Remote Access Trojaner (RATS), Info- und Passwort-Stealer sowie andere Ransomware entdecken. All dies zeigt, dass viele verschiedene Angreifer ScreenConnect im Visier haben“, sagte Christopher Budd, Direktor Sophos X-Ops Threat Research. „Jeder, der ScreenConnect nutzt, sollte Maßnahmen ergreifen, um anfällige Server und Clients sofort zu isolieren, sie zu patchen und auf Anzeichen einer Kompromittierung zu prüfen. Sophos bietet umfassende Anleitungen und Threat-Hunting-Materialien von Sophos X-Ops als Hilfestellung. Wir setzen unsere Untersuchungen fort und werden bei Bedarf Aktualisierungen vornehmen.“
Die Malware-Aktivitäten der letzten 48 Stunden und der Einsatz von Lockbit-Technologie könnte die Vermutung von Chester Wisniewski bestätigen, dass Teile der Lockbit Gruppe nach wie vor aktiv sind oder die Lockbit Malware-Technologie bei anderen Gruppen auch weiterhin Anwendung findet.
Was Anwender von ScreenConnect jetzt unbedingt unternehmen sollten, ist im Bericht von Sophos detailliert beschrieben.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
Weil Zeit Geld ist: Sophos entlastet den Channel mit neuem Partner-Care-Angebot bei operativen Aufgaben
Entscheidende Zeit fürs Wesentliche gewonnen
„Aufgrund unserer jahrzehntelangen Erfahrung in der Unterstützung von Partnern wissen wir, dass administrative und operative Aufgaben viel zu oft wertvolle Zeit kosten, die dringend für den Aufbau von Kundenbeziehungen und den Abschluss neuer Geschäfte benötigt wird", sagt Stefan Fritz, Director Channel Sales EMEA Central bei Sophos. „Unser neuer Service ist für diese Ansprüche als zentrale Anlaufstelle für Angebote, die Navigation im Partnerportal, Lizenzierungsanfragen, Not-For-Resale-Anfragen (NFR) und vieles mehr die optimale Lösung. Dank des neuen Services können insbesondere Partner, die mit kleinen und mittelständischen Unternehmen zusammenarbeiten, ihre Produktivität und Rentabilität steigern.“
Fokus auf die Partner nochmal verstärkt
Auch von Partnerseite kommt positives Feedback: „Das neue, fokussierte Partner Care Programm ist ein weiterer großer Schritt in der erfolgreichen Zusammenarbeit mit Sophos“, so Oliver Reich, Business Development Manager Workplace Security bei Bechtle. „Der Partner-Care-Service erlaubt uns den Zugriff auf ein spezialisiertes Team und eröffnet uns neue Möglichkeiten, unsere gemeinsamen Kunden noch intensiver zu betreuen und entscheidende Mehrwerte für sie zu generieren.“
Zusätzlich zu Partner Care bietet Sophos weitere Erweiterungen in seinem globalen Partnerprogramm. Dazu zählt eine 5-prozentige Prämie zusätzlich zum Rabatt bei der Geschäftsregistrierung für Partner, die Sophos Managed Detection and Response (MDR) verkaufen. Dieser Rabatt gilt bis zum 31. März 2024.
Sophos Partner Care sowie zusätzliche Erweiterungen sind ab sofort exklusiv über das globale Sophos Partner Programm erhältlich.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Großer Schlag gegen Lockbit. Ist es wirklich vorbei?
Es ist eine gute Nachricht für die Verteidiger: Die berüchtigte Ransomware-Bande Lockbit wurde in einer internationalen Strafverfolgungsaktion hart getroffen. In Fachkreisen herrscht Einigkeit, dass Lockbit mit einer der führenden Ransomware-Akteure ist. Im Sophos Active Adverary Report rangiert Lockbit auf Platz Eins unten den Top-Gefahren.
Noch sollten die Korken nicht knallen
Die Zerschlagung dieser Cybercrime-Gruppe ist eine außergewöhnliche Leistung der Behörden und könnte auch für andere aktive Gruppen eine Warnung sein, dass sie nicht unantastbar sind. Die Aussage eines Vertreters von Lockbit lässt allerdings vermuten, dass eine Ransomware-Bande dieser Größenordnung nur schwer komplett ausgeschaltet werden kann. Von Seiten Lockbit heißt es, dass es nach wie vor Backup-Server gebe, die von den der Strafverfolgungsbehörden nicht betroffen seien. Eine Einschätzung, die auch Chester Wisniewski, Director, Global Field CTO bei Sophos, teilt:
„Lockbit ist zur produktivsten Ransomware-Gruppe avanciert, seit Conti Mitte 2022 von der Bildfläche verschwunden ist. Die Häufigkeit ihrer Angriffe und die Tatsache, dass sie unbegrenzt Infrastrukturen lahmlegen können, hat sie in den letzten Jahren zur gefährlichsten Gruppe gemacht. Alles, was ihre Operationen stört und Misstrauen unter ihren Partnern und Lieferanten sät, ist ein großer Gewinn für die Strafverfolgung. Wir sollten jedoch nicht zu früh feiern. Ein Großteil ihrer Infrastruktur ist immer noch online, was wahrscheinlich bedeutet, dass sie sich dem Zugriff der Polizei entzieht und die Kriminellen noch nicht gefasst worden sind. Auch wenn wir nicht immer einen vollständigen Sieg erringen, wie es bei Qakbot der Fall war, so ist es doch ein Sieg, wenn wir sie stören, ihre Angst, erwischt zu werden, schüren und die Schwierigkeiten beim Betrieb ihres kriminellen Syndikats erhöhen. Wir müssen uns weiterhin zusammentun, um ihre Kosten immer weiter in die Höhe zu treiben, bis wir sie alle dorthin bringen können, wo sie hingehören – ins Gefängnis.“
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
Sophos MDR und XDR jetzt in Google Workspace integriert
Um der cloudbasierten und kollaborativen Arbeitsweise gerecht zu werden, hat Sophos seine Lösungen nun auch in Google Workspace integriert, um die geschäftskritischen Produktivitätstools und Daten in der Google-Welt vor ausgefeilten Angriffen zu schützen. Google Workspace (ehemals G Suite) beinhaltet zwar integrierte Sicherheitskontrollen, die Untersuchung und Validierung der anfallenden Daten und die Reaktion auf Bedrohungen kann jedoch für Sicherheitsteams mit geringen Ressourcen eine Herausforderung darstellen. Hier setzt das Sophos-Sicherheitsökosystem mit Extended Detection and Response (XDR) und den Sophos Managed Detection and Response (MDR)-Services an.
Die Integration von Sophos sammelt und korreliert alle relevanten Sicherheits- und Telemetriedaten aus der Google Workspace-Produktivitätssuite. Das verschafft den MDR-Analysten den entscheidenden Einblick, um Bedrohungen frühzeitig zu erkennen und zu stoppen. Der MDR-Dienst bietet eine 24/7-Sicherheitsüberwachung, filtert redundante Alarme heraus und untersucht Bedrohungen in der Google Workspace-Umgebung, wie zum Beispiel den unbefugten Zugriff auf Google-Konten oder schädliche Mail-Aktivitäten.
Unternehmen, die Sophos XDR für interne Untersuchungen und Reaktionen nutzen, können die Telemetrie jetzt zusätzlich für den Google Workspace integrieren. Damit werden potentiell schadhafte Aktivitäten, wie verdächtige Logins, Aktivitäten mit geschützten Nutzerkonten oder anomale Änderungen an Administratoreinstellungen mit Bedrohungsmeldungen aus anderen Quellen korreliert und erkannt.
Sophos bietet die Einbindung der MDR- und XDR-Lösungen schlüsselfertig für eine Reihe von Technologien und Drittanbietern an. Integrationen mit Produktivitäts-Tools wie Microsoft 365 und jetzt auch Google Workspace sind für alle neuen und bestehenden MDR- und XDR-Kunden ohne zusätzliche Kosten verfügbar.
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR Manager EMEA
Telefon: +49 (721) 25516-263
E-Mail: joerg.schindler@sophos.com
TC Communications
Telefon: +49 (8081) 954619
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (8081) 954617
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (30) 55248198
E-Mail: sophos@tc-communications.de
TC Communications
Telefon: +49 (172) 4536839
E-Mail: sophos@tc-communications.de
Fake-Romantik braucht es nicht mehr: Kryptowährungsbetrüger bieten ihr Pig Butchering-Modell weltweit als Serviceleistung an
Sophos hat aufgedeckt, wie Sha-Zhu-Pan-Betrüger für ihre vermeintlich auf Romantik zielenden so genannten Pig-Butchering-Betrügereien inzwischen ein Geschäftsmodell nutzen, das dem „Cybercrime-as-a-Service“ ähnelt. Dabei verkaufen die Betrüger Sha-Zhu-Pan-Kits im Dark Web auf der ganzen Welt und expandieren so in neue Märkte. Sophos beschreibt diese Operationen (auch bekannt als Pig Buchtering) in dem Artikel „Cryptocurrency Scams Metastasize into New Forms“. Die neuen Sets stammen von Banden des organisierten Verbrechens in China und stellen die technischen Komponenten bereit, die für die Umsetzung eines speziellen Pig-Butchering-Programms namens „DeFi savings“ benötigt werden. Die Kriminellen stellen DeFi-savings als passive Anlagemöglichkeiten dar, die Geldmarktkonten ähneln. Die Opfer müssen lediglich ihre Krypto-Wallets mit einem Maklerkonto verbinden, in der Erwartung, dass sie mit ihrer Investition beträchtliche Zinsen verdienen werden. In Wirklichkeit fügen die Opfer ihren Krypto-Wallets einem betrügerischen Handelspool für Kryptowährung hinzu, wo sie von Kriminellen geleert werden.
Das Betrugsmodell professionalisiert sich ähnlich wie andere Angriffsarten
„Als das Pig Butchering zum ersten Mal während der COVID-Pandemie auftrat, waren die technischen Aspekte der Betrügereien noch relativ primitiv und es erforderte großen Aufwand, um die Opfer erfolgreich zu täuschen“, erläutert Sean Gallagher, Principal Threat Researcher bei Sophos. „Doch die Gauner haben ihre Techniken verfeinert und wir sehen eine ähnliche Entwicklung wie bei Ransomware und anderen Arten von Cyberkriminalität in der Vergangenheit: die Entwicklung eines As-a-Service-Modells. Pig-Butchering-Banden erstellen fertige DeFi-App-Kits, die andere Cyberkriminelle im Dark Web kaufen können. Infolgedessen tauchen in Gebieten wie Thailand, Westafrika und sogar in den USA neue Verbrecherringe auf, die nicht mit chinesischen Gruppen in Verbindung stehen. Wie bei anderen Arten von kommerzieller Cyberkriminalität senken diese Kits die Einstiegshürden für Cyberkriminelle und vergrößern den potentiellen Opferpool erheblich. Im vergangenen Jahr stellte diese Methode bereits ein milliardenschweres Betrugsphänomen dar und wird voraussichtlich in diesem Jahr exponentiell wachsen.“
Pig Butchering hat eine steile Karriere genommen
Sophos X-Ops verfolgt seit zwei Jahren die Entwicklung des Pig Butcherings. Bei den ersten Varianten – von Sophos als „CryptoRom“ bezeichnet – wurden potenzielle Opfer über Dating-Apps kontaktiert und anschließend dazu gebracht, betrügerische Krypto-Handelsanwendungen von Drittanbietern herunterzuladen.
Im Jahr 2022 fanden die Betrüger Wege, die App-Store-Prüfverfahren zu umgehen, um ihre betrügerischen Apps in den legitimen App Store und Google Play Store zu schleusen. Im selben Jahr tauchte auch ein neues Betrugsmuster auf: gefälschte Kryptowährungshandelspools (Liquidity Mining).
Zwei riesige Pig-Butchering-Ringe mit Sitz in Hongkong und in Kambodscha deckte Sophos X-Ops im Jahr 2023 auf. Diese Banden nutzten legitime Krypto-Handels-Apps und erstellten Fake-Personen, um Opfer anzulocken. Weitere Untersuchungen ergaben, dass die Gauner ihr Arsenal auch um KI erweiterten.
Ende 2023 spürten Sophos X-Ops eine umfangreiche Liquiditätssuche auf, an der drei verschiedene chinesische organisierte Verbrecherringe beteiligt waren, die es auf fast 100 Opfer abgesehen hatten. Hierbei konnten Sophos X-Ops auch zum ersten Mal die Verfügbarkeit von Betrugskits für das Pig Butchering nachweisen.
Der Höhepunkt: Die Zeiten des aufwendigen Opfer-Umschmeichelns sind passé
Bei den jüngsten von Sophos X-Ops untersuchten Pig-Butchering-Fällen haben die Betrüger alle früheren technologischen Hindernisse beseitigt und den Aufwand für Social Engineering deutlich verringert. Bei dem DeFi-saving-Betrug beteiligen sich die Opfer nun am betrügerischen Krypto-Handel über legitime, bekannte Kryptowährungs-Apps und gewähren den Betrügern (wenn auch unwissentlich) direkten Zugriff auf ihre Geldbörsen. Darüber hinaus können die Betrüger das Wallet-Netzwerk verbergen, das die gestohlenen Kryptowährungen wäscht, was es den Strafverfolgungsbehörden erschwert, den Betrug zu verfolgen.
„Der DeFi-saving-Betrug ist der Höhepunkt der vergangenen zwei Jahre, in denen die Pig-Butchering-Betrüger ihr Vorgehen verfeinert haben. Vorbei sind die Zeiten, in denen die Betrüger ihre Opfer überzeugen mussten, eine App herunterzuladen oder die Kryptowährung selbst in eine gestohlene digitale Geldbörse zu transferieren“, so Gallagher. „Die Gangster haben auch gelernt, wie sie ihre Machenschaften besser vermarkten können. Sie nutzen die Funktionsweise von Liquiditäts-Mining-Pools, um Gelder zu stehlen, indem sie den Opfern erzählen, es handele sich um ein einfaches Anlagekonto. Die Opfer sind so einfacher zur Investition zu bewegen, da die meisten den Handel mit Kryptowährungen nicht verstehen und obendrein alles unter dem Deckmantel vertrauenswürdiger Marken geschieht. Mit anderen Worten: Noch nie war es so einfach, Opfer eines Pig-Butchering-Betrugs zu werden, und noch nie war es so wichtig, sich der Existenz dieser Betrügereien bewusst zu sein und zu wissen, worauf man achten muss.“
Pig-Butchering-Betrug verhindern
Um zu verhindern, Opfer eines Pig-Butchering-Betrugs zu werden, empfiehlt Sophos folgende Maßnahmen:
- Skeptisch gegenüber Fremden sein, die sich über soziale Netzwerke wie Facebook oder per SMS melden. Vor allem dann, wenn sie das Gespräch schnell in einen privaten Messenger wie WhatsApp verlegen wollen.
- Dies gilt auch für neue Matches auf Dating-Apps und insbesondere dann, wenn der Fremde beginnt, über den Handel mit Kryptowährungen zu sprechen.
- Misstrauisch sein gegenüber allen „Schnell-reich-werden“-Angeboten oder Kryptowährungs-Investitionsmöglichkeiten, die große Gewinne in kurzer Zeit versprechen.
- Sich mit den Verlockungen und Taktiken von Romantik– und Anlagebetrügereien vertraut machen. Non-Profit-Organisationen wie das Cybercrime Support Network bieten hierfür viele Informationen.
- Mögliche Pig-Butchering-Opfer sollten sofort alle Gelder aus den betroffenen Geldbörsen abheben und die Strafverfolgungsbehörden kontaktieren.
Historie der zweijährigen Pig-Butchering-Untersuchung von Sophos
2021
- Sophos X-Ops entdeckt die ersten gefälschten „CryptoRom“-Handelsapps, die auf Nutzer in Asien abzielen
- Kurz darauf entdeckt Sophos X-Ops, dass diese Betrüger ihre Aktivitäten ausweiten und Opfer auch in den USA und Europa ins Visier nehmen
2022
- Sophos X-Ops entdeckt weitere gefälschte Apps von CryptoRom-Betrügern sowie eine neue Methode, damit Opfer die gefälschten Apps erfolgreich auf ihre iOS-Geräte herunterladen
- Eine neue Art des Pig Butchering entsteht: Liquidity Mining
2023
- Sophos X-Ops entdeckt die ersten gefälschten Apps für CryptoRom-Systeme im Apple App Store, da Betrüger Wege finden, den App-Store-Prüfprozess zu umgehen
- Sophos X-Ops deckt zwei riesige Big-Butchering-Ringe auf, die von Hongkong und Kambodscha aus operieren. Anstatt gefälschte Apps zu verwenden, nutzen diese Betrüger nun legitime Krypto-Handelsanwendungen und erstellen ausgeklügelte Personas, um ihre Opfer zu ködern
- Sophos X-Ops findet weitere gefälschte Apps – und erfährt, dass Pig-Butchering-Betrüger jetzt auch generative KI in ihr Toolkit aufnehmen
- Ein Opfer von Pig Butchering verliert innerhalb einer Woche 22.000 Dollar. Dies führt Sophos X-Ops zu einem riesigen Liquiditätsbetrug, der von drei verschiedenen chinesischen organisierten Verbrecherringen betrieben wird
2024
- Sophos X-Ops deckt das technisch ausgefeilteste Pig Butchering auf, das es bisher gab: „DeFi savings"-Betrug. Diese und andere kryptobasierte Betrügereien werden als Kits zum Verkauf angeboten, was dazu führt, dass Pig-Butcher-Ringer in neuen Regionen der Welt auftauchen.
Mehr über die aktuellen DeFi-Sparpläne und die Entwicklung des Pig Butchering in „Cryptocurrency Scams Metastasize into New Forms“ finden Sie auf sophos.com.
Sophos ist ein weltweit führender und innovativer Anbieter von fortschrittlichen Cybersecurity-Lösungen, darunter Managed Detection and Response (MDR)- und Incident-Response-Dienste. Das Unternehmen bietet ein breites Portfolio an Endpoint-, Netzwerk-, E-Mail- und Cloud-Sicherheitstechnologien, das bei der Abwehr von Cyberangriffen unterstützt. Als einer der größten auf Cybersecurity spezialisierten Anbieter schützt Sophos mehr als 500.000 Unternehmen und mehr als 100 Millionen Anwender weltweit vor aktiven Angriffen, Ransomware, Phishing, Malware und vielem mehr.
Die Dienste und Produkte von Sophos werden über die cloudbasierte Management-Konsole Sophos Central verbunden und vom bereichsübergreifenden Threat-Intelligence-Expertenteam Sophos X-Ops unterstützt. Die Erkenntnisse von Sophos X-Ops erweitern das gesamte Sophos Adaptive Cybersecurity Ecosystem. Dazu gehört auch ein zentraler Datenspeicher, der eine Vielzahl offener APIs nutzt, die Kunden, Partnern, Entwicklern und anderen Anbietern von Cybersecurity und Informationstechnologie zur Verfügung stehen. Sophos bietet Cybersecurity-as-a-Service für Unternehmen an, die vollständig verwaltete, schlüsselfertige Sicherheitslösungen benötigen. Kunden können ihre Cybersecurity auch direkt mit der Security Operations Platform von Sophos verwalten oder einen hybriden Ansatz verfolgen, indem sie ihre internen Teams mit Sophos Services ergänzen, einschließlich Threat Hunting und Systemwiederherstellung.
Sophos vertreibt seine Produkte über Reseller und Managed Service Provider (MSPs) weltweit. Der Hauptsitz von Sophos befindet sich in Oxford, U.K.
Weitere Informationen unter: www.sophos.de
Sophos Technology GmbH
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: +49 (611) 5858-0
Telefax: +49 (611) 5858-1042
http://www.sophos.de
PR-Manager Central & Eastern Europe
Telefon: +49 (721) 25516-263
Fax: +49 (8081) 954619
E-Mail: joerg.schindler@sophos.com
