2020 war für alle ein ungewöhnliches Jahr: Der Wandel hat uns unerwartet und schnell getroffen. Und auch die Art und Weise, wie wir arbeiten, zur Arbeit gehen und kommunizieren, hat sich verändert, da wir zu Remote-Arbeit übergegangen sind und cloud-basierte Dienste wie Microsoft Office 365 nutzen.
So ergab eine Online-Umfrage (durchgeführt von YouGov im Auftrag von Vectra) unter 1 097 berufstätigen Erwachsenen im Vereinigten Königreich zwischen dem 8. und 9. Oktober 2020, dass 70 % derjenigen, die von zu Hause aus arbeiten können und Office 365/Microsoft 365 nutzen, davon ausgehen, dass ihre Heimarbeit nach dem COVID-19 unverändert bleibt oder zunimmt. Es ist vernünftig, ähnliche Ergebnisse in anderen Industrieländern zu erwarten.
Diese Änderungen werden natürlich die Angriffsfläche, die Unternehmen schützen müssen, verändern. Als wir vor einigen Monaten Detect for Office 365 auf den Markt brachten, waren wir in einer guten Position, um herauszufinden, wie diese Veränderungen innerhalb der weltweit meistgenutzten SaaS-Anwendung aussehen. Von Juni bis August haben wir Daten über 4 Millionen Konten gesammelt und damit einen Datensatz erhalten, der uns hilft, die Art verdächtiger Verhaltensweisen und Angriffe zu verstehen, die innerhalb des Office 365-Ökosystems auftreten.
Wir haben unsere Ergebnisse im Spotlight-Bericht 2020 zu Office 365 veröffentlicht, in dem wir aufzeigen, wie Angreifer integrierte Office 365-Tools und -Dienste zur Ausführung ihrer Angriffe nutzen. Als Teil unserer Analyse haben wir auch Beispiele dafür aufgezeigt, wie Angreifer innerhalb von Office 365 operieren.
Versuch des Finanzbetrugs
Der Angreifer dieses mittelständischen Herstellers hatte es auf die Finanzabteilung abgesehen und nutzte wahrscheinlich LinkedIn, um Ziele zu identifizieren. Es wurde ein langsamer Brute-Sweep-Angriff auf ältere Protokolle durchgeführt, um sich Zugang zu Office 365 zu verschaffen und die Stelle zu finden, an der die Multi-Faktor-Authentifizierung (MFA ) nicht aktiviert werden konnte.
Sobald der Angreifer in das System eingedrungen war, implementierte er Regeln, um alle E-Mails weiterzuleiten, die entweder mit DocuSign oder mit Rechnungen zu tun hatten, wodurch das Motiv des Finanzbetrugs deutlich wurde. Clevererweise richtete der Angreifer auch Regeln ein, um Beweise für die Bedrohung zu vernichten und eine Entdeckung zu vermeiden, indem er automatisch alle E-Mails löschte, die mit Passwörtern und Sicherheit zu tun hatten.
Vectra erkannte in Echtzeit mehrere Phasen des Angriffs und ermöglichte es dem Sicherheitsteam, die Weiterleitungsregeln zu löschen und die Passwörter zu ändern, bevor irgendwelche E-Mails nach außen gesendet wurden.
Insgesamt identifizierte Vectra Brute-Force, verdächtige Anmeldungen, riskante Austauschoperationen und verdächtige E-Mail-Weiterleitungen als die wichtigsten Phasen und Indikatoren des Angriffs.
Diebstahl in der medizinischen Forschung
Ein medizinisches Forschungsinstitut an einer Universität wurde mit einem Phishing-Köder angegriffen, der für eine kostenlose App zur Kalenderoptimierung und zum Zeitmanagement warb.
Eine Person nahm den Köder auf und installierte die bösartige OAuth-App, umging MFA und verschaffte sich unwissentlich vollständigen Zugang zu Office 365. Mit diesem Zugang verschickten die Angreifer dann interne Phishing-E-Mails und nutzten vertrauenswürdige Identitäten und Kommunikation, um sich innerhalb der Universität weiter zu verbreiten. Mit einer Phishing-E-Mail gelang es den Angreifern, in das Netzwerk einzudringen und sich dort zu bewegen.
Vectra entdeckte die verdächtige App-Installation und stellte im Rahmen der Untersuchung fest, dass auch die interne Spear-Phishing-Erkennung ausgelöst hatte. Dem Sicherheitsteam gelang es, den Angreifer zu vertreiben, indem es die bösartige App entfernte.
Beispielhafte Fälle (Studien)
Der Missbrauch von Anmeldeinformationen ist die führende Cyberangriffsmethode gegen Office 365, das mehr als 200 Millionen monatliche Nutzer hat. Kluge Angreifer nutzen menschliches Verhalten aus, um Passwörter zu entführen, Konten zu übernehmen und wichtige Geschäftsdaten zu stehlen. Umgekehrt verfügen intelligente Sicherheitsteams über solide Informationen und Erwartungen in Bezug auf SaaS-Plattformen, so dass sie böswillige Verhaltensweisen und den Missbrauch von Berechtigungen erkennen und eindämmen können.
Diese beiden Kundenbeispiele zeigen, wie Office 365-Dienste von Angreifern manipuliert und ausgenutzt wurden. Und in den Netzwerken dieser Unternehmen nutzten die Angreifer die vorhandenen Tools, um sich über Wasser zu halten und der Entdeckung zu entgehen.
Glücklicherweise konnten diese Angriffe eingedämmt werden, indem Detect for Office 365 die verdächtigen Verhaltensweisen erkannte und jede Organisation warnte. Die auf KI basierenden Algorithmen des maschinellen Lernens von Vectra versorgten die Sicherheitsteams mit den notwendigen Informationen, um die Angriffe zu stoppen und Schaden und Diebstahl abzuwenden.
Durch die automatische Erkennung und Priorisierung des Verhaltens von Angreifern, die Beschleunigung von Untersuchungen und die proaktive Suche nach Bedrohungen gibt Vectra Cognito Detect for Office 365 Ihnen die Kontrolle über die Sicherheit von Microsoft Office 365 zurück und schützt Sie vor heimtückischen Office 365-Hackern.
Lesen Sie den vollständigen Spotlight-Bericht über Office 365, und sehen Sie sich weitere Fallstudien an, um die Vectra Plattform in Aktion zu erleben.