Anfang Dezember erhoben die Vereinigten Staaten Anklage gegen Maksim Yakubets, alias Aqua, wegen der angeblich größten Cyberdiebstahl-Kampagne des letzten Jahrzehnts. Darüber hinaus hat das US-Justizministerium ein Kopfgeld von 5 Millionen Dollar für Informationen ausgesetzt, die zu seiner Verhaftung und Verurteilung führen.
Maksim, angeblich das Gründungsmitglied einer als Evil Corp bekannten Gruppe, ist angeblich für den Diebstahl von Tausenden von Bankkontodaten von Opfern in mehreren Ländern verantwortlich. Durch die Nutzung von malware , bekannt als Dridex - auch Cridex oder Bugat genannt - gelang es Evil Corp Berichten zufolge, zehn Millionen Dollar von ahnungslosen Opfern abzuschöpfen. Das FBI schätzt, dass Dridex bei Hunderten von Banken zu Verlusten von 100 Millionen Dollar oder mehr geführt hat.
Der Angriff war ebenso elegant wie einfach. Evil Corp überzeugte die Opfer angeblich, auf einen bösartigen Link in einer E-Mail phishing zu klicken, um Dridex herunterzuladen. Nach der Installation würde malware einen Keylogger verwenden, um Passwörter abzufangen oder gefälschte Banking-Seiten zu erstellen, um die Opfer zur freiwilligen Eingabe ihrer Anmeldedaten zu verleiten. Die Nachrichten von phishing waren oft gut gestaltet und verwendeten eine Kombination aus legitimen Unternehmensnamen und Domänen sowie die korrekte Fachterminologie.
Berichten zufolge arrangierte Evil Corp mit den Zugangsdaten zu Bankkonten elektronische Geldüberweisungen von den Bankkonten der Opfer an ein Netzwerk so genannter Geldkuriere, die die Gelder dann an Evil Corp zurücküberweisen sollten.
Besonders bemerkenswert ist, wie Evil Corp Dridex malware kontinuierlich verbessert, indem es beispielsweise von einer zentralen Kommandozentrale auf Peer-to-Peer-Botnets umsteigt, um seine Aktivitäten schwerer verfolgen zu können.
Die National Security Agency (NSA) hat kürzlich ihre Top Ten Cybersecurity Mitigation Strategies veröffentlicht. Die Strategien sind mit dem NIST-Rahmenwerk für Cybersicherheit abgestimmt und bieten einen risikobasierten Ansatz zur Eindämmung von Ausnutzungstechniken, die von APT-Akteuren (Advanced Persistent Threats) verwendet werden, wie beispielsweise Dridex-Taktiken, -Techniken und -Verfahren (TTPs).
Besonders hervorzuheben sind die beiden folgenden Empfehlungen:
- Verteidigung von Privilegien und Konten. Weisen Sie Berechtigungen auf der Grundlage des Risikos und nach Bedarf zu, um den Betrieb aufrechtzuerhalten. Privilegierte Konten und Dienste müssen kontrolliert werden, da cybercriminels weiterhin auf die Anmeldedaten von Administratoren abzielt, um auf hochwertige Ressourcen zuzugreifen und sich seitlich durch das Netzwerk zu bewegen.
- Kontinuierliche Suche nach Eindringlingen in das Netzwerk. Ergreifen Sie proaktive Maßnahmen, um jegliche bösartige Präsenz im Netzwerk zu erkennen, einzudämmen und zu entfernen. Unternehmen sollten davon ausgehen, dass eine Kompromittierung stattgefunden hat, und spezielle Teams einsetzen, um cybercriminels im Netzwerk kontinuierlich aufzuspüren, einzudämmen und zu entfernen.
Durch die Einführung proaktiver Schritte wird das Unternehmen über die grundlegenden Erkennungsmethoden hinausgehen und die Erkennung und Beseitigung von Bedrohungen in Echtzeit durch eine kontinuierliche Überwachungs- und Abhilfestrategie ermöglichen.
Vor kurzem haben wir die Cognito-Plattform von Vectra um Privileged Access Analytics erweitert. PAA besteht aus KI-basierten Algorithmen, die dem Team des Security Operations Center (SOC) eine zuverlässige Erkennung von Angreifern ermöglichen, die privilegierte Konten für ungewöhnliche und potenziell böswillige Verhaltensweisen missbrauchen. Vectra lernt die Muster Ihrer Benutzerkonten und gibt intelligente Warnungen aus, wenn Anmeldeinformationen missbraucht werden, wie bei phishing Angriffen.
PAA ermöglicht es SOC-Teams, diese Arten von Angriffen zu überwachen und abzuwehren. Zusätzlich zu unseren umfassenden Modellen zur Erkennung von Command-and-Control-Kanälen macht dies die Cognito-Plattform zu einem leistungsstarken Tool zur Bekämpfung der sich entwickelnden malware Angriffe auf Unternehmen.
Weitere Informationen über Bedrohungsverhalten und privilegienbasierte Angriffe sowie die Cognito-Plattform in Aktion finden Sie unter vectra.ai/demo.