Anfang Dezember erhoben die Vereinigten Staaten Anklage gegen Maksim Yakubets, alias Aqua, wegen der angeblich größten Cyberdiebstahl-Kampagne des letzten Jahrzehnts. Darüber hinaus hat das US-Justizministerium ein Kopfgeld von 5 Millionen Dollar für Informationen ausgesetzt, die zu seiner Verhaftung und Verurteilung führen.
Maksim, angeblich Gründungsmitglied einer als Evil Corp bekannten Gruppe, ist angeblich für den Diebstahl tausender Bankkontodaten von Opfern aus mehreren Ländern verantwortlich. Durch den Einsatz von Malware mit dem Namen Dridex - auch Cridex oder Bugat genannt - gelang es Evil Corp Berichten zufolge, ahnungslosen Opfern Dutzende von Millionen Dollar zu entlocken. Das FBI schätzt, dass Dridex bei Hunderten von Banken zu Verlusten von 100 Millionen Dollar oder mehr geführt hat.
Der Angriff war ebenso elegant wie einfach. Evil Corp überzeugte die Opfer angeblich, auf einen bösartigen Link in einer Phishing-E-Mail zu klicken, um Dridex herunterzuladen. Nach der Installation würde die Malware einen Keylogger verwenden, um Passwörter abzufangen oder gefälschte Bankseiten zu erstellen, um die Opfer zur freiwilligen Eingabe ihrer Anmeldedaten zu verleiten. Die Phishing-Nachrichten waren oft gut gestaltet und verwendeten eine Kombination aus legitimen Unternehmensnamen und Domänen sowie die richtige Fachterminologie.
Berichten zufolge arrangierte Evil Corp mit den Zugangsdaten zu Bankkonten elektronische Geldüberweisungen von den Bankkonten der Opfer an ein Netzwerk so genannter Geldkuriere, die die Gelder dann an Evil Corp zurücküberweisen sollten.
Besonders bemerkenswert ist, wie Evil Corp die Dridex-Malware kontinuierlich verbessert, z. B. durch den Wechsel von einem zentralen Command-and-Control-Center zu Peer-to-Peer-Botnets, um die Rückverfolgung seiner Aktivitäten zu erschweren.
Die National Security Agency (NSA) hat kürzlich ihre Top Ten Cybersecurity Mitigation Strategies veröffentlicht. Die Strategien sind mit dem NIST-Rahmenwerk für Cybersicherheit abgestimmt und bieten einen risikobasierten Ansatz zur Eindämmung von Ausnutzungstechniken, die von APT-Akteuren (Advanced Persistent Threats) verwendet werden, wie beispielsweise Dridex-Taktiken, -Techniken und -Verfahren (TTPs).
Besonders hervorzuheben sind die beiden folgenden Empfehlungen:
- Verteidigung von Privilegien und Konten. Weisen Sie Berechtigungen auf der Grundlage des Risikos und nach Bedarf zu, um den Betrieb aufrechtzuerhalten. Privilegierte Konten und Dienste müssen kontrolliert werden, da Bedrohungsakteure weiterhin auf die Anmeldedaten von Administratoren abzielen, um auf hochwertige Ressourcen zuzugreifen und sich seitlich im Netzwerk zu bewegen.
- Kontinuierliche Suche nach Eindringlingen in das Netzwerk. Ergreifen Sie proaktive Maßnahmen, um jegliche bösartige Präsenz im Netzwerk zu erkennen, einzudämmen und zu entfernen. Unternehmen sollten davon ausgehen, dass eine Kompromittierung stattgefunden hat, und spezielle Teams einsetzen, um Bedrohungsakteure im Netzwerk kontinuierlich aufzuspüren, einzudämmen und zu entfernen.
Durch die Einführung proaktiver Schritte wird das Unternehmen über die grundlegenden Erkennungsmethoden hinausgehen und die Erkennung und Beseitigung von Bedrohungen in Echtzeit durch eine kontinuierliche Überwachungs- und Abhilfestrategie ermöglichen.
Wir haben kürzlich die Cognito-Plattform von Vectra um Privileged Access Analytics erweitert. PAA besteht aus KI-basierten Algorithmen, die dem Team des Security Operations Center (SOC) eine zuverlässige Erkennung von Angreifern ermöglichen, die privilegierte Konten für ungewöhnliche und potenziell bösartige Verhaltensweisen nutzen. In der Tat lernt Vectra die Muster Ihrer Benutzerkonten und schlägt intelligent Alarm, wenn Anmeldeinformationen missbraucht werden, wie bei Phishing-Angriffen.
PAA ermöglicht es SOC-Teams, diese Arten von Angriffen zu überwachen und abzuwehren. Zusätzlich zu unseren umfangreichen Modellen zur Erkennung von Command-and-Control-Kanälen ist die Cognito-Plattform ein leistungsstarkes Tool zur Bekämpfung von sich entwickelnden Malware-Angriffen auf Unternehmen.
Weitere Informationen über Bedrohungsverhalten und privilegienbasierte Angriffe sowie die Cognito-Plattform in Aktion finden Sie unter vectra.ai/demo.