Die Automatisierung ist zu einem wesentlichen Bestandteil nahezu jeder Branche geworden, und nirgendwo trifft dies mehr zu als in der Cybersicherheit. Doch leider kommen die Vorteile der Automatisierung sowohl kriminellen Organisationen als auch den Verteidigern gleichermaßen zugute. Während die kriminelle Unterwelt ein Ökosystem aus Tools und Ressourcen geschaffen hat, um Kampagnen zu operationalisieren und zu monetarisieren, können SOARs genutzt werden, um das Gleichgewicht wieder zugunsten der Verteidiger zu verschieben, indem defensive Geheimdienst-Feeds automatisiert und mit automatisierter Erkennung und Prävention kombiniert werden.

Untersuchungen des Insikt Groupvon Recorded Futureuntersuchten die Tools und Dienste, die von Bedrohungsakteuren zur Automatisierung von Aufgaben im Zusammenhang mit bösartigen Kampagnen verwendet werden, sowie die Abwehrstrategien, die durch SOAR- und Threat Intelligence -Lösungen verfügbar sind.

Cyberangriffe beginnen häufig mit einem kompromittierten Netzwerk oder einer Datenbank mit Anmeldeinformationen, weil Bedrohungsakteure unbefugten Zugriff auf ein Netzwerk erhalten und die Anmeldeinformationen dann in Untergrundforen verkaufen. Dieser Zugriff kann zur Rechteausweitung innerhalb des Netzwerks, zum Angriff auf geschäftliche E-Mails, für Ransomware und andere Arten von Angriffen missbraucht werden.

Zu den Minderungsstrategien gehören:

• Halten Sie sämtliche Software und Anwendungen auf dem neuesten Stand
• Filtern von E-Mails auf Spam und Überprüfen von Links und Anhängen
• Regelmäßiges Erstellen von Systemsicherungen und deren Offline-Speicherung
• Abschottung unternehmensrelevanter Daten
• Rollenbasierten Zugriff einführen
• Anwenden von Datenverschlüsselungsstandards

Angreifer, die über durch Datenlecks erlangte Anmeldeinformationen verfügen, nutzen dann Prüf- und Brute-Force-Programme, um groß angelegte automatisierte Anmeldeanforderungen zu senden und so die Gültigkeit der Opfer festzustellen. Oder sie verschaffen sich durch einen Credential-Stuffing-Angriff unbefugten Zugriff auf Tausende von Konten.

Zu den Minderungsstrategien gehören:

• Verwenden Sie neben einem Passwort-Manager auch eindeutige Passwörter für Konten.
• Erfordern zusätzliche Details für die Anmeldung (z. B. CAPTCHA) oder erfordern eine Multi-Faktor-Authentifizierung (MFA)
• Einrichten maßgeschneiderter Web Application Firewalls
• Verlangsamung des Anmeldeverkehrs durch Datum oder Ratenbegrenzung
• Entfernen ungenutzter öffentlicher Logins
• Festlegen einer Basislinie für Datenverkehr und Netzwerkanforderungen zur Überwachung auf unerwarteten Datenverkehr

Bedrohungsakteure wenden außerdem Loader und Crypter an, um der Erkennung durch Endgerätesicherheitsprodukte wie etwa Antivirenprogramme zu entgehen, und laden dann eine oder mehrere schädliche Payloads wie etwa Malware herunter und führen diese aus.

Zu den Minderungsstrategien gehören:

• Regelmäßiges Aktualisieren der Antivirensoftware
• Implementierung zusätzlicher Reaktions- und Erkennungskontrollen über den Virenschutz hinaus, um bösartige Payloads zu erkennen
• Schulung und Aufklärung von Einzelpersonen zum Thema Phishing und den damit verbundenen Risiken

Stealer und Keylogger werden eingesetzt, um vertrauliche Informationen wie Anmeldeinformationen, personenbezogene Daten und Zahlungskarteninformationen der Opfer zu extrahieren und sekundäre Nutzdaten auf den Systemen der Opfer zu installieren.

Zu den Minderungsstrategien gehören:

• Investition in Lösungen mit Patch-Postion-Reporting
• Konfigurieren von Netzwerkabwehrmechanismen zur Warnung vor böswilligen Aktivitäten auf Geräten
• Überwachung auf verdächtige Änderungen an Dateilaufwerken und Registrierungen

Da Bedrohungsakteure den Vorgang automatisieren und kein eigenes Skript schreiben müssen, können sie sich problemlos Banking-Injections besorgen. Dabei handelt es sich um weithin bekannte, beliebte und leistungsstarke Tools zur Durchführung von Betrug. Bei Banking-Trojanern werden gefälschte Overlays oder Module verwendet, um HTML- oder JavaScript-Code einzuschleusen und vertrauliche Informationen zu sammeln, bevor die Weiterleitung auf eine legitime Website erfolgt.

Zu den Minderungsstrategien gehören:

• Halten Sie Software und Anwendungen auf dem neuesten Stand
• Installieren von Antivirenlösungen, Planen von Updates und Überwachen des Antivirenstatus auf allen Geräten
• Aktivieren von MFA über SMS-Authentifizierungsanwendungen
• Ausschließliche Verwendung einer HTTPS-Verbindung
• Schulung der Mitarbeiter und Durchführung von Trainings
• Einsatz von Spam- und Webfiltern
• Verschlüsselung aller sensiblen Unternehmensinformationen
• Deaktivieren von HTML oder Konvertieren von HTML-E-Mails in Nur-Text-E-Mails

Exploit-Kits werden verwendet, um Schwachstellen in Webbrowsern automatisch auszunutzen und so die Verbreitung erfolgreicher Infektionen zu maximieren. Sie liefern schädliche Payloads wie Trojaner, Loader, Ransomware und andere Schadsoftware.

Zu den Minderungsstrategien gehören:

• Priorisierung des Patchens von Microsoft-Produkten und älteren Schwachstellen im Technologie-Stack
• Sicherstellen, dass Adobe Flash Player in den Browsereinstellungen automatisch deaktiviert wird
• Sensibilisierung für Phishing-Sicherheit und deren Aufrechterhaltung

Bedrohungsakteure nutzen Spamming- und Phishing-Dienste, um E-Mail-Kampagnen durchzuführen, die ihnen Zugriff auf Hunderttausende Opfer verschaffen, um Malware zu verbreiten oder weiteren Zugriff auf ein Netzwerk zu erlangen.

Zu den Minderungsstrategien gehören:

• Veröffentlichen Sie Ihre E-Mail-Adresse nicht online und beantworten Sie keine Spam-Nachrichten.
• Herunterladen zusätzlicher Spamfilter-Tools und Antivirensoftware
• Vermeiden Sie die Verwendung persönlicher oder geschäftlicher E-Mail-Adressen bei der Online-Registrierung
• Entwickeln einer Kennwortsicherheitsrichtlinie
• Verschlüsselung für alle Mitarbeiter vorschreiben
• Mitarbeiter schulen und Schulungen durchführen

Um die Dauer ihrer kriminellen Aktionen zu verlängern, nutzen Bedrohungsakteure Proxy- und Bulletproof-Hosting-Dienste (BPHS), um ihre Aktivitäten zu verschleiern. BPHS bietet sicheres Hosting für bösartige Inhalte und Aktivitäten sowie Anonymität, indem es sich auf ein Modell stützt, das verspricht, rechtlichen Anfragen, die den Betrieb stören oder zu Verhaftungen führen würden, nicht nachzukommen.

Zu den Minderungsstrategien gehören:

• Nutzung von Bedrohungsinformationsplattformen wie Recorded Future zur Unterstützung der Überwachung böswilliger Dienstanbieter
• Blacklisting von Servern, die mit bekanntermaßen bösartigen BPHS verbunden sind

In der Schattenwirtschaft ist mit Sniffer eine Art von in JavaScript geschriebener Schadsoftware gemeint, die darauf ausgelegt ist, auf den Checkout-Seiten von E-Commerce-Websites Card-Not-Present-Daten (CNP) zu infiltrieren und zu stehlen.

Zu den Minderungsstrategien gehören:

• Durchführen regelmäßiger Audits einer Website, um verdächtige Skripte oder Netzwerkverhalten zu identifizieren
• Verhindern des Ladens nicht unbedingt erforderlicher, extern geladener Skripte auf Checkout-Seiten
• Bewertung von Plug-ins von Drittanbietern auf einer E-Commerce-Website und Überwachung auf Änderungen in deren Code oder Verhalten

Um mit den erworbenen Inhalten Geld zu verdienen, verkaufen die Bedrohungsakteure die gestohlenen Daten in Online-Kreditkartenshops, Kontoshops und auf Marktplätzen. Geld wird durch den Kauf und Verkauf von Zugangsdaten für Bankkonten, Handykonten, Online-Shop-Konten, Dating-Konten und sogar digitalen Fingerabdrücken kompromittierter Systeme verdient, um weitere Sicherheitsverletzungen zu ermöglichen.

Zu den Minderungsstrategien gehören:

• Monitoring von Shops und Marktplätzen auf unternehmensrelevante Accounts
• Reagieren auf Spitzen bei der Anzahl der in Geschäften verfügbaren Konten
• Achten Sie auf Anmeldeinformationen für nicht öffentliche Domänen
• Aktivieren von MFA über SMS-Authentifizierungsanwendungen

Weitere Informationen zu den 10 Arten von Tools und Diensten, die derzeit von Bedrohungsakteuren zur Automatisierung von Aufgaben verwendet werden, und zu den vorgeschlagenen Abhilfemaßnahmen, die Verteidiger implementieren sollten, finden Sie im vollständigen Bericht der Recorded Future's Insikt Group, "Automation and Commoditization in the Underground Economy".