Suche

Sprache

Warum Ransomware zu einer großen Bedrohung für die Identität geworden ist

19. Juli 2023

Startseite » Blog » Warum Ransomware zu einer großen Bedrohung für die Identität geworden ist

Ransomware plagt weiterhin Unternehmen auf der ganzen Welt mehr als 493.3 Millionen Angriffe im Jahr 2022 erkannt. Trotz der zunehmenden Verbreitung von Produkten im Sicherheits-Stack werden Unternehmen immer wieder Opfer dieser Angriffe und zahlen einen Schaden Die Lösegeldforderungen beliefen sich im Durchschnitt auf 812,360 US-Dollar. Und die Gesamtkosten für eine Organisation betragen Schätzungsweise 4.5 Millionen US-Dollar, da die Erkennung und Behebung dieser Verstöße viel Zeit in Anspruch nimmt.

In diesem Artikel wird untersucht, warum Ransomware-Angriffe so dramatisch zugenommen haben, wie blinde Flecken im Identitätsschutz bei diesen Angriffen eine grundlegende Rolle spielen und was Unternehmen tun können, um diese blinden Flecken zu beseitigen Stoppen Sie Ransomware insgesamt.

Inhaltsverzeichnis

  • Wie sich Ransomware zu einem kritischen Geschäftsrisiko entwickelte
  • Die Auswirkungen von Ransomware werden durch laterale Bewegung verstärkt
  • Lateral Movement-Angriffe werden durch kompromittierte Anmeldedaten vorangetrieben
  • Ransomware-Angriffe nehmen aufgrund zweier blinder Flecken zu
  • Ultraschall Silverfort Behebt Sicherheitslücken, um Ransomware zu stoppen

    • Wie sich Ransomware zu einem kritischen Geschäftsrisiko entwickelte

    Während Ransomware kaum ein neues Phänomen ist – die Der erste aufgezeichnete Angriff stammt aus dem Jahr 1989 – Erst in den letzten Jahren ist es zu einer solchen weltweiten Krise gekommen. Dies liegt daran, dass Angreifer ihre Techniken viel schneller weiterentwickelt haben, als Unternehmen mithalten können. Bis vor etwa zehn Jahren hatten Bedrohungsakteure beispielsweise nur die Möglichkeit, jeweils eine einzelne Maschine zu infizieren Ransomware. Dies war eine Katastrophe für den Benutzer und ein Problem für das Sicherheitsteam, stellte aber letztendlich kein organisatorisches Risiko dar.

    Doch mit dem Auftreten mehrerer mittlerweile berüchtigter Cyberangriffe im Jahr 2017 (darunter WannaCry und NotPetya) zeigten Cyberkriminelle, dass sie eine Verschlüsselungsnutzlast mit einem automatisierten Verbreitungsmechanismus koppeln konnten. Dies bedeutete, dass Angreifer nun eine neue Technik verwendeten, die es ihnen ermöglichte, sich durch eine Umgebung zu bewegen und so nicht nur jeweils eine Maschine anzugreifen, sondern eine ganze Organisation auf einmal zu infizieren.

    Ein aktuelles, viel beachtetes Beispiel hierfür war der Angriff auf die Colonial Pipeline im Mai 2021, bei dem eine wichtige Treibstoffader an der Ostküste der USA lahmgelegt wurde, was zu Treibstoffknappheit und der Ausrufung des Notstands durch den Präsidenten führte. In diesem Jahr tatsächlich Die Angriffe stiegen im Vergleich zu 78 um 2020 %, wobei 66 % aller globalen Organisationen von Ransomware betroffen waren.

    Die Auswirkungen von Ransomware werden durch laterale Bewegung verstärkt

    Um zu verstehen, warum diese Angriffe so weit verbreitet – und so erfolgreich – sind, ist es wichtig, das Konzept zu verstehen seitliche Bewegung. Entsprechend der MITRE Corporation, seitliche Bewegung wird als eine Reihe von Techniken definiert, mit denen Angreifer nach einer anfänglichen Kompromittierung ihre Präsenz in einer Umgebung ausbauen.

    Diese Fähigkeit zur seitlichen Bewegung hat den heutigen unstillbaren Appetit auf Ransomware angeheizt, da ein einziger Kompromittierungspunkt nun einen potenziell großen Gewinn für Angreifer bedeuten kann. In der Tat, Lateral Movement wird mittlerweile bei 82 % aller Ransomware-Angriffe eingesetzt. Dies ist eine beunruhigende Entwicklung, da diese Fähigkeit noch vor wenigen Jahren hochentwickelten Cyberkriminellen wie staatlich geförderten Hackergruppen und ausländischen Geheimdiensten vorbehalten war.

    Schauen wir uns also genauer an, was hier tatsächlich vor sich geht.

    Lateral Movement-Angriffe werden durch kompromittierte Anmeldedaten vorangetrieben

    Einigen Schätzungen zufolge gibt es solche 24.6 Milliarden gestohlene Zugangsdaten (d. h. Kombinationen aus Benutzername und Passwort), die im Dark Web zum Verkauf angeboten werden. Dies stellt eine Fundgrube für opportunistische Bedrohungsakteure dar, die Ransomware-Erpressung betreiben wollen. Denn mit diesen Zugangsdaten wissen Angreifer, dass sie durch den Einsatz bewährter Techniken wie Phishing, Smishing oder Social Engineering schließlich zunächst Zugriff auf die Umgebung eines Unternehmens erhalten und dann ungezügelt agieren können.

    Der Grund liegt in einem grundlegenden Fehler in der Identitätsinfrastruktur selbst. Sobald Angreifer Zugriff auf einen ersten Computer erhalten, müssen sie höchstwahrscheinlich nur die kompromittierten Anmeldeinformationen dem Identitätsanbieter vorlegen, der für die Benutzerauthentifizierung verantwortlich ist Microsoft Active Directory (AD), das von 90 % der Global Fortune 1000 verwendet wird – und schon kann die Seitwärtsbewegung beginnen.

    Aus diesem Grund stellt laterale Bewegung aufgrund der Verfügbarkeit gestohlener Benutzeranmeldeinformationen sowie der Fähigkeit von Angreifern, Anmeldeinformationen von kompromittierten Computern zu extrahieren oder den Netzwerkverkehr abzufangen, eine so ernste Bedrohung für die Identität dar. All dies ermöglicht es Cyberkriminellen, sich bei mehreren Computern in einer Umgebung zu authentifizieren, eine Ransomware-Payload über ein gesamtes Netzwerk zu verteilen und mehrere Computer gleichzeitig zu verschlüsseln.

    Ransomware-Angriffe nehmen aufgrund zweier blinder Flecken zu

    Dies bringt uns zu einem wichtigen Punkt, denn die sogenannte Sicherheitsmaßnahme Multifaktor-Authentifizierung (MFA) ist bekanntermaßen in der Lage, 99.9 % aller Cyberangriffe zu verhindern. Wenn dies jedoch der Fall ist, warum werden diese Ransomware-Angriffe dann unvermindert fortgesetzt?

    Die Gründe sind erschreckend einfach.

    MFA kann nicht überall durchgesetzt werden
    Während MFA für SaaS-Anwendungen, Cloud-Workloads und VPN-Zugriff verfügbar ist kann bei gängigen Befehlszeilenzugriffstools wie z. B. nicht erzwungen werden PsExec, PowerShell und WMI. Dies liegt insbesondere an den Authentifizierungsprotokollen, die AD verwendet Kerberos und NTLM – unterstützen MFA nicht. Diese Befehlszeilentools werden regelmäßig von Netzwerkadministratoren verwendet, um Fernzugriff auf Maschinen in ihrem Netzwerk zu erhalten, aber sie werden auch von Cyberkriminellen verwendet, die wissen, dass sie sie ungehindert für laterale Bewegungen mit gestohlenen Anmeldeinformationen nutzen können MFA. Dies ist ein kritischer blinder Fleck.

    Schützen Service Accounts ist eine Herausforderung
    Der zweite blinde Fleck hat mit nichtmenschlichen Dienstkonten (auch Bots genannt) zu tun, bei denen es sich um Maschine-zu-Maschine-Konten handelt, die zur automatischen Ausführung wichtiger Funktionen in einer Netzwerkumgebung verwendet werden, wie etwa der Aktualisierung von Software und der Durchführung von Scans wie Gesundheitsprüfungen. Das Problem besteht darin, dass die meisten Organisationen nicht wissen, wie viele dieser Konten sie haben oder was jedes einzelne tut (z. B. bei welchen Quellen und Zielen sich die verschiedenen Dienstkonten authentifizieren).

    Der Grund ist weil Es gibt kein Diagnosetool, das alle diese Konten erkennen kann in einer Umgebung, die alarmierend ist, da viele Organisationen Tausende davon haben. Noch beängstigender ist die Tatsache, dass Angreifer unermüdlich versuchen, Dienstkonten zu kompromittieren, die häufig über hohe Privilegien verfügen, sodass sie praktisch unentdeckt seitliche Bewegungen ausführen und so problemlos auf mehrere Maschinen und Systeme zugreifen können.

    Viele Organisationen verfügen über eine Privileged Access Management (PAM)-Lösung Um Benutzerkonten zu schützen, gibt es jedoch Einschränkungen, wenn es um Dienstkonten geht. Dies liegt daran, dass der Zugriff auf Dienstkonten normalerweise durch die Ausführung von Skripts erfolgt, in denen ihre Anmeldeinformationen fest codiert sind. Das bedeutet, dass diese Passwörter nicht automatisch von a rotiert werden können PAM ohne Probleme zu verursachen (z. B. wenn sich ein Dienstkonto nicht mehr bei seinem Zielcomputer anmelden kann und dadurch ein kritischer Prozess unterbrochen wird).

    Ultraschall Silverfort Behebt Sicherheitslücken, um Ransomware zu stoppen

    Das Silverfort Einheitlicher Identitätsschutz Die Plattform wurde geschaffen, um diese blinden Flecken zu beseitigen. Durch die Konzentration auf den Ort, an dem die Benutzerauthentifizierung stattfindet (d. h. innerhalb des Identitätsanbieters), Silverfort kann die Echtzeitprävention von Identitätsbedrohungen auf alle Ressourcen ausweiten und die Verbreitung von Ransomware verhindern.

    Die Funktionsweise besteht darin, dass AD alle Authentifizierungen und Zugriffsversuche an weiterleitet Silverfort eine „zweite Meinung“ einzuholen, bevor eine Zugangsentscheidung getroffen wird. Einmal Silverfort Wenn das Unternehmen die Anfrage erhält, analysiert es es anhand seiner Risiko-Engine und der konfigurierten Richtlinien, um festzustellen, ob eine zusätzliche Sicherheitsüberprüfung – insbesondere MFA – erforderlich ist. Das bedeutet Silverfort ist praktisch protokollunabhängig: Solange sich ein Benutzer bei AD authentifiziert, kann diese Anfrage analysiert und ausgewertet werden, unabhängig davon, ob das verwendete Protokoll Kerberos, NTLM oder LDAP ist.

    Das Ergebnis ist das Silverfort kann MFA für jede Ressource erzwingen (entweder über einen eigenen Dienst oder über Integrationen mit einem beliebigen MFA-Anbieter) einschließlich der Befehlszeilenschnittstellen, die Angreifer ständig für laterale Bewegungen nutzen. Damit wird der erste blinde Fleck behoben, der zur Verbreitung von Ransomware führt.

    Silverfort kann auch alle Dienstkonten erkennen und schützen. Da die Plattform alle Authentifizierungen und Zugriffsanfragen sehen kann, kann sie schnell alle Konten identifizieren, die sich wiederholendes Maschinenlinienverhalten zeigen, und sie als Dienstkonten kennzeichnen. Außerdem, Silverfort kann eine „virtuelle Abschirmung“ für diese Konten bereitstellen, indem es ihnen erlaubt, sich nur mit bestimmten angegebenen Maschinen zu verbinden und MFA auszulösen (oder sogar den Zugriff zu blockieren), wenn diese Konten ein Verhalten zeigen, das von ihrer normalen Aktivität abweicht. Dies bedeutet, dass jeder Angreifer, der ein Dienstkonto kompromittiert hat, daran gehindert wird, seitliche Bewegungen auszuführen.

    All dies geschieht durch die Konfiguration spezifischer Zugriffsrichtlinien im Silverfort Plattform, was ein einfacher und intuitiver Prozess ist. Richtlinien zur Durchsetzung von MFA für schwer zu schützende Ressourcen wie Befehlszeilenzugriff, Dateifreigaben und Legacy-Anwendungen können sofort umgesetzt werden, und viele Unternehmen stellen fest, dass sie alle Dienstkonten innerhalb von Wochen und ohne Betriebsunterbrechung erkennen und schützen können.

    Kontaktieren Sie uns noch heute für ein Demo und sehen, wie Silverfort kann Ihrem Unternehmen dabei helfen, Ransomware zu stoppen.


    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    May 9th, 2024

    Silverfort Kündigt neue Integration mit Microsoft an Entra ID EAM 

    May 6th, 2024

    Verwendung von MITM zur Umgehung des FIDO2-Phishing-Schutzes

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt