Beruflich Dokumente
Kultur Dokumente
Cyber-
Bedrohungen
DDOS
DDOS
DDOS
www.wkiped
S
L
H
7
INVOICE
124!5
124!5 124!5
124!5
DDOS
DDOS
DDOS
Inhalt
Account-Übernahme...................................................................6 DNS Tunneling ....................................................................... 48 Schatten-IT....................................................................................... 92
Zusammen machen diese vier Herausforderungen eines deutlich: Sicherheit ist ein Datenproblem. Aus diesem Grund ist ein datenzentrierter Sicherheitsansatz
entscheidend. Denn dieser versorgt uns zur richtigen Zeit mit den richtigen Informationen. Und ermöglicht die gezielte Verbindung von Tools und Teams – trotz der Flut an
Warnungsmeldungen und der Komplexität. Der Schlüssel zum Erfolg jedes Unternehmens ist eine analysegestützte Lösung, die sich auf eine durchgängige End-to-End-
Transparenz und Machine Learning (ML) stützt. Diese fortschrittlichen Fähigkeiten vermitteln Ihnen nicht nur ein vollständiges Bild Ihrer Umgebung. Ebenso lassen sich
Prozesse weg von menschlichen Eingriffen und einfachen Diagnosen hin zu automatisierten sowie leistungsstarken Abwehrmechanismen verlagern.
Und wie soll das gelingen? Durch die gemeinsame Auswertung und Kontextualisierung riesiger Mengen hochkomplexer
Datensätze. Durch das schnellere Reagieren auf Bedrohungen mit Hilfe automatisierter Abläufe, um Benachrichtigungen
sichten bzw. Bedrohungen untersuchen und entsprechend darauf reagieren zu können. Durch das Entdecken anomalem
Verhaltens mit Hilfe von sofort einsatzbereiten ML-Modellen und -Algorithmen. All dies hilft Unternehmen, ihre Cyber-Resilienz
zu optimieren – also die Fähigkeit, Kompromittierungen oder Angriffen auf Cyber-Ressourcen zuvorzukommen und sich auf
etwaige Bedrohungen einzustellen. So können Sie die Sicherheitsprozesse in Ihre Unternehmen effektiver automatisieren und
es besser schützen, während Sie gleichzeitig Wachstum und Innovation weiter vorantreiben.
Wir bei Splunk sind begeistert von den Möglichkeiten, die in Daten stecken – für eine bessere und sicherere Zukunft. Doch
um dieses Ziel zu erreichen, müssen wir gewappnet sein. Wir müssen wissen, womit wir es zu tun haben – das gilt auch
für die großen Bedrohungen, die sich zunehmend abzeichnen. Genau deshalb haben wir Ihnen in diesem Katalog
die aktuell relevantesten Cyber-Sicherheitsbedrohungen zusammengestellt. Damit Sie die verschiedenen
Arten von Angriffen besser erkennen, das Risiko mindern und den Schutz Ihres Unternehmen weiter
stärken können.
Gary Steele
President & CEO bei Splunk
lassen. Denn allein in diesem zuträglich ist. Zudem fehlt ein In diesem Kontext bedeutet Resilienz:
Zeitraum hat sich mehr getan, umfassender Einblick in dringend Flexibilität. Schnell. Vorbereitet. Proaktiv.
Resiliente Unternehmen besitzen in der Regel
als es viele Sicherheitsexperten benötigte Daten, um die größten
eine starke Daten- und Technologiebasis,
in ihrer gesamten Laufbahn bis Bedrohungen überhaupt dank der sie schnell auf alles reagieren
2020 erlebt haben. Fakt ist: Die verstehen zu können. können, mit dem sie konfrontiert werden.
Resiliente Sicherheitsteams stellen Cyber-
Herausforderungen, mit denen Sicherheitslösungen bereit, um jeden
wir konfrontiert sind, sind größer Doch die Lage ist nicht Aspekt des Unternehmens zu schützen,
die Innovationskraft zu fördern und das
als jemals zuvor. aussichtslos. Zwar haben Unternehmen zu stärken. Sie gehen
es die meisten SecOps- Herausforderungen an, in dem sie Daten in
den Mittelpunkt all ihrer Handlungen stellen.
Die große Kündigungswelle Plattformen bisher versäumt, Mit dem Ergebnis, dass datenzentrierte
und die Burnout-Problematik das Thema Sicherheit als Security Operations das Risiko von
Datenschutzverletzungen, IP-Diebstahl und
haben die Lage noch verschärft. grundlegendes Datenproblem Betrug um bis zu 70 % senken können.
Und dass ausgerechnet zu anzugehen. Doch genau
Vorausgesetzt man weiß, nach welchen
einem Zeitpunkt, in dem die hier verbirgt sich zugleich Bedrohungen man überhaupt Ausschau
IT-Sicherheitsbranche dringend auch die größte Chance für halten sollte. Und genau hier setzt
dieses E-Book an. Auf der Grundlage
Spitzenkräfte finden und halten Sicherheitsexperten.
von Untersuchungen des Splunk Threat
sollte. Weil jene, die bisher Research Teams präsentieren wir Ihnen
Weil die Fähigkeit, eine resiliente auf den folgenden Seiten die 50 größten
noch nicht aufgegeben haben,
Cybersicherheitsreaktion aufzubauen, in Cyber-Sicherheitsbedrohungen, um Ihre
von mehr Warnmeldungen als direktem Zusammenhang mit der Quantität Sicherheitsprofis dabei zu unterstützen,
und Qualität der gesammelten, analysierten uns allen ein Gefühl von mehr Sicherheit zu
jemals zuvor überschwemmt
und implementierten Daten steht. geben.
Die 50 größten Cyber-Bedrohungen | Splunk 5
Account-
Übernahme
Die Übernahme eines Accounts gilt als eine der gefährlichsten und skrupellosesten Methoden, um auf den Account
eines Benutzers zuzugreifen. Dabei gibt sich der Angreifer in der Regel als echter Kunde, Benutzer oder Mitarbeiter aus
und verschafft sich so Zugang zu den Accounts jener Person, für die er sich ausgibt. Noch erschreckender ist, dass sich
Zugangsdaten von Nutzern aus dem Deep Web beschaffen und mit Hilfe von Bots oder anderen automatisierten Tools
bequem mit E-Commerce-Websites abgleichen lassen, um einen schnellen und einfachen Zugang zu ermöglichen.
Bekanntestes Opfer eines solchen Angriffs ist FitBit. Im Jahr 2015 spähten Hacker die Anmeldedaten von Kunden-
Accounts aus. Änderten die E-Mail-Adresse, mit der sich die jeweiligen Kunden registriert hatten. Und kontaktierten so den
Kundendienst mit einer Beschwerde über das Gerät, um sich im Rahmen der Garantie ein Ersatzgerät zusenden zu lassen.
Durch den Angriff auf das OPM wurden mehr als 4 Millionen Datensätze kompromittiert. Darunter Informationen über
derzeitige, ehemalige und künftige Mitarbeiter der Regierung sowie deren Familienangehörige. Auch ausländische
Kontakte und sogar psychologische Informationen gelangten damals unerlaubt in die Hände Dritter.
Dadurch sind Bedrohungen zu einem immer Es ist wichtig, auf Aktivitäten zu achten, bei
größeren Problem geworden. Weil sich diese denen es sich um verdächtiges Verhalten
gezielt Schwachstellen durch Konfigurations- innerhalb einer AWS-Umgebung handeln
und Bereitstellungsfehler zunutze machen. könnte. Weitere Aktivitäten, auf die geachtet
werden sollte, sind S3-Zugriffe von unbekannten
Begünstigt durch die Tatsache, dass Cloud-
Standorten und durch unbekannte Benutzer.
Technologien bei vielen Unternehmen schnell
eingeführt wurden und AWS-Kunden selbst für Unbedingt überwacht und kontrolliert
die Sicherung ihrer Umgebung verantwortlich werden solle auch, wer alles Zugriff auf die
sind. Problem dabei ist nur, dass es in Zukunft AWS-Infrastruktur eines Unternehmens hat.
immer mehr Bedrohungen geben wird, welche Die Erkennung verdächtiger Anmeldungen
die AWS-Kunden im Blick behalten müssen. bei der AWS-Infrastruktur bietet ideale
Ausgangspunkte für weitere Untersuchungen.
Nur so lassen sich Aktivitäten wie etwa
die missbräuchliche Nutzung aufgrund
kompromittierter Anmeldeinformationen
verhindern, die direkt zu monetären Kosten
führen können. Weil alle vom Angreifer erstellten
EC2-Instanzen den Benutzern in Rechnung
gestellt werden.
124!5 124!5
124!5
Credential Stuffing
DDOS
DDoS-
DDOS
Angriff
Einer der bisher größten – und vielleicht auch bedeutendsten – DDos-Angriffe (Distributed Denial-of-Service) erfolgte im Jahr
2018 gegen das beliebte Online-Codeverwaltungssystem GitHub. Damals wurde GitHub von einem Traffic-Ansturm getroffen,
welcher in der Spitze 1,3 Terabyte pro Sekunde betrug und 126,9 Millionen Pakete pro Sekunde verschickt wurden. Damit war der
DDoS-Angriff absolut rekordverdächtig.
Die Botmaster überschwemmten die Memcached-Server mit Fake-Anfragen. Was es ihnen wiederum ermöglichte, ihren
Angriff um das 50.000-fache zu verstärken. Und die gute Nachricht? GitHub wurde nicht völlig unvorbereitet getroffen. Weil die
Administratoren auf den Angriff aufmerksam gemacht wurden und die Seite innerhalb von 20 Minuten offline genommen werden
konnte.
DDOS
DDOS
DDOS
Was Wie Woher
Sie wissen der Angriff der Angriff
müssen: funktioniert: erfolgt:
Bei einem DDoS-Angriff handelt es sich Die Angreifer hinter einem DDoS-Angriff wollen Wie der Name schon sagt, erfolgen DDoS-
um den Versuch von Hackern, Hacktivisten in erster Linie ihr Ziel schädigen, Web-Eigentum Angriffe verteilt. Heißt konkret, der auf das
oder Cyberspionen, Websites lahmzulegen, sabotieren, den Ruf von Marken beschädigen Netzwerk des Opfers abzielende Traffic
Zielserver zu verlangsamen und zum Absturz und finanzielle Verluste verursachen. Indem sie stammt aus vielen verschiedenen Quellen.
zu bringen sowie Online-Dienste zu blockieren, die Benutzer am Zugriff auf eine Website oder
Dementsprechend können die Hacker ihre
indem sie diese mit Traffic aus vielen Netzwerkressource hindern.
Angriffe von jedem Ort der Welt ausführen.
verschiedenen Quellen überfluten.
DDoS nutzt hierfür Hunderte oder gar Darüber hinaus ist es aufgrund ihrer verteilten
Wie der Name schon verrät, handelt es sich bei Tausende infizierte „Bot“-Computer in aller Natur nicht möglich, diese Cyber-Attacken
DDoS-Angriffen um weit verteilte Brute-Force- Welt. Um eine maximale Wirksamkeit zu zu vereiteln, indem nur eine einzige Quelle
Angriffe mit dem Ziel, Chaos und Zerstörung erreichen, führen diese als Botnets bekannten gesichert oder blockiert wird.
anzurichten. Ins Visier geraten häufig populäre Armeen kompromittierter Computern den
oder hochrangige Websites von Banken, Angriff gleichzeitig aus.
Nachrichtenredaktionen oder Regierungen,
Hacker oder Hackergruppen, die all diese
um die jeweiligen Organisationen von der
infizierten Computer kontrollieren, sind
Veröffentlichung wichtiger Informationen
die Botmaster, die anfällige Systeme mit
abzuhalten oder sie finanziell zu schädigen.
Malware (oftmals Trojaner-Viren) infizieren.
Sind ausreichend viele Geräte infiziert,
gibt der Botmaster den Angriffsbefehl und
die Zielserver bzw. -netzwerke werden
mit Serviceanfragen bombardiert. Was sie
wiederum effektiv lahmlegt und ausschaltet.
DNS
Amplification
Im Februar 2022 starteten Hacker massive, verstärkte Distributed-Denial-of-Service-Angriffe per Mitel. Einem globalen
Anbieter von Kommunikationssystemen für Unternehmen. Der DDoS-Angriff richtete sich u. a. gegen Finanzinstitute, Breitband-
ISPs sowie Logistik- und Gaming-Unternehmen.
Da Angreifer das DDoS-Bombardement bis zu 14 Stunden mit einem rekordverdächtigen Verstärkungsfaktor von fast
4,3 Milliarden zu eins aufrechterhalten können, sind sie in der Lage, die Sprachkommunikation und andere Dienste ganzer
Unternehmen mit nur einem einzigen bösartigen Netzwerkpaket lahmzulegen.
DNS
Hijacking
An einem Donnerstagmorgen im Jahr 2017 wachten WikiLeaks-
Leser in der Erwartung auf, das neueste Staatsgeheimnis auf der
Whistleblowing-Website zu finden.
Was sie stattdessen entdeckten war die Nachricht eines Hackerkollektivs namens „OurMine“, in der verkündet wurde, dass
sie die Kontrolle der Domain übernommen hätten. Wikileaks-Gründer Julian Assange stellte auf Twitter schnell klar, dass es
sich danei nicht um einen herkömmlichen Hack, sondern um einen Angriff auf das Domain-Name-System (DNS) handelte.
DNS
Tunneling
Seit ein paar Jahren hat eine Hackergruppe namens OilRig
regelmäßig Angriffe auf verschiedene Regierungen und
Unternehmen im Nahen Osten durchgeführt. Unter Verwendung
einer Vielzahl an Tools und Methoden. Wesentliches Element
ihrer Bemühungen zur Störung des täglichen Betriebs und der
Datenexfiltration ist die Aufrechterhaltung einer Verbindung
zwischen ihrem Command & Control-Server und dem System, das
mit Hilfe von DNS Tunneling angegriffen wird.
Phishing
Payloads
Operation Phish Phry gilt als eines vom FBI geführten, größten Cyberverbrechen aller Zeiten – mit der höchsten Zahl von
Angeklagten, denen dasselbe Verbrechen zur Last gelegt wurde. Dieser Phishing-Payloads-Angriff löste eine multinationale
Untersuchung aus, zielte er doch auf Hunderte von Bank- und Kreditkartenkunden ab. Allesamt erhielten E-Mails mit Links
zu gefälschten, aber authentisch wirkenden Finanzwebseiten, wo sie ihre Kontonummern und Passwörter in gefälschte
Formulare eingeben sollten.
Spear
Phishing
Heutzutage haben es Spear Phisher nicht nur auf die großen Fische abgesehen, sondern machen sich auch Praktiken aus dem
Bereich der Romance Scams zunutze: Sie verleiten ihre Opfer nämlich mit attraktiven gefälschten Profilen dazu, Malware auf
ihre Computer herunterzuladen. 2021 wurde ein jahrelanger, gezielter Social-Engineering- und Malware-Angriff aufgedeckt, der
auf die bekannte Hackergruppe TA456 zurückgeht und der Verbindungen zum iranischen Staat nachgesagt werden. Mit dem
gefälschten Social Media-Profil „Marcella Flores“ baute TA456 eine romantische Beziehung zu einem Mitarbeiter einer kleinen
Tochtergesellschaft eines Rüstungsunternehmens im Luft- und Raumfahrtsektor auf. Einige Monate später nutzten die Hacker
diese Beziehung aus, indem sie eine große Malware-Datei über eine laufende E-Mail-Kommunikationskette des Unternehmens
verschickte. Sobald die Malware, LEMPO genannt, den Computer infiziert hatte, wurden Daten exfiltriert und hochsensible
Informationen an die Angreifer versendet. Gleichzeitig verwischte die Malware ihre Spuren, um unentdeckt zu bleiben.
Whale
Phishing
(Whaling)
Warum kleine Fische „phishen“, wenn man auch Wale fangen kann?
2020 musste der australische Hedgefonds Levitas Capital dies am eigenen Leib erfahren. Angreifer starteten damals einen heimlichen
Whaling-Angriff, der direkt auf einen der Gründer abzielte. Die Angreifer verschafften sich Zugang zum Netzwerk des Hedgefonds, indem
sie dem Vorstandsmitglied einen gefälschten Zoom-Link schickten. Per Klick wurde nicht nur eine Malware installiert. Der schädliche Code
ermöglichte es den Hackern auch, das E-Mail-Konto der Zielperson zu infiltrieren und gefälschte Rechnungen an den Treuhänder und den
externen Verwalter des Fonds zu senden. Dieser veranlasste und genehmigte so Bargeldtransfers in Höhe von 8,7 Millionen US-Dollar an
die Angreifer. Die gefälschten Rechnungen enthielten zudem eine Zahlungsaufforderung von 1,2 Millionen US-Dollar an die verdächtige
Privatkapitalgesellschaft Unique Star Trading. Das enorme Ausmaß der Verluste zwang das Unternehmen schließlich zur Geschäftsaufgabe.
Typosquatting
Noblox.js ist ein Wrapper für die Roblox-API, die von vielen Gamern genutzt wird, um Interaktionen mit der beliebten
Gaming-Plattform Roblox zu automatisieren. Die Software scheint aber auch für andere attraktiv zu sein. Im Jahr 2021
starteten Hacker Typosquatting-Angriffe über das noblox.js-Paket, indem sie verwirrend ähnliche, mit Ransomware
bestückte Pakete in eine Registry für Open-Source JavaScript-Bibliotheken hochluden. Anschließend wurden die
infizierten Dateien dann über einen Chat-Dienst verbreitetet. Seit September 2021 gehen Josh Muir und andere Gamer
aktiv gegen die Angreifer vor und versuchen, die Verbreitung von Ransomware durch das noblox.js-Paket und andere
Code-Bibliotheken zu verhindern und weitere Angriffe auf die Gaming-Community zu vereiteln.
Typosquatting
Bei der eingesetzten Technik handelt es sich Dann braucht der Angreifer nur noch zu Im Jahr 2018 wurde ein Watering-Hole-
im Grunde genommen um einen Zero-Day- warten, bis die Website erneut besucht Angriff auf Länderebene der chinesischen
Angriff. Mit dem Ziel, das Computersystem wird. Die inzwischen kompromittierte Bedrohungsgruppe „LuckyMouse“ (auch
zu infizieren, sich Zugriff auf das Netzwerk Website infiziert wiederum das Netzwerk bekannt als „Iron Tiger“, „EmissaryPanda“, „APT
zu verschaffen und so finanzielle Vorteile der Zielperson, wodurch der Hacker in 27“ und „Threat Group 3390“) zugeordnet.
oder geschützte Informationen zu erlangen. das System eindringen und von dort aus Diese ist dafür bekannt, mit Hilfe zahlreicher
auf andere Systeme zugreifen kann. Arten von Cyber-Attacken (z.B. Watering-
Hole-Angriffen) weltweit Regierungen sowei
Unternehmen im Energiesektor oder der
Fertigungsindustrie zu schaden.
Splunk, Splunk> und Turn Data Into Doing sind Marken und eingetragene Marken von Splunk Inc. in den Vereinigten Staaten und anderen Ländern.
Alle anderen Markennamen, Produktnamen oder Marken gehören den entsprechenden Inhabern. © 2022 Splunk Inc. Alle Rechte vorbehalten.