Cyberangriffe auf Lieferketten betreffen zunehmend KMUs
Cyberangriffe auf die Supply Chain treffen KMUs besonders hart, wie Sophos in seinem Threat Report feststellt. Der britische Anbieter von IT-Security-Lösungen zeigt auf, wo die Gefahren in den Lieferketten lauern - und wie sich Unternehmen davor schützen können.
Das MDR-Team von Sophos hat im vergangenen Jahr vermehrt auf Fälle reagiert, in denen Unternehmen über die Supply Chain im Business und in der IT-Infrastruktur zum Opfer von Cyberangriffen wurden. In mehreren Fällen lagen die Schwachstellen in der Remote-Monitoring- und Management-Software (RMM) eines Dienstanbieters, wie Sophos mitteilt.
Die Angreifer nutzten dafür den RMM-Agent, der auf den Rechnern des anvisierten Opfers lief, um neue administrative Konten in dem angegriffenen Netzwerk zu erstellen und setzten dann kommerzielle Tools für Remote-Desktop, Netzwerkerkundung und Software-Einrichtung ein. Anschliessend installierten sie die LockBit-Ransomware.
Wie reagieren?
Für KMUs ist bereits die eigene Cybersicherheit in finanzieller wie auch personeller Hinsicht eine Herausforderung. Doch selbst bei ausreichendem Schutz bleiben externe Risiken bestehen. Angriffe, die vertrauenswürdige Software ausnutzen und die Option der Endpointschutz-Deaktivierung geben, sind besonders perfide. Deswegen sei es ratsam, sorgfältig und aufmerksam auf Warnungen der Systeme zu achten und zu überprüfen, ob der Endpoint-Schutz manipuliert oder deaktiviert wurde, schreibt Sophos.
Abgesehen von Schwachstellen in RMM-Software beobachtete der Anbieter von IT-Sicherheitslösungen auch eine Reihe von Fällen, in denen Angreifer anfällige Kernel-Treiber von älterer Software nutzten, die noch über gültige digitale Signaturen verfügten. Zudem verzeichnete Sophos mehrfach Einsätze von speziell erstellter Software, die betrügerisch erlangte digitale Signaturen verwendete – einschliesslich bösartiger Kernel-Treiber, die über das Windows Hardware Compatibility Publisher Program (WHCP) von Microsoft digital signiert wurden – um die Erkennung durch Sicherheitstools zu umgehen und Code auszuführen, der den Malware-Schutz deaktiviert.
Manipulierte Kernel-Treiber sind ein Problem
Kernel-Treiber arbeiten auf einer niedrigen Ebene des Betriebssystems und werden in der Regel vor anderer Software beim Starten des PCs geladen. Somit werden die Treiber oftmals bereits ausgeführt, bevor die Sicherheitssoftware startet. Die digitalen Signaturen fungieren sozusagen als Eintrittskarte. In allen Windows-Versionen seit Windows 10 Version 1607 müssen Kernel-Treiber eine gültige digitale Signatur haben, sonst werden sie von Windows-Betriebssystemen mit aktiviertem Secure Boot nicht geladen.
Treiber müssen allerdings nicht zwangsläufig bösartig sein, um ausgenutzt zu werden. Sophos beobachtete eigenen Angaben zufolge mehrere Fälle, in denen Angreifer auch Treiber und andere Bibliotheken aus älteren und sogar aktuellen Versionen von Softwareprodukten nutzten, um Malware in den Systemspeicher einzuschleusen.
Auch Microsoft-eigene Treiber kämen bei Angriffen zum Einsatz. Eine anfällige Version eines Treibers für das Microsoft-Dienstprogramm Process Explorer sei mehrfach von Ransomware-Betreibern verwendet worden, um Endpunktschutz-Produkte zu deaktivieren, schreibt Sophos. Im April 2023 berichtete der Anbieter über ein Tool namens AuKill, das diesen Treiber in mehreren Angriffen verwendete, um die Ransomware Medusa Locker und LockBit zu installieren.
Sophos empfiehlt KMUs folgende Schutzmassnahmen:
- konsequente Schulungen der Mitarbeiter
- Nutzung von Multi-Faktor-Authentifizierung auf allen nach aussen gerichteten Anlagen
- konstante Server-und Netzwerkhygiene (regelmässiges Patchen und Updaten)
- Migration schwer zu verwaltender Ressourcen wie Microsoft Exchange-Server auf SaaS-E-Mail-Plattformen
- Regelmässige Schwachstellenbewertungen und Penetrationstests
Übrigens: Die Sicherheit von Softwarelieferketten ist mit dem Cyberangriff auf Xplain auch in der Schweiz ein heiss diskutiertes Thema geworden. Was Behörden und Unternehmen tun müssen, um ihre IT abzusichern, erklärt Christian Folini, Security Engineer bei Netnea und Program Chair bei Swiss Cyber Storm, im Interview.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.