Welche Auswirkungen hat der nahezu flächendeckende Umstieg auf Homeoffice für die IT-Sicherheit? Was sind die größten Risiken und welche Bedrohungen lassen sich tatsächlich feststellen? Nicht erst seit Beginn der Pandemie untersucht das Incident Response Team von Varonis Systems, Inc. (NASDAQ:VRNS) aktuelle Bedrohungen und Trends in der Cybersecurity. In den letzten Wochen haben die Sicherheitsexperten festgestellt, dass sich die Muster von Angriffen und Warnmeldungen ändern, wenn Mitarbeiter verstärkt auf VPN-Verbindungen umsteigen und sich auf Cloud-basierte Anwendungen und Daten verlassen. Basierend auf diesen Erfahrungen haben sie die drei größten Bedrohungen für die Remote-Arbeit identifiziert, denen das Team seit Beginn der COVID-19-Pandemie begegnet ist.
VPN Brute-Force
Da so viele Menschen nun von zu Hause aus arbeiten, haben Angreifer nun eine größere Oberfläche, um einen Brute-Force-Angriff über das VPN durchzuführen. So berichtet der VPN-Anbieter NordVPN, dass allein zwischen Mitte und Ende März die weltweite Nutzung seiner Virtual Private Network-Technologie um 165 Prozent zugenommen hat. Angreifer verfügen somit über Hunderttausende neue Ziele. Brute-Force-Angriffe machen mittlerweile über 60 Prozent der Untersuchungen des IR-Teams von Varonis aus (vor der COVID-Krise lag dieser Wert bei 40 %), die meisten davon sind VPN- oder Active Directory-Authentifizierungsangriffe. Die Security-Spezialisten haben dabei festgestellt, dass Unternehmen die eingebauten Sperren und andere Einschränkungen der VPN-Konnektivität deaktivieren, um die Geschäftskontinuität aufrechtzuerhalten oder den IT-Aufwand zu reduzieren. Dies bedeutet, dass dieser Angriff eine überaus praktikable Option für Infiltrationen darstellt. Angreifer führen einen VPN-Brute-Force-Angriff durch, indem sie ein VPN-Portal ins Visier nehmen und es mit vielen Authentifizierungsversuchen unter Verwendung von vorab gesammelten Listen von Anmeldeinformationen „sprengen“ (Credential Stuffing). Wenn eine dieser Benutzername/Passwort-Kombinationen funktioniert, erhält der Angreifer Zugriff. Nicht nur das: Wenn das Ziel Single Sign-On (SSO) verwendet, verfügt dieser Angreifer auch über eine gültige Domänenanmeldung. Sehr schnell hat der Angreifer das Netzwerk infiltriert, kann mit der Domänenanmeldung eine Aufklärung beginnen und versuchen, die Privilegien zu erweitern.
Command and Control mittels Phishing
Durch die Pandemie erlebt mit Phishing ein alter Klassiker sein Comeback. Die Angreifer nutzen die Angst der Benutzer aus, um sie dazu zu bringen, auf bösartige Links zu klicken und Malware herunterzuladen. So haben Cyberkriminelle COVID-19-Karten erstellt und Websites eingerichtet, die vermeintlich medizinische Geräte verkaufen, Wundermittel anbieten, die jedoch Malware auf den Rechnern der Besucher installieren. Wenn man auf diese bösartigen Links klickt, wird die Payload des Angreifers heruntergeladen, und der Angreifer stellt eine Verbindung zu seinem Command and Control (C2)-Server her. Dann beginnt er mit der Aufklärung und Privilegienerweiterung, um sensiblen Daten zu finden und zu stehlen.
Man-in-the-Middle-Angriff/Umgehung der Multi-Faktor-Authentifizierung
Eine weitere Bedrohung für Mitarbeiter, die von Zuhause aus arbeiten, ist ein Man-in-the-Middle-Angriff. Die neuen Remote-Mitarbeiter sind möglicherweise nicht an die grundlegenden Arbeitsabläufe in Office 365 gewöhnt, so dass sie anfällig für gefälschte Anmeldebildschirme von Office 365 sind. Durch diese sind Angreifer in der Lage, Anmeldeinformationen und Authentifizierungstoken zu stehlen, um sich dann als dieser Benutzer auszugeben und sich von ihrem eigenen System aus anzumelden. Darüber hinaus ist es möglich, dass die Homeoffice-Nutzer unsichere Wi-Fi-Router verwenden, die von lokalen Angreifern leicht gehackt werden können: Ein Angreifer fängt dabei das Authentifizierungs-Token ab, das der Server an den Nutzer zurückschickt, und verwendet dieses Token dann, um sich von seinem Computer aus anzumelden. Sobald die Angreifer Zugang erhalten haben, können sie mit Hilfe von Malware einen C2-Angriff starten, versuchen, andere Benutzer mit Malware zu infizieren, oder direkt zur Aufklärung gehen, um nach sensiblen Daten zu suchen.
