Der zweite Teil unserer Serie über die fortschreitende Professionalisierung der Angriffe auf IT-Systeme beschäftigt sich mit Veränderungen im Mindset der Angreifenden. Automatisierung, Kommerzialisierung und Cloudcomputing haben Ihre Spuren auch im typischen Profil von Cyber-Kriminellen hinterlassen, mit denen sich Admins und das Schwachstellenmanagement auseinandersetzen müssen. Entgegen gängiger Hollywoodklischees geht die Bedrohung durch Ransomware as a Service in der Regel nicht (mehr) von hochbegabten Script-Kiddies mit viel Zeit oder von anarchistischen Weltverbesserern im Hoodie aus. Auch nicht von hochqualifizierten und mit schier endlosen Ressourcen ausgestatteten Geheimdiensten.

Angriffe sind heute Auftragsarbeiten

Die gefährlichsten Angriffe heute arbeiten zunehmend „im Auftrag“, verfolgen also ein Geschäftsmodell und müssen sich dabei auch an Werten wie Effizienz oder Erfolgswahrscheinlichkeit orientieren. Genauso wie das Cloud-Computing fester Bestandteil der IT der meisten Unternehmen geworden ist, dient es mittlerweile auch Cyber-Kriminellen dazu, Angriffe zu automatisieren, zu organisieren und zu beschleunigen. Mit großem Erfolg: Ransomware ist zur größten Bedrohung erwachsen und bei Ransomware as a Service lassen sich Angriffe ganz einfach buchen.

Mehr und mehr Sicherheitsfachleute entwickeln gerade erst ein Verständnis für die Geschäftsmodelle der Angreifenden: Deren Logik unterscheidet sich kaum mehr von der anderer Unternehmen. Sie investieren die gleichen Ressourcen in die Entwicklung von Exploits und Tools und wollen den höchstmöglichen Return on Investment (ROI) erzielen. Deswegen achten sie häufig stark darauf, dass sich ihre Werkzeuge wiederverwenden lassen.

Angesichts begrenzter Ressourcen entwickeln Cyber-Kriminelle Exploits für weit verbreitete Technologien, die ein hohes Gewinnpotenzial für mehrere Ziele bieten.

Die Perspektive der Cyber-Kriminellen

Die Angreifenden haben sich organisiert, bestellt wird im Darknet, bezahlt via Bitcoin. Gewinnmaximiert, effizienzorientiert und professionell strukturiert: Die neue, wirtschaftlich orientierte Logik kann und muss aber auch ein Schlüssel zu besseren Abwehrmechanismen sein. Gerade wenn Security-Verantwortliche sich unter einer Lawine von Sicherheitswarnungen begraben sehen, ist es hilfreich, zu verstehen, wie Cyber-Kriminelle „ticken“.

Um die eigenen Systeme abzusichern, muss die Verteidigung jetzt umdenken und über den eigenen Tellerrand blicken. Die Logik der Cyber-Kriminellen hilft, die entscheidenden Signale zu entschlüsseln und Lücken zu schließen. David Wolpoff, CTO von Randori, hat in einem Blogbeitrag auf Threatpost sechs zentrale Fragen formuliert, die das Mindset der modernen Cyber-Kriminellen gut beschreiben:

  1. Welche nützlichen Informationen über ein Ziel lassen sich von außen erkennen?
  2. Wie wertvoll ist das Ziel für die Angreifenden?
  3. Ist das Ziel als leicht zu hacken bekannt?
  4. Welches Potenzial bieten Ziel und Umgebung?
  5. Wie lange wird es dauern, einen Exploit zu entwickeln?
  6. Gibt es einen wiederholbaren ROI für einen Exploit?

Je mehr Wissen Cyber-Kriminelle über eine Technologie oder eine Person in einem Unternehmen sammeln können, desto besser können sie die nächste Angriffsphase planen. Im ersten Schritt stellen sie so die Frage, wie detailliert sich das Ziel von außen beschreiben lässt. Je nach Konfiguration kann ein Webserver beispielsweise keine Serverkennung oder Servernamen und detaillierte Versionssnummern verraten. Ist die genaue Version eines verwendeten Dienstes und seine Konfiguration sichtbar, lassen sich präzise Exploits und Angriffe ausführen. Das maximiert die Erfolgschancen und minimiert zeitgleich die Entdeckungswahrscheinlichkeit und die Aufwände.

Nicht mehr wahllos

Das zunehmend wichtigere wirtschaftliche Interesse sorgt dafür, dass Cyber-Kriminelle Faktoren wie Aufwand, Zeit, Geld und Risiko stärker berücksichtigen müssen. Dementsprechend lohnt es sich nicht, wahllos Systeme anzugreifen oder auszuspähen. Angreifende klären heutzutage zuerst den potentiellen Wert, bevor sie handeln und konzentrieren sich auf vielversprechende Ziele wie VPNs und Firewalls, Anmeldedatenspeicher, Authentifizierungssysteme oder Remote-Support-Lösungen am Netzwerkrand. Die könnten sich als Generalschlüssel entpuppen und den Weg ins Netzwerk oder zu Anmeldeinformationen aufsperren.

Immer wieder tauchen Meldungen über kritische und brandgefährliche Schwachstellen auf, die offenbar niemand für Angriffe ausgenutzt hatte. Es klingt unglaublich, aber oft hat sich einfach niemand die Arbeit gemacht, für eine Schwachstelle einen Exploit zu programmieren. Moderne Cyber-Kriminelle folgen immer mehr dem Prinzip des Return on Investment und bedienen sich existierender Proof of Concepts (PoC).

Komplexität ist unerwünscht

So ergeben sich manchmal überraschende Erkenntnisse: Moderne Cyber-Kriminelle meiden wohldokumentierte Schwachstellen. Umfangreiche Untersuchungen und Analysen zu einer bestimmten Sicherheitslücke sind eher ein Indikator für unerwünschte Komplexität und Aufwand, den man möglichst gering halten möchte. RaaS-Hacker:innen fahnden nach verfügbaren Tools oder kaufen für ein bestimmtes Objekt bereits erstellte Exploits. Angreifende wollen sich unbemerkt in den von ihnen kompromittierten Systemen bewegen. Sie suchen sich also Ziele mit wenigen Abwehrmechanismen aus, wo Malware und Pivoting-Tools funktionieren, etwa Desktop-Telefone und VPN-Apps sowie andere ungeschützte Hardware. Viele Anwendungen dort sind mit oder für Linux erstellt, besitzen einen vollständigen Nutzungsbereich und verfügen über vertrauenswürdige, vorinstallierte Tools. Das verspricht, sie nach einem Exploit weiterhin nutzen zu können und macht sie umso attraktiver für Cyber-Kriminelle.

Überraschende Kosten-Nutzen-Rechnung

Ist das Ziel erst einmal anvisiert, gilt es für Angreifende Zeit, Kosten und Wiederverwendbarkeit einzuschätzen. Schwachstellenforschung (Vulnerabilty Research) geht hierbei auch über das bloße Aufdecken ungepatchter Geräte hinaus. Cyber-Kriminelle müssen beurteilen, ob die Kosten für die Recherche und Entwicklung der daraus resultierenden Tools im Verhältnis zum Gewinn nach einer Attacke stehen. Gut dokumentierte Software oder Open-Source-Tools, die leicht zu beschaffen und zu testen sind, bedeuten ein vergleichsweise leichtes Ziel.

Ebenfalls überraschend: Insgesamt spielt laut Wolpoff der Schweregrad einer Sicherheitslücke für Cyber-Kriminelle nicht die zentrale Rolle. Einen Angriff zu planen ist weit komplexer und erfordert wirtschaftliches Denken. Die Erkenntnis, dass auch die Gegenseite Kompromisse eingehen muss, hilft der Verteidigung von Cloud-Umgebungen, diese sinnvoll abzusichern. Alles, überall und jederzeit vor allen Angreifenden zu schützen ist illusorisch. Mehr wie sie zu denken, erleichtert aber die Priorisierung.

Im dritten Teil dieser Artikelserie dreht sich alles um die Frage, ob das Ransomware-as-a-Service-Modell auch ohne Bitcoin und Darknet möglich wäre und ob die beiden Technologien eigentlich in dem Kontext halten, was die Angreifenden versprechen.