{"id":5051,"date":"2022-06-09T15:56:50","date_gmt":"2022-06-09T15:56:50","guid":{"rendered":"https:\/\/network-king.net\/r4iot-neuer-ansatz-fuer-ransomware-angriffe\/"},"modified":"2022-06-09T15:59:04","modified_gmt":"2022-06-09T15:59:04","slug":"r4iot-neuer-ansatz-fuer-ransomware-angriffe","status":"publish","type":"articles","link":"https:\/\/network-king.net\/de\/r4iot-neuer-ansatz-fuer-ransomware-angriffe\/","title":{"rendered":"R4IoT: Neuer Ansatz f\u00fcr Ransomware-Angriffe"},"content":{"rendered":"\n

Wer denkt, er h\u00e4tte schon alles an Ransomware gesehen, liegt falsch. Die Vedere Labs von Forescout haben k\u00fcrzlich einen Bericht<\/a> ver\u00f6ffentlicht, der beschreibt, wie ein neuer Ransomware-Angriff Ger\u00e4te im Internet der Dinge (IoT) als Vektor f\u00fcr Eindringlinge ausnutzt. Das Labor sieht darin den n\u00e4chsten Schritt in der Entwicklung von Ransomware und hat f\u00fcr diesen neuen Ansatz den Namen \u201eRansomware for IoT\u201c, kurz R4IoT, gepr\u00e4gt. Die Studie beschreibt, wie sich Angreifer mithilfe von IoT-Ger\u00e4ten Zugang zu IT- und OT-Netzwerken verschaffen und sich seitlich durch diese bewegen, um den Betrieb zu st\u00f6ren.<\/p>\n\n\n\n

Der vom Labor durchgef\u00fchrte Proof of Concept zeigt, dass dieses neue Ransomware-Schema zwei Trends ausnutzt: die Verbreitung von IoT-Ger\u00e4ten in Unternehmen und die Konvergenz von IT- und OT-Netzwerken. Zun\u00e4chst dienen anf\u00e4llige Ger\u00e4te wie IP-Kameras oder NAS(Network-Attached Storage)-Instrumente als Zugangspunkt. Anschlie\u00dfend nutzen die Hacker die Konvergenz zwischen IT- und OT-Netzwerken aus, um OT-Ger\u00e4te quasi als Geiseln zu nehmen. Die Angriffskampagne erweitert sich dadurch um eine weitere Ebene \u2013 die Erpressung.<\/p>\n\n\n\n

Laut Forescout dies das erste Projekt, in dem ein kompletter Konzeptnachweis f\u00fcr Ransomware-Angriffe mit einer Kombination aus IT, OT und IoT erbracht wird \u2013 vom anf\u00e4nglichen Zugriff mithilfe von IoT-Ger\u00e4ten \u00fcber laterale Bewegungen in IT-Netzwerken bis hin zu den Auswirkungen auf OT-Systeme. Neben der Verschl\u00fcsselung umfasst der Proof of Concept f\u00fcr IT-Ger\u00e4te auch den Einsatz von Encryption-Mining-Software sowie die Datenexfiltration. Das folgende Video simuliert einen R4IoT-Angriff auf ein Krankenhaus \u00fcber eine Schwachstelle in der IP-Videokamera.<\/p>\n\n\n\n

\"\"\/<\/a><\/figure>\n\n\n\n

R4IoT: When Ransomware meets the Internet of Things – Forescout<\/a><\/p>\n\n\n\n

Der Bericht erkl\u00e4rt nicht nur, wie ein R4IoT-Angriff funktioniert, sondern erl\u00e4utert auch, wie sich die Wahrscheinlichkeit eines erfolgreichen Angriffs verringern l\u00e4sst. Au\u00dferdem zeigt er drei Aktionslinien auf, um die negativen Auswirkungen eines solchen Vorfalls abzumildern: (1) Identifizieren und sichern durch die Abfrage von Informationen \u00fcber anf\u00e4llige IoT- und OT-Ressourcen sowie die Priorisierung ihres Schutzes; (2) Erkennen und Verstehen der kritischen Ransomware-Taktiken, -Techniken und -Verfahren (TTP); und (3) Reagieren und Wiederherstellen durch die Umsetzung aktueller Richtlinien, Kontrollen und Reaktionspl\u00e4ne.<\/p>\n\n\n\n

Die Cyberangriffe auf IoT und OT sind Teil einer Entwicklung, die ihren Anfang in kriminellen Handlungen nahm: Hacker verschl\u00fcsseln ungefragt fremde Daten und drohen anschlie\u00dfend mit deren Ver\u00f6ffentlichung. In der Regel handelt es sich dabei um vertrauliche Informationen oder Kundendaten. Mittlerweile haben sich daraus nicht nur gro\u00df angelegte, schrittweise Erpressungskampagnen, sondern auch ausgekl\u00fcgelte Tools entwickelt, die als Service (RaaS) verkauft werden. Und die Entwicklung der Ransomware-Landschaft ist noch lange nicht abgeschlossen \u2013 denn den Aggressoren bleiben immer noch gro\u00dfe ungenutzte Angriffsfl\u00e4chen.<\/p>\n\n\n\n

F\u00fcr Forescout stellt sich R4IoT als innovativ dar, weil es die Ausnutzung von Schwachstellen in IoT- und OT-Umgebungen mit den herk\u00f6mmlichen Ransomware-Angriffskampagnen kombiniert. Dar\u00fcber hinaus birgt der neue Angriffstyp ein allumfassendes Potenzial in seiner Auswirkung auf OT-Netzwerke \u2013 denn er ist nicht auf eine bestimmte Vorgehensweise oder ein einzelnes Betriebssystem beschr\u00e4nkt, geschweige denn auf besondere Ger\u00e4te (z. B. in der Industrieautomation). Zudem erfordert die Variante weder Persistenz noch \u00c4nderungen der Firmware von Zielger\u00e4ten und funktioniert gro\u00dffl\u00e4chig auf Ger\u00e4ten mit Sicherheitsl\u00fccken im TCP\/IP-Stack.<\/p>\n\n\n\n

Laut dem Verizon Data Breach Investigations Report (DBIR) aus dem Jahr 2021 sind mehr als 80 Prozent der Hackerangriffe finanziell motiviert. Dabei sind Ransomware-Attacken derzeit die wichtigste Geldquelle f\u00fcr Cyberkriminelle.<\/p>\n\n\n\n

Modus operandi<\/h2>\n\n\n\n

Der Begriff Ransomware ist heute weit verbreitet \u2013 mehr als 1.000 Varianten wurden bisher identifiziert. Die Aufgabe, der sich das FBI in diesem Zusammenhang stellen muss, l\u00e4sst sich mit der, Herausforderung w\u00e4hrend der Terroranschl\u00e4ge vom 11. September 2001 vergleichen: Um die aktuelle Welle von Cyberangriffen aufzukl\u00e4ren, m\u00fcssen etwa 100 verschiedene Arten von Ransomware untersucht und Hacker in mehreren L\u00e4ndern aufgesp\u00fcrt werden.<\/p>\n\n\n\n

Jede Ransomware-Gruppe verh\u00e4lt sich dabei etwas anders und verwendet unterschiedliche Tools, Infrastrukturen und Erpressungsmethoden. Die Taktiken und Techniken, die bei den Angriffen eingesetzt werden, sind jedoch sehr \u00e4hnlich, erkl\u00e4rt Forescout.<\/p>\n\n\n\n

Im Allgemeinen gliedert sich ein Ransomware-Angriff in drei Phasen: Erstzugang, laterale Bewegung und Produktion von Impact. Den unberechtigten Zugang verschaffen sich die Angreifer in der Regel durch die Nutzung lokaler Softwareschwachstellen oder Angriffe auf Basis von Anmeldeinformationen (z. B. Brute Force). Laut Forescout bieten dabei vor allem Sicherheitsl\u00fccken in Perimeter-Ger\u00e4ten und -Diensten beliebte Zugangspunkte f\u00fcr die Aggressoren, beispielsweise VPNs und Cloud-Anwendungen. Phishing-Methoden mit b\u00f6sartigem Code sind ebenfalls g\u00e4ngige Invasions-Methoden.<\/p>\n\n\n\n

Nach einem erfolgreichen Eindringen stehen Ransomware-Akteuren drei Arten von Tools zur Verf\u00fcgung: solche, die Schwachstellen identifizieren und ausnutzen (Exploit-\/Pen-Testing-Frameworks wie CobaltStrike und Mimikatz), benutzerdefinierte Hacking-Tools (zunehmend weniger beliebt) und Windows-interne Tools, wie RDP, WMIC, net, ping und PowerShell. Diese kommen derzeit am h\u00e4ufigsten zum Einsatz, weil sie bereits verf\u00fcgbar und schwerer als b\u00f6sartige Elemente zu identifizieren sind. RDP wurde zum Beispiel bei 90 % der Angriffe im Jahr 2021 verwendet.<\/p>\n\n\n\n

Sobald sie die Rechner infiziert haben, k\u00f6nnen die Angreifer die Dateien verschl\u00fcsseln und Informationen abgreifen. In der Regel hinterlassen sie danach eine Textdatei, mit der sie die Opfer auf den Angriff hinweisen und Instruktionen zur Zahlung des L\u00f6segelds geben.<\/p>\n\n\n\n

Diese drei Schritte werden normalerweise nicht von ein und derselben Gruppe durchgef\u00fchrt. Heutzutage ist es \u00fcblich, dass ganze Gruppen von Hackern Ransomware-as-a-Service (RaaS) anbieten. Diese entwickeln gemeinsam das Verschl\u00fcsselungssystem, geben es an ihre Partner weiter und erhalten schlie\u00dflich einen Teil des L\u00f6segelds. Auf der anderen Seite verkaufen sogenannte Initial Access Brokers (IABs) gezielt den Zugang zu Netzwerken \u2013 meist in Form von g\u00fcltigen Login-Daten oder Rechnern, die mithilfe von Malware kompromittiert wurden. Andere klandestine Gruppen bieten Hosting-Dienste f\u00fcr die Verbreitung von Schadsoftware sowie Befehls- und Kontrollserver an.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wer denkt, er h\u00e4tte schon alles an Ransomware gesehen, liegt falsch. Die Vedere Labs von Forescout haben k\u00fcrzlich einen Bericht ver\u00f6ffentlicht, der beschreibt, wie ein neuer Ransomware-Angriff Ger\u00e4te im Internet der Dinge (IoT) als Vektor f\u00fcr Eindringlinge ausnutzt. Das Labor sieht darin den n\u00e4chsten Schritt in der Entwicklung von Ransomware und hat f\u00fcr diesen neuen…<\/p>\n","protected":false},"featured_media":5048,"comment_status":"closed","ping_status":"closed","template":"","format":[],"category":[47],"tags":[],"company":[],"topic":[],"class_list":["post-5051","articles","type-articles","status-publish","has-post-thumbnail","hentry","category-cybersecurity"],"acf":[],"_links":{"self":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles\/5051","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/articles"}],"about":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/types\/articles"}],"replies":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/comments?post=5051"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media\/5048"}],"wp:attachment":[{"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/media?parent=5051"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/category?post=5051"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/tags?post=5051"},{"taxonomy":"format","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/format?post=5051"},{"taxonomy":"company","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/company?post=5051"},{"taxonomy":"topic","embeddable":true,"href":"https:\/\/network-king.net\/de\/wp-json\/wp\/v2\/topic?post=5051"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}