Ziel dieser Attacke ist es, durch automatisiertes Credential-Stuffing und Brute-Force-Angriffe Zugriff auf Unternehmensnetzwerke zu erhalten. Besonders betroffen sind Systeme mit Standard- oder schwachen Passwörtern sowie veralteter Software. Hier hilft nur eine klare Sicherheitsstrategie, kombiniert mit einer kontinuierlichen Analyse und Überwachung der externen Angriffsfläche eines Unternehmens.
Exponierte IT-Assets weisen hohes Risiko auf
Um solchen Bedrohungen effektiv zu begegnen, spielt External Attack Surface Management (EASM) eine Schlüsselrolle. Eine Analyse von Outpost24 in der DACH-Region hat gezeigt, dass über 20 Prozent der mehr als 20.000 analysierten exponierten IT-Assets kritische, sehr hohe oder hohe Risiken aufweisen. Besonders betroffen sind der Gesundheitssektor und die Pharmaindustrie. Solche Zahlen zeigen, dass die Angriffsfläche für Unternehmen ständig wächst und es zunehmend schwerer wird, alle Schwachstellen im Blick zu behalten – auch in Branchen, die mit sehr sensiblen Daten arbeiten.
Laut Borja Rodriguez, Manager of Threat Intelligence Operations bei Outpost24, deutet auch die jüngste Attacke auf eine Mirai-Variante hin: „Mirai und seine Abspaltungen sind bekannt dafür, IoT-Geräte durch bekannte Schwachstellen und Standardpasswörter zu kompromittieren. Die aktuell betroffenen Geräte – darunter MikroTik-, Huawei-, Cisco-, Boa- und ZTE-Router – werden dann Teil eines Botnets und für weitere Credential Stuffing, Brute-Force-Angriffe und DDoS-Attacken genutzt.“ Diese Entwicklung verdeutlicht, wie wichtig es ist, gefährdete Systeme frühzeitig zu erkennen und kontinuierlich zu überwachen, bevor sie kompromittiert werden.
Sperrung einzelner IP-Adressen reichen nicht aus
Angreifer setzen bei dieser Art von Angriffen auf eine hohe Verteilung der angreifenden IP-Adressen, um zu vermeiden, dass einzelne IP-Adressen blockiert werden. Stattdessen greifen sie von verschiedenen Geräten gleichzeitig auf Systeme zu. Dies zeigt, dass klassische Schutzmaßnahmen wie das Sperren einzelner IP-Adressen nicht ausreichen. Unternehmen müssen hier weiterdenken: Eine kontinuierliche Überwachung und Analyse ihrer Angriffsfläche ist essenziell, um unbekannte Schwachstellen zu entdecken, bevor diese von Angreifern ausgenutzt werden können.
Brute-Force-Angriffe sind zwar oft wenig ausgefeilt sind, die aktuelle Angriffswelle jedoch eine gut organisierte und zielgerichtete Kampagne darstellt. Ein Netzwerk aus 2,8 Millionen kompromittierten Geräten ermöglicht es den Angreifern, binnen kürzester Zeit enorme Mengen an Passwortkombinationen zu testen. Dabei ist der Angriff nicht auf das schnelle Eindringen in ein einzelnes System ausgerichtet, sondern auf das Ermitteln zahlreicher gültiger Benutzernamen-Passwort-Paare, die später für weitere Angriffe genutzt oder verkauft werden.
Kommentare