Unit 42, die Forschungsabteilung von Palo Alto Networks, hat ihr neues White Paper mit dem Titel „Paper Credential-Based Attacks: Exposing the Ecosystem and Motives Behind Credential Phishing, Theft and Abuse” vorgestellt. Darin wird das Problem des Diebstahls von Zugangsdaten beschrieben. Unit 42 erforschte, wie Angreifer vorgehen, was sie mit den Anmeldedaten tun, sobald sie diese gestohlen haben und was Benutzer tun können, um derartige Angriffe zu verhindern.

Gültige Anmeldeinformationen ermöglichen den Zugriff auf sensible Ressourcen. Cyberkriminelle stehlen immer häufiger Zugangsdaten und verwenden diese für ihre Zwecke. Indem sie die Identität von legitimen Benutzern annehmen, können sie auf die sensibelsten Informationen eines Unternehmens zugreifen, Daten auf Servern löschen und die Server so konfigurieren, dass sie nicht booten können oder andere schädliche Aktionen ausführen. Einige der kritischsten und schadenträchtigsten Angriffe gehen auf gestohlene Anmeldeinformationen zurück. Sowohl die Bedrohungsakteure von Shamoon 2 als auch Sofacy hatten sich gestohlenen Zugangsdaten zunutze gemacht.

Der Diebstahl kann auf verschiedene Weise passieren. Gängig sind das sogenannte Credential Phishing und die Verwendung von Malware wie Keyloggern sowie die Wiederverwendung von Passwörtern. Ein erfolgreicher Diebstahl führt letztlich zum Zugang und zur Authentifizierung. Angreifer könnten die Zugangsdaten dann für den Fernzugriff auf die Cloud-Ressourcen eines Unternehmens nutzen, die möglicherweise schwächer geschützt sind als Netzwerk-Ressourcen. Ebenso könnten sie sich im Unternehmensnetz seitwärts bewegen, sobald sie sich einmal Zugang verschafft haben. Bei den anspruchsvollsten Angriffen können diese Aktionen miteinander kombiniert werden. Dabei nutzen die Angreifer manchmal gestohlene Zugangsdaten gleich mehrerer Mitarbeiter, um in Netzwerke einzudringen, sich darin zu bewegen, Privilegien zu nutzen und dann auf Daten zuzugreifen und diese zu stehlen.

Die Möglichkeit der Prävention wird in diesem Zusammenhang allzu oft übersehen. Unternehmen sollten ihre Arbeitskräfte dafür sensibilisieren und durch Weiterbildung dafür sorgen, dass die Benutzer Phishing- und Spam-Angriffe besser erkennen. Ebenso empfiehlt sich die Nutzung von Passwort-Managern, um einzigartige, komplexe Passwörter für jeden Bereich einfach zu verwalten. Die Technologie für Authentifizierung ist auch dabei, aufzuholen: Die jüngsten Fortschritte in der Zwei-Faktor-/Multifaktor-Authentifizierung (2FA/MFA) und bei den Einmal-Passwörtern (OTP) stellen die besten langfristigen Ansätze zur Vermeidung von Zugangsdaten-Diebstahl dar.

Das neue White Paper von Palo Alto Networks steht als Download zur Verfügung.

Download