Weltweite Kompromittierung von Cloud-Konten

Analyse und Überblick zu Brute-Force-Angriffen

In einer aktuellen Untersuchung haben Proofpoint-Forscher über sechs Monate hinweg massive Cloud-Angriffe beobachtet. Dabei wurden insbesondere ältere Protokolle und Datenbanken mit zuvor kompromittierten Anmeldedaten genutzt, um Brute-Force-Angriffe auf Cloud-Accounts schneller, effektiver und im größeren Maßstab umsetzen zu können.

Drei Trends sind besonders aufgefallen.

1. Angriffe auf Office 365- und G Suite-Cloud-Konten, die IMAP verwenden, lassen sich möglicherweise nur schwer mit Mehrfaktor-Authentifizierung abwehren, wenn diese Konten von mehreren Personen (beispielsweise bei info@ oder kundenservice@ Konten) genutzt werden.
2. Gezielte, intelligente Brute-Force-Angriffe nutzen typische Varianten von Benutzernamen und Kennwörtern, die bei früheren Datenpannen entwendet und jetzt in großen Anmeldedaten-Datenbanken gespeichert sind, um Konten zu kompromittieren.
3. Raffinierte Phishing-Kampagnen brachten die Empfänger dazu, ihre Anmeldedaten preiszugeben. Das eröffnete den Angreifern zusätzliche Einfallstore in Cloud-Accounts von Unternehmen.

Proofpoint analysierte mehr als 100.000 unbefugte Anmeldungen bei Millionen überwachten Cloud-Anwenderkonten. Das führte zu folgenden Erkenntnissen:

• 72 % der Mandanten wurden mindestens einmal von Bedrohungsakteuren angegriffen
• 40 % der Mandanten verzeichneten mindestens ein kompromittiertes Konto in der eigenen Umgebung
• Mehr als 2 % der aktiven Anwenderkonten wurden von Bedrohungsakteuren angegriffen
• 15 von 10.000 aktiven Anwenderkonten wurden erfolgreich von Angreifern kompromittiert

Das Hauptziel der Angreifer besteht häufig darin, durch Übernahme eines echten Cloud-Accounts sodann lateral im Unternehmen Phishing-Aktivitäten durchzuführen. Das ist insbesondere dann der Fall, wenn das ursprünglich kompromittierte Konto keine Berechtigung für Datenweitergaben oder Geldüberweisungen besitzt.

Wenn die Angreifer nach der Anmeldung Zugriff auf die E-Mail- und Kontaktinformationen des Anwenders in der Cloud erlangen, verbessert das ihre Chance, mit internem Phishing und BEC-Angriffen Brückenköpfe zu bilden und auszubauen. Diese lassen sich deutlich schwerer aufspüren als externe Phishing-Versuche. Mithilfe dieser vertrauenswürdigen Anwenderkonten starten die Angreifer teils auch externe Angriffe oder nutzen die Infrastruktur für umfassendere Angriffskampagnen aus.

Quellen von Brute-Force-Cloud-Angriffen

Die meisten unbefugten Anmeldungen gehen von nigerianischen IP-Adressen aus: 40 % aller erfolgreichen schädlichen Aktivitäten hatten hier ihren Ursprung. An zweiter Stelle kommt China mit 26 % der erfolgreichen Kontenkompromittierungen. Weitere Quellen erfolgreicher Angriffe waren die USA, Brasilien und Südafrika (Abb. 1).

Abb. 1: Relative Anzahl erfolgreicher schädlicher Anmeldungen

Von November 2018 bis Januar 2019 stieg die Zahl von Brute-Force- und Phishing-bezogenen Angriffen mit nigerianischen IP-Adressen um 65 %. Auch wenn bei diesen Angriffen nicht zwingend nigerianische Akteure beteiligt sind, decken sich die jüngsten Verhaftungen und Aktivitäten mit der weitverbreiteten Cyberkriminalität in der Region.

Brute-Force-Angriffe auf Cloud-Anwendungen werden gezielter und raffinierter

In unserer Untersuchung war IMAP das am häufigsten missbrauchte veraltete Protokoll. Mit diesem Authentifizierungsprotokoll kann unter bestimmten Umständen die mehrstufige Authentifizierung (MFA) umgangen werden:

• In Verbindung mit externen E-Mail-Clients, die keine moderne Authentifizierung unterstützen
• Bei Zielen, die Anwendungskennwörter nicht vollständig implementiert haben (eine Alternative zu MFA für nicht unterstützte Clients)
• Bei Angriffen auf gemeinsam genutzte E-Mail-Konten, bei denen MFA nicht aktiviert bzw. IMAP blockiert ist

Standardmäßig vermeiden diese Brute-Force-Cloud-Angriffe Kontosperrungen und erscheinen als isolierte fehlgeschlagene Anmeldungen, sodass sie nicht weiter auffallen.

• Etwa 60 % der Mandanten mit Microsoft Office 365 und G Suite wurden mit IMAP-basierten Password-Spraying-Angriffen attackiert.
• Ungefähr 25 % der Mandanten mit Office 365 und G Suite verzeichneten daraufhin eine erfolgreiche Kompromittierung.
• Die Bedrohungsakteure erreichten bei der Kompromittierung von Konten eines angegriffenen Unternehmens eine Erfolgsrate von 44 %

IMAP-basierte Password-Spraying-Kampagnen richteten sich im Rahmen der Analyse insbesondere gegen wertvolle Anwender wie Führungskräfte und ihre Assistenten.

• Im Durchschnitt wurden 10 % der aktiven Anwenderkonten bei angegriffenen Mandanten attackiert.
• 1 % der angegriffenen Anwenderkonten wurde erfolgreich kompromittiert.

Die Angreifer nutzten für ihre Attacken tausende gekaperte Netzwerkgeräte auf der ganzen Welt als Plattform, insbesondere anfällige Router und Server. Über einen Zeitraum von 50 Tagen hinweg erlangten diese Geräte im Durchschnitt aller 2,5 Tage Zugriff auf einen neuen Mandanten.

Die meisten IMAP-basierten Angriffe hatten ihren Ursprung in China (53 % aller erfolgreichen Schadaktivitäten), gefolgt von IP-Adressen in Brasilien (39 %) und den USA (31 %). Zu beachten ist dabei ferner, dass Angriffe während des untersuchten Zeitraums häufig aus mehreren Regionen durchgeführt wurden. Deshalb gibt es nicht unbedingt eine konsistente und direkte Korrelation zwischen dem Ursprung von Angriffen und der Nationalität der dahinterstehenden Bedrohungsakteure.

Effektivität IMAP-basierter Password-Spraying-Angriffe steigt nach Veröffentlichung kompromittierter Anmeldedaten-Pakete sprunghaft an

Abb. 2: Erfolgreiche Kontenkompromittierungen nach Monat im Zusammenhang mit IMAP-basierten Password-Spraying-Attacken

Betroffen sind Unternehmen in den verschiedensten Branchen und Ländern, aber sowohl der Schulsektor als auch höhere Bildungseinrichtungen scheinen für diese großvolumigen Angriffen besonders anfällig zu sein. 70 % aller Mandanten von Bildungseinrichtungen verzeichneten Kompromittierungen aufgrund IMAP-basierter Brute-Force-Angriffe. Mehr als 13 % der erfolgreichen Angriffe richteten sich gegen Bildungseinrichtungen, wobei die Angreifer versuchten leichtgläubige Studenten auszunutzen und nach wertvollen Daten wie wissenschaftlichen Forschungsergebnissen suchten. Viel häufiger werden diese leicht kompromittierbaren gekaperten Konten jedoch für Spam-Kampagnen genutzt, sodass die Auswirkungen dieser Angriffe weit über den Bildungssektor hinausgehen.

Phishing erlaubt laterale Bewegungen sowie hybride Cloud-Angriffe

Im Gegensatz zu Angriffen, die kompromittierte Daten ausnutzen, beginnen diese Attacken mit E-Mail-Phishing-Kampagnen. Anschließend nutzen die Bedrohungsakteure die gestohlenen Anmeldedaten zum Infiltrieren der Cloud-Anwendungskonten der kompromittierten Anwender. Wie unsere Forscher feststellten, verzeichneten mehr als 31 % aller Cloud-Mandanten nach erfolgreichen Phishing-Kampagnen Kompromittierungen.

Die meisten dieser Angriffe stammten von nigerianischen IP-Adressen (63 % aller erfolgreichen Schadaktivitäten), gefolgt von Infrastruktur in Südafrika (21 %) und VPN aus den USA (11 %). Manchmal nutzten die Angreifer Anonymisierungsdienste wie VPNs oder Tor-Nodes, um bedingte Zugriffsregeln und ortsbestimmte Authentifizierung zu unterlaufen. Bei diesen Angriffen kann auch das IMAP-Protokoll zum Einsatz kommen, was eine hybride Attacke ergibt.

Abb. 3: Schema eines typischen Phishing-Angriffs, bei dem Cloud-Konten kompromittiert und missbraucht werden

Nachdem die Bedrohungsakteure es geschafft haben, Cloud-Konten zu kompromittieren, versenden sie interne Phishing-Nachrichten über diese „vertrauenswürdigen“ Konten, um sich so lateral innerhalb des Unternehmens zu bewegen und weitere Anwender zu kompromittieren. Angreifer manipulieren häufig die E-Mail-Weiterleitungsregeln oder legen E-Mail-Delegierung fest, um den Zugriff aufrecht zu erhalten. Teilweise starten sie auch Man-in-the-Middle-Attacken. Sie nutzen zudem kompromittierte Konten, um Phishing-Angriffe auf Anwender in anderen Unternehmen durchzuführen, was als mandantenübergreifende Kontamination bezeichnet wird.

Auch wenn Unternehmen aller Branchen angegriffen wurden, ist – ebenso wie bei Password-Spraying-Attacken – der Bildungssektor am häufigsten von Phishing-bezogenen Angriffen betroffen: 15 % der erfolgreichen Attacken richteten sich gegen Anwender von Bildungseinrichtungen und insbesondere gegen Universitäts- und Hochschulstudenten.

Andere angegriffene Branchen waren der Einzelhandel, Finanzunternehmen sowie der Technologiesektor. In manchen Fällen attackierten die Angreifer die Lohnbuchhaltung des Unternehmens an, um Mitarbeitergehälter umzuleiten und auf Finanzdokumente zuzugreifen. Durchgängig wurden Rollen wie Vertriebsmitarbeiter, Geschäftsführer, kommerzielle Franchisenehmer, Projekt-Manager und Kundenbetreuer am häufigsten erfolgreich mit Phishing angegriffen.

Fazit

Diese Analyse von Brute-Force-Angriffen demonstriert die zunehmende Raffinesse von Bedrohungsakteuren auf der ganzen Welt. Sie setzen Brute-Force-Methoden, riesige Datenbanken mit Anmeldedaten sowie ausgeklügelte Phishing-Attacken ein, um Cloud-Konten in bisher ungeahntem Maße zu kompromittieren. Besonders anfällig waren Kundendienstkonten und gemeinsam genutzte Postfächer, wobei selbst Multifaktor-Authentifizierung keinen zuverlässigen Schutz bietet. Angreifer nutzen erfolgreiche Einbrüche für interne Phishing-Attacken, laterale Bewegung innerhalb des Unternehmensnetzwerks sowie für weitere Kompromittierungen bei vertrauenswürdigen externen Unternehmen. Zur Abwehr dieser wandlungsfähigen Bedrohungen, die mit immer größerem Erfolg Anwender-Cloud-Konten kompromittieren, müssen Unternehmen mehrstufige und intelligente Sicherheitsmaßnahmen wie Anwenderschulungen implementieren.