Déjà-vu bei Move-IT?

Vor fast genau einem Jahr im Mai und Juni 2023 stand Move-IT ganz oben in den IT-Security-Schlagzeilen. Auch damals ging es um Schwachstellen. Auch damals gab es schnell Angriffe. Auch damals warnte das BSI davor und riet den betroffenen Kunden, schnellstmöglich zu aktualisieren. Ist das ein Déjà-vu? Oder hat beim BSI einfach jemand die Jahreszahl verwechselt? [...]

Richard Werner, Security Advisor bei Trend Micro. (c) Trend Micro
Richard Werner, Security Advisor bei Trend Micro. (c) Trend Micro

Weder noch. Und wenn man sich näher mit dem Vorgehen von Tätern im Zusammenhang mit Sicherheitslücken befasst, kann man auch nicht behaupten, dass dies ungewöhnlich ist. Cyberkriminelle sind Pragmatisten. Einmal erfolgreiche Geschäftsmodelle werden nachgemacht. Je mehr Aufmerksamkeit ein Cyberangriff in ihren Kreisen verursacht, desto höher die Lust nachzueifern. Und der Move-IT-Angriff von 2023 hatte es in sich. Die Verursacher, eine Untergrundorganisation namens „Clop“ (wahlweise mit o oder 0), stahlen Daten von (nach aktuellsten Erkenntnissen) etwa 1.000 Unternehmen, darunter viele aus dem Bereich des Finanzwesens und der Energiebranche. Über Wochen gab es Nachrichten dazu, weil immer wieder Firmen erklärten, nun auch betroffen zu sein. Und es floss Geld.

Nach Untersuchungen der Firma Chainalysis waren das Millionen. Wofür? Offenbar gibt es bereitwillige Zahler, die entweder verhindern wollen, dass andere in den Besitz dieser Daten kommen oder im Gegenteil, Käufer, die gerne diese Daten möchten. Es sollte deshalb niemanden überraschen, dass eine Möglichkeit des Angriffes auf eine Schwachstelle bei Move-IT die „Schmeißfliegen“ der Branche anzieht. 

Schwachstellen als Geschäftsmodell

Im Jahr 2023 wurden mehr als 28.000 Schwachstellen mit einer CVE-Nummer beziffert. Für die Kriminalität haben diese eine unterschiedliche Bedeutung. Viele der Schwachstellen stecken in sehr exotischen Produkten… sie eignen sich fast ausschließlich in gezielten Angriffen. Die Mehrzahl ist nur mit komplexen technischen Mitteln verwendbar. Darauf haben die meisten Kriminellen keine Lust. Echte Arbeit ist nicht so ihr Ding – sonst müsste man nicht kriminell werden. Die spannendsten Schwachstellen sind in weit verbreiteten Produkten und einfach zu verwenden. Liegt so etwas vor, dann stürzt man sich drauf. Aber natürlich tun das auch alle anderen. Und nachdem auch bei Verbrechern Marktgesetze wie Angebot und Nachfrage eine Rolle spielen, wird je nach Anzahl der kriminellen Angreifer die Anzahl der verwundbaren „Kunden“ kleiner. Passiert das im „normalen Markt“ versucht man die Nachfrage zu steigern in dem man neue Funktionen anbietet und gleiches sehen wir auch hier. Je mehr Opfer die Schwachstelle geschlossen haben, desto größer die Nachfrage nach den neuen Funktionen, die den Hahn wieder aufdrehen. Und danach wird gezielt gesucht. Es ist also kein Wunder, dass wieder Move-IT im Fokus steht. 

Häufiger und schneller als man denkt

Ein Großteil der bereits genannten 28.000 Sicherheitslücken sind deshalb nicht unbedingt „neu“ im Sinne von „unvorhersehbar“. Werden Lücken geschlossen, weil sie als brandgefährlich gelten oder bereits von Angreifern genutzt werden, dann zählt Geschwindigkeit. Man schließt erstmal das nötigste und patcht nach, sobald dafür Luft ist, oder neue Angreifer es erzwingen. Für die offensivere Fraktion bedeutet das auch, dass für existierende Patches, eine gewisse Wahrscheinlichkeit besteht, mit modifizierten Angriffen durchzukommen. Und auch danach wird gesucht. Zunehmend häufiger findet sich dabei auf beiden Seiten künstliche Intelligenz. Sie ist noch nicht in der Lage eigenständig Angriffe zu entwickeln aber sie unterstützt, indem sie die dafür nötigen Prozesse beschleunigt. Ernstzunehmende Angriffe stehen deshalb oft nur Stunden nach Bekanntwerden einer Lücke zur Verfügung.

Das Katz-und-Maus-Spiel geht weiter und die eigentlichen Opfer, die Unternehmen, die diese Patche installieren müssen, kommen nicht mehr hinterher. Die so genannte „Meant Time to Patch“ (MTTP) – die durchschnittliche Zeit für das Ausrollen eines Patches liegt bei etwa 33 Tagen für Lücken, die als gefährlich eingestuft werden. Die Angriffsgeschwindigkeiten ist sogar bei „normalen“ Patchen – also solchen, die der betroffene Hersteller selbst findet und veröffentlicht – im Bereich von Stunden.

*Der Autor Richard Werner ist Security Advisor bei Trend Micro.


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*