Angriffsziel Managed Service Provider

Managed Service Provider haben in kriminellen Kreisen einen prominenten Stellenwert erlangt. Durch die hohe Dichte an 
sensiblen Daten ihrer Kunden sind sie in Bezug auf das Schadenspotenzial durchaus mit kritischen Infrastrukturen zu vergleichen. [...]

Holger Suhl, Country Manager von ESET Deutschland, und der neue DACH-Channel-Chef Peter Neumeier.
Holger Suhl, Country Manager von ESET Deutschland, und der neue DACH-Channel-Chef Peter Neumeier. (c) ESET

Managed Service Provider (MSP) geraten immer häufiger ins Visier von Kriminellen, warnen die IT-Sicherheitsexperten von ESET. Der Hauptgrund dafür: Die Anbieter können Angreifern unabsichtlich als Einfallstor zu den Netzwerken und sensiblen Daten ihrer Kunden dienen. Neben dem Einsatz von Klassikern wie Malware und Phishing attackieren sie vor allem das Remote Desktop Protocol (RDP).

Die Attacken auf MSPs sind meist sehr zielgerichtet und technisch ausgefeilt. Kein Wunder, denn Managed Service Provider haben bei Kriminellen deutlich an Beliebtheit gewonnen. Der Grund: Die hohe Dichte an sensiblen Daten verschiedener Kunden macht MSPs quasi zum Bestandteil der kritischen Infrastruktur – zumindest was das Schadenspotenzial betrifft. Für Systemhäuser und andere Anbieter von MSP-Leistungen heißt das laut ESET, dass sie sich auf immer mehr Infrastruktur-Attacken einrichten müssen. 

GrandCrab & Sodinokibi

Prominente Beispiele für derartige Angriffe sind GrandCrab und Sodinokibi, aber auch verschiedenartige Phishing-Angriffe. Mit GrandCrab schaffte es 2018 erstmals eine als Desktop-Trojaner konzipierte Ransomware, durch entsprechende Modifikation eine ernstzunehmende Bedrohung für MSPs zu werden. Nachdem sich die Programmierer von GrandCrab aus diesem kriminellen Projekt zurückzogen, schien es erst einmal ruhiger geworden zu sein. 

Doch dann wurde im Sommer 2019 der Trojaner Sodinokibi aktiv. Er nutzte die gleiche Sicherheitslücke wie zuvor GrandCrab und ist seitdem eine hohe Gefahr für Managed Service Provider. Die Ransomware nutzt eine Sicherheitslücke des Oracle WebLogic Servers. Wenn beispielsweise Java-Anwendungen von Systemhäusern im Zuge ihrer MSP-Aktivitäten verfügbar gemacht werden, können diese Schnittstellen Lücken für bestimmte Angriffsvektoren aufweisen. 61 Prozent der im Rahmen einer Umfrage von ESET befragten MSPs bezeichneten Lösegeldforderungen als eine der bislang größten Sicherheitsherausforderungen – und das aus gutem Grund. So hat die Ransomware Sodinokibi das Schutzschild der MSPs bei mindestens drei verschiedenen Gelegenheiten durchbrochen und Malware an ahnungslose Kunden verbreiten können.

Angriffsbeispiele

Im ersten Fall missbrauchten Hacker das Remote Desktop Protocol (RDP), um Zugang zu den Tools der MSP Fernüberwachung und -verwaltung („Remote Monitoring Management“, RMM) zu erhalten. Von diesem Standpunkt aus waren die Angreifer in der Lage, Client-Endpunktschutzlösungen zu deinstallieren und die Lösegeldforderung von Sodinokibi zu verbreiten. Im zweiten Fall geriet eine bei Zahnarztpraxen verbreitete Datensicherungslösung ins Visier. Trotz der Datensicherung der Zahnarztpraxen in Cloud-, Offline- und In-Office-Standorten gelang es Sodinokibi, die Daten der angeschlossenen Client-Systeme zu verschlüsseln, so dass die Kunden keinen Zugriff auf ihre Backups hatten. Schließlich kompromittierte Sodinokibi ein weiteres RMM-Tool und verschlüsselte Kundendaten in verschiedenen Netzwerken. Die Masche der Kriminellen war in jedem Fall die gleiche: Die Ransomware infizierte die Clients, indem sie die Dashboards zur Fernverwaltung ihrer MSPs gekapert hat.

Sodinokibi nutzt zusätzlich klassische Phishing-Wege, wie beispielsweise über E-Mails. Dabei werden in bestimmten Varianten der Malware Mitarbeiter aufgefordert, Links in Serviceprotokollen anzuklicken. Auf diese Weise wird die Ransomware dann in Client-Systeme eingeschleust und kann sich über die MSP-Anbindung im Data Center einnisten. Ziel ist die Durchführung einer sogenannten Remote Code Execution, um die befallenen Systeme zu verschlüsseln. Mit großem Erfolg, wie eine Umfrage von ESET zeigt. Demnach zählen Spam, Phishing-Mails und Lösegeldforderungen zu den größten Herausforderungen für die IT-Sicherheit der MSPs. Weiter entwickelte Varianten der Ransomware sind in extern gehosteten Exploit-Kits integriert, die die Webanwendungen der Seitenbesucher wie das JRE, MS Silverlight, JavaScript oder den Adobe Flash Player gezielt nach Schwachstellen durchsuchen. Jede entdeckte Lücke wird zum Einschleusen der Ransomware missbraucht. Für MSPs ein riesiges Problem: Sie müssen immer den genauen Überblick über alle beim Kunden eingesetzten Anwendungen und deren Versionierung behalten, damit sie solche Lücken frühzeitig erkennen zu können, so die ESET-Experten. 

Neuer Channel Sales Director 

Mit der Aufteilung in einen strategischen und operativen Vertrieb möchte ESET dem anhaltenden Wachstum im B2B-Segment Rechnung tragen. Im Bereich Channel- und Government-Vertrieb stellt sich das Unternehmen mit Hauptsitz in Bratislava deswegen neu auf. Peter Neumeier hat am 1. Juli 2020 die Leitung des ESET Channel-Vertriebs für die DACH-Region übernommen. Er gilt als fundierter Experte des Security-Business und bringt langjährige Vertriebs- und Führungskompetenz mit. Neumeier übernimmt die Position von Maik Wetzel, der als Direktor das neu geschaffene Ressort „Strategic Business Development“ verantwortet. In diesem bündelt das europäische Unternehmen seine Kompetenzen, um in vertikalen Märkten und im Government-Bereich seine Marktposition weiter auszubauen. „Maik Wetzel steht sinnbildhaft für das unglaubliche Wachstum, das ESET in den letzten Jahren hingelegt hat. Dank seines unermüdlichen Einsatzes und seiner Expertise entwickelte sich der damalige ESET-Distributor Datsec zur heutigen erfolgreichen ESET Deutschland GmbH. Im Tandem mit Peter Neumeiers Team werden wir die äußerst positive Entwicklung nun auch in neuen Märkten weiter vorantreiben“, sieht Holger Suhl, Country Manager von ESET Deutschland, positiv in die Zukunft.

Der studierte Betriebswirtschaftler Peter Neumeier wechselte vom Marktbegleiter Kaspersky, wo er zuletzt als Head of Channel den Partnervertrieb in Deutschland verantwortete.


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*