Die sieben Schritte eines Cyberangriffs

Wenn Cyberangriffe in Film und Fernsehen stattfinden, gehen sie oft mit einem Knall los. In Wirklichkeit ist es aber eher ein Wimmern. Cyberkriminelle dringen selten ein – meistens sitzen sie still in Systemen, sammeln Informationen und sehen, was sie in die Finger bekommen könnten, bevor sie den richtigen Zeitpunkt für einen Angriff wählen.

Im Durchschnitt dauert es 277 Tage, um eine Datenschutzverletzung zu identifizieren und einzudämmen. Das ist viel Zuschauen und Warten. Lesen Sie weiter, um zu erfahren, wie sich ein Angriff entwickelt, und sehen Sie sich einige Beispiele aus der Praxis an.

So entfaltet sich ein häufiger Cyberangriff

Cybersicherheitsexperten verwenden oft ein 7-stufiges Modell namens Cyber Kill Chain (zuerst von Lockheed Martin Corp. eingeführt), um die Phasen eines Angriffs zu beschreiben. So sieht jede Phase in der Regel aus, auch wenn einige Angriffe nicht diesem Muster folgen.

1. Erkundung
   Bedrohungsakteure richten die für den Angriff erforderliche Infrastruktur ein (Tools, Taktiken usw.). Das kann den Einsatz eines Phishing-Kits beinhalten, um die Systeme der Zieleinheit auf Schwachstellen zu untersuchen, lohnenswerte Ziele innerhalb des Unternehmens zu ermitteln, Mitarbeiterdaten in sozialen Netzwerken zu sammeln und andere Informationen über das Unternehmen zu erfassen. Möglicherweise kaufen die Bedrohungsakteure in dieser Phase auch im Dark-Web geleakte Anmeldedaten des Unternehmens.
   
   
2. Bewaffnung
   Die Angreifer richten den Angriffsvektor und die Payload (z. B. Malware) ein, um Anmeldedaten zu sammeln oder eine Schwachstelle auszunutzen.
   
   
3. Durchführung des Angriffs
   Die Bedrohungsakteure starten den Angriff. Der Angriff könnte zum Beispiel über eine Phishing-E-Mail mit einem bösartigen Link zum Stehlen von Anmeldedaten oder eine E-Mail mit Malware im Anhang erfolgen. Der Angreifer könnte auch in ein System oder ein Virtual Private Network (VPN) eindringen.
   
   
4. Aufspüren von Sicherheitslücken
   Nach dem Eindringen suchen die Angreifer nach zusätzlichen Schwachstellen, die ausgenutzt werden können. Möglicherweise erweitern sie Berechtigungen, indem sie auf weitere Logins zugreifen, die Umgebung abbilden oder neue Systeme kompromittieren.
   
   
5. Installation
   Die Angreifer übernehmen die Kontrolle, indem sie zusätzliche Malware, Trojaner für Fernzugriff oder Hintertüren installieren.
   
   
6. Fernsteuerung
   Durch Einrichtung einer C2-Verbindung können Angreifer das System oder die Identität aus der Ferne steuern, um weitere Anweisungen zu geben, den Zugriff auszuweiten und neuen Zugriff für zukünftige Angriffe zu erstellen.
   
   
7. Aktionen
   In dieser abschließenden Phase erreichen die Eindringlinge ihr eigentliches Ziel. Wenn sie beispielsweise Daten stehlen möchten, beginnen sie ggf. damit, Daten auf einem Staging-Server zu sammeln und dann auszuschleusen.

„Unsere besten Werkzeuge sind unser Ruf und unsere Beziehungen. Eine Datenschutzverletzung ist nicht nur eine Sicherheitslücke. Sie könnte auch das Vertrauen brechen, das wir so mühsam für unseren Namen aufgebaut haben.“

Chelsea Richardson
Principal, Vice President bei JD+A

Cyberangriffe in der Praxis mit gefährdeten Anmeldedaten

Uber (September 2022)

Ein Hacker, der behauptet, 18 Jahre alt zu sein, erhielt Zugriff auf mehrere kritische Uber-Systeme, einschließlich E-Mail, Slack und Quellcode. Der Angreifer verwendete die Anmeldedaten eines Auftragnehmers, die wahrscheinlich im Dark-Web erhalten wurden, zusammen mit Social Engineering, um die Person dazu zu bringen, eine 2-Faktor-Authentifizierungsanfrage (2FA) zu genehmigen. Während die vollen Auswirkungen des Angriffs noch einige Zeit nicht bekannt sein werden, hat der Ruf von Uber einen Schlag erlitten, zumal es nicht das erste Mal ist, dass die Systeme des Unternehmens kompromittiert wurden.

SolarWinds (Dezember 2020)

Ein ausgeklügelter Supply-Chain-Angriff, der die Sicherheit von Dutzenden von Organisationen im öffentlichen und privaten Sektor gefährdete, begann damit, dass Hacker Zugriff auf den Softwarecode von SolarWind erhielt. Der erste Zugriffspunkt wurde einem Praktikanten zugeschrieben, der das Passwort solarwinds123 verwendete, das Angreifer wahrscheinlich im Dark-Web erhalten haben. Die Angreifer, die monatelang unentdeckt blieben, fügten bösartigen Code in eines der Softwareupdates von SolarWind ein und gaben ihnen Zugriff auf renommierte Unternehmen und US-Regierungsbehörden.

Twitter (Juli 2020)

Eine Gruppe von Amateur-Hackern, angeführt von einem 17-jährigen Mastermind verwendete Social Engineering, um Twitter-Mitarbeiter dazu zu bringen, ihre Anmeldedaten preiszugeben. Sie erlangten die Kontrolle über ein internes Support-Tool für die Social-Media-Plattform und beschlagnahmten mehr als 130 Konten, darunter die von hochkarätigen Persönlichkeiten wie Elon Musk, Barack Obama, Bill Gates und Kanye West. Die Hacker twitterten eine Reihe von Nachrichten, die für ein Bitcoin-System worben und den Ruf von Twitter schädigten.

---

Kein Unternehmen ist 100% sicher vor einem Cyberangriff. Aber je mehr Sie Ihre Mitarbeiter darüber informieren, worauf Sie achten sollten und wie Sie sichere Passwortgewohnheiten praktizieren können, desto besser sind Sie gegen gängige Methoden und Angriffe wie diese aufgestellt.