Angriff auf die Lieferkette: Darktrace erkennt Kompromittierung von Lieferanten-E-Mails

Die Übernahme von Lieferketten-Konten und damit die Kompromittierung von Lieferanten-E-Mails stellt im Moment die größte Herausforderung für die E-Mail-Sicherheit dar. In letzter Zeit gab es eine Welle spektakulärer Angriffe auf Lieferketten, und aufgrund des Erfolgs dieser Methoden wird sich der Trend 2021 weiter verstärken. Traditionelle Sicherheitstools sind gegen solche Angriffe machtlos: Da die schädlichen E-Mails von vertrauenswürdigen Partnern und Lieferanten stammen, passieren sie ungehindert das Gateway.
Der jüngste SolarWinds-Cyberangriff hat gezeigt, welch verheerende Folgen die Kompromittierung einer Lieferkette haben kann. Geschäftspartnerschaften sind komplexer denn je, sodass ein einzelner Angriff Dutzende Unternehmen auf allen Ebenen einer globalen Lieferkette in Mitleidenschaft ziehen kann – von kleinen lokalen Unternehmen bis hin zu ganzen Ministerien.
In diesem Blogbeitrag geht es um einen betroffenen Lieferanten, über den schädliche E-Mails an einen Kunden geschickt wurden. Dieser hatte jedoch testweise Antigena Email installiert. Obwohl die E-Mails von einer vertrauenswürdigen Quelle stammten, erkannte die KI-basierte Technologie eine Veränderung im Verhalten, das von den bisherigen Verhaltensmustern des Absenders abwich. Als der Kontakt bemerkte, dass sein Konto kompromittiert worden war, und per E-Mail eine Warnung an seine üblichen Kontakte schickte, erkannte Antigena diese E-Mails als nicht schädlich. Nachdem der Angreifer jedoch weitere schädliche E-Mails über das Konto des Kontakts schickte, wurden diese E-Mails, die die anderen Sicherheitstools des Unternehmens nicht als Bedrohung registrierten, von Darktrace zurückgehalten.
Kompromittierung einer Lieferkette
Die Ausgangssituation war folgende: Das betroffene Unternehmen gehört zu den weltgrößten Getränkelieferanten mit rund 15.000 E-Mail-Nutzern. Seine globale Lieferkette erstreckt sich über viele Partner und vertrauenswürdige Lieferanten. Nachdem einer dieser Geschäftspartner kompromittiert worden war, verbreiteten Angreifer Phishing-E-Mails innerhalb der Lieferkette, um so viele Unternehmen wie möglich zu kompromittieren. Unser Getränkeproduzent war eines der Hauptziele.
Die Vertrauensbeziehung zum Geschäftspartner ist an den Tags von Antigena Email zu erkennen, mit denen die zuvor eingegangenen legitimen E-Mails des Lieferanten versehen worden waren.
Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email
Kurz nach Erhalt dieser legitimen E-Mail gingen eine Reihe neuer E-Mails von demselben Konto ein. Der Angreifer nutzte den echten E-Mail-Verkehr zu seinem Vorteil, umging erfolgreich andere Tools und mischte sich unter die legitime Kommunikation. Bei Lieferketten-Angriffen ist eine solche Tarnung der Schlüssel für eine erfolgreiche Kompromittierung.
Anhand subtiler Veränderungen im Verhalten des Absenders gegenüber den bisherigen Verhaltensmustern erkannte Darktrace, dass das Konto kompromittiert worden war (zu erkennen an den Tags „Out of Character“ und „Suspicious Link“).
The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.
The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.
Abbildung 2: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email
Die Darktrace KI erkannte mehrere Anomalien, zum Beispiel:
- Herkunft der E-Mail
- Art der Links und deren Verbindung zum Unternehmen
- Sprache und Intention des Nachrichtentexts
Solche extrem subtilen Abweichungen in der E-Mail-Korrespondenz lassen sich allein mit der intelligenten Herangehensweise von Darktrace erkennen, die auf unüberwachtem maschinellem Lernen basiert. Da die Darktrace KI weiß, wie der Benutzer üblicherweise mit seinen Kollegen und anderen Unternehmen interagiert, erkennt sie anormales Verhalten, das auf eine Kontoübernahme und Impersonation hindeutet.
Detaillierte Beschreibung des Angriffs: Zweifel an der Legitimität
In den E-Mails befand sich ein Link, der den Benutzer zu einem legitimen Online-Speicherdienst weiterleitete (canva.com), auf dem eine schädliche Payload gehostet wurde. Mit einer solchen Taktik versuchen Cyberkriminelle häufig, herkömmliche Sicherheits-Gateways zu umgehen. Diese übersehen nämlich schädliche Dateispeicher-Links bei ihren Reputationsprüfungen, wenn die Domains selbst legitim sind.
Antigena Email hingegen erkannte, dass diese E-Mail nicht in das übliche Muster passte, und kennzeichnete sie als 100% anormal. Die Abbildung unten zeigt drei der schädlichen E-Mails und ihre Bewertung auf Grundlage der Lernfähigkeit von Antigena Email. Die E-Mail ganz oben stammt von dem Lieferanten, der eine legitime Nachricht an das Unternehmen schickte, um es über die Kontokompromittierung zu informieren. Obwohl diese E-Mail kurz nach den schädlichen E-Mails eintraf, erhielt die E-Mail nur einen Bedrohungswert von 31% und es wurden keine Maßnahmen empfohlen. Das macht deutlich, wie wertvoll Antigena Email ist: Schädliche E-Mails werden gestoppt und unschädliche werden als solche erkannt und durchgelassen, sodass die legitime Kommunikation weiterhin reibungslos verläuft.
Abbildung 3: Antigena Email kann zwischen regulärer Kommunikation und gefährlichen E-Mails unterscheiden
Antigena Email entschied, die E-Mails komplett von dem Posteingang fernzuhalten, und schützte damit den Empfänger vor potenzieller Solicitation bzw. dem Versuch, die Kommunikation auf einer unsichereren Plattform fortzuführen.
Blindes Vertrauen: Zunahme von Angriffen auf Lieferketten
In diesem Jahr werden wir sicherlich eine weitere Zunahme von Lieferketten-Angriffen beobachten. Cyberkriminelle konzentrieren sich auf die schwächsten Glieder und nehmen Partner und Lieferanten ins Visier, um sich Zugang zu Unternehmen zu verschaffen. Tatsächlich sind dieses Jahr sogar mehr Angriffe auf Lieferketten als auf Führungskräfte zu erwarten. Während das Management oft durch aufmerksame Sicherheitsteams geschützt wird, kann der Weg über Geschäftspartner sehr schnell in ein Unternehmen führen. Sicherheitsteams haben keinerlei Einblicke in die IT-Umgebungen von Geschäftspartnern und Gateways erkennen nur selten schädliche E-Mails, die von legitimen Quellen stammen.
Antigena Email ist die einzige Technologie für E-Mail-Sicherheit, die jede einzelne E-Mail im breiteren Kontext des Unternehmens und der bisherigen Interaktionen mit dem Absender untersucht. So werden anormale und gefährliche E-Mails gestoppt – egal wer sie sendet.
Erfahren Sie mehr darüber, wie Cyber-KI den Posteingang schützt: Lesen Sie das Whitepaper.