Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Angriff auf die Lieferkette: Darktrace erkennt Kompromittierung von Lieferanten-E-Mails

Dan Fein, Director of Email Security Products

Die Übernahme von Lieferketten-Konten und damit die Kompromittierung von Lieferanten-E-Mails stellt im Moment die größte Herausforderung für die E-Mail-Sicherheit dar. In letzter Zeit gab es eine Welle spektakulärer Angriffe auf Lieferketten, und aufgrund des Erfolgs dieser Methoden wird sich der Trend 2021 weiter verstärken. Traditionelle Sicherheitstools sind gegen solche Angriffe machtlos: Da die schädlichen E-Mails von vertrauenswürdigen Partnern und Lieferanten stammen, passieren sie ungehindert das Gateway.

Der jüngste SolarWinds-Cyberangriff hat gezeigt, welch verheerende Folgen die Kompromittierung einer Lieferkette haben kann. Geschäftspartnerschaften sind komplexer denn je, sodass ein einzelner Angriff Dutzende Unternehmen auf allen Ebenen einer globalen Lieferkette in Mitleidenschaft ziehen kann – von kleinen lokalen Unternehmen bis hin zu ganzen Ministerien.

In diesem Blogbeitrag geht es um einen betroffenen Lieferanten, über den schädliche E-Mails an einen Kunden geschickt wurden. Dieser hatte jedoch testweise Antigena Email installiert. Obwohl die E-Mails von einer vertrauenswürdigen Quelle stammten, erkannte die KI-basierte Technologie eine Veränderung im Verhalten, das von den bisherigen Verhaltensmustern des Absenders abwich. Als der Kontakt bemerkte, dass sein Konto kompromittiert worden war, und per E-Mail eine Warnung an seine üblichen Kontakte schickte, erkannte Antigena diese E-Mails als nicht schädlich. Nachdem der Angreifer jedoch weitere schädliche E-Mails über das Konto des Kontakts schickte, wurden diese E-Mails, die die anderen Sicherheitstools des Unternehmens nicht als Bedrohung registrierten, von Darktrace zurückgehalten.

Kompromittierung einer Lieferkette

Die Ausgangssituation war folgende: Das betroffene Unternehmen gehört zu den weltgrößten Getränkelieferanten mit rund 15.000 E-Mail-Nutzern. Seine globale Lieferkette erstreckt sich über viele Partner und vertrauenswürdige Lieferanten. Nachdem einer dieser Geschäftspartner kompromittiert worden war, verbreiteten Angreifer Phishing-E-Mails innerhalb der Lieferkette, um so viele Unternehmen wie möglich zu kompromittieren. Unser Getränkeproduzent war eines der Hauptziele.

Die Vertrauensbeziehung zum Geschäftspartner ist an den Tags von Antigena Email zu erkennen, mit denen die zuvor eingegangenen legitimen E-Mails des Lieferanten versehen worden waren.

Thu Mar 11 2021, 18:50:12
Re: Drinking Vendors
Alessandro Langedijk <[email protected]>
George Torde <[email protected]>
0%
Processed (unread)
Active Conversation
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Kurz nach Erhalt dieser legitimen E-Mail gingen eine Reihe neuer E-Mails von demselben Konto ein. Der Angreifer nutzte den echten E-Mail-Verkehr zu seinem Vorteil, umging erfolgreich andere Tools und mischte sich unter die legitime Kommunikation. Bei Lieferketten-Angriffen ist eine solche Tarnung der Schlüssel für eine erfolgreiche Kompromittierung.

Anhand subtiler Veränderungen im Verhalten des Absenders gegenüber den bisherigen Verhaltensmustern erkannte Darktrace, dass das Konto kompromittiert worden war (zu erkennen an den Tags „Out of Character“ und „Suspicious Link“).

Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Held
Out of Character
Suspicious Link
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History
Hold message
Lock all links
Move to Junk
Anomaly Indicators

The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.

The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.

Abbildung 2: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Die Darktrace KI erkannte mehrere Anomalien, zum Beispiel:

  • Herkunft der E-Mail und Anmeldeort für das Konto
  • Art der Links und deren Verbindung zum Unternehmen
  • Sprache und Intention des Nachrichtentexts

Solche extrem subtilen Abweichungen in der E-Mail-Korrespondenz lassen sich allein mit der intelligenten Herangehensweise von Darktrace erkennen, die auf unüberwachtem maschinellem Lernen basiert. Da die Darktrace KI weiß, wie der Benutzer üblicherweise mit seinen Kollegen und anderen Unternehmen interagiert, erkennt sie anormales Verhalten, das auf eine Kontoübernahme und Impersonation hindeutet.

Detaillierte Beschreibung des Angriffs: Zweifel an der Legitimität

In den E-Mails befand sich ein Link, der den Benutzer zu einem legitimen Online-Speicherdienst weiterleitete (canva.com), auf dem eine schädliche Payload gehostet wurde. Mit einer solchen Taktik versuchen Cyberkriminelle häufig, herkömmliche Sicherheits-Gateways zu umgehen. Diese übersehen nämlich schädliche Dateispeicher-Links bei ihren Reputationsprüfungen, wenn die Domains selbst legitim sind.

Antigena Email hingegen erkannte, dass diese E-Mail nicht in das übliche Muster passte, und kennzeichnete sie als 100% anormal. Die Abbildung unten zeigt drei der schädlichen E-Mails und ihre Bewertung auf Grundlage der Lernfähigkeit von Antigena Email. Die E-Mail ganz oben stammt von dem Lieferanten, der eine legitime Nachricht an das Unternehmen schickte, um es über die Kontokompromittierung zu informieren. Obwohl diese E-Mail kurz nach den schädlichen E-Mails eintraf, erhielt die E-Mail nur einen Bedrohungswert von 31% und es wurden keine Maßnahmen empfohlen. Das macht deutlich, wie wertvoll Antigena Email ist: Schädliche E-Mails werden gestoppt und unschädliche werden als solche erkannt und durchgelassen, sodass die legitime Kommunikation weiterhin reibungslos verläuft.

Wed Mar 17 2021, 16:09:48
Warning: Phishing Mail Active
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
31%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Elizabeth Walton <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
100%

Abbildung 3: Antigena Email kann zwischen regulärer Kommunikation und gefährlichen E-Mails unterscheiden

Antigena Email entschied, die E-Mails komplett von dem Posteingang fernzuhalten, und schützte damit den Empfänger vor potenzieller Solicitation bzw. dem Versuch, die Kommunikation auf einer unsichereren Plattform fortzuführen.

Blindes Vertrauen: Zunahme von Angriffen auf Lieferketten

In diesem Jahr werden wir sicherlich eine weitere Zunahme von Lieferketten-Angriffen beobachten. Cyberkriminelle konzentrieren sich auf die schwächsten Glieder und nehmen Partner und Lieferanten ins Visier, um sich Zugang zu Unternehmen zu verschaffen. Tatsächlich sind dieses Jahr sogar mehr Angriffe auf Lieferketten als auf Führungskräfte zu erwarten. Während das Management oft durch aufmerksame Sicherheitsteams geschützt wird, kann der Weg über Geschäftspartner sehr schnell in ein Unternehmen führen. Sicherheitsteams haben keinerlei Einblicke in die IT-Umgebungen von Geschäftspartnern und Gateways erkennen nur selten schädliche E-Mails, die von legitimen Quellen stammen.

Antigena Email ist die einzige Technologie für E-Mail-Sicherheit, die jede einzelne E-Mail im breiteren Kontext des Unternehmens und der bisherigen Interaktionen mit dem Absender untersucht. So werden anormale und gefährliche E-Mails gestoppt – egal wer sie sendet.

Erfahren Sie mehr darüber, wie Cyber-KI den Posteingang schützt: Lesen Sie das Whitepaper.

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.