Technologie
Produkte
Branchen
Aktuelles
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Branchen
Aktuelles
Blog
Infomaterial
Unternehmen

Darktrace deckt auf: Siemens-Impersonation kostet eine akademische Einrichtung 60.000 US-Dollar

Dan Fein, Director of Email Security Products

Einleitung

Viele Organisationen holen sich erst KI-Verstärkung für ihre E-Mail-Sicherheit, nachdem sie Opfer eines schädlichen Angriffs geworden sind. Dies war vor kurzem der Fall bei einer akademischen Einrichtung in der APAC-Region. Das Institut fühlte sich damals rundum sicher, mit Spam-Schutz, URL-Schutz und dem kompletten Mimecast-Paket für die E-Mail-Infrastruktur. Man wollte dort aber gerne wissen, wie Cyber-KI die Posteingänge schützen könnte, und vereinbarte einen Termin mit uns.

Zwei Tage vor dem Termin wurde die Einrichtung angegriffen – und zwar mittels kompromittierter Geschäfts-E-Mails. Ein Angreifer hatte die Kontrolle über ein internes Microsoft 365-Konto übernommen und schickte eine betrügerische Rechnung an die Buchhaltung der Einrichtung. Die Rechnung, die dezent abgeänderte Bankdaten enthielt, kam vorgeblich von Siemens, einem der weltweit führenden Unternehmen für Automatisierungstechnik. Da die Einrichtung mit Siemens eine langjährige Geschäftsbeziehung unterhielt, gelang der Angriff – und das Institut zahlte über 60.000 US-Dollar auf das Bankkonto des Angreifers.

Der Vorfall führte der Einrichtung nicht nur das Ausmaß und die Schwere von E-Mail-Angriffen vor Augen, sondern auch die Schwächen ihrer vorhandenen Sicherheitstools. Das Sicherheitsteam installierte daraufhin sofort Antigena Email. Als der Angreifer es eine Woche später erneut versuchte, konnte dieser Angriff von der KI abgewehrt werden, da diese in der Lage ist, hochkomplexe Angriffe zu stoppen, die andere Tools übersehen.

Gleichzeitig konnte mithilfe KI das ungewöhnliche Verhalten des kompromittierten SaaS-Kontos mit der verdächtigen E-Mail-Aktivität in Verbindung gebracht werden. Aufgrund diverser Modellabweichungen wies Darktrace dem Vorfall einen Anomaliewert von 73% zu und entschied eigenständig, die schädliche E-Mail zurückzuhalten. Im Folgenden wird der zeitliche Ablauf des Angriffs dargelegt und gezeigt, wie Darktrace den Angriff erkennen konnte, den andere Sicherheitstools übersehen hatten.

Patient Null: Die erste Kompromittierung

Darktrace erkannte erste Unregelmäßigkeiten, als eine SaaS-Anmeldung von einer ungewöhnlichen IP-Adresse in den Vereinigten Arabischen Emiraten erfolgte.

Di 21. April 04:15:40 (Ortszeit)

Dann erkannte Darktrace ein Verhalten, das im Allgemeinen mit der Kompromittierung von Geschäfts-E-Mails in Zusammenhang steht: die Erstellung einer Posteingangsregel, die dafür sorgen sollte, dass eingehende E-Mails des Lieferanten gelöscht und an den Bedrohungsakteur umgeleitet werden.

Di 21. April 05:04:21

Mi 22. April 16:51:14

Abbildung 1: Darktrace erkennt die anormale Posteingangsregel und weist der Aktivität einen Anomaliewert von 97–100% zu.

Diese initiale Kompromittierung führte zu einer ganz gezielten Spear-Phishing-Kampagne. Der Angreifer fand eine authentische E-Mail-Kette bezüglich einer Rechnung von der Domain siemens.com. Er machte sich den Ruf des vertrauenswürdigen Lieferanten zunutze, kopierte das Format der Rechnung und erstellte dann die Spoof-Domain „siemesm.com“ mit der Absicht, der Buchhaltung des Instituts eine neue Rechnung zu schicken. Er veränderte jedoch ein wichtiges Detail: die Bankverbindung.

Der Angreifer ging sehr sorgfältig vor. Bevor er den Angriff startete, schickte er eine Test-E-Mail an das kompromittierte Konto, um zu schauen, ob sie zugestellt wird. Wie unten zu sehen ist, wies Antigena Email dieser Aktivität einen Anomaliewert von 38% zu.

Die betrügerische Rechnung

Am nächsten Morgen setzte der Angreifer die gefälschte Korrespondenz zwischen dem neu erstellten Konto und Patient Null in Gang, bevor er eine neue Zahlungsaufforderung an die Buchhaltung schickte. Dieses Mal bat er um Zahlung von 78.000 US-Dollar. Auch hier erschien der E-Mail-Austausch völlig korrekt: von einem bekannten Lieferanten und mit Freigabe eines vertrauenswürdigen Kollegen.

Abbildung 2: Antigena Email erkennt die anormalen E-Mails. Das rote Symbol weist darauf hin, dass die E-Mails zurückgehalten und dem Empfänger nicht zugestellt wurden.

Hier sehen wir, dass Antigena Email dieses ungewöhnliche Verhalten zunehmend verdächtiger erscheint. Das markierte Symbol weist darauf hin, dass Antigena Email die Zustellung der beiden schädlichen E-Mails verhindert hat. Der hohe Anomaliewert kam nicht nur dadurch zustande, dass es zwischen den beiden E-Mail-Nutzern vorher noch nie einen Austausch gegeben hatte, sondern auch durch den Umstand, dass für das Konto am Tag zuvor E-Mail-Regeln erstellt worden waren. Darüber hinaus erkannte die Cyber-KI die E-Mail als Fake-Antwort: Es handelte sich um keine direkte Antwort auf die E-Mail, sondern um einen Versuch, diese nachzuahmen, indem Korrespondenz aus einer anderen E-Mail-Kette kopiert und eingefügt wurde.

Nachdem der Angreifer bemerkt hatte, dass der erste Angriff fehlgeschlagen war, nutzte er die als „Island Hopping“ bezeichnete Methode. Dabei wird die unternehmensweite Kontaktliste abgegriffen und davon ausgehend eine generischere Phishing-Kampagne an Dutzende von E-Mail-Nutzern im Unternehmen gestartet – in der Hoffnung, ihre Konten kompromittieren zu können.

Abbildung 3: Eine Auswahl der E-Mails, die über das Konto geschickt wurden, das im ersten Schritt kompromittiert wurde

Antigena Email stufte jede dieser E-Mails als 100% anormal ein und hielt sie alle zurück.

Es handelte sich hier um einen recht komplexen Angriff mit mehreren Phasen. Dennoch sind die oben beschriebenen Methoden alles andere als außergewöhnlich. Antigena Email stoppt tagtäglich Angriffe dieser Art in Hunderten von Unternehmen auf der ganzen Welt.

Mit der Integration von Cyber-KI in ihre E-Mail-Umgebung haben die Unternehmen nicht nur unübertroffenen Einblick in den internen und externen E-Mail-Traffic, sondern auch die Möglichkeit, gezielte und hochkomplexe Angriffe zu stoppen, bevor sie Schaden verursachen können.

Mehr über Antigena Email

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.