Technologie
Produkte
Infomaterial
Unternehmen
Deutsch
Technologie
Produkte
Blog
Infomaterial
Unternehmen

Wie ein Fehler von Mimecast zu einer weitreichenden E-Mail-Kompromittierung führte

Dan Fein, Director of Email Security Products

In den letzten Jahren haben E-Mail-Angriffe zugenommen und sie werden immer raffinierter. Wir haben es immer häufiger mit sorgfältig geplanten und überzeugenden Impersonation-Identitätsangriffen und feindlichen Kontoübernahmen zu tun. Die Komplexität dieser Angriffe hat vor allem 2020 stark zugenommen, weil sich in der Kommunikation vieles um die Pandemie drehte und immer mehr Unternehmen neue Arbeitsformen einführten – der perfekte Nährboden für E-Mail-Angriffe.

In dieser Bedrohungslandschaft übersehen traditionelle E-Mail-Tools solche neuartigen, heimtückischen Fake-E-Mails – weil sie nur auf Regeln basieren, die anhand von Erkenntnissen zu früheren Kampagnen erstellt wurden.

In diesem Beitrag geht es um ein australisches Logistikunternehmen, das Mimecast in seiner Microsoft 365-Umgebung nutzte, dann aber auf einen Autonomous-Ansatz für E-Mail-Sicherheit umstieg, nachdem die KI von Darktrace eine schädliche E-Mail erkannt hatte, die von allen anderen Tools für unschädlich gehalten wurde.

Das Unternehmen war dabei, Antigena Email zu testen. Die Technologie war jedoch im passiven Modus installiert und nicht für ein aktives Eingreifen konfiguriert. Das E-Mail-Dashboard zeigt aber, welche Maßnahmen Antigena Email ergriffen hätte – und was passiert, wenn man sich nur auf Gateways verlässt, um komplexe Bedrohungen zu stoppen.

Ohne eine KI-gestützte Abwehr musste sich der Angreifer lediglich Zugriff auf das E-Mail-Konto eines Mitarbeiters verschaffen, schon konnte er sich unbehelligt im Unternehmen umschauen. Der Angreifer griff auf verschiedene sensible Dateien zu und sammelte Daten zu Mitarbeitern und Kreditkartentransaktionen. Dann fing er an, mit anderen Personen im Unternehmen zu kommunizieren und schickte über zweihundert weitere E-Mails, um noch mehr Mitarbeiterkonten unter seine Kontrolle zu bekommen. Diese Aktivität erkannte das Microsoft 365 SaaS-Modul von Darktrace in Echtzeit.

Details zum Angriff

Das Unternehmen wurde von einem Cyberkriminellen attackiert, der zuvor schon Konten bei Geschäftspartnern des Unternehmens gekapert hatte. Der Angreifer machte sich dieses Vertrauensverhältnis zunutze und schickte gezielt mehrere E-Mails von den Konten dieser Partner an das australische Unternehmen. Der Betreff folgte bei allen E-Mails demselben Muster („Angebotsanfrage für [Name des kompromittierten Unternehmens]“), und anscheinend sollten mit allen E-Mails Zugangsdaten abgegriffen werden.

Abbildung 1: Beispiel einer der schädlichen E-Mails, die von den gekaperten Konten gesendet wurde. Das rote Symbol zeigt an, dass Antigena Email diese E-Mails zurückgehalten hätte.

Jede dieser E-Mails enthielt eine schädliche Payload in Form eines Dateispeicher-Links (SharePoint), verborgen hinter dem unten zu sehenden Text. Der Angreifer wollte damit vermutlich die E-Mail-Link-Analyse umgehen. Mimecast schrieb den Link für die Analyse um, erkannte ihn aber nicht als schädlich.

Abbildung 2: Darktrace zeigt den Text, hinter dem der Link verborgen war.

Beim Anklicken führte der Link das Opfer zu einer gefälschten Microsoft-Anmeldeseite, auf der Zugangsdaten abgegriffen werden sollten. Die Fake-Seite sah genauso aus wie die echte Anmeldeseite. Die Zugangsdaten in Form von Benutzername (E-Mail-Adresse) und Passwort wurden direkt an den Angreifer geschickt, der sich dann Zugriff auf weitere Konten verschaffen konnte.

Abbildung 3: Die gefälschte Microsoft Anmeldeseite

Mehrere Mitarbeiter lasen die E-Mail, darunter auch der CEO. Aber anscheinend wurde nur das E-Mail-Konto einer einzigen Person, einem Geschäftsleiter, gekapert.

100%
Thu Aug 12 2020, 07:06:34
From:Andrew Jennings <[email protected]>
Recipient:Peter Saunderson <[email protected]>
RFP for Holdings Inc
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Hold Message
Double Lock Link

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche von Antigena Email

Etwa drei Stunden nach Öffnen der schädlichen E-Mail wurde eine anormale SaaS-Anmeldung bei dem Konto von einer IP-Adresse festgestellt, die in dem Unternehmen vorher noch nie benutzt worden war.

Die Open-Source-Analyse der IP-Adresse ergab, dass es sich um einen ISP mit hohem Betrugsrisiko handelte, der anonymisierende VPNs und Server betreibt – so konnte der Angreifer vermutlich die Geofencing-Regeln umgehen.

Kurz danach stellte Darktrace fest, dass ein anonymer Sharing-Link für eine Passwortdatei erstellt wurde.

Abbildung 5: Darktrace SaaS-Modul erkennt anormale Erstellung eines Links

Darktrace erkannte, dass später über die anormale IP-Adresse auf diese Datei zugegriffen wurde. Eine tiefergehende Analyse zeigte, dass der Angreifer wiederholt nach dieser Methode vorging und zuvor geschützte Ressourcen frei zugänglich machte, bevor er über dieselbe IP-Adresse öffentlich darauf zugriff. Die KI von Darktrace beobachtete, wie der Angreifer auf potenziell sensible Informationen zugriff, darunter eine Datei, die augenscheinlich Informationen über Kreditkartentransaktionen enthielt, sowie ein Dokument mit Passwörtern.

Abbildung 6: Darktrace SaaS-Konsole zeigt die ungewöhnliche Aktivität im Zusammenhang mit dem kompromittierten Konto an

Fortsetzung des Angriffs

Am Tag darauf, nachdem der Angreifer alle sensiblen Informationen ausgeschöpft hatte, die er sich über das kompromittierte E-Mail-Konto beschaffen konnte, schickte er über dieses Konto weitere schädliche E-Mails an die Geschäftspartner. Er folgte dabei derselben bewährten Methodik und verschickte gezielt gefälschte Angebotsanfragen, um sich unbefugt Zugangsdaten zu beschaffen. Das Darktrace SaaS-Modul erkannte dieses anormale Verhalten und zeigte grafisch an, dass der Angreifer binnen 25 Minuten gezielt mehr als 1.600 E-Mails verschickte.

Abbildung 7: Grafische Darstellung der Masse an E-Mails, die innerhalb eines Zeitfensters von 25 Minuten verschickt wurden

Warum KI nötig ist, um moderne E-Mail-Bedrohungen abzuwehren

Für das Logistikunternehmen war dieser Vorfall ein Weckruf. Der Managed Security Service Provider (MSSP), der sich um die Cloudsicherheit des Unternehmens kümmerte, hatte die feindliche Kontoübernahme nicht bemerkt – im Gegensatz zum Darktrace SaaS-Modul. Das Unternehmen erkannte, dass moderne E-Mail-Sicherheit erstklassige Technologien erfordert, die nicht nur verhindern, dass Phishing-E-Mails in den Posteingang gelangen, sondern auch Kontoübernahmen und den Versand schädlicher E-Mails über ein kompromittiertes Konto erkennen.

Dieser Vorfall veranlasste das Unternehmen, Antigena Email umgehend im aktiven Modus einzusetzen. So ist die Technologie in der Lage, aufgrund ihrer nuancierten und kontextbezogenen Kenntnis der normalen Verhaltensmuster – den sogenannten „Patterns of Life“ – aller Benutzer und Geräte jede noch so subtile und gezielte Bedrohung abzuwehren, die versucht, über den Posteingang in das Unternehmen einzudringen.

Die Realität sieht so aus, dass Tag für Tag Hunderte solcher E-Mails nicht nur Menschen überlisten, sondern auch traditionelle Sicherheitstools. Angesichts der immer größer werdenden Herausforderungen reicht der Status quo schlichtweg nicht mehr aus. Da in modernen Unternehmen dezentraler und mobiler gearbeitet wird als je zuvor, wird es immer wichtiger, Remote-Benutzer auf SaaS-Collaboration-Plattformen zu schützen und E-Mail-Angriffe zu neutralisieren, bevor sie in den Posteingang gelangen.

Vielen Dank an unseren Darktrace Analysten Liam Dermody für die Einblicke in diesen Bedrohungsvorfall.

Dan Fein

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.