GET A DEMO
See why 9,000+ companies trust Darktrace
Thanks, your request has been received
A member of our team will be in touch with you shortly.
YOU MAY FIND INTERESTING
Five Key Takeaways from Black Hat 2023
Hives & Frankensteins: The Half-Year Threat Report
Huch! Beim Absenden des Formulars ist etwas schief gelaufen.

Blog

Ransomware

RESPOND

9 Stufen von Ransomware: Wie KI in jeder Stufe reagiert

Standard-BlogbildStandard-BlogbildStandard-BlogbildStandard-BlogbildStandard-BlogbildStandard-Blogbild
22
Dezember 2021
22
Dezember 2021
This blog breaks down every stage of ransomware, highlighting attackers’ aims at each step, the techniques they adopt to avoid conventional defenses, and the anomalous activity that causes Darktrace AI to initiate a targeted response.

Ransomware gets its name by commandeering and holding assets ransom, extorting their owner for money in exchange for discretion and full cooperation in returning exfiltrated data and providing decryption keys to allow business to resume.

Die Lösegeldforderungen werden immer dreister und betrugen 2021 im Durchschnitt ganze 5,3 Mio. US-Dollar – ein Anstieg um 518% gegenüber dem Vorjahr. Aber die Folgekosten eines Ransomware-Angriffs liegen in der Regel weit über den Lösegeldzahlungen: Nach einem erfolgreichen Angriff beträgt die durchschnittliche Ausfallzeit 21 Tage und 66% der Ransomware-Opfer melden erhebliche Umsatzeinbußen.

In dieser Serie wollen wir dieses große Thema Schritt für Schritt aufschlüsseln. Ein Ransomware-Angriff vollzieht sich in mehreren Phasen, demnach ist auch eine mehrphasige Lösung notwendig, die die Bedrohung in jedem Stadium eigenständig und effektiv in Schach hält. Lesen Sie weiter, um zu erfahren, wie selbstlernende KI und Autonomous Response Ransomware an jedem Punkt stoppen.

1. Eindringen (E-Mail)

Das Eindringen – die erste Phase eines Ransomware-Angriffs – kann durch RDP Brute-Forcing (über ungeschützte Webanwendungen), schädliche Websites und Drive-by-Downloads, einen Insider mit autorisiertem Zugriff, Sicherheitslücken in Systemen und Software oder andere Angriffsvektoren erfolgen.

Der häufigste Angriffsvektor für das Eindringen sind jedoch E-Mails. Meistens stellen die Mitarbeiter die größte Schwachstelle eines Unternehmens dar – und Angreifer wissen das geschickt auszunutzen. Sorgfältig verfasste, gezielte, legitim aussehende E-Mails werden an Mitarbeiter geschickt, um sie zu einer Handlung zu veranlassen, sei es das Anklicken eines Links, das Öffnen eines Anhangs oder die Eingabe von Zugangsdaten oder anderen sensiblen Informationen.

Gateways: Stoppen nur das, was sie kennen

Die meisten herkömmlichen E-Mail-Tools erkennen Bedrohungen nur, wenn diese schon einmal in Erscheinung getreten sind. Stammt eine E-Mail von einer IP-Adresse oder E-Mail-Domain, die auf einer Blocklist steht, und wird für den Angriff bekannte Malware genutzt, die vorher schon in normalen Benutzerumgebungen aufgetaucht ist, wird die Attacke vielleicht gestoppt.

Natürlich wissen die Angreifer ganz genau, dass die meisten Sicherheitstools auf diesem traditionellen Ansatz beruhen. Daher erneuern sie ständig ihre Angriffsinfrastruktur, um diese Tools zu umgehen. Indem sie für ein paar Cent neue Domains kaufen oder mit nur wenigen Code-Anpassungen maßgeschneiderte Malware entwickeln, sind sie dem herkömmlichen Ansatz, auf dem ein typisches E-Mail-Gateway basiert, immer einen Schritt voraus.

Beispiel aus der Praxis: Phishing-Angriff auf eine Lieferkette

By contrast, Darktrace’s evolving understanding of ‘normal’ for every email user in the organization enables it to detect subtle deviations that point to a threat – even if the sender or any malicious contents of the email are unknown to threat intelligence. This is what enabled the technology to stop an attack that recently targeted McLaren Racing, with emails sent to a dozen employees in the organization each containing a malicious link. This possible precursor to ransomware bypassed conventional email tools – largely because it was sent from a known supplier – however Darktrace recognized the account hijack and held the email back.

Abbildung 1: Interaktiver Snapshot der Benutzeroberfläche des Darktrace Threat Visualizer nach Entdeckung der E-Mail

Lesen Sie den ganzen Bericht über den Angriff

2. Eindringen (serverseitig)

Unternehmen haben in rasantem Tempo ihre extern zugängliche Infrastruktur erweitert. Mit dieser Vergrößerung der Angriffsfläche geht eine Zunahme von Brute-Force-Attacken und serverseitigen Angriffen einher.

In diesem Jahr wurden diverse Sicherheitslücken bei extern zugänglichen Servern und Systemen offengelegt. Für Angreifer ist es einfacher denn je, solche Infrastruktur gezielt für ihre Zwecke zu nutzen – sie brauchen einfach nur das Internet nach gefährdeten Systemen zu scannen, z.B. mit Tools wie Shodan oder MassScan.

Angreifer können sich auch durch RDP Brute-Forcing oder gestohlene Zugangsdaten Zutritt verschaffen, zudem verwenden sie häufig legitime Zugangsdaten aus vorhandenen Datenbeständen. Diese Methode ist präziser und weniger auffällig als ein klassischer Brute-Force-Angriff.

Ein Großteil der Ransomware-Angriffe nutzt RDP als Einfallstor. Dies steht im Zusammenhang mit dem breiteren „Living off the Land“-Trend, d.h. der Verwendung legitimer Standardtools (RDP, SMB1-Protokoll oder verschiedene Befehlszeilentools wie WMI oder PowerShell), um nicht aufzufallen und sich unter die typische Administratoraktivität zu mischen. Es reicht nicht aus, Backups zu isolieren, Konfigurationen zu härten und Systeme zu patchen – vielmehr muss eine Echtzeiterkennung von anormalem Verhalten sichergestellt werden.

Antivirus-Programme, Firewalls und SIEMs

Bei einem Download von Malware wird diese von Endpoint-Antivirus-Programmen erkannt – allerdings nur, wenn die Malware schon einmal in Erscheinung getreten ist und entsprechende Bedrohungsdaten vorliegen. Firewalls müssen in der Regel individuell für das jeweilige Unternehmen konfiguriert und häufig an dessen Erfordernisse angepasst werden. Gibt es für einen Angriff keine Regel oder Signatur, kann er die Firewall ungehindert passieren.

SIEM- und SOAR-Tools halten ebenfalls Ausschau nach Downloads bekannter Malware. Dazu nutzen sie vorprogrammierte Regeln und Maßnahmen. Diese Tools suchen nach Mustern, die vorab definiert wurden. Damit ein neuer Angriff erkannt werden kann, müssen bei diesem Ansatz ausreichend Ähnlichkeiten zu früheren Angriffen vorliegen.

Beispiel aus der Praxis: Dharma-Ransomware

Darktrace erkannte einen gezielten Angriff mit Dharma-Ransomware auf ein britisches Unternehmen, der eine offene RDP-Verbindung mit extern zugänglichen Servern nutzte. Auf dem RDP-Server wurde eine Vielzahl eingehender Verbindungen von ungewöhnlichen IP-Adressen über das Internet beobachtet. Die für diesen Angriff verwendeten RDP-Zugangsdaten wurden sehr wahrscheinlich in einem früheren Stadium abgegriffen – entweder über gängige Brute-Force-Methoden, Credential Stuffing oder Phishing. Eine zunehmend beliebte Angriffsmethode ist der Ankauf von RDP-Zugangsdaten, damit Angreifer gleich dazu übergehen können, sich Zugang zu verschaffen.

Abbildung 2: Die Modellabweichungen, die während dieses Angriffs festgestellt wurden, einschließlich der anormalen RDP-Aktivität

Da in diesem Fall die Autonomous Response nicht aktiviert war, konnte der Angriff mit der Dharma-Ransomware ungehindert fortschreiten. Am Ende musste das Sicherheitsteam drakonische Maßnahmen ergreifen und den RDP-Server mitten in der Verschlüsselung vom Netz nehmen.

Lesen Sie den ganzen Bericht über den Angriff

3. Einnisten und Einrichten der C2-Kommunikation

Egal ob durch erfolgreiches Phishing, einen Brute-Force-Angriff oder mit einer anderen Methode, der Angreifer ist eingedrungen. Jetzt kann er mit den kompromittierten Geräten kommunizieren und sich einnisten.

In dieser Phase bereitet der Angreifer alles vor, um die nachfolgenden Phasen remote kontrollieren zu können. Im Rahmen dieser Command & Control (C2)-Kommunikation kann der Angreifer auch weitere Malware auf die Geräte bringen. So gelingt es ihm, sich noch stärker im Unternehmen festzusetzen und lateral auszubreiten.

Angreifer können die Malware-Funktionalität mit einer ganzen Reihe vorgefertigter Plugins modifizieren, um unerkannt zu bleiben. Es gibt sogar Ransomware, die sich selbst an ihre Umgebung anpasst und eigenständig agiert. So mischt sie sich unbemerkt unter das reguläre Geschehen, auch ohne Verbindung zu ihrem Command & Control-Server. Diese „autonomen“ Ransomware-Stämme stellen ein großes Problem für traditionelle Sicherheitstools dar, die Bedrohungen nur stoppen können, wenn schädliche externe Verbindungen entdeckt werden.

Ganzheitliches Verständnis des Unternehmens statt einer isolierten Betrachtung der Verbindungen

Herkömmliche Sicherheitstools wie IDS und Firewalls betrachten Verbindungen meist isoliert und nicht im Zusammenhang mit früheren und möglicherweise relevanten Verbindungen, sodass C2-Kommunikation nur schwer aufzuspüren ist.

IDS und Firewalls können vielleicht Domains blockieren, die als schädlich bekannt sind, oder Geoblocking anwenden, aber dann suchen sich Angreifer einfach neue Infrastruktur, die sie für ihre Zwecke nutzen können.

Diese Tools analysieren in aller Regel auch keine Indikatoren wie die Frequenz, d.h. ob eine Verbindung in regelmäßigen oder unregelmäßigen Abständen Beacons aussendet, wie lange es die Domain schon gibt oder wie ungewöhnlich sie im Unternehmenskontext erscheint.

Darktrace aktualisiert laufend sein Verständnis der digitalen Infrastrukturen im Unternehmen und erkennt dadurch verdächtige C2-Verbindungen und anschließende Downloads, auch wenn dafür reguläre und legitime Programme oder Methoden genutzt werden. Die KI-Technologie erkennt das Gesamtbild aus zahlreichen subtilen Anzeichen einer Bedrohung, darunter auffällige Verbindungen zu relativ neuen und/oder ungewöhnlichen Endgeräten, anormale Dateidownloads, eingehende Remote-Desktop-Verbindungen sowie ungewöhnliche Datenuploads und -downloads.

Once they are detected as a threat, Darktrace RESPOND halts these connections and downloads, while allowing normal business activity to continue.

Beispiel aus der Praxis: WastedLocker-Angriff

Als eine US-Landwirtschaftsorganisation mit der WastedLocker-Ransomware angegriffen wurde, erkannte Darktrace sofort die ungewöhnliche SSL-C2-Aktivität, die den Vorfall einleitete (basierend auf der Kombination von ungewöhnlichem Ziel und ungewöhnlichem JA3 sowie der Analyse der Frequenz). Antigena (in diesem Fall im passiven Modus konfiguriert, sodass die Technologie keine eigenständigen Maßnahmen ergreifen konnte) empfahl, den C2-Traffic an Port 443 sofort zu blockieren und parallel dazu internes Scanning an Port 135 durchzuführen.

Abbildung 3: Der Threat Visualizer zeigt die Maßnahmen, die Antigena ergriffen hätte.

Als später Beaconing zu bywce.payment.refinedwebs[.]com beobachtet wurde, diesmal über HTTP an /updateSoftwareVersion, weitete Antigena seine Maßnahmen auf weitere C2-Kanäle aus.

Abbildung 4: Antigena weitet Maßnahmen aus

Lesen Sie den ganzen Bericht über den Angriff

4. Laterale Bewegung

Sobald sich ein Angreifer in einem Unternehmen eingenistet hat, fängt er an, Informationen über die weitere digitale Umgebung zu sammeln und seine Präsenz in der Infrastruktur zu stärken. Dann ist es für ihn kein Problem mehr, sich Zugriff auf die Dateien zu verschaffen, die er ausschleusen und verschlüsseln möchte. Zunächst beginnt er mit der Auskundschaftung: Er scannt das Netzwerk, macht sich ein Bild von den angeschlossenen Geräten und verortet besonders wertvolle Unternehmensdaten.

Dann beginnt der Angreifer mit der lateralen Ausbreitung. Er infiziert weitere Geräte und versucht, seine Berechtigungen auszuweiten, z.B. indem er Admin-Zugangsdaten entwendet, um noch mehr Kontrolle über die Umgebung zu erlangen. Sobald er sich ausreichende Berechtigungen gesichert und fest in den digitalen Infrastrukturen eingenistet hat, kann er die letzten Stufen seines Angriffs zünden.

Moderne Ransomware verfügt über integrierte Funktionen für die automatische Suche nach gespeicherten Passwörtern und die Ausbreitung im Netzwerk. Besonders raffinierte Stämme sind so konzipiert, dass sie sich in jeder Umgebung anders verhalten. Somit verändert sich ihre Signatur laufend und sie sind viel schwerer zu entdecken.

Herkömmliche Tools: Rigorose Reaktion auf bekannte Bedrohungen

Herkömmliche Lösungen basieren auf statischen Regeln und Signaturen, daher können sie eine laterale Bewegung und Rechteausweitung kaum verhindern, ohne den Geschäftsbetrieb stark zu beeinträchtigen. In der Theorie könnte ein Unternehmen, das Firewalls und NAC (Netzwerkzugriffskontrolle) mit passender Netzwerksegmentierung und perfekter Konfiguration nutzt, eine netzwerkübergreifende laterale Bewegung verhindern. Allerdings ist es kaum möglich, maximalen Schutz und minimale Eingriffe immer optimal auszubalancieren.

Einige Unternehmen setzen auf Intrusion-Prevention-Systeme (IPS), um Netzwerk-Traffic abzuweisen, wenn bekannte Bedrohungen in Paketen erkannt werden. Wie in den vorherigen Phasen können sie jedoch nichts gegen neuartige Malware ausrichten, außerdem brauchen sie eine laufend aktualisierte Datenbank. Darüber hinaus sind diese Lösungen an den Eingangs-/Ausgangspunkten angesiedelt, was ihre Einblicke in das Netzwerk stark einschränkt. Ein Intrusion-Detection-System (IDS) erlaubt eine Out-of-Band-Installation, bietet aber keine Response-Funktionalität.

Ein selbstlernender Ansatz

Die Darktrace KI macht sich ein genaues Bild von den Abläufen im Unternehmen und erkennt verdächtige Aktivität, die auf eine laterale Bewegung hindeutet, unabhängig davon, ob der Angreifer neue Infrastruktur oder die „Living off the Land“-Methode nutzt. Zu den potenziell ungewöhnlichen Aktivitäten, die Darktrace erkennt, gehören z.B. abweichendes Scan-, SMB-, RDP- und SSH-Verhalten. In dieser Phase werden weitere Modelle aktiviert:

  • Verdächtige Aktivität auf Hochrisikogerät
  • Numerische EXE in SMB Write
  • Neue oder ungewöhnliche Dienstesteuerung

Autonomous Response ergreift dann gezielte Maßnahmen, um die Bedrohung in dieser Phase zu stoppen. Die Technologie blockiert anormale Verbindungen und setzt die normalen Verhaltensmuster („Patterns of Life“) des infizierten Geräts oder der Gruppe durch. Hierbei werden Geräte automatisch in Vergleichsgruppen zusammengefasst und von der Vergleichsgruppe abweichendes Verhalten wird unterbunden.

Falls das schädliche Verhalten dennoch andauert und dies erforderlich macht, isoliert Darktrace das infizierte Gerät.

Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen

Bei einem Unternehmen in Singapur führte die Kompromittierung eines Servers zum Aufbau eines Botnets. Dieses begann eine laterale Ausbreitung, hauptsächlich mittels ungewöhnlicher RDP-Verbindungen. Der Server baute anschließend externe SMB- und RPC-Verbindungen zu ungewöhnlichen Endgeräten im Internet auf, um weitere anfällige Hosts zu finden.

Darktrace erkannte weitere laterale Aktivitäten, z.B. wiederholte fehlgeschlagene Versuche, mit verschiedenen Benutzernamen über das SMB-Dateifreigabeprotokoll auf mehrere interne Geräte zuzugreifen, was auf einen Brute-Forcing-Angriff auf das Netzwerk hindeutete.

Abbildung 5: Cyber AI Analyst von Darktrace erkennt verdächtige TCP-Scans, gefolgt von einer verdächtigen Abfolge von RDP-Administrationsverbindungen.

Lesen Sie den ganzen Bericht über den Angriff

5. Datenexfiltration

In der Vergangenheit wurden bei Ransomware-Angriffen einfach nur ein Betriebssystem und Netzwerkdateien verschlüsselt.

Da sich die Unternehmen heute mit Daten-Backups gegen eine bösartige Verschlüsselung absichern, gehen Bedrohungsakteure immer mehr zu einer „Double Extortion“ über, d.h. sie exfiltrieren vor der Verschlüsselung wichtige Daten und vernichten Backups. Mit diesen exfiltrierten Daten werden die Unternehmen dann erpresst: Die Angreifer drohen, sensible Informationen online zu stellen oder an einen Mitbewerber zu verkaufen, falls das Lösegeld nicht gezahlt wird.

Moderne Ransomware-Varianten suchen auch nach Cloud-Speicher-Repositorys wie Box, Dropbox usw.

Viele dieser Vorfälle gelangen nicht an die Öffentlichkeit, denn wenn geistiges Eigentum gestohlen wird, sind die Unternehmen nicht immer gesetzlich verpflichtet, dies zu melden. Im Falle von Kundendaten besteht jedoch sehr wohl eine Meldepflicht, außerdem müssen die betroffenen Unternehmen empfindliche Geldstrafen zahlen. Diese sind in den letzten Jahren deutlich gestiegen (Marriot 23,8 Mio. USD, British Airways 26 Mio. USD, Equifax 575 Mio. USD). Hinzu kommt der Reputationsschaden, wenn ein Unternehmen seine Kunden über ein Datenleck informieren muss.

Herkömmliche Tools: Immer dieselben Probleme

Wenn Sie aufgepasst haben, wissen Sie genau, wie die Geschichte weitergeht: Um einen Ransomware-Angriff in dieser Phase zu stoppen, nutzen die meisten Sicherheitstools entweder vorprogrammierte Definitionen von „schädlich“ oder statische Regeln, die für verschiedene Abwehrszenarien entwickelt wurden. Dadurch sind die Unternehmen einem riskanten, nie endenden Katz-und-Maus-Spiel ausgesetzt.

Firewalls und Proxys können Verbindungen vielleicht auf Basis vorprogrammierter Richtlinien für spezifische Endgeräte oder Datenvolumen blockieren, aber es ist sehr wahrscheinlich, dass ein Angreifer die „Living off the Land“-Taktik anwendet und auf einen Dienst zurückgreift, der im Unternehmen regelmäßig genutzt wird.

Die Wirksamkeit dieser Tools hängt vom Datenvolumen ab: Gegen „Smash & Grab“-Angriffe mit bekannter Malware, bei denen keine Methode zur Umgehung von Sicherheitstools angewendet wird, mögen sie etwas ausrichten können, aber sie werden kaum in der Lage sein, eine „Low & Slow“-Exfiltration und neuartige oder hochkomplexe Stämme zu erkennen.

On the other hand, because by nature it involves a break from expected behavior, even less conspicuous, low and slow data exfiltration is detected by Darktrace and stopped with Darktrace RESPOND. No confidential files are lost, and attackers are unable to extort a ransom payment through blackmail.

Beispiel aus der Praxis: Ungewöhnliche Abfolge von RDP-Verbindungen

It becomes more difficult to find examples of Darktrace RESPOND stopping ransomware at these later stages, as the threat is usually contained before it gets this far. This is the double-edged sword of effective security – early containment makes for bad storytelling! However, we can see the effects of a double extortion ransomware attack on an energy company in Canada. The organization had the Enterprise Immune System but no Antigena, and without anyone actively monitoring Darktrace’s AI detections, the attack was allowed to unfold.

Der Angreifer stellte eine Verbindung zu einem internen Dateiserver her und lud 1,95 TB an Daten herunter. Zudem wurde über das Gerät offenbar die Rclone-Software heruntergeladen – ein Open-Source-Tool, das möglicherweise dazu diente, Daten automatisch mit dem legitimen Dateispeicherdienst pCloud zu synchronisieren. Nach Abschluss der Datenexfiltration begann das Gerät „serverps“ schließlich, Dateien auf 12 Geräten mit der Erweiterung *.06d79000 zu verschlüsseln. Wie bei Ransomware-Vorfällen meist üblich, erfolgte die Verschlüsselung außerhalb der Bürozeiten – über Nacht in Ortszeit –, um die Wahrscheinlichkeit eines schnellen Eingreifens des Sicherheitsteams zu minimieren.

Lesen Sie den ganzen Bericht über den Angriff

Beachten Sie, dass die Reihenfolge der oben beschriebenen Phasen 3–5 nicht in Stein gemeißelt ist, sondern bei jedem Angriff anders sein kann. Manchmal werden Daten ausgeschleust, woran sich eine weitere laterale Bewegung und zusätzliches C2-Beaconing anschließen. Diese gesamte Zeitspanne wird als „Verweildauer“ bezeichnet. Mitunter geht es nur um ein paar Tage, es können aber auch mehrere Monate sein, in denen die Angreifer in aller Ruhe und unter dem Radar regelbasierter Tools, die nur isolierte Dateiübertragungen über einem bestimmten Schwellenwert melden, Daten ausschleusen. Nur mit einem ganzheitlichen Verständnis der sich entfaltenden schädlichen Aktivität kann eine Technologie diese Bedrohung erkennen und das Sicherheitsteam in die Lage versetzen, sie zu bekämpfen, bevor der Ransomware-Angriff in seine letzten verheerenden Phasen übergeht.

6. Datenverschlüsselung

Mit symmetrischer oder asymmetrischer Verschlüsselung oder einer Kombination aus beiden versuchen die Angreifer, möglichst viele Daten im Netzwerk des Unternehmens unbrauchbar zu machen, bevor der Angriff entdeckt wird.

Da allein die Angreifer über die Entschlüsselungs-Keys verfügen, haben sie jetzt die volle Kontrolle darüber, was mit den Daten des Unternehmens geschieht.

Vorprogrammierte Gegenmaßnahmen und Störung des Geschäftsbetriebs

Es gibt vielerlei Tools, die für sich in Anspruch nehmen, eine solche Verschlüsselung unterbinden zu können. Allerdings haben sie alle ihre Schwachstellen, die ein gewiefter Angreifer in dieser entscheidenden Phase ausnutzen kann. Und wenn diese Tools dann Gegenmaßnahmen ergreifen, führen diese meist zu erheblichen Störungen und Einschränkungen des Geschäftsbetriebs.

Interne Firewalls verhindern, dass Clients auf Server zugreifen. Sobald sich also ein Angreifer mit einer der oben beschriebenen Methoden Zugang zu Servern verschafft hat, kann er nach Belieben schalten und walten.

In ähnlicher Weise suchen auch Antivirus-Tools nur nach bekannter Malware. Wurde die Malware bis dahin noch nicht entdeckt, ist es sehr unwahrscheinlich, dass sie überhaupt noch erkannt und gestoppt wird.

Verschlüsselung wird eigenständig gestoppt

Selbst wenn hierzu reguläre Tools und Methoden genutzt werden, kann die Autonomous Response die „Patterns of Life“ bei Geräten durchsetzen, die eine Verschlüsselung versuchen. Hierfür sind keine statischen Regeln oder Signaturen nötig. Diese Maßnahme kann eigenständig oder über Integrationen in native Sicherheitstools ergriffen werden. Dadurch wird auch der Nutzen vorhandener Sicherheitsinfrastruktur maximiert. Mit einer gezielten Autonomous Response kann der Geschäftsbetrieb ganz normal weiterlaufen, während gleichzeitig die Verschlüsselung verhindert wird.

7. Lösegeldforderung

Im Grunde wird ein Ransomware-Angriff erst mit der Verschlüsselung zu einem solchen. Ab dieser Phase macht die Malware ihrem Namen jedoch leider alle Ehre.

Auf die Verschlüsselung folgt nämlich eine Lösegeldforderung. Die Angreifer verlangen Geld für den Entschlüsselungs-Key und drohen, die exfiltrierten sensiblen Daten öffentlich preiszugeben. Das Unternehmen muss entscheiden, ob es das Lösegeld zahlt oder einen Verlust seiner Daten in Kauf nimmt, die möglicherweise an Mitbewerber weitergegeben werden oder an die Öffentlichkeit gelangen. Die durchschnittliche Höhe der Lösegeldforderungen lag 2021 bei 5,3 Mio. USD. So zahlte etwas das Fleischverarbeitungsunternehmen JBS 11 Mio. USD und DarkSide konnte mit dem Angriff auf Colonial Pipeline über 90 Mio. USD in Bitcoins erpressen.

Alle Phasen bis zu diesem Punkt sind typisch für einen traditionellen Ransomware-Angriff. Aber Ransomware hat sich verändert. Statt einer wahllosen Verschlüsselung von Geräten gehen die Angreifer inzwischen sehr gezielt vor und wollen den Geschäftsbetrieb in großem Stil stören oder lahmlegen. Dabei wenden sie unterschiedliche Methoden an, um ihre Angriffsopfer zur Zahlung des Lösegeldes zu bewegen. Zu weiteren Erpressungsmethoden gehört nicht nur die Datenexfiltration, sondern auch die Kaperung von Unternehmensdomains, die Löschung oder Verschlüsselung von Backups, Angriffe auf industrielle Steuerungssysteme (ICS), gezielte Täuschung von Führungskräften im Unternehmen und so weiter.

Mitunter gehen Angreifer auch direkt von Phase 2 zu Phase 6 – der Erpressung – über. Darktrace stoppte vor kurzem einen E-Mail-Angriff, bei dem sich der Angreifer nicht viel Arbeit machen wollte und direkt per E-Mail einen Erpressungsversuch startete. Der Angreifer behauptete, sensible Unternehmensdaten kompromittiert zu haben, und forderte eine Bitcoin-Zahlung für die Wiederherstellung. Egal, ob diese Behauptung stimmte oder nicht, dieser Angriff machte deutlich, dass einer Erpressung nicht immer eine Verschlüsselung vorausgehen muss und dass diese Art der Bedrohung unterschiedliche Formen annehmen kann.

Abbildung 6: Darktrace hält die schädliche E-Mail zurück und schützt dadurch den Empfänger und das Unternehmen.

As with the email example we explored in the first post of this series, Darktrace/Email was able to step in and stop this email where other email tools would have let it through, stopping this potentially costly extortion attempt.

Egal ob durch Verschlüsselung oder eine andere Form von Erpressung, die Botschaft ist immer gleich: Entweder Sie zahlen oder Sie sehen Ihre Daten nie wieder. In dieser Phase ist es zu spät, sich über die oben beschriebenen Optionen Gedanken zu machen, mit denen der Angriff in den ersten Phasen hätte gestoppt werden können. Es stellt sich nur noch eine einzige Frage: Zahlen oder nicht zahlen?

Häufig glauben Betroffene, mit der Zahlung des Lösegeldes sei es getan. Doch leider ist sie nur die Spitze des Eisbergs …

8. Schadensbehebung

Es wird alles unternommen, um die Sicherheitslücken zu schließen, die der Angreifer ausgenutzt, um in das Unternehmen einzudringen. Dem Unternehmen sollte allerdings bewusst sein, dass rund 80% der Ransomware-Opfer später erneut angegriffen werden.

Kaum ein herkömmliches Tool ist in der Lage, die Schwachstellen aufzuspüren, über die der Angreifer eindringen konnte. Es ist praktisch die Suche nach der Stecknadel in einem unvollständigen Heuhaufen: Sicherheitsteams haben so gut wie keine Chance, relevante Informationen in den wenigen Protokollen der Firewalls und IDS zu finden. Antivirus-Lösungen spüren allenfalls bekannte Malware auf, aber neuartige Angriffsvektoren entgehen ihnen.

With Darktrace’s Cyber AI Analyst, organizations are given full visibility over every stage of the attack, across all coverage areas of their digital estate, taking the mystery out of ransomware attacks. They are also able to see the actions that would have been taken to halt the attack by Darktrace RESPOND.

9. Wiederherstellung

Das Unternehmen beginnt, seine digitale Umgebung wieder in Ordnung zu bringen. Auch wenn es für einen Entschlüsselungs-Key gezahlt hat, werden viele Dateien verschlüsselt bleiben oder beschädigt sein. Abgesehen von der Lösegeldzahlung entstehen dem Unternehmen durch Netzwerkausfälle, Störungen des Geschäftsbetriebs, Maßnahmen zur Wiederherstellung der Sicherheit und negative PR hohe finanzielle Verluste.

Dem betroffenen Unternehmen entstehen darüber hinaus auch Reputationskosten: 66% melden einen erheblichen Umsatzausfall nach einem Ransomware-Angriff und 32% geben an, als direkte Folge der Attacke hohe Führungskräfte verloren zu haben.

Schlussfolgerung

Die oben beschriebenen Phasen sind den meisten Ransomware-Angriffen gemeinsam. Steigt man jedoch tiefer ein, wird deutlich, dass jede Attacke anders ist.

Da viele gezielte Ransomware-Angriffe durch Ransomware-Partner („Affiliates“) ausgeführt werden, variieren die verwendeten Tools und Methoden stark, auch wenn die Ransomware an sich gleich ist. Demzufolge sind bei zwei verschiedenen Ransomware-Angriffen, die auf derselben Ransomware-Familie basieren, völlig unterschiedliche Tools und Methoden zu erwarten. Es ist daher kaum vorhersehbar, wie die Ransomware von morgen aussehen wird.

This is the nail in the coffin for traditional tooling which is based on historic attack data. The above examples demonstrate that Self-Learning technology and Autonomous Response is the only solution that stops ransomware at every stage, across email and network.

EINBLICKE IN DAS SOC-Team
Darktrace Cyber-Analysten sind erstklassige Experten für Threat Intelligence, Threat Hunting und Incident Response. Sie bieten Tausenden von Darktrace Kunden auf der ganzen Welt rund um die Uhr SOC-Support. Einblicke in das SOC-Team wird ausschließlich von diesen Experten verfasst und bietet Analysen von Cyber-Vorfällen und Bedrohungstrends, die auf praktischen Erfahrungen in diesem Bereich basieren.
AUTOR
ÜBER DEN AUTOR
Dan Fein
VP, Produkt

Based in New York, Dan joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace/Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.

Book a 1-1 meeting with one of our experts
Get in touch
share this article
KATEGORIEN
McLaren
PREVENT
RESPOND
Cloud
Ransomware
Einblicke in das SOC-Team
Vordenkerrolle
Krypto
E-Mail
Funde von Bedrohungen
OT
ANWENDUNGSFÄLLE
R
Ransomware und Malware
Software designed to corrupt systems
PRODUKT-SPOTLIGHT
DaRKTRACE
DETECT
TM
Sehen Sie Angriffe sofort.
DaRKTRACE
RESPOND
TM
Entschärfen innerhalb von Sekunden
COre-Abdeckung
Keine Artikel gefunden.
ÄHNLICHE BLOGS
Gootloader Malware: Detecting and Containing Multi-Functional Threats with Darktrace
Catching CoinLoader: Decrypting the Malware Hijacking Networks for Cryptomining Operations
Aktuelle Blogs
1
Moving Beyond XDR to Achieve True Cyber Resilience with Darktrace ActiveAI Security Platform
Apr 9, 2024
2
Managing Risk Beyond CVE Scores With the Latest Innovations to Darktrace/OT
Apr 9, 2024
3
Looking Beyond Secure Email Gateways with the Latest Innovations to Darktrace/Email
Apr 9, 2024
4
The State of AI in Cybersecurity: Unveiling Global Insights from 1,800 Security Practitioners
Apr 9, 2024
5
Beyond DMARC: Navigating the Gaps in Email Security
Feb 29, 2024

More in this series

Keine Artikel gefunden.

Blog

Einblicke in das SOC-Team

Sliver C2: How Darktrace Provided a Sliver of Hope in the Face of an Emerging C2 Framework

Standard-BlogbildStandard-Blogbild
17
Apr 2024

Offensive Security Tools

As organizations globally seek to for ways to bolster their digital defenses and safeguard their networks against ever-changing cyber threats, security teams are increasingly adopting offensive security tools to simulate cyber-attacks and assess the security posture of their networks. These legitimate tools, however, can sometimes be exploited by real threat actors and used as genuine actor vectors.

What is Sliver C2?

Sliver C2 is a legitimate open-source command-and-control (C2) framework that was released in 2020 by the security organization Bishop Fox. Silver C2 was originally intended for security teams and penetration testers to perform security tests on their digital environments [1] [2] [5]. In recent years, however, the Sliver C2 framework has become a popular alternative to Cobalt Strike and Metasploit for many attackers and Advanced Persistence Threat (APT) groups who adopt this C2 framework for unsolicited and ill-intentioned activities.

The use of Sliver C2 has been observed in conjunction with various strains of Rust-based malware, such as KrustyLoader, to provide backdoors enabling lines of communication between attackers and their malicious C2 severs [6]. It is unsurprising, then, that it has also been leveraged to exploit zero-day vulnerabilities, including critical vulnerabilities in the Ivanti Connect Secure and Policy Secure services.

In early 2024, Darktrace observed the malicious use of Sliver C2 during an investigation into post-exploitation activity on customer networks affected by the Ivanti vulnerabilities. Fortunately for affected customers, Darktrace DETECT™ was able to recognize the suspicious network-based connectivity that emerged alongside Sliver C2 usage and promptly brought it to the attention of customer security teams for remediation.

How does Silver C2 work?

Given its open-source nature, the Sliver C2 framework is extremely easy to access and download and is designed to support multiple operating systems (OS), including MacOS, Windows, and Linux [4].

Sliver C2 generates implants (aptly referred to as ‘slivers’) that operate on a client-server architecture [1]. An implant contains malicious code used to remotely control a targeted device [5]. Once a ‘sliver’ is deployed on a compromised device, a line of communication is established between the target device and the central C2 server. These connections can then be managed over Mutual TLS (mTLS), WireGuard, HTTP(S), or DNS [1] [4]. Sliver C2 has a wide-range of features, which include dynamic code generation, compile-time obfuscation, multiplayer-mode, staged and stageless payloads, procedurally generated C2 over HTTP(S) and DNS canary blue team detection [4].

Why Do Attackers Use Sliver C2?

Amidst the multitude of reasons why malicious actors opt for Sliver C2 over its counterparts, one stands out: its relative obscurity. This lack of widespread recognition means that security teams may overlook the threat, failing to actively search for it within their networks [3] [5].

Although the presence of Sliver C2 activity could be representative of authorized and expected penetration testing behavior, it could also be indicative of a threat actor attempting to communicate with its malicious infrastructure, so it is crucial for organizations and their security teams to identify such activity at the earliest possible stage.

Darktrace’s Coverage of Sliver C2 Activity

Darktrace’s anomaly-based approach to threat detection means that it does not explicitly attempt to attribute or distinguish between specific C2 infrastructures. Despite this, Darktrace was able to connect Sliver C2 usage to phases of an ongoing attack chain related to the exploitation of zero-day vulnerabilities in Ivanti Connect Secure VPN appliances in January 2024.

Around the time that the zero-day Ivanti vulnerabilities were disclosed, Darktrace detected an internal server on one customer network deviating from its expected pattern of activity. The device was observed making regular connections to endpoints associated with Pulse Secure Cloud Licensing, indicating it was an Ivanti server. It was observed connecting to a string of anomalous hostnames, including ‘cmjk3d071amc01fu9e10ae5rt9jaatj6b.oast[.]live’ and ‘cmjft14b13vpn5vf9i90xdu6akt5k3pnx.oast[.]pro’, via HTTP using the user agent ‘curl/7.19.7 (i686-redhat-linux-gnu) libcurl/7.63.0 OpenSSL/1.0.2n zlib/1.2.7’.

Darktrace further identified that the URI requested during these connections was ‘/’ and the top-level domains (TLDs) of the endpoints in question were known Out-of-band Application Security Testing (OAST) server provider domains, namely ‘oast[.]live’ and ‘oast[.]pro’. OAST is a testing method that is used to verify the security posture of an application by testing it for vulnerabilities from outside of the network [7]. This activity triggered the DETECT model ‘Compromise / Possible Tunnelling to Bin Services’, which breaches when a device is observed sending DNS requests for, or connecting to, ‘request bin’ services. Malicious actors often abuse such services to tunnel data via DNS or HTTP requests. In this specific incident, only two connections were observed, and the total volume of data transferred was relatively low (2,302 bytes transferred externally). It is likely that the connections to OAST servers represented malicious actors testing whether target devices were vulnerable to the Ivanti exploits.

The device proceeded to make several SSL connections to the IP address 103.13.28[.]40, using the destination port 53, which is typically reserved for DNS requests. Darktrace recognized that this activity was unusual as the offending device had never previously been observed using port 53 for SSL connections.

Model Breach Event Log displaying the ‘Application Protocol on Uncommon Port’ DETECT model breaching in response to the unusual use of port 53.
Figure 1: Model Breach Event Log displaying the ‘Application Protocol on Uncommon Port’ DETECT model breaching in response to the unusual use of port 53.

Figure 2: Model Breach Event Log displaying details pertaining to the ‘Application Protocol on Uncommon Port’ DETECT model breach, including the 100% rarity of the port usage.
Figure 2: Model Breach Event Log displaying details pertaining to the ‘Application Protocol on Uncommon Port’ DETECT model breach, including the 100% rarity of the port usage.

Further investigation into the suspicious IP address revealed that it had been flagged as malicious by multiple open-source intelligence (OSINT) vendors [8]. In addition, OSINT sources also identified that the JARM fingerprint of the service running on this IP and port (00000000000000000043d43d00043de2a97eabb398317329f027c66e4c1b01) was linked to the Sliver C2 framework and the mTLS protocol it is known to use [4] [5].

An Additional Example of Darktrace’s Detection of Sliver C2

However, it was not just during the January 2024 exploitation of Ivanti services that Darktrace observed cases of Sliver C2 usages across its customer base.  In March 2023, for example, Darktrace detected devices on multiple customer accounts making beaconing connections to malicious endpoints linked to Sliver C2 infrastructure, including 18.234.7[.]23 [10] [11] [12] [13].

Darktrace identified that the observed connections to this endpoint contained the unusual URI ‘/NIS-[REDACTED]’ which contained 125 characters, including numbers, lower and upper case letters, and special characters like “_”, “/”, and “-“, as well as various other URIs which suggested attempted data exfiltration:

‘/upload/api.html?c=[REDACTED] &fp=[REDACTED]’

  • ‘/samples.html?mx=[REDACTED] &s=[REDACTED]’
  • ‘/actions/samples.html?l=[REDACTED] &tc=[REDACTED]’
  • ‘/api.html?gf=[REDACTED] &x=[REDACTED]’
  • ‘/samples.html?c=[REDACTED] &zo=[REDACTED]’

This anomalous external connectivity was carried out through multiple destination ports, including the key ports 443 and 8888.

Darktrace additionally observed devices on affected customer networks performing TLS beaconing to the IP address 44.202.135[.]229 with the JA3 hash 19e29534fd49dd27d09234e639c4057e. According to OSINT sources, this JA3 hash is associated with the Golang TLS cipher suites in which the Sliver framework is developed [14].

Schlussfolgerung

Despite its relative novelty in the threat landscape and its lesser-known status compared to other C2 frameworks, Darktrace has demonstrated its ability effectively detect malicious use of Sliver C2 across numerous customer environments. This included instances where attackers exploited vulnerabilities in the Ivanti Connect Secure and Policy Secure services.

While human security teams may lack awareness of this framework, and traditional rules and signatured-based security tools might not be fully equipped and updated to detect Sliver C2 activity, Darktrace’s Self Learning AI understands its customer networks, users, and devices. As such, Darktrace is adept at identifying subtle deviations in device behavior that could indicate network compromise, including connections to new or unusual external locations, regardless of whether attackers use established or novel C2 frameworks, providing organizations with a sliver of hope in an ever-evolving threat landscape.

Credit to Natalia Sánchez Rocafort, Cyber Security Analyst, Paul Jennings, Principal Analyst Consultant

Appendices

DETECT Model Coverage

  • Compromise / Repeating Connections Over 4 Days
  • Anomalous Connection / Application Protocol on Uncommon Port
  • Anomalous Server Activity / Server Activity on New Non-Standard Port
  • Compromise / Sustained TCP Beaconing Activity To Rare Endpoint
  • Compromise / Quick and Regular Windows HTTP Beaconing
  • Compromise / High Volume of Connections with Beacon Score
  • Anomalous Connection / Multiple Failed Connections to Rare Endpoint
  • Compromise / Slow Beaconing Activity To External Rare
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Compromise / Large Number of Suspicious Failed Connections
  • Compromise / SSL or HTTP Beacon
  • Compromise / Possible Malware HTTP Comms
  • Compromise / Possible Tunnelling to Bin Services
  • Anomalous Connection / Low and Slow Exfiltration to IP
  • Device / New User Agent
  • Anomalous Connection / New User Agent to IP Without Hostname
  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Numeric File Download
  • Anomalous Connection / Powershell to Rare External
  • Anomalous Server Activity / New Internet Facing System

List of Indicators of Compromise (IoCs)

18.234.7[.]23 - Destination IP - Likely C2 Server

103.13.28[.]40 - Destination IP - Likely C2 Server

44.202.135[.]229 - Destination IP - Likely C2 Server

References

[1] https://bishopfox.com/tools/sliver

[2] https://vk9-sec.com/how-to-set-up-use-c2-sliver/

[3] https://www.scmagazine.com/brief/sliver-c2-framework-gaining-traction-among-threat-actors

[4] https://github[.]com/BishopFox/sliver

[5] https://www.cybereason.com/blog/sliver-c2-leveraged-by-many-threat-actors

[6] https://securityaffairs.com/158393/malware/ivanti-connect-secure-vpn-deliver-krustyloader.html

[7] https://www.xenonstack.com/insights/out-of-band-application-security-testing

[8] https://www.virustotal.com/gui/ip-address/103.13.28.40/detection

[9] https://threatfox.abuse.ch/browse.php?search=ioc%3A107.174.78.227

[10] https://threatfox.abuse.ch/ioc/1074576/

[11] https://threatfox.abuse.ch/ioc/1093887/

[12] https://threatfox.abuse.ch/ioc/846889/

[13] https://threatfox.abuse.ch/ioc/1093889/

[14] https://github.com/projectdiscovery/nuclei/issues/3330

Continue reading
About the author
Natalia Sánchez Rocafort
Cyber Security Analyst

Blog

E-Mail

Looking Beyond Secure Email Gateways with the Latest Innovations to Darktrace/Email

Standard-BlogbildStandard-Blogbild
09
Apr 2024

Organizations Should Demand More from their Email Security

In response to a more intricate threat landscape, organizations should view email security as a critical component of their defense-in-depth strategy, rather than defending the inbox alone with a traditional Secure Email Gateway (SEG). Organizations need more than a traditional gateway – that doubles, instead of replaces, the capabilities provided by native security vendor – and require an equally granular degree of analysis across all messaging, including inbound, outbound, and lateral mail, plus Teams messages.  

Darktrace/Email is the industry’s most advanced cloud email security, powered by Self-Learning AI. It combines AI techniques to exceed the accuracy and efficiency of leading security solutions, and is the only security built to elevate, not duplicate, native email security.  

With its largest update ever, Darktrace/Email introduces the following innovations, finally allowing security teams to look beyond secure email gateways with autonomous AI:

  • AI-augmented data loss prevention to stop the entire spectrum of outbound mail threats
  • an easy way to deploy DMARC quickly with AI
  • major enhancements to streamline SOC workflows and increase the detection of sophisticated phishing links
  • expansion of Darktrace’s leading AI prevention to lateral mail, account compromise and Microsoft Teams

What’s New with Darktrace/Email  

Data Loss Prevention  

Block the entire spectrum of outbound mail threats with advanced data loss prevention that builds on tags in native email to stop unknown, accidental, and malicious data loss

Darktrace understands normal at individual user, group and organization level with a proven AI that detects abnormal user behavior and dynamic content changes. Using this understanding, Darktrace/Email actions outbound emails to stop unknown, accidental and malicious data loss.  

Traditional DLP solutions only take into account classified data, which relies on the manual input of labelling each data piece, or creating rules to catch pattern matches that try to stop data of certain types leaving the organization. But in today’s world of constantly changing data, regular expression and fingerprinting detection are no longer enough.

  • Human error – Because it understands normal for every user, Darktrace/Email can recognize cases of misdirected emails. Even if the data is correctly labelled or insensitive, Darktrace recognizes when the context in which it is being sent could be a case of data loss and warns the user.  
  • Unclassified data – Whereas traditional DLP solutions can only take action on classified data, Darktrace analyzes the range of data that is either pending labels or can’t be labeled with typical capabilities due to its understanding of the content and context of every email.  
  • Insider threat – If a malicious actor has compromised an account, data exfiltration may still be attempted on encrypted, intellectual property, or other forms of unlabelled data to avoid detection. Darktrace analyses user behaviour to catch cases of unusual data exfiltration from individual accounts.

And classification efforts already in place aren’t wasted – Darktrace/Email extends Microsoft Purview policies and sensitivity labels to avoid duplicate workflows for the security team, combining the best of both approaches to ensure organizations maintain control and visibility over their data.

End User and Security Workflows

Achieve more than 60% improvement in the quality of end-user phishing reports and detection of sophisticated malicious weblinks1

Darktrace/Email improves end-user reporting from the ground up to save security team resource. Employees will always be on the front line of email security – while other solutions assume that end-user reporting is automatically of poor quality, Darktrace prioritizes improving users’ security awareness to increase the quality of end-user reporting from day one.  

Users are empowered to assess and report suspicious activity with contextual banners and Cyber AI Analyst generated narratives for potentially suspicious emails, resulting in 60% fewer benign emails reported.  

Out of the higher-quality emails that end up being reported, the next step is to reduce the amount of emails that reach the SOC. Darktrace/Email’s Mailbox Security Assistant automates their triage with secondary analysis combining additional behavioral signals – using x20 more metrics than previously – with advanced link analysis to detect 70% more sophisticated malicious phishing links.2 This directly alleviates the burden of manual triage for security analysts.

For the emails that are received by the SOC, Darktrace/Email uses automation to reduce time spent investigating per incident. With live inbox view, security teams gain access to a centralized platform that combines intuitive search capabilities, Cyber AI Analyst reports, and mobile application access. Analysts can take remediation actions from within Darktrace/Email, eliminating console hopping and accelerating incident response.

Darktrace takes a user-focused and business-centric approach to email security, in contrast to the attack-centric rules and signatures approach of secure email gateways

Microsoft Teams

Detect threats within your Teams environment such as account compromise, phishing, malware and data loss

Around 83% of Fortune 500 companies rely on Microsoft Office products and services, particularly Teams and SharePoint.3

Darktrace now leverages the same behavioral AI techniques for Microsoft customers across 365 and Teams, allowing organizations to detect threats and signals of account compromise within their Teams environment including social engineering, malware and data loss.  

The primary use case for Microsoft Teams protection is as a potential entry vector. While messaging has traditionally been internal only, as organizations open up it is becoming an entry vector which needs to be treated with the same level of caution as email. That’s why we’re bringing our proven AI approach to Microsoft Teams, that understands the user behind the message.  

Anomalous messaging behavior is also a highly relevant indicator of whether a user has been compromised. Unlike other solutions that analyze Microsoft Teams content which focus on payloads, Darktrace goes beyond basic link and sandbox analysis and looks at actual user behavior from both a content and context perspective. This linguistic understanding isn’t bound by the requirement to match a signature to a malicious payload, rather it looks at the context in which the message has been delivered. From this analysis, Darktrace can spot the early symptoms of account compromise such as early-stage social engineering before a payload is delivered.

Lateral Mail Analysis

Detect and respond to internal mailflow with multi-layered AI to prevent account takeover, lateral phishing and data leaks

The industry’s most robust account takeover protection now prevents lateral mail account compromise. Darktrace has always looked at internal mail to inform inbound and outbound decisions, but will now elevate suspicious lateral mail behaviour using the same AI techniques for inbound, outbound and Teams analysis.

Darktrace integrates signals from across the entire mailflow and communication patterns to determine symptoms of account compromise, now including lateral mailflow

Unlike other solutions which only analyze payloads, Darktrace analyzes a whole range of signals to catch lateral movement before a payload is delivered. Contributing yet another layer to the AI behavioral profile for each user, security teams can now use signals from lateral mail to spot the early symptoms of account takeover and take autonomous actions to prevent further compromise.

DMARC

Gain in-depth visibility and control of 3rd parties using your domain with an industry-first AI-assisted DMARC

Darktrace has created the easiest path to brand protection and compliance with the new Darktrace/DMARC. This new capability continuously stops spoofing and phishing from the enterprise domain, while automatically enhancing email security and reducing the attack surface.

Darktrace/DMARC helps to upskill businesses by providing step by step guidance and automated record suggestions provide a clear, efficient road to enforcement. It allows organizations to quickly achieve compliance with requirements from Google, Yahoo, and others, to ensure that their emails are reaching mailboxes.  

Meanwhile, Darktrace/DMARC helps to reduce the overall attack surface by providing visibility over shadow-IT and third-party vendors sending on behalf of an organization’s brand, while informing recipients when emails from their domains are sent from un-authenticated DMARC source.

Darktrace/DMARC integrates with the wider Darktrace product platform, sharing insights to help further secure your business across Email Attack Path and Attack Surface management.

Schlussfolgerung

To learn more about the new innovations to Darktrace/Email download the solution brief here.

All of the new updates to Darktrace/Email sit within the new Darktrace ActiveAI Security Platform, creating a feedback loop between email security and the rest of the digital estate for better protection. Click to read more about the Darktrace ActiveAI Security Platform or to hear about the latest innovations to Darktrace/OT, the most comprehensive prevention, detection, and response solution purpose built for critical infrastructures.  

Learn about the intersection of cyber and AI by downloading the State of AI Cyber Security 2024 report to discover global findings that may surprise you, insights from security leaders, and recommendations for addressing today’s top challenges that you may face, too.

References

[1] Internal Darktrace Research

[2] Internal Darktrace Research

[3] Essential Microsoft Office Statistics in 2024

Continue reading
About the author
Carlos Gray
Product Manager
Our ai. Your data.

Elevate your cyber defenses with Darktrace AI

Starten Sie Ihren kostenlosen Test
Darktrace AI protecting a business from cyber threats.