Credential Access über Brute Force & Co.

Cybergauner greifen Clouds gerne mit echten Accounts an

Uhr
von Coen Kaat und jor

Laut einer Studie von Elastic nutzen Cyberkriminelle gerne echte Accounts aus, wenn sie Clouds infiltrieren. So erhoffen sich die Angreifer, länger unentdeckt zu bleiben.

(Source: Jirsak / iStock.com)
(Source: Jirsak / iStock.com)

Elastic hat sich in seinem Global Threat Report unter anderem mit Cloud-Security befasst. Das Unternehmen hinter der Suchmaschine Elasticsearch analysierte dafür die Telemetriedaten der Kunden, die Elastics SIEM-Detection-Rules nutzen.

Von den erhaltenen Meldungen kamen 56,5 Prozent von AWS-Umgebungen, 21,8 Prozent von Google Cloud und 21,7 Prozent von Microsoft Azure. Diese Daten sagen aber wohl mehr über die Kundenbasis von Elastic aus als über die bevorzugten Ziele von Cyberkriminellen, wie auch Elastic in der Studie schreibt.

Das Unternehmen ordnete die registrierten Alerts nach dem ATT&CK-Leitfaden von Mitre ein. Die Abkürzung steht für Adversarial Tactics, Techniques, and Common Knowledge. Der Leitfaden dient zur Klassifizierungen von Taktiken, die bei Cyberangriffen zum Einsatz kommen.

Zugriff über echte Accounts

Laut der Studie fällt fast ein Drittel der Meldungen in die Kategorie Credential Access – es handelt sich also um Versuche, sich Zugriff zu verschaffen über bestehende Accounts. Dazu nutzen Cyberkriminelle etwa Keylogging, Credential Dumping oder auch Brute-Force-Attacken. Wie Elastic schreibt, bevorzugen Cyberkriminelle es, über bestehende Accounts einzudringen, weil ihre Machenschaften den Admins so weniger schnell auffallen.

Ferner bemühen sich Cyberkriminelle gemäss den Daten von Elastic auch darum, Persistence zu erreichen auf den infiltrierten Systemen. Knapp über 20 Prozent der Alerts ordnete das Unternehmen in diese Kategorie ein. Danach fallen die Prozentwerte rasch ab: rund 17 Prozent für Defensive Evasion, über 13 Prozent für Initial Access, etwa 8 Prozent für Impact (Manipulation und Löschen von Daten) und etwa 5 Prozent für die Exfiltration von Daten.

Die vollständige Studie von Elastic können Interessierte hier anfordern (nach der Eingabe von Name, E-Mail, etc).

Wenn Sie mehr zu Cybersecurity und Datenschutz lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_275358

Dossiers

» Mehr Dossiers

Aktuelle Ausgabe

Direkt in Ihren Briefkasten CHF 60.- » Magazin Abonnieren » Zum shop » Newsletter