Backoff: die Rückkehr der PoS-Cyberangriffe

PoS-Angriffe machen wieder Schlagzeilen. Aber eigentlich waren sie nie weg. Als Folge des Angriffs auf Target gab das FBI im Januar eine Mitteilung heraus, in der es vor künftigen Vorfällen warnte. Malware-Typ (RAM-Scraper) und Infektionsvektor (Phishing-E‑Mails und infizierte Websites oder „Watering Holes“) sind identifiziert worden. Man hatte sogar herausgefunden, dass die Malware auch auf dem Schwarzmarkt erhältlich ist.

Dann sorgte die PoS-Malware Backoff für Schlagzeilen: Laut diesem Bericht ist sie für die neueste Serie von Angriffen auf hochkarätige Ziele verwendet worden. Das US‑Ministerium für innere Sicherheit und der Secret Service hatten bereits ermittelt und veröffentlichten Ende des letzten Monats eine Warnung, in der die Angriffsmechanismen genauer beschrieben wurden. Über 1.000 Unternehmen seien von Backoff betroffen.

Erst kürzlich gaben einige große Unternehmen bekannt, Opfer eines Angriffs geworden zu sein.

Schaut man sich die Warnung des Secret Service genauer an, fällt auf, dass die Abläufe denen der Target-Episode in bedrückender Weise ähneln.

Die Angreifer haben sich höchstwahrscheinlich unsichere Passwörter, unzureichende Richtlinien zur Kontensperrung, die Administratorenrechte der Nutzer und die Möglichkeit des Remotezugriffs auf Netzwerke zunutze gemacht.

Mit anderen Worten: Sobald die Angreifer mittels Phishing oder anderer Methoden ins System eingedrungen waren, konnten sie sich dort umsehen, Berechtigungen erweitern und die RAM-Scraper-Software auf PoS-Servern platzieren. Wir wissen auch, dass Backoff und andere unterstützende Malware explorer.exe als eine Art Stub benutzt haben, um sich vor der IT‑Sicherheitsüberwachung zu tarnen.

Wie wurden die Kreditkartendaten letztendlich entfernt beziehungsweise gestohlen?

Man ging bei der Warnung von der Analyse früherer Backoff-Varianten aus.  Deshalb wurde ausdrücklich darauf hingewiesen, dass die Command-and-Control-(C2-)Software das HTTP-Protokoll benutzt, um die vom Ziel ein‑ und ausgehenden Datenströme zu tarnen. C2 ist vermutlich auch beim Angriff auf Target eingesetzt worden.

Kurzum, das ist alles nichts Neues.

Ich vermute, es wird Sie nicht überraschen, dass der Secret Service empfiehlt, eine zweistufige Authentifizierung zu verwenden, den Remote-Desktop-Zugriff stark einzuschränken, eine Software zur Feststellung ungewöhnlicher Vorgänge durch berechtigte Nutzer (abgefangene Anmeldeinformationen) zu benutzen und nicht zuletzt empfiehlt er Berechtigungen nur sehr eng zu vergeben, gleiches gilt für Zugriffssteuerungslisten für Nutzer und Anwendungen im System. Wer hätte das gedacht!

Ebenso verblüffend wie beunruhigend ist dagegen, dass selbst jetzt, nachdem uns die Angriffe auf Target und andere große Einzelhandelsunternehmen im vergangenen Jahr wachgerüttelt haben, sogar in großen Unternehmen noch immer genau dieselben Schwachstellen erfolgreich ausgenutzt werden.

The post Backoff: die Rückkehr der PoS-Cyberangriffe appeared first on Varonis Deutsch.