Bug Poaching: IBM warnt Unternehmen vor neuartigen Angriffen

IBM hat vor einer neuen Masche von Cyberkriminellen gewarnt, die der Konzern als “Bug Poaching” (zu Deutsch etwa “Schwachstellen-Wilderei”) bezeichnet. Die Angreifer brechen dabei in ein Unternehmensnetzwerk ein, suchen nach vertraulichen Informationen und speichern diese in der Cloud. Anschließend, so John Kuhn, Senior Threat Researcher bei IBM, schicken die Hacker eine Mail samt Link zum Cloud-Storage mit den gekaperten Daten an das Unternehmen.

Gleichzeitig fordern die Hacker die Summe von 30.000 Dollar für Informationen dazu, welche Schwachstellen für den Einbruch genutzt wurden. Die Hacker formulieren das meist mit folgenden Worten: “Vertrauen sie bitte darauf, dass diese Daten bei mir sicher sind. Sie wurden lediglich als Beweis extrahiert. Ich mache das nicht aus Spaß, sondern um damit meinen Lebensunterhalt zu verdienen.”

“Diese Kriminellen schrecken nicht davor zurück, in das Netzwerk der Organisation einzudringen, um Daten zu stehlen”, so Kuhn. “Sie argumentieren, dass ihre Methoden aufzeigen, an welchen Stellen das System verwundbar ist.” Die Angreifer verlangen nicht etwa Geld für die Herausgabe der Daten und sie richten – das muss man ihnen zugutehalten – zunächst keinen Schaden an, oder löschen oder verändern Daten.

Man könnte ihre Aktion daher fast also so etwas wie eine “aufgezwungene Dienstleistung” sehen. Dennoch: “Ungeachtet der Beweggründe, handelt es sich dabei um Datendiebstahl und Erpressung. Egal ob das in guter oder schlechter Absicht geschieht.” Daher sollten Bug-Poaching-Attacken – auch wenn sie vielleicht weniger schwer wiegen – nicht auf die leichte Schulter genommen werden.

Mit “Bug Poaching” ist zum Horrorvokabular der IT-Security jetzt ein neuer Begriff hinzugekommen (Bild: Shutterstock.com/bofotolux).

Daher rät Kuhn auch entschieden davon ab, den Forderungen der Hacker nachzukommen, denn auf diese Weise würde man Cybercrime nur noch fördern. Kuhn berichtet, dass IBMs Sicherheitsabteilung derzeit etwa 30 Unternehmen bekannt sind, bei eingebrochen wurde und die zu derartigen Zahlungen aufgefordert wurden.

Bei den meisten dieser Organisationen seien die Hacker über SQL-Injektion in das Netzwerk eingedrungen. Wenn es bereits ein Leck in der Unternehmens-IT gibt, sei es zudem wahrscheinlich, das auch weitere Lecks bestehen. Schließlich nutzten die Hacker keine Zero-Day-Exploits, sondern zielen auf bekannte Lecks. Ein weiterer Punkt sei, dass Unternehmen, die bereits bei einer Erpressung bezahlt haben, verstärkt mit weiteren Forderungen rechnen müssten.

Angegriffene Unternehmen sollten daher sämtliche Informationen über den Vorfall sammeln. Dazu zählen vor allem Web-Logs der Server und die Mail mit den Forderungen der Angreifer, und sich damit an die Behörden wenden.

Wer erfahren möchte, wo die Probleme im Netzwerk liegen, könne das auch über die Analyse von Web-Server-Logs tun. Diese bieten laut IBM-Experte Kuhn eine exzellente Informationsquelle. Auch forensische Scans könnten diese Informationen zu Tage fördern.

Unternehmen müssen jedoch darauf vertrauen, dass die Angreifer die Daten nicht veröffentlichen. Wenn personenbezogene Daten entwendet wurden, muss dieser Vorfall gemeldet werden. Der Königsweg ist natürlich, das eigene Netzwerk und Anwendungen hinlänglich vor Angriffen zu schützen, selbst Tests, eventuell auch Penetrationstests, durchzuführen und entsprechende Fachkräfte zu engagieren.

Ausgewählte, passende Whitepaper:

Redaktion

Recent Posts

T-Systems baut Maut-System im Elsass

Dank Anbindung an europäische Standard-Technologie sollen Logistiker das System länderübergreifend nutzen können.

21 Stunden ago

ZEISS Microscopy: Update Manager strafft Prozesse und erhöht Sicherheit

Über nahtlose Verbindungen zu IoT-Plattformen wie ThingWorx, Azure IoT, AWS IoT und Mender.io die Mikroskop-Software…

2 Tagen ago

Notwendige Symbiose: Wie der GenKI-Trend den Bedarf an KI-Clouds vorantreibt

KI definiert die Anforderungen an Cloud-Infrastrukturen neu, was sich tiefgreifend auf Unternehmen, Cloud-Anbieter und gesamte…

2 Tagen ago

KI beantwortet Fragen rund um den EU AI Act

Leitlinien der EU-Kommission werfen viele Fragen auf, besonders für Unternehmen, die sicherstellen müssen, dass ihre…

2 Tagen ago

Nachwuchs ausbilden in eigener IT-Academy

Wir heben IT-Weiterbildung auf ein neues Level und bauen interne Technologie-Expertise systematisch auf, sagt Stefan…

4 Tagen ago

KI kann Klinikärzte und Verwaltung entlasten

Der Zugriff auf medizinisches Wissen sowie die Unterstützung bei Entscheidungen durch KI kann Behandlungsfehler reduzieren,…

4 Tagen ago