Fertigung: Opfer von Credential-Harvesting-Angriffen

Fertigungsunternehmen: Opfer von Credential-Harvesting-Angriffen

Beitrag teilen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt und empfiehlt präventive Maßnahmen.

Die Threat Fusion Cell (TFC) von BlueVoyant hat eine neue, gegen US-amerikanische und kanadische moderne Fertigungsunternehmen gerichtete Angriffskampagne aufgedeckt. Per Credential Harvesting versuchen Angreifer, die Microsoft-Anmeldedaten von Mitarbeitern der betroffenen Unternehmen zu stehlen. Eine Anpassung des Angriffsszenarios an moderne europäische Fertigungsunternehmen – aber auch europäische Unternehmen anderer Branchen – ist durchaus denkbar. BlueVoyant rät deshalb zur Vorsicht – und zu mehr Vorsorge.

Anzeige

Am Anfang steht eine Spear-Phishing-Mail

Starten tut das von den Sicherheitsspezialisten von BlueVoyant in den vergangenen Monaten ausgemachte Angriffsszenario mit einer Spear Phishing-E-Mail, über die eine Datei mit dem Namen ‚Product List RFQ, NDA & Purchase Terms 2024.shtml‘ – wahlweise auch ‚Periscope Holdings Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘, ‚R.S.Hughes Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘ – versandt wird. Als vermeintliche Urheber dieser ‚Köderdatei‘ werden von den Angreifern bekannte Branchengrößen vorgeschoben: wie Periscope Holdings, ein großer Anbieter von Beschaffungslösungen für den öffentlichen Sektor, oder R.S. Hughes, ein nordamerikanischer Händler von Industrie- und Sicherheitsartikeln.

Der Umstand, dass Worte wie Angebotsanfrage (RFQ), Geheimhaltungsvereinbarung (NDA) und Preisliste im Namen enthalten sind, lässt auf frühere Interaktionen zwischen den Angreifern und ihren Opfern schließen – doch konnte dies noch nicht abschließend bestätigt werden. Nach dem Anklicken der Datei wird der Mitarbeiter auf eine Fake-Anmeldeseite, angeblich von Microsoft, weitergeleitet, auf welcher der Nutzername der E-Mail-Adresse bereits eingetragen ist und der Mitarbeiter zur Eingabe seines Passworts aufgefordert wird.

Angriffe auch auf europäische Fertigungsunternehmen möglich

Insgesamt 15 Opfer, allesamt Mitarbeiter moderner US-amerikanischer und kanadischer Fertigungsunternehmen, konnten die BlueVoyant-Forscher zwischen März und August 2024 identifizieren. Diese geringe Zahl identifizierter Kampagnenartefakte, die sehr enge Eingrenzung der Opfergruppe auf Mitarbeiter moderner, nordamerikanischer Fertigungsunternehmen sowie die recht professionelle Nutzung der Fake-Domains – nach der Registrierung waren sie über mehrere Monate inaktiv – legt nahe, dass es sich hier um einen fortgeschrittenen Angriff handelt.

Da ein ähnliches Angriffsszenario auch leicht für moderne europäische Fertigungsunternehmen oder europäische Unternehmen anderer Branchen denkbar ist, rät BlueVoyant Verantwortlichen zu folgenden präventiven Maßnahmen:

Domain-Namen prüfen und Mitarbeiter schulen

  • Stellen Sie sicher, dass von außen eingehende Domain-Namen konsequent auf ihre Richtigkeit geprüft werden. Sie können sich diese Arbeit auch abnehmen lassen – indem Sie die Unterstützung eines Anbieters für den Schutz vor digitalen Risiken in Anspruch nehmen. Dieser Anbieter sucht dann für Sie – auch im Dark Web und in Underground Communities – nach Domain-Namen von Fake-Websites und ergreift Maßnahmen, um sicherzustellen, dass diese für Ihr Unternehmen keine Bedrohung mehr darstellen können.
  • Informieren und schulen Sie Ihre Mitarbeiter im Hinblick auf Phishing, Spear Phishing und Social Engineering. Stellen Sie sicher, dass Ihre Arbeitskollegen jede verdächtige MFA-Aktivität umgehend melden. Die hier beschriebenen fortgeschrittenen Angreifer haben auch schon versucht, die MFA-Codes ihrer Opfer abzufangen.
  • Informieren und schulen Sie Ihre Mitarbeiter bezüglich fortschrittlicher Angriffe. Moderne Fertigungsunternehmen sind ein beliebtes Angriffsziel von staatlichen und halbstaatlichen Akteuren sowie von Kriminellen, die Wirtschaftsspionage betreiben. All diese Gruppen nutzen fortschrittliche Bedrohungsszenarien. Mitarbeiter müssen dringend über deren Erscheinungsformen sowie das diesbezügliche Risiko- und Schadenspotential aufgeklärt werden.
  • Beschränken Sie Zugang zu und Zugriff auf ihre Systeme mit strikten Richtlinien und starken Authentifizierungsmethoden, wie zertifikatsbasierten Authentifizierungen oder FIDO2.

Gelingt es Sicherheitsverantwortlichen, diese vier Punkte effektiv in ihre Sicherheitsarchitektur zu integrieren, werden es die Cyberkriminellen der von BlueVoyant aufgespürten Angriffskampagne sehr schwer haben, in Europa größere Schäden anzurichten.

Mehr bei BlueVoyant.com

 


Über BlueVoyant

BlueVoyant kombiniert interne und externe Cyberabwehrfunktionen zu einer ergebnisorientierten, cloudbasierten Cybersicherheitslösung, die Netzwerke, Endpunkte, Angriffsflächen und Lieferketten sowie das Clear, Deep und Dark Web kontinuierlich auf Bedrohungen überwacht. Die umfassenden Produkte und Services zur Cyberverteidigung beleuchten, prüfen und beheben Bedrohungen schnell, um Unternehmen zu schützen.


Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen