Fertigung: Opfer von Credential-Harvesting-Angriffen

Fertigungsunternehmen: Opfer von Credential-Harvesting-Angriffen

Beitrag teilen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt und empfiehlt präventive Maßnahmen.

Die Threat Fusion Cell (TFC) von BlueVoyant hat eine neue, gegen US-amerikanische und kanadische moderne Fertigungsunternehmen gerichtete Angriffskampagne aufgedeckt. Per Credential Harvesting versuchen Angreifer, die Microsoft-Anmeldedaten von Mitarbeitern der betroffenen Unternehmen zu stehlen. Eine Anpassung des Angriffsszenarios an moderne europäische Fertigungsunternehmen – aber auch europäische Unternehmen anderer Branchen – ist durchaus denkbar. BlueVoyant rät deshalb zur Vorsicht – und zu mehr Vorsorge.

Anzeige

Am Anfang steht eine Spear-Phishing-Mail

Starten tut das von den Sicherheitsspezialisten von BlueVoyant in den vergangenen Monaten ausgemachte Angriffsszenario mit einer Spear Phishing-E-Mail, über die eine Datei mit dem Namen ‚Product List RFQ, NDA & Purchase Terms 2024.shtml‘ – wahlweise auch ‚Periscope Holdings Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘, ‚R.S.Hughes Product List RFQ‘, ‚NDA & Purchase Terms 2024.shtml‘ – versandt wird. Als vermeintliche Urheber dieser ‚Köderdatei‘ werden von den Angreifern bekannte Branchengrößen vorgeschoben: wie Periscope Holdings, ein großer Anbieter von Beschaffungslösungen für den öffentlichen Sektor, oder R.S. Hughes, ein nordamerikanischer Händler von Industrie- und Sicherheitsartikeln.

Der Umstand, dass Worte wie Angebotsanfrage (RFQ), Geheimhaltungsvereinbarung (NDA) und Preisliste im Namen enthalten sind, lässt auf frühere Interaktionen zwischen den Angreifern und ihren Opfern schließen – doch konnte dies noch nicht abschließend bestätigt werden. Nach dem Anklicken der Datei wird der Mitarbeiter auf eine Fake-Anmeldeseite, angeblich von Microsoft, weitergeleitet, auf welcher der Nutzername der E-Mail-Adresse bereits eingetragen ist und der Mitarbeiter zur Eingabe seines Passworts aufgefordert wird.

Angriffe auch auf europäische Fertigungsunternehmen möglich

Insgesamt 15 Opfer, allesamt Mitarbeiter moderner US-amerikanischer und kanadischer Fertigungsunternehmen, konnten die BlueVoyant-Forscher zwischen März und August 2024 identifizieren. Diese geringe Zahl identifizierter Kampagnenartefakte, die sehr enge Eingrenzung der Opfergruppe auf Mitarbeiter moderner, nordamerikanischer Fertigungsunternehmen sowie die recht professionelle Nutzung der Fake-Domains – nach der Registrierung waren sie über mehrere Monate inaktiv – legt nahe, dass es sich hier um einen fortgeschrittenen Angriff handelt.

Da ein ähnliches Angriffsszenario auch leicht für moderne europäische Fertigungsunternehmen oder europäische Unternehmen anderer Branchen denkbar ist, rät BlueVoyant Verantwortlichen zu folgenden präventiven Maßnahmen:

Domain-Namen prüfen und Mitarbeiter schulen

  • Stellen Sie sicher, dass von außen eingehende Domain-Namen konsequent auf ihre Richtigkeit geprüft werden. Sie können sich diese Arbeit auch abnehmen lassen – indem Sie die Unterstützung eines Anbieters für den Schutz vor digitalen Risiken in Anspruch nehmen. Dieser Anbieter sucht dann für Sie – auch im Dark Web und in Underground Communities – nach Domain-Namen von Fake-Websites und ergreift Maßnahmen, um sicherzustellen, dass diese für Ihr Unternehmen keine Bedrohung mehr darstellen können.
  • Informieren und schulen Sie Ihre Mitarbeiter im Hinblick auf Phishing, Spear Phishing und Social Engineering. Stellen Sie sicher, dass Ihre Arbeitskollegen jede verdächtige MFA-Aktivität umgehend melden. Die hier beschriebenen fortgeschrittenen Angreifer haben auch schon versucht, die MFA-Codes ihrer Opfer abzufangen.
  • Informieren und schulen Sie Ihre Mitarbeiter bezüglich fortschrittlicher Angriffe. Moderne Fertigungsunternehmen sind ein beliebtes Angriffsziel von staatlichen und halbstaatlichen Akteuren sowie von Kriminellen, die Wirtschaftsspionage betreiben. All diese Gruppen nutzen fortschrittliche Bedrohungsszenarien. Mitarbeiter müssen dringend über deren Erscheinungsformen sowie das diesbezügliche Risiko- und Schadenspotential aufgeklärt werden.
  • Beschränken Sie Zugang zu und Zugriff auf ihre Systeme mit strikten Richtlinien und starken Authentifizierungsmethoden, wie zertifikatsbasierten Authentifizierungen oder FIDO2.

Gelingt es Sicherheitsverantwortlichen, diese vier Punkte effektiv in ihre Sicherheitsarchitektur zu integrieren, werden es die Cyberkriminellen der von BlueVoyant aufgespürten Angriffskampagne sehr schwer haben, in Europa größere Schäden anzurichten.

Mehr bei BlueVoyant.com

 


Über BlueVoyant

BlueVoyant kombiniert interne und externe Cyberabwehrfunktionen zu einer ergebnisorientierten, cloudbasierten Cybersicherheitslösung, die Netzwerke, Endpunkte, Angriffsflächen und Lieferketten sowie das Clear, Deep und Dark Web kontinuierlich auf Bedrohungen überwacht. Die umfassenden Produkte und Services zur Cyberverteidigung beleuchten, prüfen und beheben Bedrohungen schnell, um Unternehmen zu schützen.


Passende Artikel zum Thema

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

Kritische Sicherheitsmängel bei ICS-/OT-Fachkräften

Eine aktuelle OT/IT-Sicherheitsstudie fand heraus, dass über die Hälfte der ICS-/OT-Fachkräfte über zu wenig Erfahrung verfügt. Obwohl zwei Drittel der ➡ Weiterlesen

Cloud-Datenschutzstrategien für Gesundheitsdienstleister

Die Digitalisierung im Gesundheitswesen nimmt stetig zu. Im gleichen Ausmaß nimmt die Gefahr von Cyberattacken zu. Der Schutz sensibler Daten ➡ Weiterlesen

API-Angriffe: Diese Bereiche sind gefährdet

In vielen Unternehmen fehlt ein Monitoring über schadhafte Strukturen oder Dritt-Anbieter-APIs. Das macht APIs besonders vulnerabel und zum Ziel für ➡ Weiterlesen

CPS: Angriffe auf vernetzte Geräte sind teuer und zeitintensiv 

Jeder dritte Angriff auf cyber-physische Systeme in Deutschland verursacht Kosten von mehr als 1 Million US-Dollar, das zeigt der Report ➡ Weiterlesen

Katz-und-Maus-Spiel mit nationalstaatlichen Gegnern in China

Sophos hat den Report „Pacific Rim“ veröffentlicht, der detailliert ein jahrelanges Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit mehreren staatlich unterstützten ➡ Weiterlesen