Ressourcen-Center

Russland-Ukraine-Konflikt – Cyberressourcenzentrum

Finden Sie Ressourcen, die Ihnen dabei helfen, Ihr Unternehmen vor globalen Cyberangriffen im Zusammenhang mit dem Russland-Ukraine-Konflikt zu schützen.

ThreatLabz beobachtet aktiv neue und aufkommende Bedrohungen

Die Auswirkungen des russischen Invasionsangriffs in der Ukraine sind nicht mehr allein im Licht der geopolitischen Kriegsführung zu betrachten. Die Situation hat sich mittlerweile zu einer globalen Cyberbedrohung entwickelt, die eine Gefahr für kritische Infrastrukturen, Lieferketten und Unternehmen darstellt. Sowohl die CISA als auch andere Regierungsbehörden haben Warnungen ausgegeben und Anleitungen veröffentlicht. Darin wird auf die Notwendigkeit hingewiesen, die Sicherheitsinfrastruktur auf zunehmende verheerende Cyberangriffe seitens Russlands vorzubereiten.

Zscaler hat sich zum Ziel gesetzt, die internationale Community von SecOps-Teams bei Ihrem Einsatz zur Bewältigung und Vorbereitung auf diese Bedrohungen zu unterstützen.  

Lesen Sie die Sicherheitswarnung von ThreatLabz: Cyberangriffe infolge Russlands Invasion der Ukraine, um Sicherheitsempfehlungen zu erhalten und mehr darüber zu erfahren, wie wir unsere Kunden schützen.

ThreatLabZ Research

Als vertrauenswürdiger Sicherheitspartner ist der Schutz von Unternehmen vor Cyberbedrohungen unser wichtigstes Anliegen

Das Forschungsteam von Zscaler ThreatLabz behält Hackergruppen und entsprechende Angriffskampagnen stets im Blick. Die Telemetrie der Zscaler Cloud stützt sich auf mehr als 400 Milliarden Transaktionen und 9 Milliarden blockierte Bedrohungen pro Tag und bietet Echtzeiteinblicke, durch die wir eine schnelle Erkennungsabdeckung über die gesamte Plattform hinweg gewährleisten können.

 

In unserem Ressourcenzentrum finden Sie immer die neuesten Informationen, Forschungsupdates und andere aufschlussreiche Materialien. Die neuesten Updates von ThreatLabz enthalten verwertbare Analysen von Taktiken und Techniken, die bei gezielten Angriffen gegen die Ukraine zum Einsatz kommen.

HermeticWiper-Malware

ThreatLabz hat eine bisher nicht dokumentierte Abfolge von Angriffsphasen auf Basis dieser zerstörerischen Wiper-Malware entdeckt. Anhand von sieben spezifischen Beispielen können Unternehmen ein Verständnis für diese typische Abfolge von Angriffsphasen entwickeln und ihre Verteidigungsmaßnahmen entsprechend aktualisieren.

PartyTicket-Ransomware

ThreatLabz hat die Verbreitung dieser scheinbaren Decoy-Ransomware, die zeitgleich mit der Verbreitung von HermeticWiper in der Ukraine auftrat, eingehend analysiert. Ein detaillierter Blick auf diese Taktik liefert Erkenntnisse zu möglichen Vorbereitungsmaßnahmen auf die noch zu erwartenden tatsächlichen Bedrohungen.

DDoS-Angriff mit DanaBot

ThreatLabz analysierte den DDoS-Angriff auf den Webmail-Server des ukrainischen Verteidigungsministeriums, durchgeführt von einem Angreifer mit DanaBot, einer 2018 erstmals entdeckten Malware-as-a-Service-Plattform. Weitere Informationen aufrufen

Conti-Ransomware

ThreatLabz analysierte die mit Russland in Verbindung stehende Ransomware-Gruppe Conti, bevor sie sich nach der Invasion der Ukraine auflöste. Der Conti-Quellcode hat seitdem neue Stämme wie ScareCrow, Meow, Putin und Akira hervorgebracht. ThreatLabz beobachtete auch, dass BlackBasta ein Verhandlungsskript verwendet, das mit dem von Conti fast identisch ist. Erfahren Sie mehr über die Auswirkungen von Conti.

Empfohlene Vorbereitung
Verstärkung zentraler Maßnahmen wie der Durchführung von Patches, der Erstellung von Notfallplänen sowie der Dokumentation von Änderungen
  • Notfallpläne müssen dokumentiert werden und für alle IT- und SecOps-Mitarbeiter leicht zugänglich sein.
  • Alle Schwachstellen in der Infrastruktur müssen gepatcht werden. Sollte dies nicht möglich sein, sollten sie isoliert oder entfernt werden.
  • Die Dokumentation, Protokollierung und Überprüfung sämtlicher Aktionen, Änderungen und Vorfälle ist entscheidend, um Untersuchungen und Fehlerbehebungen zu erleichtern.
Eingehende Auseinandersetzung mit der Angriffsfläche und Ergreifen entsprechender Schutzmaßnahmen zur Risikominimierung
  • Die Nutzung von Zscaler Private Access ermöglicht den Zugriff auf private Anwendungen in öffentlichen Clouds oder einem Rechenzentrum nach dem Zero-Trust-Prinzip.
  • Falls die Nutzung von Zscaler Private Access nicht möglich ist, ist es entscheidend sicherzustellen, dass systemrelevante Services im Internet nicht sichtbar sind. Eine weitere Alternative ist die Implementierung strengerer Zugriffskontrollen.
Einstufung aller Netzwerke als nicht vertrauenswürdig entsprechend dem Zero-Trust-Konzept
  • Alle Verbindungen zu nicht vertrauenswürdigen oder Drittanbieter-Netzwerken sollten isoliert oder getrennt werden.
  • In Hochrisikogebieten ist mit einer instabilen Konnektivität zu rechnen.
  • Der Zugriff über Overlay-Anwendungspfade sollte ermöglicht werden (in Zscaler Private Access).
  • Für User in betroffenen Regionen ist eine tägliche Neuauthentifizierung ratsam.
Einsatz von Geolocation-Sperren zur Blockierung von Services und IPs, die an Standorten mit erhöhtem Risiko gehostet werden
  • Indem diese Sperren mithilfe von Zscaler Internet Access an Austrittspunkten aktiviert werden, kann ein versehentlicher Zugriff auf Services und/oder IPs verhindert werden, die an Orten mit erhöhtem Risiko gehostet werden.
Aktivierung der TLS-Überprüfung für alle potenziell betroffenen User zur Gewährleistung von Schutz und Transparenz
  • Vertrauliche Informationen müssen vor staatlich beauftragten Angreifern geschützt werden. Die Einrichtung von Kontrollen zum Schutz von wichtigem geistigem Eigentum und DLP-Regeln zur Erkennung und Blockierung von IP-Exfiltration ist in diesem Zusammenhang eine entscheidende Maßnahme.
  • Sämtliche als schädlich identifizierte Payloads sollten innerhalb einer Sandbox blockiert werden.
ZERO-TRUST-PRINZIPIEN

Anwendung der Zero-Trust-Prinzipien

Zero-Trust-Architekturen basieren auf vier Grundprinzipien zum Schutz anfälliger Anwendungen vor Angreifern, dem Erkennen und Blockieren von unbefugten Zugriffsversuchen und Begrenzen der Folgeschäden erfolgreicher Angriffe. Wir empfehlen Unternehmen die Implementierung von Zero-Trust-Strategien als wirksame Schutzmaßnahme.

Externe Angriffsflächen minimieren
Externe Angriffsflächen minimieren

Keine Angriffsfläche dank unsichtbarer Anwendungen und Server

Infektionen durch vollständige TLS-Überprüfung vorbeugen
Infektionen durch vollständige TLS-Überprüfung vorbeugen

Durch Überprüfung des SSL-Traffics werden Infektionen und Exploits vermieden

Schutz vor lateralen Bewegungen
Schutz vor lateralen Bewegungen

ZTNA und integrierte Deception-Tools begrenzen das Schadenspotenzial

Datenexfiltration verhindern
Datenexfiltration verhindern

Inline-DLP mit TLS-Überprüfung dient zur Unterbindung von Datenexfiltrationen