Ressourcen-Center
Russland-Ukraine-Konflikt – Cyberressourcenzentrum
Finden Sie Ressourcen, die Ihnen dabei helfen, Ihr Unternehmen vor globalen Cyberangriffen im Zusammenhang mit dem Russland-Ukraine-Konflikt zu schützen.
ThreatLabz beobachtet aktiv neue und aufkommende Bedrohungen
Die Auswirkungen des russischen Invasionsangriffs in der Ukraine sind nicht mehr allein im Licht der geopolitischen Kriegsführung zu betrachten. Die Situation hat sich mittlerweile zu einer globalen Cyberbedrohung entwickelt, die eine Gefahr für kritische Infrastrukturen, Lieferketten und Unternehmen darstellt. Sowohl die CISA als auch andere Regierungsbehörden haben Warnungen ausgegeben und Anleitungen veröffentlicht. Darin wird auf die Notwendigkeit hingewiesen, die Sicherheitsinfrastruktur auf zunehmende verheerende Cyberangriffe seitens Russlands vorzubereiten.
Zscaler hat sich zum Ziel gesetzt, die internationale Community von SecOps-Teams bei Ihrem Einsatz zur Bewältigung und Vorbereitung auf diese Bedrohungen zu unterstützen.
Lesen Sie die Sicherheitswarnung von ThreatLabz: Cyberangriffe infolge Russlands Invasion der Ukraine, um Sicherheitsempfehlungen zu erhalten und mehr darüber zu erfahren, wie wir unsere Kunden schützen.
Als vertrauenswürdiger Sicherheitspartner ist der Schutz von Unternehmen vor Cyberbedrohungen unser wichtigstes Anliegen
Das Forschungsteam von Zscaler ThreatLabz behält Hackergruppen und entsprechende Angriffskampagnen stets im Blick. Die Telemetrie der Zscaler Cloud stützt sich auf mehr als 400 Milliarden Transaktionen und 9 Milliarden blockierte Bedrohungen pro Tag und bietet Echtzeiteinblicke, durch die wir eine schnelle Erkennungsabdeckung über die gesamte Plattform hinweg gewährleisten können.
In unserem Ressourcenzentrum finden Sie immer die neuesten Informationen, Forschungsupdates und andere aufschlussreiche Materialien. Die neuesten Updates von ThreatLabz enthalten verwertbare Analysen von Taktiken und Techniken, die bei gezielten Angriffen gegen die Ukraine zum Einsatz kommen.
ThreatLabz hat eine bisher nicht dokumentierte Abfolge von Angriffsphasen auf Basis dieser zerstörerischen Wiper-Malware entdeckt. Anhand von sieben spezifischen Beispielen können Unternehmen ein Verständnis für diese typische Abfolge von Angriffsphasen entwickeln und ihre Verteidigungsmaßnahmen entsprechend aktualisieren.
ThreatLabz hat die Verbreitung dieser scheinbaren Decoy-Ransomware, die zeitgleich mit der Verbreitung von HermeticWiper in der Ukraine auftrat, eingehend analysiert. Ein detaillierter Blick auf diese Taktik liefert Erkenntnisse zu möglichen Vorbereitungsmaßnahmen auf die noch zu erwartenden tatsächlichen Bedrohungen.
ThreatLabz analysierte den DDoS-Angriff auf den Webmail-Server des ukrainischen Verteidigungsministeriums, durchgeführt von einem Angreifer mit DanaBot, einer 2018 erstmals entdeckten Malware-as-a-Service-Plattform. Weitere Informationen aufrufen
ThreatLabz analysierte die mit Russland in Verbindung stehende Ransomware-Gruppe Conti, bevor sie sich nach der Invasion der Ukraine auflöste. Der Conti-Quellcode hat seitdem neue Stämme wie ScareCrow, Meow, Putin und Akira hervorgebracht. ThreatLabz beobachtete auch, dass BlackBasta ein Verhandlungsskript verwendet, das mit dem von Conti fast identisch ist. Erfahren Sie mehr über die Auswirkungen von Conti.
- Notfallpläne müssen dokumentiert werden und für alle IT- und SecOps-Mitarbeiter leicht zugänglich sein.
- Alle Schwachstellen in der Infrastruktur müssen gepatcht werden. Sollte dies nicht möglich sein, sollten sie isoliert oder entfernt werden.
- Die Dokumentation, Protokollierung und Überprüfung sämtlicher Aktionen, Änderungen und Vorfälle ist entscheidend, um Untersuchungen und Fehlerbehebungen zu erleichtern.
- Die Nutzung von Zscaler Private Access ermöglicht den Zugriff auf private Anwendungen in öffentlichen Clouds oder einem Rechenzentrum nach dem Zero-Trust-Prinzip.
- Falls die Nutzung von Zscaler Private Access nicht möglich ist, ist es entscheidend sicherzustellen, dass systemrelevante Services im Internet nicht sichtbar sind. Eine weitere Alternative ist die Implementierung strengerer Zugriffskontrollen.
- Alle Verbindungen zu nicht vertrauenswürdigen oder Drittanbieter-Netzwerken sollten isoliert oder getrennt werden.
- In Hochrisikogebieten ist mit einer instabilen Konnektivität zu rechnen.
- Der Zugriff über Overlay-Anwendungspfade sollte ermöglicht werden (in Zscaler Private Access).
- Für User in betroffenen Regionen ist eine tägliche Neuauthentifizierung ratsam.
- Indem diese Sperren mithilfe von Zscaler Internet Access an Austrittspunkten aktiviert werden, kann ein versehentlicher Zugriff auf Services und/oder IPs verhindert werden, die an Orten mit erhöhtem Risiko gehostet werden.
- Vertrauliche Informationen müssen vor staatlich beauftragten Angreifern geschützt werden. Die Einrichtung von Kontrollen zum Schutz von wichtigem geistigem Eigentum und DLP-Regeln zur Erkennung und Blockierung von IP-Exfiltration ist in diesem Zusammenhang eine entscheidende Maßnahme.
- Sämtliche als schädlich identifizierte Payloads sollten innerhalb einer Sandbox blockiert werden.
Anwendung der Zero-Trust-Prinzipien
Zero-Trust-Architekturen basieren auf vier Grundprinzipien zum Schutz anfälliger Anwendungen vor Angreifern, dem Erkennen und Blockieren von unbefugten Zugriffsversuchen und Begrenzen der Folgeschäden erfolgreicher Angriffe. Wir empfehlen Unternehmen die Implementierung von Zero-Trust-Strategien als wirksame Schutzmaßnahme.
Externe Angriffsflächen minimieren
Keine Angriffsfläche dank unsichtbarer Anwendungen und Server
Infektionen durch vollständige TLS-Überprüfung vorbeugen
Durch Überprüfung des SSL-Traffics werden Infektionen und Exploits vermieden
Schutz vor lateralen Bewegungen
ZTNA und integrierte Deception-Tools begrenzen das Schadenspotenzial
Datenexfiltration verhindern
Inline-DLP mit TLS-Überprüfung dient zur Unterbindung von Datenexfiltrationen