Nach der CrowdStrike-Panne vom 19. Juli 2024 entdeckten Akamai-Forscher mehr als 180 neu erstellte schädliche Domains. Diese gaben vor, Betroffenen bei der Navigation durch ihre IT-Ausfälle behilflich zu sein. Mit mehr als 20 Prozent des beobachteten Angriffsverkehrs gehörten gemeinnützige Organisationen und das Bildungswesen zu den am stärksten betroffenen Branchen.
Der Sicherheitsexperte Akamai hat die am häufigsten besuchten bösartigen Domains im Zusammenhang mit dem Ausfall identifiziert und eine Liste von Indikatoren der Kompromittierung (IOCs) erstellt. Unternehmen können diese in ihre Blockierliste aufnehmen oder selbst weiter analysieren.
Vorgeschichte: IT-Ausfall legte 8,5 Millionen Rechner lahm
Am Freitag, den 19. Juli 2024, wurde die Welt von einem weitreichenden IT-Ausfall erschüttert, der nach einem kürzlich von CrowdStrike durchgeführten Falcon-Update auftrat. Das Update löste Fehlerprüfungen auf Windows-Hosts aus, die zu einer globalen Flut von Bluescreens of Death (BSODs) führten und Milliarden von Systemausfällen an verschiedenen Orten verursachten. Weltweit waren 8,5 Millionen Geräte und fast jede Branche betroffen. Die Auswirkungen trafen auch kritische Dienste wie Luftfahrt, Behörden sowie das Gesundheitswesen und führten zu massiven Einschränkungen, die teilweise noch Tage nach dem Vorfall andauerten.
Bedrohungsakteure richteten betrügerische Websites ein
Viele verunsicherte Nutzer suchten online nach Hilfe. Wie so oft bei Ereignissen mit großer Aufmerksamkeit versuchten Bedrohungsakteure, die Situation auszunutzen und von der durch den Ausfall verursachten Verwirrung zu profitieren. Sie richteten betrügerische Websites ein, die auf betroffene CrowdStrike-Kunden abzielten, Informationen abschöpften und Malware verbreiteten.
Durch die Analyse der Daten, auf die Akamai in seinem weltweiten Edge-Netzwerk Zugriff hat, konnte der Sicherheitsexperte die wichtigsten bösartigen Domains identifizieren. Die Domains enthalten häufig Keywords wie »bsod« und »microsoft«, da Nutzer diese Schlüsselwörter als ergänzende Suchbegriffe verwenden, wenn sie ihr Problem beheben wollen.
Darüber hinaus verfügen viele der bösartigen Websites über vertrauensbildende Maßnahmen, die die Benutzer gewöhnlich mit Sicherheit in Verbindung bringen, wie SSL-Validierung oder IT-Support. Zum Zeitpunkt der Veröffentlichung dieses Beitrags hatte Akamai bereits mehr als 180 verschiedene Domains identifiziert, die alle zwischen dem 19. und 21. Juli registriert wurden. Diese Zahl wird sich voraussichtlich noch erhöhen. Eine der beobachteten bösartigen Domains war unter den 200.000 besten Websites für die zugehörigen Keywords aufgeführt.
Besonders betroffen: Gemeinwohl und Bildung
Üblicherweise tragen Hochtechnologie und Finanzdienstleistungen die Hauptlast von Zero-Day-Angriffen. Bei diesen Angriffen stechen allerdings der gemeinnützige und der Bildungssektor sowie der öffentliche Sektor mit mehr als 29 Prozent hervor. Diese Branche ist auch in Bezug auf die Abhilfemaßnahmen stark betroffen. Trotz steigender IT-Budgets haben die oft kleinen Sicherheitsteams von Bildungseinrichtungen Schwierigkeiten, die Infrastruktur gegen Hacker zu schützen. Cyberkriminellen ist das bewusst und sie wählen ihre Ziele vermutlich danach aus.
Akamai erwartet weitere Phishing-Versuche
Es ist wahrscheinlich, dass mehr Phishing-Versuche im Zusammenhang mit dem Outage auftreten werden. Bemerkenswert ist, dass die Angreifer aufgrund der großen Aufmerksamkeit für diesen Vorfall nun ein besseres Verständnis für die Technologie-Stacks bestimmter Ziele haben. Dies könnte relevant werden, wenn ein zukünftiges CVE im Falcon-Produkt entdeckt wird. Angreifer werden immer raffinierter: Jedes zusätzliche Puzzleteil, das sie haben, um eine Technologie zu durchschauen, macht es einfacher, Angriffe umzusetzen.
[1] https://github.com/akamai/esg-secops/blob/main/IOCs/crowdstrike-day2-ioc.txt [2] Weitere Informationen lesen Sie auf dem Akamai-Blog (englisch).
FORRESTER-ANALYSTENKOMMENTAR
Forrester-Vizepräsident und Hauptanalyst Andras Cser: »Aufgrund der Art und Weise, wie das Update bereitgestellt wurde, sind die Wiederherstellungsoptionen für betroffene Rechner manuell und daher begrenzt: Administratoren müssen eine physische Tastatur an jedes betroffene System anschließen, in den abgesicherten Modus booten, das kompromittierte CrowdStrike-Update entfernen und dann neu starten. Einige Administratoren haben außerdem angegeben, dass sie keinen Zugriff auf die BitLocker-Festplattenverschlüsselungsschlüssel erhalten konnten, um Abhilfemaßnahmen durchzuführen. Administratoren sollten die Anweisungen von CrowdStrike über die offiziellen Kanäle befolgen, um dieses Problem zu umgehen, wenn sie betroffen sind.«
»Die Behebung dieses Problems erfordert einen erheblichen Aufwand. Frühere Aufzeichnungen ähnlicher Vorfälle haben gezeigt, dass die Abläufe, Produkttests und Kommunikationsstrategien von Anbietern nach solchen Vorfällen nur besser werden.«
Allie Mellen, Principal Analyst bei Forrester: »Die Zuverlässigkeit der Tools und Dienste, die Cybersecurity-Teams nutzen, ist angesichts von Cyberangriffen entscheidend. Ein Vorfall wie dieser stellt diese Zuverlässigkeit in Frage. Dies wird zweifellos Fragen und Bedenken von Führungskräften aufwerfen, wie die Zuverlässigkeit von Unternehmenssystemen sichergestellt werden kann, insbesondere bei Technologien, die so sehr in den täglichen Betrieb integriert sind wie Cybersicherheitssoftware.«
FORRESTER BEST PRACTICES
Forrester empfiehlt Technik- und Sicherheitsverantwortlichen, sofort die folgenden Maßnahmen zu ergreifen:
- Befähigen Sie autorisierte Systemadministratoren, die Probleme schnell und effektiv zu beheben.
- Kommunizieren Sie sowohl intern als auch extern klar die Auswirkungen, den Status und den Fortschritt der Abhilfemaßnahmen.
- Achten Sie auf die Kommunikationsstrategien des Anbieters und befolgen Sie die offiziellen Anweisungen.
- Kümmern Sie sich um Ihre Mitarbeiter.
Sobald das unmittelbare Problem behoben ist:
- Implementieren Sie die Infrastrukturautomatisierung, ein Muss für kontrollierte und verwaltete Softwareeinführungen.
- Aktualisieren und üben Sie ihren IT-Ausfallreaktionsplan.
- Holen Sie von Sicherheitsanbietern einheitliche, schriftliche Garantien für ihre Qualitätssicherungsprozesse und die Wirksamkeit der Bedrohungserkennung ein.
Längerfristig:
- Überprüfen Sie die Risikostrategie und den Ansatz für Drittanbieter neu.
- Nutzen Sie den Vertrag als Instrument zur Risikominderung.
CrowdStrike Global Outage: Critical Next Steps For Tech And Security Leaders (forrester.com)
87 Artikel zu „CrowdStrike“
Lars Gommermann @CrowdStrike und Ceyhun Gerz von der Schmieder it-solutions live auf der it-sa 2023.
News | Veranstaltungen
CrowdStrike informiert: Neuigkeiten für Deutschland
Einmal im Quartal informiert Sie das CrowdStrike Team aus Deutschland über alle Entwicklungen, Produktveröffentlichungen & Veranstaltungen in Ihrer Region. Wir laden Sie herzlich zur nächsten Session unserer Webinarreihe »CrowdStrike informiert: Neuigkeiten für Deutschland« ein.
News | IT-Security | Produktmeldung
CrowdStrike und HCLTech geben globale strategische Partnerschaft bekannt, um die Transformation der Cybersicherheit in Großunternehmen voranzutreiben
Die MDR-Dienste von HCLTech nutzen jetzt die KI-native Falcon® XDR Plattform von CrowdStrike und bieten die Geschwindigkeit und das Fachwissen, das Kunden benötigen, um Sicherheitsverletzungen zu stoppen. CrowdStrike (Nasdaq: CRWD) und HCLTech (NSE: HCLTECH), weltweit führende Technologieunternehmen, gaben heute ihre strategische Partnerschaft bekannt. Im Rahmen dieser Partnerschaft werden die Managed Detection and Response (MDR)-Lösungen…
Ingo Marienfeld & Jens Pälmer von CrowdStrike im Gespräch
mit Philipp Schiede, live auf der it-sa 2023.
Veranstaltungen
Webinarreihe – CrowdStrike informiert: Neuigkeiten für Deutschland
Wir laden Sie herzlich zur nächsten Runde unserer Webinarreihe »CrowdStrike informiert: Neuigkeiten für Deutschland« ein.
Mittwoch, 30. August 2023 von 10:00 bis 12:00 Uhr.
News | Produktmeldung
CrowdStrike im Gartner Magic Quadrant for Endpoint Protection Platforms als Leader eingestuft
Zum dritten Mal in Folge wurde CrowdStrike im Gartner Magic Quadrant for Endpoint Protection Platforms als Leader eingestuft und bei »Vollständigkeit des Lösungsansatzes« am weitesten rechts positioniert. Das demonstriert das unermüdliche Engagement von CrowdStrike für unsere Kunden, welchen wir kontinuierlich Innovation, Schutz für Endgeräte und vieles mehr bieten. Möchten Sie mehr über einen…
News | IT-Security | Rechenzentrum | Services | Strategien
»Do it yourself« war gestern: Fünf Gründe für Managed SOC
Muss man denn alles selber machen? In Sachen Cybersecurity war das bis vor Kurzem noch so. Heute spricht allerdings viel dafür, Teile der IT-Sicherheit an externe Dienstleister auszulagern. Ontinue, der Experte für Managed Extended Detection and Response (MXDR), nennt die fünf wichtigsten Gründe. Cyberkriminelle haben es insbesondere auf sensible Daten von Unternehmen abgesehen, denn diese…
News | IT-Security | Strategien | Tipps
EDR vs. XDR vs. MDR: Die passende Sicherheitslösung finden
Bedrohungen durch Hacker werden immer raffinierter, umfangreicher und effizienter. Über die Hälfte deutscher Unternehmen fühlt sich durch Cyberangriffe in ihrer wirtschaftlichen Existenz bedroht – so eine Umfrage des Branchenverbands Bitkom. Zum Vergleich: 2021 waren es nur 9 Prozent. Unternehmen erkennen zunehmend die Gefahren, die Cyberangriffe auf ihren Geschäftsbetrieb haben können und reagieren mit Abwehrmaßnahmen. Auf…
Trends 2024 | News | Trends Security | IT-Security
Fast 6 Millionen Nutzerkonten in Deutschland im Jahr 2024 bisher geleakt
486,2 Millionen persönliche Daten wurden in den letzten 20 Jahren in Deutschland veröffentlicht. Laut einer Studie der Statistiken zu Datenschutzverletzungen von Cybersecurity-Unternehmen Surfshark, gab es in Deutschland im zweiten Quartal in 2024 insgesamt 2,86 Millionen geleakte Online-Konten, was ein Rückgang von 4 % im Vergleich zum ersten Quartal in 2024 (2,99 Millionen) ist [1].…
News | IT-Security | Lösungen | Tipps
Vier Tipps für verbesserte Cybersicherheit in KMU
Cyberangriffe betreffen nur Großunternehmen, soziale Netzwerke oder IT-Dienstleister? Weit gefehlt – inzwischen werden immer häufig auch Produktionsbetriebe, Mittelständler oder sogar Kleinunternehmen Ziel der Attacken. Doch gerade dort fehlen oft die Ressourcen, um effektive Prävention zu ergreifen und die eigenen Systeme stets auf dem neusten Stand zu halten. Nils Gerhardt, CTO von Utimaco gibt vier Tipps,…
Trends 2024 | News | Trends Security | IT-Security | Services
Cybersicherheit nicht kaputtsparen: Unternehmen stehen auf der Investitionsbremse
Kaum Fortschritte bei der Cybersicherheit: Im Vergleich zum Jahr 2023 ist der Reifegrad der Cybersicherheit großer, international agierender Unternehmen um lediglich ein Prozent auf nun 53 Prozent gestiegen. Das ist das Ergebnis der Wavestone Cyber Benchmark 2024. In einer umfassenden Analyse hat Wavestone fast 200 Sicherheitsmaßnahmen von mehr als 150 Unternehmen unter die Lupe genommen.…
Trends 2024 | News | Trends Security | IT-Security
9 von 10 Europäer befürchten digitalen Identitätsdiebstahl
User zeigen sich besorgt darüber, wie KI die Sicherheit im Internet verschlechtern kann. Das zeigen die aktuellen Ergebnisse der European Customer Identity Survey 2024 von Okta [1]. Die Erhebung befragte über 4.000 Verbraucher in Deutschland, Frankreich, Großbritannien und den Niederlanden. Sie ergab, dass 93 Prozent der Befragten besorgt über digitalen Identitätsdiebstahl sind: Während sich in…
Trends 2024 | News | Trends Security | IT-Security
Cyberangriffe mit neuartiger Malware pro Minute nehmen um 40 Prozent zu
Zwischen Januar und März 2024 wurden pro Minute 5,2 solcher Angriffe registriert. BlackBerry hat seinen neuesten Global Threat Intelligence Report veröffentlicht [1]. Er zeigt auf, dass die Cybersecurity-Lösungen von Blackberry im ersten Quartal 2024 rund 3,1 Millionen Cyberangriffe (37.000 pro Tag) erkannt und abgewehrt haben. Zwischen Januar und März 2024 entdeckte BlackBerry 630.000 Malware-Hashes, eine…
News | Cloud Computing | IT-Security | Services | Tipps
Firmen sollten sich regelmäßig selbst angreifen, um ihre Cyberresilienz zu testen
Cybersicherheit: Selbstangriff ist die beste Verteidigung. Rainer M. Richter: »Heutige Angriffssysteme aus der Cloud sind für jeden Mittelständler erschwinglich.« Bei mehr als 70 aufgedeckten Softwareschwachstellen am Tag kommen die Firmen nicht mehr nach, ihre Systeme vor Cyberangriffen sicher zu machen. Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig auf bloße Verteidigungsmaßnahmen und vernachlässigt den…
News | Favoriten der Redaktion | IT-Security | Strategien
EU Cyber Resilience Act richtig umsetzen: aus den Fehlern der DSGVO lernen
Zahl der vernetzten Geräte wächst bis 2050 weltweit voraussichtlich auf 24 Milliarden – vergrößerte Hacker-Angriffsflächen durch IoT. Der bevorstehende EU Cyber Resilience Act (CRA, EU-Gesetz über Cyberresilienz) stellt einen wichtigen Schritt in der europäischen Cybersicherheitspolitik dar. Er zielt darauf ab, die digitale Abwehr in der Europäischen Union durch einen proaktiven Cybersicherheitsansatz zu verbessern. Im Gegensatz zu…
News | IT-Security | Services
MXDR und SOC: Der Weg zum funktionalen Security Operations Center
Am Aufbau eines Security Operations Center kommt heute kein Unternehmen mehr vorbei. MXDR-Provider (Managed Extended Detection and Response) sind aus Kapazitäts- und Kostengründen oft die bessere Wahl. Damit die Zusammenarbeit zwischen dem unternehmenseigenen IT-Security-Team und dem Service Provider klappt, sind laut Ontinue, dem Experten im MXDR-Bereich, fünf Schritte notwendig. Im Falle eines Falles ist Schnelligkeit…
News | IT-Security | Lösungen | Services | Tipps
Cybersicherheit: Selbstangriff ist die beste Verteidigung
Sicherheitsexperte: »Firmen sollten sich regelmäßig selbst angreifen, um ihre Cyberresilienz zu testen.« Rainer M. Richter: »Heutige Angriffssysteme aus der Cloud sind für jeden Mittelständler erschwinglich.« Bei mehr als 70 aufgedeckten Software-Schwachstellen am Tag kommen die Firmen nicht mehr nach, ihre Systeme vor Cyberangriffen sicher zu machen. Die deutsche Wirtschaft setzt bei Cybersecurity zu einseitig…
Trends 2024 | News | Trends Security | IT-Security | Kommunikation
Cyber Threat Research: Unzureichende Patch-Praxis und unverschlüsselte Protokolle
Der erste Bericht aus den Cato Cyber Threat Research Labs (CTRL) analysiert 1,26 Billionen Netzwerkströme, um aktuelle Sicherheitsrisiken zu identifizieren. Der Bericht »Cato CTRL SASE Threat Reports»« für das erste Quartal 2024«zeigt, dass sämtliche der befragten Unternehmen weiterhin unsichere Protokolle in ihren Wide Access Networks (WAN) verwenden. Ein Sachverhalt, der es Cyberkriminellen erleichtert, sich…
News | Effizienz | IT-Security | Künstliche Intelligenz
Wie Hacker KI und LLMs für ihre Zwecke nutzen
Der Einsatz von KI kann Routineaufgaben automatisieren, Abläufe effizienter gestalten und die Produktivität erhöhen. Dies gilt für die legale Wirtschaft ebenso wie leider auch für die organisierte Cyberkriminalität. Gerade Large Language Models (LLM) werden von kriminellen Akteuren genutzt – weniger als visionäre Alleskönner-Technologien, sondern vielmehr als effiziente Werkzeuge zum Verbessern von Standardangriffen. Seit Ende…
News | Künstliche Intelligenz
KI in der Medizin: Mit Ursache und Wirkung rechnen
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen Zusammenhängen umzugehen – Das könnte helfen, Therapien effizienter, sicherer und individueller zu machen, prognostiziert eine internationale Forschungsgruppe – Das Team um LMU-Forscher Stefan Feuerriegel will mit seinen Arbeiten „die Methoden einen Schritt näher an die Praxis bringen“ Künstliche Intelligenz…