Sophos X-Ops hat eine aktive Bedrohungskampagne näher untersucht, bei der zwei verschiedene Gruppen von Bedrohungsakteuren Unternehmen infiltrieren.

Diese missbrauchen die Funktionalität der Office-365-Plattform und versuchen anschließend, Daten abziehen oder Ransomware platzieren. Besonders perfide: die Angreifer verwenden eine Kombination aus E-Mail-Bombing mit bis zu 3.000 Nachrichten in weniger als einer Stunde und anschließenden Sprach- bzw. Videoanrufen via Teams, auch als Voice Pishing oder Vishing bekannt.

Nach dem Versenden der ersten Spam-Nachrichten geben sich die Angreifer als technischer Support des betroffenen Unternehmens aus, rufen über Teams an und bieten ihre „Hilfe“ bei der Lösung des Problems an. Wenn der Mitarbeiter den Anruf entgegennimmt und den Kriminellen mittels Quick Assist oder der Bildschirmfreigabe von Microsoft Teams die Kontrolle über den Computer erteilt, starten die Anrufer das Ausrollen der Schadsoftware. Im Rahmen seiner Untersuchungen hat Sophos X-Ops Verbindungen der in dieser Kampagne aktiven Cyberkriminellen zu den russischen Bedrohungsgruppen Fin7 und Storm-1811 aufgedeckt.

Teams-Konfiguration überprüfen

Die Einschätzung von Sean Gallagher, Principal Threat Researcher bei Sophos: „Obwohl die Ausnutzung von Fernverwaltungstools und der Missbrauch legitimer Dienste an sich nicht völlig neu sind, beobachten wir, dass immer mehr Bedrohungsgruppen diese Taktiken anwenden, um Unternehmen jeder Größe ins Visier zu nehmen. Dies ist eine aktive Bedrohungskampagne, die wir weiterhin intensiv verfolgen. Da die Standardkonfiguration von Microsoft Teams es jedem Besitzer eines Teams-Kontos ermöglicht, zu chatten oder Mitarbeiter eines Unternehmens anzurufen, sind viele Unternehmen potenziell anfällig für diese Bedrohung. Zudem nutzen viele Unternehmen externe Anbieter für ihren IT-Support, sodass ein Anruf von einer fremden Nummer mit der Bezeichnung „Helpdesk-Manager“ nicht unbedingt Alarmglocken schrillen lässt. Da Sophos weiterhin neue MDR- und IR-Fälle im Zusammenhang mit diesen Taktiken sieht, raten wir Unternehmen, die Microsoft 365 verwenden, in höchster Alarmbereitschaft zu sein. Sie sollten Konfigurationen überprüfen sowie externe Kontonachrichten sowie Fernzugriffstools, die nicht regelmäßig verwendet werden, nach Möglichkeit blockieren.“

www.sophos.com

(Foto: Sophos)

Der aktuelle Cyber Insurance-Report von Sophos belegt: rund Dreiviertel aller Unternehmen verbessern ihre Abwehrmaßnahmen gegen Netzangriffe. Und zwar nicht nur für sich, sondern auch um sich für eine Cyberversicherung zu qualifizieren.

Der Sophos-Report „Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders“ offenbart, dass 97 Prozent der Unternehmen mit einer Cyber-Police in ihre Abwehrmaßnahmen investiert haben, um die Versicherung zu unterstützen. 76 Prozent geben an, sich dadurch für eine Deckung qualifiziert zu haben. 67 Prozent erhielten so günstigere Preise und 30 Prozent verbesserten ihre Vertragsbedingungen.

Wiederherstellungskosten übersteigen Deckungswerte

Der Report enthüllt auch: Die Wiederherstellungskosten nach einer Cyberattacke übersteigen die Versicherungsabdeckung. Nur bei 1 Prozent derjenigen mit Schadensmeldung trug der Versicherer 100 Prozent der Kosten, die bei der Behebung des Vorfalls entstanden sind. Der häufigste Grund für nicht vollständige Erstattung ist, dass die finale Rechnung das Versicherungslimit übersteigt. Laut des diesjährigen Ransomware-Reports von Sophos wuchsen die Wiederherstellungskosten nach einem Ransomware-Angriff im Vergleich zum Vorjahr um 50 Prozent. Mit rund 2,55 Millionen Euro muss man rechnen.

Betrieben mangelt es an grundlegenden Sicherheits-Best-Practises

„Der Sophos Active Adversary Report hat wiederholt gezeigt, dass viele Cyberversicherungs-Anbieter eine Situation vorfinden, in der grundlegende, bewährte Vorgehensweisen für die Cybersicherheit nicht implementiert wurden. Zum Beispiel rechtzeitiges Einspielen von Patches. In unserem kürzlichen Report belegen kompromittierte Zugangsdaten den ersten Platz, wenn es um die Ursachen einer Attacke geht, doch 43 Prozent der Unternehmen haben keine Multi-Faktor-Authentifizierung eingeführt“, betont Chester Wisniewski, CTO Sophos.

„Die Tatsache, dass 76 Prozent der Betriebe in ihre Cyberabwehr investiert haben, um sich für eine Cyberversicherung zu qualifizieren, zeigt, dass die Versicherer die Firmen zwingen, einige dieser essenziellen Sicherheitsmaßnahmen einzuführen. Das macht einen Unterschied, und hat eine breitere, positivere Auswirkung auf Unternehmen insgesamt. Auch wenn eine Cyberversicherung für Betriebe viele Vorteile bringt, ist sie nur ein Teil einer effektiven Strategie zur Risikominimierung. Unternehmen müssen weiterhin ihre Abwehr aufrüsten. Denn eine Cyberattacke kann tiefgreifende Auswirkungen für eine Organisation haben, sowohl im Bereich Betriebsführung als auch bei der Reputation. Und eine Cyberpolice wird das alleine nicht ändern“.

Investitionen in Cyberabwehr haben positive Nebeneffekte

Von den 5.000 befragten IT- und Cybersicherheits-Führungskräften geben 99 Prozent derjenigen, die ihre Abwehrmaßnahmen für eine Police verbessern, an, dass sie auch breitere Sicherheitsvorteile jenseits der Versicherungsabdeckung erlangen. Ein Effekt ihrer Investitionen, inklusive gestiegener Schutz, freigewordener IT-Ressourcen und weniger Alarme.

„Investitionen in die Cyberabwehr scheinen positive Nebenwirkungen zu haben, da sie Einsparungen bei der Versicherung freisetzen, die die Unternehmen in andere Schutzmaßnahmen investieren können, um ihre Sicherheitslage zu verbessern. Mit der Verbreitung von Cyberversicherungen, wird sich – hoffentlich – auch die Sicherheit der Unternehmen verbessern. Eine Police wird Ransomware-Angriffe nicht verschwinden lassen, aber sie könnte durchaus Teil der Lösung sein“, prophezeit Wisniewski.

Zum Cyber Insurance Report

In der herstellerunabhängigen Befragung nahmen 5.000 Führungskräfte der IT und Cybersicherheit zwischen Januar und Februar 2024 teil. 14 Länder aus Amerika, EMEA und dem Asia Pazifik Raum beteiligten sich mit Organisationsgrößen von 100 und 5.000 Mitarbeitern. Der Umsatz variiert zwischen weniger als 10 Millionen und mehr als 5 Milliarden US-Dollar.

www.sophos.de

(Foto: Sophos)

Sophos stellt neue Desktop Firewall Appliances der XGS-Serie für mittelständische und kleinere Unternehmen sowie für Geschäftsstellen größerer Organisationen vor.

Mit einer optimierten Architektur zeichnen sich die neuen XGS Appliances im Vergleich zu den Vorgängermodellen durch die doppelte Leistung bei einem um 50 Prozent geringeren Energieverbrauch aus. Alle neuen Sophos XGS Appliances sind mit mehreren Optionen für Hochgeschwindigkeits-Konnektivität erhältlich. Vier der Modelle sind lüfterlos, was sie für geräuschempfindliche Umgebungen prädestiniert.

Zudem kündigt Sophos die aktualisierte Sophos Firewall-Software für verbesserten Schutz vor Cyberangriffen an. Die neue Version bietet die Möglichkeit, Threat Intelligence Feeds von Drittanbietern zu integrieren. Dies liefert Unternehmen mit spezifischen regionalen oder vertikalen Marktanforderungen zusätzliche Informationen und Anpassungsmöglichkeiten, um die Firewall-Sicherheit zu stärken. Die neue Software zeichnet sich zudem durch eine verbesserte Skalierbarkeit für verteilte Netzwerkumgebungen aus und bietet Kunden mit älteren Firewalls einen nahtlosen Upgrade-Pfad auf die neuesten Sophos XGS Appliances. Durch die Nutzung der optimierten Beschleunigungsfunktionen des virtuellen FastPath in der neuen Sophos Firewall Software sowie durch die neue Architektur, liefern die Sophos XGS Firewall Appliances einen bis zu dreimal höheren IPsec-VPN-Durchsatz im Vergleich zu früheren Modellen.

„Mit den neuen Sophos XGS Appliances und der Sophos Firewall Software bieten wir Unternehmen erstklassige Leistung und Schutz zu wettbewerbsfähigen Preisen. Wir entwickeln und verbessern die Art und Weise, wie Firewall-Technologie im Mittelstand und in kleineren Unternehmen eingesetzt werden kann, um sich gegen hartnäckige, moderne Cyberattacken zu schützen“, sagt Dan Cole, Senior Vice President, Network and Content Security bei Sophos. „Dazu gehört, dass unsere Firewall-Software jetzt zusätzlich zu den Bedrohungsdaten von Sophos auch Threat Intelligence Feeds von Drittanbietern nutzen kann, um in Echtzeit auf ein breiteres Spektrum verdächtiger Aktivitäten zu reagieren. Darüber hinaus bietet diese Funktionalität in der Verteidigung mehr Kontrolle über das Risikoprofil.“

Die Sophos Firewall-Software nutzt jetzt Threat Intelligence Feeds von Drittanbietern für erweiterten Schutz vor Cyberattacken

Die Konfiguration der Sophos Firewall erlaubt wahlweise das Einbinden kostenpflichtiger und kostenloser Feeds von Sicherheitsanbietern, Managed Service Providern (MSPs), Branchenkonsortien und Information Sharing and Analysis Centers (ISACs) oder anderen Threat-Intelligence-Plattformen. Die Daten von Drittanbietern ergänzen die Threat- Intelligence-Daten von Sophos X-Ops sowie die Telemetriedaten aus den SophosLabs, Sophos Managed Detection and Response (MDR) und Sophos Extended Detection and Response (XDR). In Verbindung mit Sophos Active Threat Response, einer Funktion, welche in die von Sophos Managed Endpoints und die Intelligence-Feeds integriert ist, leitet die Sophos Firewall-Software eine synchronisierte Reaktion ein, die potenzielle Angriffe automatisch abwehrt. Damit haben Verteidiger genügend Zeit, diese zu bewerten, darauf zu reagieren und Abhilfe zu schaffen.

Optimierungen der Sophos Firewall Software:

• Verbesserte Leistung und Skalierbarkeit: Dreifache Steigerung der IPsec-VPN-Leistung der neuen XGS-Serie Desktop Appliances sowie schnellere Authentifizierungs-Bursts. Reduzierung von Ausfallzeiten und Erhöhung der Ausfallsicherheit bei SD-RED-Tunneln, dynamischen Routen und Active Directory-Interaktionen für verteilte Umgebungen.
• Optimierte Verwaltung: Überarbeitete Benutzeroberflächen, Unterstützung für Let's Encrypt-Zertifikate, integrierte Unterstützung für Google Workspace-Authentifizierung und erweiterte Netzwerkobjekttransparenz für ein vereinfachtes Firewall-Management.
• Nahtlose Geräte-Upgrades: Ein neuer Konfigurations-Backup-Assistent und die Port-Mapping-Unterstützung sorgen für zusätzliche Flexibilität und ein einfaches Upgrade von früheren Hardware-Generationen.

Verfügbarkeit

Die neuen Sophos XGS Desktop-Firewall-Appliances und die Sophos Firewall-Software sind ausschließlich über die weltweiten Sophos Partner und Managed Service Provider (MSPs) erhältlich. Sicherheitsverantwortliche können die Lösungen in der Cloud-nativen Sophos Central-Plattform zusammen mit dem Sophos-Portfolio an Endpoint-, E-Mail- und Cloud-Lösungen einfach verwalten und über eine einzige, intuitive Oberfläche Installationen überwachen, auf Alarme reagieren und Lizenzen sowie anstehende Verlängerungsdaten verfolgen.

www.sophos.de

(Fotos: Sophos)

Der neue Sophos Senior Sales Engineer Gabriel Kunzer kommt vom Bezirkskrankenhaus Lienz, wo er für die Sicherheit der Organisation verantwortlich zeichnete.

Mit dem neuen Senior Sales Engineer Gabriel Kunzer verstärkt Sophos sein Team in Österreich und trägt damit der verstärkten Nachfrage nach hochspezialisierter Cybersicherheitsexpertise in der Region Rechnung. Gabriel Kunzer kommt vom Bezirkskrankenhaus Lienz, wo er als Chief Information Security Officer (CISO) unter anderem für die Netz- und Informationssicherheit (NISG), das Risikomanagement, das Business Continuity Management und NIS2 verantwortlich zeichnete. Mit seiner weitreichenden und vor allem praxisnahen Erfahrung unterstützt Gabriel Kunzer in seiner neuen Position Partner, Unternehmen und Organisationen sowohl bei der strategischen Planung als auch bei der konkreten taktischen Ausrichtung der Cybersicherheit.

Nach seiner Ausbildung als Ingenieur in den Bereichen Software Engineering und Management startete er seine Karriere beim IT-Beratungsunternehmen und Managed-Services-Provider Controlware. Im Anschluss wechselte er zum Securityanbieter Checkpoint Software, wo er als Security Engineer tätig war.

„Mit Gabriel Kunzer haben wir einen Experten an Bord, der die Bedürfnisse und das Business unserer Partner und Kunden in Österreich aus der Praxis kennt. Damit ist er eine weitere tragende Säule, um dem Channel und den Endanwendern zum größtmöglichen Mehrwert aus unserem Security-Lösungsportfolio aus Technologie, Künstlicher Intelligenz, menschlicher Expertise sowie Managed Service zu verhelfen“, sagt Stefan Fritz, Director Channel Sales EMEA Central bei Sophos.

www.sophos.com

(Foto: Sophos)