Auch das
laufende Jahr ist wieder ein Rekordjahr, was Attacken von Cyber-Kriminellen und
Ransomware-Banden betrifft. Die Kriminellen nutzen neue Taktiken, um verbesserte Schutzmassnahmen zu überwinden. So werden zum Beispiel Kontakte zu
Insidern aufgenommen, die dann ausgenutzt werden können. Ein anderes, neues
Problem: Protestware, die von den Entwicklern absichtlich sabotiert wird, um
gewissen Unternehmen zu schaden.
|
Protestware: Wenn der Programmierer als Protest den Code verseucht. Bild pxhere.com |
Diese
Schlussfolgerungen sind der aktuellen Ausgabe des neusten Cyber Threat Reports 2022 zu entnehmen, der von Deep Instinct veröffentlicht wird. Der Bericht
konzentriert sich auf die wichtigsten Malware- und Ransomware-Trends und
-Taktiken aus der ersten Hälfte des Jahres 2022 und liefert wichtige
Erkenntnisse und Prognosen für die sich ständig weiterentwickelnde
Cybersecurity-Bedrohungslandschaft, zum Beispiel durch Veränderungen in der
Struktur der Bedrohungsakteure, die immer neue Gruppen formen. Der Bericht hebt
ausserdem die Gründe für die Veränderungen bei Emotet, Agent Tesla, NanoCore
und anderen hervor. So verwendet Emotet beispielsweise stark verschleierte
VBA-Makros, um nicht entdeckt zu werden.
Während
Microsoft einen Weg abschneidet, öffnen bösartige Akteure andere Möglichkeiten: Deep
Instinct-Forscher fanden heraus, dass die Nutzung von Dokumenten für Malware
als wichtigster Angriffsvektor zurückgegangen ist, nachdem Microsoft Makros in
Microsoft Office-Dateien standardmässig deaktiviert hat. Es wurde beobachtet,
dass Bedrohungsakteure andere Methoden zur Verbreitung ihrer Malware einsetzen,
wie LNK-, HTML- und Archiv-E-Mail-Anhänge. Schwachstellen
wie SpoolFool, Follina und DirtyPipe verdeutlichen die Ausnutzbarkeit von
Windows- und Linux-Systemen trotz der Bemühungen zur Verbesserung ihrer
Sicherheit. Eine Analyse des von der CISA veröffentlichten Katalogs bekannter
ausnutzbarer Schwachstellen zeigt, dass die Zahl der ausgenutzten
Schwachstellen in freier Wildbahn alle drei bis vier Monate in die Höhe
schnellt.
Die
Angriffe zur Datenexfiltration erstrecken sich nun auch auf Dritte: Gruppen von
Bedrohungsakteuren nutzen die Datenexfiltration in ihren Angriffsflüssen, um
Lösegeld für die abgeflossenen Daten zu fordern. Im Falle der Exfiltration
sensibler Daten gibt es weniger Möglichkeiten zur Wiederherstellung, so dass
viele Bedrohungsakteure sogar noch weiter gehen und Lösegeld von
Drittunternehmen fordern, wenn die abgeflossenen Daten deren sensible
Informationen enthalten.
Es
überrascht nicht, dass Ransomware-Angriffe nach wie vor eine ernsthafte
Bedrohung für Unternehmen darstellen, denn derzeit gibt es 17 durchgesickerte
Datenbanken, die von Bedrohungsakteuren betrieben werden, die die Daten für
Angriffe nutzen, vor allem für Social Engineering, Diebstahl von
Anmeldeinformationen und Erpressungsangriffe. Böswillige
Bedrohungsakteure suchen immer öfter nach dem schwächsten Glied. Angesichts der
kontinuierlichen Innovationen im Bereich der Cybersicherheit entscheiden sich
einige Bedrohungsakteure dafür, entweder schwache Ziele ausfindig zu machen
oder einfach einen Insider zu bezahlen. Gruppen wie Lapsus$ verlassen sich
nicht auf Exploits, sondern suchen stattdessen nach Insidern, die bereit sind,
den Zugang zu Daten innerhalb ihrer Organisation zu verkaufen.
Auch das
Phänomen der Protestware nimmt zu. Dabei handelt es sich um die Sabotage der
eigenen Software durch Entwickler. Der Krieg zwischen Russland und der Ukraine
hat zu einem Anstieg von Protestware geführt. Es ist nicht leicht, solche
Angriffe auf die Lieferkette zu erkennen, und sie werden in der Regel erst
entdeckt, wenn mehrere Opfer davon betroffen sind.