Von Ransomware zu Protestware: Die Attacken gehen weiter

Auch das laufende Jahr ist wieder ein Rekordjahr, was Attacken von Cyber-Kriminellen und Ransomware-Banden betrifft. Die Kriminellen nutzen neue Taktiken, um verbesserte Schutzmassnahmen zu überwinden. So werden zum Beispiel Kontakte zu Insidern aufgenommen, die dann ausgenutzt werden können. Ein anderes, neues Problem: Protestware, die von den Entwicklern absichtlich sabotiert wird, um gewissen Unternehmen zu schaden.

Protestware: Wenn der Programmierer als Protest den Code verseucht.
Bild pxhere.com

 Diese Schlussfolgerungen sind der aktuellen Ausgabe des neusten Cyber Threat Reports 2022 zu entnehmen, der von Deep Instinct veröffentlicht wird. Der Bericht konzentriert sich auf die wichtigsten Malware- und Ransomware-Trends und -Taktiken aus der ersten Hälfte des Jahres 2022 und liefert wichtige Erkenntnisse und Prognosen für die sich ständig weiterentwickelnde Cybersecurity-Bedrohungslandschaft, zum Beispiel durch Veränderungen in der Struktur der Bedrohungsakteure, die immer neue Gruppen formen. Der Bericht hebt ausserdem die Gründe für die Veränderungen bei Emotet, Agent Tesla, NanoCore und anderen hervor. So verwendet Emotet beispielsweise stark verschleierte VBA-Makros, um nicht entdeckt zu werden.

Während Microsoft einen Weg abschneidet, öffnen bösartige Akteure andere Möglichkeiten: Deep Instinct-Forscher fanden heraus, dass die Nutzung von Dokumenten für Malware als wichtigster Angriffsvektor zurückgegangen ist, nachdem Microsoft Makros in Microsoft Office-Dateien standardmässig deaktiviert hat. Es wurde beobachtet, dass Bedrohungsakteure andere Methoden zur Verbreitung ihrer Malware einsetzen, wie LNK-, HTML- und Archiv-E-Mail-Anhänge. Schwachstellen wie SpoolFool, Follina und DirtyPipe verdeutlichen die Ausnutzbarkeit von Windows- und Linux-Systemen trotz der Bemühungen zur Verbesserung ihrer Sicherheit. Eine Analyse des von der CISA veröffentlichten Katalogs bekannter ausnutzbarer Schwachstellen zeigt, dass die Zahl der ausgenutzten Schwachstellen in freier Wildbahn alle drei bis vier Monate in die Höhe schnellt. 
Die Angriffe zur Datenexfiltration erstrecken sich nun auch auf Dritte: Gruppen von Bedrohungsakteuren nutzen die Datenexfiltration in ihren Angriffsflüssen, um Lösegeld für die abgeflossenen Daten zu fordern. Im Falle der Exfiltration sensibler Daten gibt es weniger Möglichkeiten zur Wiederherstellung, so dass viele Bedrohungsakteure sogar noch weiter gehen und Lösegeld von Drittunternehmen fordern, wenn die abgeflossenen Daten deren sensible Informationen enthalten.

Es überrascht nicht, dass Ransomware-Angriffe nach wie vor eine ernsthafte Bedrohung für Unternehmen darstellen, denn derzeit gibt es 17 durchgesickerte Datenbanken, die von Bedrohungsakteuren betrieben werden, die die Daten für Angriffe nutzen, vor allem für Social Engineering, Diebstahl von Anmeldeinformationen und Erpressungsangriffe. Böswillige Bedrohungsakteure suchen immer öfter nach dem schwächsten Glied. Angesichts der kontinuierlichen Innovationen im Bereich der Cybersicherheit entscheiden sich einige Bedrohungsakteure dafür, entweder schwache Ziele ausfindig zu machen oder einfach einen Insider zu bezahlen. Gruppen wie Lapsus$ verlassen sich nicht auf Exploits, sondern suchen stattdessen nach Insidern, die bereit sind, den Zugang zu Daten innerhalb ihrer Organisation zu verkaufen.

Auch das Phänomen der Protestware nimmt zu. Dabei handelt es sich um die Sabotage der eigenen Software durch Entwickler. Der Krieg zwischen Russland und der Ukraine hat zu einem Anstieg von Protestware geführt. Es ist nicht leicht, solche Angriffe auf die Lieferkette zu erkennen, und sie werden in der Regel erst entdeckt, wenn mehrere Opfer davon betroffen sind.