Die Bedrohungslandschaft hat weiter an Komplexität und Tiefe zugenommen. Der erhebliche Anstieg der Anzahl der Kerberoasting-Angriffe ist besorgniserregend. Der Technologiesektor war im sechsten Jahr in Folge der am häufigsten angegriffene Sektor, gefolgt vom Finanzsektor. In einigen Fällen haben Angreifer die Cloud-Umgebungen ihrer Opfer besser unter Kontrolle als die Unternehmen selbst.

Zeki Turedi, CTO Europe von CrowdStrike im Interview zum Threat Hunting Report 2023.

Welche Ergebnisse haben Sie im CrowdStrike Threat Hunting Report 2023 erwartet und welche haben Sie erstaunt?

Seit Jahren beobachten wir, dass die Angreifer immer gewiefter und hartnäckiger werden, wenn es darum geht, ihre Ziele zu erreichen. Die Geschwindigkeit in der ein Angreifer sich innerhalb der Opferumgebung lateral fortbewegt, ist ein guter Indikator für das vorhandene Skillset heutiger Cyberangreifer – und die neuen Zahlen belegen abermals, dass Cyberangreifer eine ernsthafte Gefahr für heutige Unternehmen sind. Mittlerweile beträgt die durchschnittliche Breakout-Time – also der Zeitraum, den Angreifer benötigen, um sich lateral von einem kompromittierten Host innerhalb der Umgebung zum nächsten zu bewegen – nur noch 79 Minuten. Im Vorjahr waren dies noch 84 Minuten. Besonders hervorzuheben ist die Tatsache, dass wir hier von einer durchschnittlichen Zeit sprechen. Die kürzeste Breakout-Time, die wir im Beobachtungszeitraum (Juli 2022 – Juni 2023) gesehen haben, war eine Rekordzeit von nur sieben Minuten.

Eine weitere neue und besorgniserregende Entwicklung, die der CrowdStrike Threat Hunting Report 2023 aufzeigt, ist der Anstieg an Kerberoasting-Angriffen. Sie sind im Vergleich zum Vorjahr um 583 Prozent gestiegen. Dabei handelt es sich um eine weitere Technik, mit der Angreifer gültige Anmeldeinformationen für Active Directory-Konten erlangen können, die ihnen häufig höhere Privilegien verschaffen. Der Angreifer kann dadurch seine Reichweite vergrößern und Zugriff auf sensible Dateien oder Systeme erhalten. Dass diese Technik, die insgesamt gut dokumentiert ist, genutzt wird, ist weniger erstaunlich. Der erhebliche Anstieg der Anzahl der Kerberoasting-Angriffe stellt jedoch für Unternehmen eine große neue Bedrohung dar, da diese schwer zu erkennen sind und in der alltäglichen Telemetrie so häufig vorkommen, dass sie in der Masse untergehen können.

Welche Branchen sind besonders gefährdet und warum?

Der Technologiesektor war im sechsten Jahr in Folge der am häufigsten angegriffene Sektor, gefolgt vom Finanzsektor, dem Einzelhandel und dem Gesundheitswesen sowie der Telekommunikationsbranche. Die Zahl der interaktiven Angriffsversuche ist insgesamt um 40 Prozent, im Finanzsektor im Vergleich zum Vorjahr sogar um über 80 Prozent gestiegen. Das ist der größte Zuwachs an Angriffsaktivitäten, den CrowdStrike bisher in der Finanzbranche beobachtet hat. Nordkorea-nahe Angreifergruppen zählen dabei zu den aggressivsten staatsnahen Angreifergruppen, die den Finanzsektor ins Visier nehmen. Sie sind an zahlreichen finanziell motivierten Operationen beteiligt, die es in erster Linie auf Finanz- und Fintech-Unternehmen abgesehen haben. So hat beispielsweise die Gruppierung LABYRINTH CHOLLIMA, die bereits dafür bekannt ist, Finanztechnologie- und Kryptowährungsunternehmen anzugreifen, sowohl sein Custom-Tooling als auch seine Vorgehensweise aktualisiert, um gezielt in Linux und macOS-Umgebungen zu arbeiten.

Auch wenn sich einige Angreifer auf den Diebstahl von Kryptowährungen oder NFTs (Non-Fungible Tokens) konzentrieren, bleiben opportunistische »Big Game Hunting«-Ransomware- und Datendiebstahl-Kampagnen die primäre E-Crime-Bedrohung für Finanzinstitutionen. Der Finanzsektor ist besonders gefährdet, da E-Crime-Bedrohungsakteure wahrscheinlich davon ausgehen, dass Finanzinstitute eher bereit und in der Lage sind, Lösegeld zu zahlen.

Wie haben böswillige Akteure ihre Taktiken weiterentwickelt und welche sind die beliebtesten Einfallstore?

Die Bedrohungslandschaft hat weiter an Komplexität und Tiefe gewonnen. Heutige Angreifer setzen vermehrt auf identitätsbasierte Angriffe und werden auch immer gewiefter darin, Cloud-Umgebungen gezielt anzugreifen. Mittlerweile basieren 62 Prozent der interaktiven Angriffsversuche auf dem Missbrauch gültiger Zugangsdaten. Dabei verlassen sich die Angreifer allerdings nicht nur auf die Ausnutzung legitimer Zugangsdaten. Vielmehr haben sie gezeigt, dass sie in der Lage sind, alle Formen der Identifizierung und Autorisierung für ihre Zwecke zu missbrauchen, einschließlich im Untergrund erworbener Zugangsdaten. Diese Entwicklung wiederum befeuert das Geschäft der Access-Broker. Die Zahl der im Dark Web geschalteten Inserate ist um 147 Prozent gestiegen, womit die Einstiegshürde für E-Crime-Akteure weiter sinkt. Ein gefährlicher Kreislauf, den es mit modernen Sicherheitslösungen zu durchbrechen gilt.

Ein weiteres beliebtes Einfallstor ist die Cloud, die für viele Unternehmen zu einem unverzichtbaren Bestandteil einer modernen IT-Infrastruktur geworden ist. Jedoch haben Organisationen es hier mit komplexen Systemen zu tun, deren Verwaltung und Kontrolle Fachwissen erfordert, das oftmals nicht ausreichend vorliegt. Als Konsequenz entstehen Wissens- und somit auch Sicherheitslücken, die von Angreifern gerne ausgenutzt werden. Im Laufe der letzten Monate haben die Angreifer immer wieder bewiesen, dass sie alle wichtigen Cloud-Plattformen gut beherrschen. Sie haben schnell herausgefunden, wie sie gängige Fehlkonfigurationen ausnutzen oder die integrierten Cloud-Verwaltungstools missbrauchen können. Es wirkt, als hätten einige Angreifer die Cloud-Umgebungen ihrer Opfer besser unter Kontrolle als die Unternehmen selbst.

Sicherheit im Unternehmen muss großgeschrieben werden. Wo fehlt es in der Umsetzung von Security Strategien?

Das Einfallstor Cloud verdeutlicht sehr anschaulich, dass in vielen Unternehmen weiterhin ein erhöhter Nachholbedarf in Sachen Cybersicherheit besteht. Oftmals ist die Implementierung der Cloud-Lösungen selbst schnell vollzogen, doch die Umsetzung der zugehörigen Cybersecurity-Strategien wird vernachlässigt oder diese sind gar nicht vorhanden. Viele Sicherheitsteams in Unternehmen können mit der rasant fortschreitenden Agilität und der Effizienz der Cyberkriminellen nicht mithalten. So steigt das Risiko einer Ausnutzung von Schwachstellen und einer Kompromittierung der IT-Systeme. Mit der Weiterentwicklung der Technologien und Sicherheitsprodukte, auf die sich Unternehmen verlassen, verändern sich auch die Werkzeuge und Methoden der Angreifer – und das sehr schnell. Neben einer State-of-the-Art-Sicherheitslösung ist vor allem aber auch das menschliche Threat Hunting in der heutigen Cyberabwehr eine essenzielle Komponente.

Threat Hunter verfolgen die sich immer wieder weiterentwickelnden Bedrohungen mit der gleichen Hartnäckigkeit, dem gleichen Innovationsgeist und der gleichen Technologiekompetenz, die auch bei den Angreifern gesehen werden. Mit ihrem Einfallsreichtum machen sie es den Gegnern unmöglich, sich zu verstecken. Ihre Erkenntnisse bilden einen wichtigen Eckpfeiler bei der Implementierung von Cybersicherheitsstrategien und -lösungen und helfen Unternehmen dabei, den Angreifern einen Schritt voraus zu sein.