Illustration: Absmeier Sumanley

Die Gefahr Opfer einer Cyberattacke zu werden nimmt stetig zu – das untermauert der neueste OverWatch-Report von CrowdStrike. Allein im vergangenen Jahr beobachteten die Threat Hunter 60 Prozent mehr Angriffsversuche als im Vorjahreszeitraum. Aber nicht nur die Zahl der Angriffsversuche ist gestiegen – der Report zeigt außerdem auf, dass sich E-Crime-Angreifer dreimal schneller als noch in der Vergangenheit gezielt Zugang zu kritischen Netzwerken verschaffen. Die durchschnittliche Breakout-Zeit, also die Zeit, die ein Angreifer benötigt, um sich von seinem anfänglichen Angriffspunkt lateral zu anderen Systemen im Netzwerk zu bewegen, ist auf nur eine Stunde und 32 Minuten geschrumpft. Das entspricht einer Beschleunigung um den Faktor drei seit 2020.

SaaS und doppelte Erpressung – die großen Trends im E-Crime-Kosmos

Besonders E-Crime-Gruppen, die für 75 Prozent aller von OverWatch beobachteten Angriffsaktivitäten verantwortlich sind, passen ihre Taktiken, Techniken und Verfahren (TTPs) fortlaufend an und werden so immer schneller und präziser. Ransomware-as-a-Service-Angebote (RaaS) spielen hier eine zentrale Rolle. Bedrohungsakteure können im Dark Web Tools kaufen, die unter anderem Angriffsprozesse, wie die Seitwärtsbewegung im Opfernetz, automatisieren, was direkte Auswirkung auf die Breakout-Zeiten hat und diese verkürzt. Darüber hinaus ermöglicht RaaS auch technisch weniger versierten Kriminellen, die selbst keine Schadsoftware programmieren können, dieses Geschäftsmodell zu nutzen. Die Einstiegshürde sinkt und die Zahl der Angriffe steigt.

Ein weiter anhaltender Trend aus dem E-Crime- und Ransomware-Kosmos ist die doppelte Erpressung. Die Akteure nutzen nicht mehr nur die Datenverschlüsselung als Druckmittel für ihr gefordertes Lösegeld, sondern drohen ihren Opfern vermehrt mit Datenleaks, um zuvor gestellte Lösegeldforderungen durchzusetzen. Diese relativ neue Technik beobachten die Experten immer häufiger im E-Crime-Ökosystem und sie scheint unter den Ransomware-Betreibern zunehmend beliebter zu werden, um die geforderten Summen auch wirklich zu erhalten. Viele dieser kriminellen Gruppen haben sogar spezielle Data Leak Sites (DLS) eingerichtet, um die gestohlenen Daten der Opfer öffentlichkeitswirksam zu enthüllen. Indrik Spider alias EVIL CORP ist nur einer der Akteure, der sich diese Vorgehensweise zu Nutze macht.

CrowdStrike hat im Berichtszeitraum (Juli 2020 bis Juni 221) 13 namentlich geführte E-Crime-Gruppen beobachtet, die von den Experten unter dem Zusatz »Spider« geführt werden. Die aktivste von ihnen ist die Gruppe Wizard Spider, die es seit 2016 gibt. Sie war im vergangenen Jahr an fast doppelt so vielen Hackerangriffen beteiligt wie jede andere E-Crime-Gruppe. Wizard Spider nutzte in über der Hälkfte der Fälle COBALT STRIKE. Weitere häufig verwendete Tools dieser Gruppe sind die Ransomware Ryuk, das Windows-Backdoor-Zugriffstool BazarLoader und das Active-Directory-Erkennungstool AdFind. Neuerdings steckt sie auch hinter gezielten Angriffen mit der Conti-Ransomware.

China, Nordkorea und Iran sind die aktivsten staatlichen Akteure

Aber auch nationalstaatliche Cyberaktivitäten, sogenannte »targeted intrusions«, werden von den OverWatch-Experten regelmäßig beobachtet und machen knapp ein Viertel aller Angriffe aus. Die Bandbreite reicht von Cyberspionage über staatlich geförderte Sabotageangriffe bis hin zu Devisenbeschaffung zur Unterstützung eines Regimes. Ein besonders beliebtes Ziel ist die Telekommunikationsbranche. Auf sie entfielen im vergangenen Jahr 40 Prozent aller gezielten Angriffe, und war damit stärker betroffen als die Bereiche Technologie, Gesundheitswesen, Regierung und Wissenschaft. Die meisten Angriffe auf die Telekommunikationsbranche stammen von China-nahen Gruppen, sogenannte PANDAS. Aber auch Akteure mit iranischem Hintergrund (KITTEN) wurden bei Angriffen auf Telekommunikationssysteme gesichtet. Durch gezielte Angriffe lassen sich eigene Aufklärungs-, Nachrichtendienstliche- und Spionageabwehraufgaben verwirklichen. Eine umfassende, proaktive Cyberabwehr, die auch diese Aktivitäten entdeckt und erfolgreich abwehrt, ist daher insbesondere für Kritische Infrastrukturen unabdingbar.

Die stetig steigende Zahl der Cyberaktivitäten macht deutlich, wie wichtig die umfassende und proaktive Bedrohungsjagd für Unternehmen ist. Insbesondere, wenn man sich vor Augen führt, dass die OverWatch-Experten auch eine Reihe von Angriffsversuchen beobachteten, die keiner der von CrowdStrike Intelligence verfolgten gegnerischen Gruppen zugeordnet werden konnten. Das unterstreicht, wie vielfältig die Bedrohungslandschaft mittlerweile ist und wie wichtig es ist, möglichst viel über seine individuelle Bedrohungslandschaft zu erfahren. Um die Taktiken und Techniken moderner Angreifer erfolgreich zu kontern, ist es dringend angeraten, neben den neuesten Technologien vor allem auch auf menschliches Know-how zu setzen und aktives Threat Hunting zu betreiben.

Jörg Schauff, Threat Intelligence Advisor bei CrowdStrike

Weitere Informationen zu dem Bericht finden Sie im Blog des OverWatch-Teams.

1691 Artikel zu „Hacker Trends“

NEWS | IT-SECURITY

Redlings Pentest: Netzwerkumgebung mit Hacker-Wissen schützen

21. Oktober 2021

So segensreich das Internet mit all seinen verbindenden Elementen und Technologien ist, so risikoreich gestaltet sich seine Nutzung für Unternehmen. Denn überall dort, wo unternehmenseigene IT-Netzwerke Zugang gewähren oder eine Verbindung nach außen bereitstellen, besteht die Gefahr unerlaubter Zugriffe. Um die eigenen Daten zu schützen, benötigen Unternehmen deshalb eine möglichst umfassende IT-Sicherheitsstrategie zur Abwehr…