Illustration Absmeier foto freepik

Angreifer und Sicherheitsexperten befinden sich in einem fortwährenden Kräftemessen, bei dem nicht nur Raffinesse und Taktik, sondern auch Schnelligkeit und Fachwissen entscheidend sind. Während sich die Technologie weiterentwickelt und Sicherheitsstrategien verfeinert werden, passen sich auch die Angreifer an und werden stärker, geschickter und schneller. Sie navigieren über mehrere Domains hinweg, erschweren auf diese Weise die Erkennung ihrer Aktivitäten und stellen die Sicherheitsverantwortlichen vor zusätzliche Herausforderungen.

Anstieg Domain-übergreifender Angriffe

Der CrowdStrike 2024 Threat Hunting Report zeigt, dass im vergangenen Jahr Domain-übergreifende Angriffe stark zugenommen haben [1]. Um unentdeckt zu bleiben, zielen Angreifer immer häufiger auf mehrere Domains in der gesamten Infrastruktur eines Unternehmens ab – vor allem auf Identität, Cloud und Endgeräte. Diese Bedrohungen stellen eine Herausforderung für Threat Hunter dar, da die Angreifer in diesen Bereichen nur minimale Spuren hinterlassen. Wie bei einem Puzzle kann das Gesamtbild der verdächtigen Aktivität erst in Kombination erkannt werden.

Einer der geschicktesten Gegner bei Domain-übergreifenden Angriffen ist die E-Crime-Gruppe SCATTERED SPIDER, die 29 Prozent aller damit verbundenen Aktivitäten ausführte. Sie nutzt Social Engineering, Richtlinienänderungen und den Zugriff auf Passwort-Manager, um in Cloud-Umgebungen zu navigieren. Dabei werden Verbindungen zwischen der Cloud-Kontrollebene und den Endpunkten ausgenutzt, um sich lateral zu bewegen, Persistenz aufrechtzuerhalten und Daten zu exfiltrieren.

Neben der Durchführung von Domain-übergreifenden Aktivitäten entwickeln Angreifer zunehmend das Know-how, sich nahtlos zwischen Plattformen zu bewegen und Tools einzusetzen, die auf allen Betriebssystemen gleichermaßen effektiv sind. DPRK-nexus Angreifer – Bedrohungsakteure mit Verbindungen nach Nordkorea – navigieren beispielsweise schnell über mehrere Plattformen, erstellen benutzerdefinierte Tools und ändern spontan ihre Aktionen und Ziele.

Getarnte Bedrohungsakteure

Während Domain-übergreifende Angriffe unterschiedlich komplex sind, beobachtet CrowdStrike außerdem zunehmend Angriffe, bei denen gestohlene Anmeldedaten verwendet und bestehende Sicherheitskontrollen umgangen werden. Im Vergleich zum Vorjahr nutzen 55 Prozent mehr Bedrohungsakteure Hands-on-Keyboard-Aktivitäten, um sich als legitime Benutzer auszugeben, in Cloud-Umgebungen einzudringen und sich lateral über Endpunkte hinweg zu bewegen. Auf diese Weise tauchen sie unauffällig im normalen Geschäftsbetrieb unter und erweitern ihre Präsenz im Netzwerk, ohne Alarm auszulösen.

Um in Endgeräte einzudringen, verwenden sie häufig bewährte Techniken, insbesondere legitime Fernüberwachungs- und -management-Tools (RMM) wie ConnectWise ScreenConnect anstelle von Malware. Der Einsatz dieser Tools nahm um 70 Prozent im Vergleich zum Vorjahr zu. Es wird also immer wichtiger, das Verhalten der Angreifer in jeder Phase der Cyberangriffskette zu verstehen und ihnen mit einer proaktiven, auf Bedrohungsdaten basierenden Suche einen Schritt voraus zu sein.

Technologiebranche und Gesundheitssektor im Visier der Angreifer

Branchenweit werden 86 Prozent aller Hands-on-Keyboard-Angriffe von E-Crime-Angreifern durchgeführt, um finanzielle Gewinne zu erzielen. Im Gesundheitssektor allerdings hat sich diese Art von Angriffen um 75 Prozent erhöht. Die Fülle an vertraulichen Gesundheits- und Finanzinformationen macht das Gesundheitswesen zu einem immer beliebteren Ziel für cyberkriminelle Bedrohungsakteure.

Ebenso stieg die Anzahl der interaktiven Intrusionen, die sich auf Technologie-Unternehmen auswirken, im Vergleich zum Vorjahr um 60 Prozent. Damit ist die Technologiebranche das siebte Jahr in Folge die am häufigsten angegriffene Branche. Aufgrund der Verbindung zu vielen anderen Branchen ist sie ein wertvolles Ziel sowohl für direkte Intrusionen als auch für cyberkriminelle Angreifer.

Die aggressivsten staatsnahen Angreifer, die es auf den Technologiesektor abgesehen haben, stehen in Verbindung mit Nordkorea. FAMOUS CHOLLIMA stellte CrowdStrikes Threat Hunter vor eine einzigartige Herausforderung. Mit einem massiven Insider-Angriff auf über 100 hauptsächlich in den USA ansässigen Technologieunternehmen verschafften sich Akteure mit gefälschten oder gestohlenen Ausweispapieren eine Anstellung als IT-Mitarbeitende, um Daten zu exfiltrieren und bösartige Aktivitäten auszuführen.

Deshalb reicht es in einer Zeit immer raffinierterer, Domain-übergreifender Angriffe nicht mehr aus, sich ausschließlich auf automatisierte Lösungen zu verlassen. Da diese verborgenen Bedrohungen über Identitäten, Clouds und Endpunkte hinweg agieren, ist eine Kombination aus fortschrittlicher Technologie, unersetzlicher menschlicher Expertise und modernster Telemetrie erforderlich, um proaktive Entscheidungen treffen zu können. Threat Hunter und nachrichtendienstliche Analysten, die mit modernsten Tools arbeiten, sind unerlässlich, um diese sich ständig weiterentwickelnden Bedrohungen zu erkennen, zu verstehen und zu bekämpfen, bevor sie Schaden anrichten können.

Ingo Marienfeld, Sales Vice President für Central Europe bei Crowdstrike

[1] https://www.crowdstrike.com/resources/reports/threat-hunting-report/

3242 Artikel zu „Cybersicherheit“

News | IT-Security | Künstliche Intelligenz | Services | Tipps

Cybersicherheit: Künstliche Intelligenz muss jetzt messbare Ergebnisse liefern

18. November 2024

Diese 3 Fragen gehören auf die Liste jedes CISO. Im Juli erlebte die Wall Street ihren schlimmsten Tag seit 2022, als der technologieorientierte Nasdaq um 3,6 % fiel. Der Rückgang wurde größtenteils durch die enttäuschenden Quartalszahlen einiger großer Technologieunternehmen ausgelöst. Besonders auffällig ist, dass die am stärksten betroffenen Unternehmen stark in künstliche Intelligenz (KI)…