Security: Cyberkriminelle entwickeln ihre Angriffstaktiken immer weiter – Trends 2023
Was haben Cybercrime und die Wirtschaft gemeinsam? Geld! Klar. Das ist natürlich auch die naheliegendste Gemeinsamkeit. Schaut man sich das Geschäftsmodell dahinter genauer an, finden wir klare Parallelen: as-a-Service ist das wohl die größte Gemeinsamkeit davon!
Von anlassbezogenen und automatisierten Spear-Phishing-Mails über Fake-Anrufen mit Handlungsaufforderung bis hin zu Mehrfacherpressungen und Lieferkettenangriffen: Cyberkriminelle erweitern ihre Toolbox kontinuierlich. Umso wichtiger ist es, sich proaktiv auf potenzielle zukünftige Angriffsmaschen vorzubereiten.
Wir zeigen Ihnen, wo Ihre Daten liegen, wie Cyberkriminelle damit arbeiten und wer sich hinter dem Synonym Cyberkrimineller tatsächlich verbirgt. Denn nur wenn man beginnt zu verstehen, wie diese Organisatoren strukturiert sind und agieren kann man auch tatsächlich effektive IT-Sicherheit betreiben.
Wir thematisieren in unserem kostenlosen Webinar:
Wie gehen Hacker vor? Wer sind die Täter?
Welche Trends die aktuelle Cyber-Bedrohungslage bestimmen
Wir klären die Grundlagen, um die Lücken zu identifizieren
Mit diesem Grundverständnis können Sie die Schwachstellenanalyse im Unternehmen beginnen
Das schwächste Glied in der Kette: Der Mensch. Welche Awareness-Maßnahmen gibt es?
Cyberangriffe sind mitunter die größten Bedrohungen für unsere Wirtschaft. Als Mitglied der Allianz für Cybersicherheit möchten wir Ihnen aufzeigen, wie groß das Risiko von Cyberangriffen tatsächlich ist.
Nutzen Sie das Webinar, um im Anschluss Ihre Cybersicherheit bewerten zu können und Maßnahmen zum Schutz Ihres Unternehmens treffen zu können.
Wir freuen uns auf Ihre Teilnahme.
Makros sind out – Cyberkriminelle verlegen sich auf Disk-Images und Archivformate
Seit der Ankündigung von Microsoft Anfang des Jahres, Makros aus dem Internet zu blockieren, zeigt sich in der Cyberkriminalität der Trend, Archiv-Formate oder Disk-Images für die Infiltration von Systemen mit Malware zu verwenden. Einfallstor Nummer eins ist dabei nach wie vor die E-Mail. Im Februar dieses Jahres kündigte Microsoft an, dass es Makros aus dem Internet standardmäßig blockieren würde. Solche Makros werden seit Jahren von Angreifern missbraucht, um Malware zu übermitteln. Während die Sicherheits-Community spekulierte, dass Angreifer aufgrund der Entscheidung von Microsoft auf alternative Formate ausweichen würden, hat Sophos diese Tatsache anhand seiner Telemetriedaten bereits bestätigt. Von April bis September dieses Jahres hat Sophos einen starken Rückgang der Anzahl schädlicher DOC-, DOCM-, XLS- und XLSM-Dateien festgestellt – vier beliebte Office-Formate für die Verbreitung schädlicher Makros.
Gleichzeitig war bis Mitte Juni ein stetiger Anstieg der Verwendung obskurer Archivformate (ACE, ARJ, XZ, GZ oder LZH) und ab September ein starker Anstieg der gängigeren Archivformate (ZIP, 7Z, CAB, TAR und RAR) zu verzeichnen. Auch die Verwendung von Disk-Image-Formaten (ISO, VHD und UDF) für die Verbreitung von Malware hat stetig zugenommen.
Disk-Image-Formate sind für Bedrohungsakteure besonders attraktiv, weil sie Microsofts neue “Mark of the Web”-Funktion (MOTW) umgehen. Microsoft verwendet MOTW, um festzustellen, ob ein Makro aus dem Internet stammt oder nicht; ist dies der Fall, wird es automatisch blockiert. Sicherheitsprodukte sollten außerdem in der Lage sein, mehrere Archiv- und Disk-Image-Formate zu entpacken, darunter auch unbeliebte Formate, um diese Anhänge ordnungsgemäß auf Malware zu untersuchen. Um die Risiken weiter zu minimieren, können E-Mail-Filter so konfiguriert werden, dass bestimmte Dateiformate standardmäßig blockiert werden. Denn E-Mails zählen nach wie vor zu den Hauptangriffsvektoren.
Chester Wisniewski, Principal Research Scientist bei Sophos, sagt: “Wir geben schon seit Jahren dieselben Ratschläge für die E-Mail-Sicherheit. Dinge wie ‘Klicken Sie nicht auf diesen Link’ oder ‘Öffnen Sie keine gefährlichen Attachments’. Die Realität ist, dass sich die Cybersicherheitslandschaft ständig verändert. Es ist unwahrscheinlich, dass Cyberkriminelle Makros vollständig aufgeben werden, denn sie passen sich mit hoher Wahrscheinlichkeit an diese neuesten Sicherheitsmaßnahmen von Microsoft an. Die Unternehmen sollten das Gleiche tun. Eine gute E-Mail-Sicherheit muss zentral verwaltet werden, wobei sich die Sicherheitsteams auf die technischen Aspekte konzentrieren, z. B. darauf, welche Dateierweiterungen gefährlich sind. Zudem gilt es die Benutzer zu schulen, wie sie vermeiden können, auf das trickreiche Social Engineering der Cyberkriminellen hereinzufallen.“
Zusätzliche Informationen über die Umstellung von Makros auf Disk-Images und Archivformate finden sich im englischen Sophos-Blog..
Threat Report 2023: Cyberkriminalität als Big Business
Beitrag teilen
Cyberkriminalität floriert immer mehr als Geschäftsmodell, Ransomware und Ransomware-as-a-Service ist Innovationstreiber und gestohlene Zugangsdaten fungieren immer mehr als Cash-Cow. Auch das Jahr 2023 wird harrt für Unternehmen in der Cyberabwehr, so Sophos.
Sophos hat seinen Threat Report 2023 veröffentlicht. Der Report beschreibt unter anderem einen neuen Grad der Kommerzialisierung innerhalb der Cyberkriminalität, durch den zunehmend niedrigschwellige Einstiegsangebote für potenzielle Angreifer verfügbar sind: Fast alle Szenarien sind käuflich. Ein boomender Cybercrime-as-a-Service-Markt steht einer kriminellen Käuferschaft offen, die von technisch hoch versiert bis völlig unwissend reicht.
Die Themen des aktuellen Sophos Threat Reports
Die „Cybercrime-as-a-Service“-Industrie hat eine neue Stufe der Kommerzialisierung erreicht, die viele Einstiegshürden für Interessenten von Cyberkriminalität beseitigt und bei entsprechender Liquidität fortschrittliche Bedrohungstaktiken in die Hände fast aller Kriminellen legt.
Ransomware ist nach wie vor eine der größten Bedrohungen für Unternehmen, wobei sich Cyberkriminelle auf die „Innovation“ ihrer Angriffstaktiken und Erpressungstechniken konzentrieren.
Der Krieg in der Ukraine hat zu einer Umstrukturierung der kriminellen Allianzen und einer Neuordnung der Ransomware-Landschaft geführt.
Cyberkriminelle setzen verstärkt auf den Diebstahl von Anmeldeinformationen, um gezielt Netzwerke zu infiltrieren.
Bedrohungsakteure greifen weiterhin auf legitime Tools und ausführbare Dateien zurück, um Angriffe auszuführen, und bringen zunehmend ihre eigenen Schwachstellen ein.
Bedrohungsakteure greifen weiterhin auf legitime Tools und ausführbare Dateien zurück, um Angriffe auszuführen, und bringen zunehmend ihre eigenen Schwachstellen ein. Mobile Geräte stehen im Mittelpunkt neuartiger Cyberkriminalität – sowohl Android- als auch iOS-Geräte sind betroffen.
Eine der ältesten Formen der Kryptokriminalität – das Kryptomining – ist rückläufig, da Monero (eine der beliebtesten Währungen) an Wert verliert. Kryptobetrug hingegen ist in Südasien bereits eine wachsende Industrie.
Ransomware als Markttreiber und Blaupause für andere Malware-Gattungen
Kriminelle Untergrundmarktplätze wie Genesis ermöglichen seit langem den Kauf von Malware und Malware-Implementierungsdiensten („Malware-as-a-Service“) sowie den Verkauf gestohlener Zugangsdaten und anderer Daten in großen Mengen. In den letzten zehn Jahren hat sich mit der zunehmenden Beliebtheit von Ransomware eine ganze „Ransomware-as-a-Service“-Wirtschaft herausgebildet. Cyberkriminelle haben sich ein Beispiel am Erfolg dieser Infrastruktur genommen und ziehen nach. Jetzt, im Jahr 2022, hat sich das „As-a-Service“-Modell daher massiv ausgeweitet, und fast jeder Aspekt der Cyberkriminalität – von der Erstinfektion bis hin zu Möglichkeiten, die Entdeckung zu vermeiden – ist käuflich zu erwerben.
Zudem arbeiten auch cyberkriminelle Marktplätze immer mehr wie normale Unternehmen. Einige Marktplätze haben eigene Seiten für Stellengesuche und die Rekrutierung von Mitarbeitenden eingerichtet, wo die Arbeitssuchenden ihre Fähigkeiten und Qualifikationen in Kurzform angeben.
„Cyberkriminelle verkaufen heute Tools und Fähigkeiten, die sich früher nur in den Händen einiger der raffiniertesten Angreifer befanden als Dienstleistungen an andere Akteure,“ sagt Sean Gallagher, Principal Threat Researcher bei Sophos. „Im vergangenen Jahr haben wir zum Beispiel Anzeigen für OPSEC-as-a-Service gesehen, in denen die Verkäufer anboten, Angreifern dabei zu helfen, Cobalt Strike-Infektionen zu verstecken, und wir haben Scanning-a-Service gesehen, der Käufern Zugang zu legitimen kommerziellen Tools wie Metasploit gibt, damit sie Schwachstellen finden und dann ausnutzen können. Die Kommerzialisierung fast aller Komponenten der Cyberkriminalität eröffnet Angreifern aller Art neue Möglichkeiten.“
Verschiebung cyberkrimineller Partnerschaften durch Ukraine-Krieg
Traditionell sind, bzw. waren Ukrainer und Russen seit langem Partner im Cybercrime-Geschäft – vor allem, wenn es um Ransomware geht. Mit Ausbruch des Krieges sind jedoch einige Banden auseinandergebrochen. Dies führte unter anderem zu den Conti Leaks – der Veröffentlichung der Chat-Protokolle dieser Ransomware-Gruppe. Ein anderer Twitter-Account behauptete auch, die angeblichen Mitglieder von Trickbot, Conti, Mazo, Diavol, Ryuk und Wizard Spiders ausgespäht zu haben. Insgesamt ist die internationale Arbeit gegen Ransomware dennoch nicht einfacher geworden. So haben sich Ransomware-Gruppen neuformiert, und es scheint unter anderem, dass ein neues „REvil“ aufgetaucht ist.
Ransomware bleibt beliebt und innovativ
Ransomware ist trotz des Ausbaus der Infrastruktur für Cyberkriminalität weiterhin sehr beliebt und äußerst profitabel. Im vergangenen Jahr haben die Betreiber von Ransomware daran gearbeitet, ihren potenziellen Angriffsdienst zu erweitern, indem sie andere Plattformen als Windows ins Visier genommen und neue Sprachen wie Rust und Go eingeführt haben, um nicht entdeckt zu werden. Einige Gruppen, allen voran Lockbit 3.0, haben ihre Operationen diversifiziert und „innovativere“ Methoden zur Erpressung von Opfern entwickelt.
„Wenn wir über die zunehmende Raffinesse des kriminellen Untergrunds sprechen, gilt dies auch für die Welt der Ransomware. Lockbit 3.0 zum Beispiel bietet jetzt Bug-Bounty-Programme für seine Malware an und holt sich von der kriminellen Gemeinschaft Ideen zur Verbesserung seiner Operationen. Andere Gruppen sind zu einem „Abonnementmodell“ für den Zugriff auf ihre erbeuteten Daten übergegangen, und wieder andere versteigern sie. Ransomware ist in erster Linie ein Geschäft geworden“, so Gallagher.
Heiße Ware Zugangsdaten
Die sich entwickelnde Ökonomie des Untergrunds hat nicht nur Anreize für das Wachstum von Ransomware und der „As-a-Service“-Industrie geschaffen, sondern auch die Nachfrage nach gestohlenen Zugangsdaten erhöht. Mit der Ausweitung von Webdiensten können verschiedene Arten von Anmeldeinformationen, insbesondere Cookies, auf vielfältige Weise genutzt werden, um in Netzwerken tiefer Fuß zu fassen und sogar Multifaktorauthentifizierung zu umgehen. Der Diebstahl von Anmeldedaten ist auch eine der einfachsten Möglichkeiten für Kriminelle, Zugang zu Untergrundmärkten zu erhalten und ihre „Karriere“ zu beginnen.
Über den Sophos Threat Report 2023
Der Sophos Threat Report 2023 beruht auf Untersuchungen und Erkenntnissen von Sophos X-Ops, einer neuen, funktionsübergreifenden Einheit, die drei etablierte Teams von Cybersecurity-Experten bei Sophos (SophosLabs, Sophos SecOps und Sophos AI) miteinander verbindet. Sophos X-Ops umfasst mehr als 500 Cybersecurity-Experten weltweit, die in der Lage sind, ein vollständiges, multidisziplinäres Bild einer zunehmend komplexen Bedrohungslandschaft zu zeichnen. Wenn Sie mehr über die täglichen Cyberattacken und TTPs erfahren möchten, folgen Sie Sophos X-Ops auf Twitter und abonnieren Sie aktuelle Artikel und Reports zu Bedrohungsforschung und Sicherheitsoperationen von den vordersten Frontlinien der Cybersicherheit.
Mehr bei
Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.
Passende Artikel zum Thema
