Fortinet, ein Anbieter von Cybersecurity-Lösungen, hat den halbjährlich erscheinenden "FortiGuard Labs Global Threat Landscape Report" veröffentlicht. Die Daten aus der ersten Hälfte des Jahres 2021 zeigen, dass das Risiko und die Komplexität von Cyber-Angriffen auf Einzelpersonen, Unternehmen und zunehmend kritische Infrastrukturen deutlich angestiegen ist.
Die zunehmende Verbreitung von hybriden Arbeitsmodellen – und Zugriffen innerhalb und außerhalb von traditionellen Netzwerken – bleibt weiterhin ein Einfallstor für Hacker. Eine frühzeitige Zusammenarbeit und Partnerschaften zwischen den Strafverfolgungsbehörden sowie dem öffentlichen und privaten Sektor bieten eine Chance, das Umfeld von cyber-kriminellen Aktivitäten in der zweiten Hälfte des Jahres 2021 zu stören. Einen detaillierten Überblick über den Bericht sowie die wichtigsten Erkenntnisse finden Sie in diesem Artikel. Die wesentlichsten Ergebnisse des Reports für das erste Halbjahr 2021 lauten:
1. Bei Ransomware geht es um viel mehr als nur Geld
Die Daten der FortiGuard Labs zeigen, dass die durchschnittliche wöchentliche Aktivität von Ransomware-Bedrohungen im Juni 2021 mehr als zehnmal so hoch war wie vor einem Jahr. Dies stellt einen konstanten und insgesamt stetigen Anstieg über einen Zeitraum von einem Jahr dar. Die Cyber-Angriffe legten die Lieferketten zahlreicher Organisationen, insbesondere in kritischen Sektoren, lahm und beeinträchtigten das tägliche Leben, die Produktivität und den Handel enorm. Am stärksten betroffen waren Unternehmen im Telekommunikationssektor, gefolgt von Behörden, MSSPs (Managed Security Service Providers), der Automobilindustrie und der verarbeitenden Industrie.
Darüber hinaus veränderten einige Ransomware-Akteure ihre Strategie: statt auf per E-Mail verschickte Schadprogramme konzentrierten sie sich auf die Beschaffung und den Verkauf von sogenannten Erstzugriffen auf Unternehmensnetzwerke, was ein weiteres Anzeichen für die kontinuierliche Zunahme von Ransomware-as-a-Service (RaaS) ist. Eine wichtige Erkenntnis ist, dass Ransomware eine klar abgrenzbare und allgegenwärtige Gefahr für alle Unternehmen darstellt, unabhängig von ihrer Branche oder Größe. Firmen sollten daher einen proaktiven Ansatz mit Echtzeit-Endpunktschutz, Erkennung und automatisierten Gegenmaßnahmen verfolgen, um ihre Netzwerke in Kombination mit einem Zero-Trust Access-Ansatz, Netzwerksegmentierung und Verschlüsselung ausreichend zu schützen.
2. Eine von vier Organisationen ist von Malvertising betroffen
Eine Rangliste der am häufigsten entdeckten Malware zeigt einen Anstieg von Betrügern, die sich Zugang in ein Netzwerk mittels Social-Engineering-Malvertising und Scareware verschaffen. Mehr als jedes vierte Unternehmen entdeckte Bedrohungen durch Malvertising oder Scareware, wobei davon „Cryxos“ eine besonders aktive Malware-Gruppe darstellt. Ein großer Teil der Entdeckungen geht jedoch wahrscheinlich mit anderen ähnlichen JavaScript-Kampagnen einher, die als Malvertising eingestuft werden könnten. Die hybride Arbeitswelt hat diesen Trend in der Taktik von Cyber-Kriminellen zweifellos gefördert, da diese versuchen, die veränderte Situation auszunutzen, um nicht nur in ein System einzudringen und Unsicherheiten hervorzurufen, sondern auch mit dem Ziel, zu erpressen. Eine verstärkte Sensibilisierung für Cybersecurity ist nach wie vor wichtig, um durch rechtzeitige Schulung und Aufklärung zu verhindern, dass man Opfer von Scareware und Malvertising-Taktiken wird.
3. Botnet-Trends zeigen: Angreifer drängen in Richtung Edge
Die Beobachtung der Anzahl von Botnet-Meldungen zeigte einen Anstieg der Aktivitäten. Zu Beginn des Jahres entdeckten 35 Prozent der Unternehmen Botnet-Aktivitäten verschiedener Art, sechs Monate später waren es bereits 51 Prozent. Für den starken Anstieg der Botnet-Aktivitäten im Juni ist ein größerer Angriff mittels TrickBot-Aktivitäten verantwortlich. TrickBot tauchte ursprünglich als Banking-Trojaner in der Cybercrime-Szene auf, hat sich aber inzwischen zu einem ausgeklügelten und mehrstufigen Toolkit entwickelt, das eine Reihe illegaler Aktivitäten unterstützt. Insgesamt am weitesten verbreitet war dabei das Botnetzwerk Mirai: es überholte das Botnetzwerk Gh0st Anfang des Jahres 2020 und dominiert seitdem den Markt bis weit in das Jahr 2021 hinein. Mirai erweitert sein Portfolio von Bedrohungstaktiken stetig um immer weitere Cyber-Waffen.
Es ist wahrscheinlich, dass die Dominanz von Mirai zumindest teilweise auf Kriminelle zurückzuführen ist, die versuchen, Internet-of-Things (IoT)-Geräte auszunutzen, die von Personen genutzt werden, die von zu Hause aus arbeiten oder studieren. Gh0st ist ebenfalls sehr aktiv. Dabei handelt es sich um ein Fernzugriffs-Botnetz, das es Cyber-Angreifern ermöglicht, die volle Kontrolle über das infizierte System zu übernehmen, Webcam- und Mikrofonübertragungen zu erfassen oder Dateien herunterzuladen. Mehr als ein Jahr nach Einführung des Home-Offices und des Home-Schoolings versuchen Cyber-Angreifer weiterhin, unsere täglichen Gewohnheiten auszunutzen. Um Netzwerke und Anwendungen zu schützen, benötigen Unternehmen Ansätze, die Zero-Trust-Access umfassen, um minimal erforderliche Zugriffsberechtigungen zu gewähren und das Eindringen über IoT-Geräten in das Netzwerk zu verhindern.
4. Bekämpfung von Cyber-Kriminalität führt zu einem Rückgang des Volumens von Bedrohungen
Im Bereich der Cyber-Sicherheit hat nicht jede Maßnahme eine sofortige oder dauerhafte Wirkung, aber mehrere Ereignisse im Jahr 2021 zeigen positive Trends für die Seite der Security-Verteidiger. Der ursprüngliche Entwickler von TrickBot wurde im Juni mehrfach angeklagt. Auch die koordinierte Zerschlagung von Emotet, einem der produktivsten Malware-Programme der jüngeren Geschichte, sowie die Aktionen zur Unterbindung der Ransomware-Gruppen Egregor, NetWalker und Cl0p sind ein deutliches Zeichen dafür, dass sich Cyber-Verteidiger, einschließlich der internationalen Regierungen und Strafverfolgungsbehörden, für die Eindämmung von Cybercrime einsetzen.
Darüber hinaus hat die große Aufmerksamkeit, die manche Angriffe erregt haben, einige Ransomware-Betreiber dazu veranlasst, die Einstellung ihrer Aktivitäten anzukündigen. Die FortiGuard Labs-Daten zeigten eine Verlangsamung der Bedrohungsaktivität nach der Zerschlagung von Emotet. Die Aktivitäten im Zusammenhang mit TrickBot- und Ryuk-Varianten hielten an, nachdem das Emotet-Botnet vom Netz genommen worden war, allerdings in geringerem Umfang. Dies zeigt, wie schwierig es ist, Cyber-Bedrohungen oder die Lieferketten von Angreifern zu zerstören, aber diese Aktionen sind trotzdem wichtige Erfolge im Kampf gegen Cyber-Kriminalität.
5. Ausweichmanöver und Privilegienerweiterung sind von Cyber-Kriminellen bevorzugte Techniken
Die Untersuchung von Bedrohungsdaten liefert wertvolle Erkenntnisse darüber, wie sich Angriffstechniken derzeit weiterentwickeln. Die FortiGuard Labs haben die spezifische Funktionalität der entdeckten Malware analysiert, indem Stichproben ausgelöst wurden, um zu beobachten, was die Cyber-Angreifer damit bezwecken wollten. Das Ergebnis war eine Sammlung von potenziellen Auswirkungen, die die Malware zur Folge gehabt hätte, wenn die Angriffe in vollem Umfang in den Zielumgebungen ausgeführt worden wären.
Daraus geht hervor, dass Cyber-Angreifer unter anderem versuchen, Privilegien zu erweitern, Verteidigungsmaßnahmen zu umgehen, sich lateral durch interne Systeme zu bewegen und kompromittierte Daten zu erhalten. Beispielsweise nutzten 55 Prozent der beobachteten Fälle das sogenannte Hooking, um Privilegien zu erweitern, und 40 Prozent die sogenannte Prozessinjektion. Der Schwerpunkt liegt eindeutig auf der Umgehung von Sicherheitsmaßnahmen und der Ausweitung von Privilegien. Obwohl diese Techniken nicht neu sind, sind die Verteidiger mit diesem aktuellen Wissen besser in der Lage, sich gegen künftige Angriffe zu schützen. Integrierte und auf künstlicher Intelligenz (KI) basierende Plattformansätze, die auf verwertbaren Bedrohungsdaten beruhen, sind notwendig, um sich über alle Edges hinweg zu verteidigen und die sich verändernden Bedrohungen, mit denen Unternehmen heute konfrontiert sind, in Echtzeit zu erkennen und zu beseitigen.
Kooperation, Training, und KI-gestützte Prävention, Erkennung und Reaktion unerlässlich
Während Regierungs- und Strafverfolgungsbehörden in der Vergangenheit bereits Maßnahmen zur Bekämpfung der Cyber-Kriminalität ergriffen haben, könnte die erste Hälfte des Jahres 2021 eine entscheidende Wende in Bezug auf die künftige Dynamik darstellen. Behörden arbeiten mit Branchenanbietern, Analyseunternehmen und anderen globalen Partnern zusammen, um Ressourcen und Echtzeit-Bedrohungsdaten zu bündeln und direkt gegen Cyber-Angreifer vorzugehen. Unabhängig davon bleiben die automatisierte Erkennung von Bedrohungen und die künstliche Intelligenz von entscheidender Bedeutung, um Unternehmen in die Lage zu versetzen, Angriffe in Echtzeit zu bekämpfen und in kürzester Zeit sowie in großem Umfang über alle Grenzen hinweg zu entschärfen. Darüber hinaus sind Schulungen zur User-Sensibilisierung für Cybersecurity so wichtig wie eh und je, da jeder ein potenzielles Ziel von Cyber-Attacken darstellt. Jeder Einzelne sollte regelmäßig über die richtige Vorgehensweise unterrichtet werden, um die Sicherheit von allen MitarbeiterInnen und des Unternehmens zu gewährleisten.
„Wir beobachten eine Zunahme effektiver und zerstörerischer Cyber-Angriffe, die Tausende von Unternehmen in einem einzigen Vorfall betreffen und einen wichtigen Wendepunkt im Kampf gegen die Cyber-Kriminalität darstellen. Mehr denn je spielt jeder Einzelne eine wichtige Rolle bei der Stärkung der Cyber Kill Chain," erklärt Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs. „Die Bündelung der Kräfte durch Zusammenarbeit muss Priorität haben, um die Lieferketten von Cyber-Kriminellen zu unterbinden. Gemeinsame Daten und Partnerschaften ermöglichen effektivere Reaktionen und eine bessere Vorhersage zukünftiger Techniken, um die Bemühungen der Gegner zu erschweren. Kontinuierliche Schulungen zum Thema Cybersecurity sowie KI-gestützte Präventions-, Erkennungs- und Reaktionstechnologien, die über Endpunkte, Netzwerke und die Cloud hinweg integriert sind, bleiben für die Bekämpfung von Cyberangreifern unerlässlich."