Zum ersten Mal seit über einem Jahr ist Ransomware nicht mehr die größte Bedrohung. Neu an der Spitze sind sogenannte Commodity-Trojaner. Die Angreifer*innen setzen dabei besonders auf Social-Engineering-Techniken. 

Im vierteljährlichen Threat-Assessment-Report des Cisco Talos Incident Report (CTIR) Teams taucht überraschend eine neue Bedrohung auf: Rund 20 Prozent aller Angriffe werden seit neuestem mit Commodity-Trojaner begangen. Der Einsatz von Ransomware hingegen sank dazu im Vergleich (15 Prozent) - im letzten Quartal wurde noch ein Viertel aller Angriffe mit Ransomeware verübt. Mögliche Gründe für diesen Rückgang könnten die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung sein.

Commodity-Malware hingegen sei weit verbreitet und könne gekauft oder sogar kostenlos heruntergeladen werden. Verwendet wird sie von den verschiedensten Akteuren. Beispiele sind unter anderem Remcos RAT, Vidar Information Stealer, Redline Stealer oder der Qakbot Banking-Trojaner. Auf Commodity-Malware und Ransomware folgten Phishing, Business-E-Mail-Compromise (BEC) und Insider-Threats im Bedrohungs-Ranking des Talos Reports.

Die am häufigsten attackierte Branche war wie bereits im letzten Quartal die Telekommunikation, dicht gefolgt von Organisationen im Bildungs- und Gesundheitswesen.

Bedrohungstrends

Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hatten es auf Organisationen abgesehen, die allenfalls hohe Lösegelder bezahlen. Conti gab im Mai die Einstellung des Betriebs bekannt. Die Auswirkungen auf die Ransomware-Szene sind aber noch nicht abschätzbar. Dafür betritt ein neuer Spieler das Feld: Die RaaS-Gruppe „Black Basta“ dürfte künftig eine ernstzunehmende Bedrohung darstellen. Dabei handelt es sich aber mutmaßlich um eine Umbenennung von Conti. LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet. 

Wie schon im vorangegangenen Bericht konnten viele E-Mail-basierte Angriffe beobachtet werden, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzer*innen zum Klicken auf einen Link oder zum Öffnen einer Datei aufzufordern.

Schutz durch Multi-Faktor-Authentifizierung

„Eine der größten Gefahren für die IT-Sicherheit ist das Fehlen einer Multi-Faktor-Authentifizierung (MFA)“, sagt Markus Sageder, Cybersecurity-Experte bei Cisco Österreich. „Ausgehend von den jüngsten Angriffen empfehlen wir daher allen Organisationen, eine MFA für alle Dienste zu implementieren und auch sicherzustellen, dass alle Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien auch wirklich einhalten.“