Ransomware dominiert, aber neue Angriffsstrategien wie Extortion oder psychologisches Profiling gewinnen bei Cyberangriffen an Bedeutung. Zu diesem Ergebnis kommt der jüngste Bedrohungsreport des Sicherheitsdienstleisters Sophos. Doch auch die Abwehr rüstet auf.
Ein turbulentes Jahr 2021 geht zu Ende. Corona und Klimawandel hielten die Welt in Atem. Und dann waren da noch zahlreiche spektakuläre Cyber-Attacken, die es sogar in die Hauptnachrichten schafften. Im März schleusten Angreifer modifizierte Anweisungen in den Quellcode von Orion, einer Software zur Fernverwaltung des US-Unternehmens SolarWinds. Der geänderte Code gab den Hackern die Möglichkeit, auf die Netzwerke der Kunden von SolarWinds zuzugreifen, zu denen Tausende große Organisationen gehören, darunter auch Regierungsbehörden. Ebenfalls im März veröffentlichte Microsoft den ersten von mehreren Patches zum Schließen von Lücken in seiner Exchange Server-Software. Schnell begannen Angreifer, die Sicherheitslücke auszunutzen und starteten Ransomware-Angriffe, die sich über Monate hinzogen. Im Juli geriet dann Kaseya ins Visier von Hackern, die den IT-Management-Dienst nutzten, um Hunderte von Kaseya-Kunden zu attackieren – ausgerechnet am 4. Juli, als viele IT-Mitarbeiter in den USA in Urlaub waren.
So hat sich die Ransomware-Landschaft erheblich verändert. Die Angreifer nehmen vermehrt größere Unternehmen aufs Korn, gleichzeitig hat sich das Geschäftsmodell der Hacker verändert. Die gut organisierten Hacker-„Betriebe“ agieren zunehmend in Arbeitsteilung. Mittlerweile gibt es Teams, die ausschließlich die Ransomware herstellen, diese dann aber nicht selbst nutzen, sondern als Ransomware-as-a-Service anderen Teams anbieten, die sich auf den Einbruch in Unternehmensnetzwerke spezialisiert haben – so genannte Initial Access Broker. Die Zeiten des nerdigen Alleskönners sind vorbei.
Ab und zu gelingt es den Kriminellen, eine Software, die eigentlich zur Abwehr von Angriffen gedacht war, für ihre finsteren Zwecke zu missbrauchen. Genau das ist Cobalt Strike passiert. Viele Penetrationstester nutzen diese kommerzielle Software, um Bedrohungen zu simulieren und Lücken in der Abwehr ihrer Auftraggeber zu finden. Kriminellen ist es gelungen, die Software mit nur geringfügigen Änderungen am Quellcode so zu manipulieren, dass sie Türen öffnet, um echte Schadsoftware zu platzieren.
Was bringt 2022? Die Experten von Sophos gehen davon aus, dass Künstliche Intelligenz und Neuronale Netze massive Auswirkungen auf die Sicherheitslandschaft haben – zum Glück vor allem für die Abwehr. Mit neuen Services wie Rapid Response und Managed Threat Response (MDR) schützt Sophos zudem auch kleinere Unternehmen, die sich keine eigenen Sicherheitsexperten leisten können – rund um die Uhr. Die Hacker werden zwar immer gerissener, aber ihre Gegner bieten ihnen Paroli.
Quelle: heise
Ein turbulentes Jahr 2021 geht zu Ende. Corona und Klimawandel hielten die Welt in Atem. Und dann waren da noch zahlreiche spektakuläre Cyber-Attacken, die es sogar in die Hauptnachrichten schafften. Im März schleusten Angreifer modifizierte Anweisungen in den Quellcode von Orion, einer Software zur Fernverwaltung des US-Unternehmens SolarWinds. Der geänderte Code gab den Hackern die Möglichkeit, auf die Netzwerke der Kunden von SolarWinds zuzugreifen, zu denen Tausende große Organisationen gehören, darunter auch Regierungsbehörden. Ebenfalls im März veröffentlichte Microsoft den ersten von mehreren Patches zum Schließen von Lücken in seiner Exchange Server-Software. Schnell begannen Angreifer, die Sicherheitslücke auszunutzen und starteten Ransomware-Angriffe, die sich über Monate hinzogen. Im Juli geriet dann Kaseya ins Visier von Hackern, die den IT-Management-Dienst nutzten, um Hunderte von Kaseya-Kunden zu attackieren – ausgerechnet am 4. Juli, als viele IT-Mitarbeiter in den USA in Urlaub waren.
Ransomware dominiert
Doch diese drei Beispiele waren nur die Spitze des Eisbergs. Cyberkriminelle fuhren Millionen Attacken, von denen viele erfolgreich mit der Zahlung eines Lösegelds endeten. Solche Ransomware-Attacken, bei denen die Daten eines Unternehmens verschlüsselt werden, stellten in den letzten 18 Monaten mit 79 Prozent den Löwenanteil der Angriffe dar. So steht es im Threat Report 2022 des Sicherheitsdienstleisters Sophos. Alles wie gehabt? Keinesfalls, denn in den letzten Monaten haben die Experten etliche neue Trends wahrgenommen, die sich im kommenden Jahr verstärken dürften.So hat sich die Ransomware-Landschaft erheblich verändert. Die Angreifer nehmen vermehrt größere Unternehmen aufs Korn, gleichzeitig hat sich das Geschäftsmodell der Hacker verändert. Die gut organisierten Hacker-„Betriebe“ agieren zunehmend in Arbeitsteilung. Mittlerweile gibt es Teams, die ausschließlich die Ransomware herstellen, diese dann aber nicht selbst nutzen, sondern als Ransomware-as-a-Service anderen Teams anbieten, die sich auf den Einbruch in Unternehmensnetzwerke spezialisiert haben – so genannte Initial Access Broker. Die Zeiten des nerdigen Alleskönners sind vorbei.
Erpressen, aber nicht verschlüsseln
Aber auch die Art der Angriffe wandelt sich. Bei den potenziellen Opfern hat sich herumgesprochen, dass sie ihre Daten mit einem lückenlosen Backup schnell wieder herstellen können, ohne Lösegeld zahlen zu müssen. Darauf reagieren die Hacker, indem sie auf Extortion-Angriffe umschwenken. Dabei werden keine Daten verschlüsselt, die Kriminellen nutzen vielmehr aus, dass nach dem Platzieren der Ransomware oft Wochen vergehen, bis diese entdeckt wird. In dieser Zeit saugen die Gangster möglichst viele Daten ab, darunter auch personenbezogene Informationen, und drohen, diese zu veröffentlichen. Weil der Imageschaden groß ist und unter Umständen nach der Datenschutzgrundverordnung Strafzahlungen fällig werden, überweisen viele betroffene Firmen dann doch das Lösegeld, das üblicherweise in Kryptowährung gezahlt werden muss. Doch dann geht das Bangen erst richtig los. Denn wer garantiert, dass die Diebe die sensiblen Daten trotz Lösegeld nicht doch auf dem Schwarzmarkt verhökern?Profiling per Telefon
Ein neuer Trend sind hybride Angriffe. Das sind „Schrotschüsse“, die viele Menschen anlocken sollen. Die Falle schnappt aber nur zu, wenn die Opfer und ihre IT-Ausstattung bestimmte Kriterien erfüllen. Das klingt zunächst kontraintuitiv, ergibt aber aus Sicht der Kriminellen durchaus Sinn: Auf diese Weise sortieren sie Sicherheitsexperten aus und bleiben länger unter dem Radar. Die Hacker hinter der BazarLoader-Malware treiben dazu erheblichen Aufwand. Sie versenden Spam-Mails, die jedoch keinen infizierten Dateianhang oder bösartigen Link enthalten. Vielmehr sollen die Empfänger eine Telefonnummer anrufen, wo ein psychologisches Profiling mit einem speziell geschulten Hacker stattfindet. Nur wenn das Opfer naiv genug erscheint, wird es auf eine infizierte Webseite geschickt.Ab und zu gelingt es den Kriminellen, eine Software, die eigentlich zur Abwehr von Angriffen gedacht war, für ihre finsteren Zwecke zu missbrauchen. Genau das ist Cobalt Strike passiert. Viele Penetrationstester nutzen diese kommerzielle Software, um Bedrohungen zu simulieren und Lücken in der Abwehr ihrer Auftraggeber zu finden. Kriminellen ist es gelungen, die Software mit nur geringfügigen Änderungen am Quellcode so zu manipulieren, dass sie Türen öffnet, um echte Schadsoftware zu platzieren.
Leaks enttarnen Hackermethoden
Doch auch den Cybersecurity-Experten gelingt hin und wieder ein Schlag gegen die Hacker-Szene. 2021 hat ein Mitglied der Conti-Ransomware-Bande im Streit mit Kollegen ein Archiv veröffentlicht, das eine Fülle von Unterlagen und Anleitungen (größtenteils in russischer Sprache) enthält, wie Angreifer bei einem Ransomware-Angriff vorgehen sollten. Im Jahr zuvor hatte Sophos ein geheimes Archiv mit Tools und Dokumentationen entdeckt, das eine Person vermutlich unabsichtlich ungeschützt ins Netz gestellt hat. Die geleakten Dokumente zeigen, dass Ransomware-Angreifer zunehmend Raubkopien von kommerzieller Standardsoftware und freie Open-Source-Tools mit grafischer Benutzeroberfläche nutzen. Diese Tools können auch Hacker bedienen, die über begrenztes Know-how verfügen.Was bringt 2022? Die Experten von Sophos gehen davon aus, dass Künstliche Intelligenz und Neuronale Netze massive Auswirkungen auf die Sicherheitslandschaft haben – zum Glück vor allem für die Abwehr. Mit neuen Services wie Rapid Response und Managed Threat Response (MDR) schützt Sophos zudem auch kleinere Unternehmen, die sich keine eigenen Sicherheitsexperten leisten können – rund um die Uhr. Die Hacker werden zwar immer gerissener, aber ihre Gegner bieten ihnen Paroli.
Quelle: heise
