Categories: Cybersicherheit

Entwicklungen bei Cyberbedrohungen geben Anlass zur Sorge

Die Cyberlage hat sich im Zuge des Ukrainekriegs strukturell geändert. Alte Bündnisse unter Angreifern sind zerbrochen und staatlich geförderte APT-Gruppen attackieren mit immer aggressiveren Cyberkampagnen. Die Threat-Intelligence-Experten von Cisco Talos werfen im Report „2022 Year In Review“ einen umfassenden Blick auf die Bedrohungssituation und aktuelle Malware- und Angriffstrends. Die Erkenntnisse dazu stammen aus Incident-Response-Einsätzen, der Endpunkt- und Netzwerk-Detektion aber auch aus Honeypots oder dem Darknet. Um einen Überblick der aktuellen Gefahrenlage im Cyberraum zu bieten, fasst der Cisco Talos Report die wichtigsten Vorfälle, Angriffsmethoden und Trends zusammen.

„2022 war ein Ausnahmejahr für die Cybersecurity“, sagt Holger Unterbrink von Cisco Talos in Deutschland. „Mit dem Krieg in der Ukraine wurde die globale Bedrohnungslandschaft neu sortiert. Nach einer kurzen Verschnaufpause kam die organisierte Cyberkriminalität in der zweiten Jahreshälfte stärker zurück als zuvor. Für 2023 erwarte ich keine Abschwächung der Angriffe im Cyberraum. Im Gegenteil: Es wird eine weitere Professionalisierung der Cyberkriminalität geben, was gerade in einer Hybrid-Work-Welt immer mehr Organisationen betrifft.“

Ukraine

Die Telemetriedaten von Cisco Talos zeigen, dass mit Beginn des Ukrainekriegs viele Bedrohungsakteure ihre Aufmerksamkeit auf pro-russische oder pro-ukrainische Cyberaktivitäten verlagert haben. Dies hat zu einem vorübergehenden Rückgang der Bedrohungen gegenüber Unternehmen und Einrichtungen in anderen Regionen geführt. Parallel hat der Krieg Konflikte und Machtkämpfe innerhalb verschiedener Bedrohungsgruppen ausgelöst, was ebenfalls zu einer Entspannung der Cyberlage in der ersten Hälfte des Jahres 2022 beigetragen hat. Die Intensität von Ransomware, Informationsdiebstahl, Commodity-Malware und die Ausnutzung bekannter Schwachstellen ging weltweit zwischen Februar und Juni deutlich zurück. Ab Juli erreichte sie wieder ein nahezu normales Niveau.

Fazit: Für 2023 gehen die Security-Experten davon aus, dass die Bedrohung für staatliche und private Einrichtungen der Ukraine und die westlichen Länder hoch bleiben wird.

APT-Gruppen

Staatlich gelenkte oder gesponserte APT-Gruppen (Advanced Persistent Threat) haben im vergangenen Jahr – nicht zuletzt als Reaktion auf die geopolitische Landschaft – ihre Operationen ausgeweitet. Spionage, Diebstahl von geistigem Eigentum und Finanzdaten sowie die Störung von Netzwerken waren bei APT-Angriffen am häufigsten zu sehen. Dabei beobachtete Talos einen Trend zur Einführung neu angepasster Malware und Tools. Die Diversifizierung der APT-Malware und die Raffinesse der Infektionsketten deuten darauf hin, dass staatlich gelenkte Bedrohungsakteure konsequent aktiv bleiben, selbst wenn sie von Sicherheitssystemen entdeckt und blockiert oder ihre Methoden öffentlich bekannt werden.

Fazit: Das Gefahrenpotenzial durch APT-Gruppen lässt sich nur durch eine mehrschichtige Sicherheits-Architektur mit verhaltensbasierten Systemen senken, die auch nach einem erfolgreichen Angriff Anomalien erkennen können.

Ransomware

Auch 2022 blieb Ransomware mit einem Anteil von etwas mehr als 20 Prozent eine der größten Cybergefahren. Dabei nahmen Ransomware-Gruppen den Bildungssektor ausgesprochen stark ins Visier. Organisationen im Bildungsbereich gelten als hochwertige Ziele, insbesondere da diese Einrichtungen nur eine geringe Toleranz gegenüber Ausfallzeiten haben. Die Entwicklung im Umfeld von Ransomware verlief jedoch sehr dynamisch. Im Laufe des Jahres tauchten immer neue RaaS-Akteure auf, während sich bestehende umbenannten oder den Betrieb einstellten. Sie sind nicht mehr einzeln tätig, sondern arbeiten jetzt mit mehreren Ransomware-Gruppen zusammen. Gleichzeitig nutzen Cyberkriminelle zunehmend plattformübergreifende Programmiersprachen wie Rust oder Golang, um agilere Erpresservarianten zu entwickeln. Diese Sprachen gelten als schwieriger zu analysieren und zurückzuentwickeln.

Fazit: Die Ransomware-Aktivitäten werden zunehmend agiler und professioneller. Ohne ein doppelt gesichertes Backup-System sollte kein Unternehmen mehr online gehen.

Log4j

Bedrohungsakteure haben es nach wie vor und in hohem Maße auf die Sicherheitslücke in der gemeinsamen Log4j-Bibliothek der Apache-Software abgesehen. Versuche zur Ausnutzung dieser Schwachstelle blieben konstant hoch, wobei die Angriffe im letzten Jahr  ganz unterschiedlichen Akteuren zugeschrieben werden konnten, von einfachen Cyberkriminellen bis hin zu professionell organisierten APT-Gruppen. Entsprechend gehörten Log4j-Aktivitäten zu den häufigsten Bedrohungen im Jahr 2022. Log4j-Exploits werden auch 2023 eine zentrale Herausforderung für Unternehmen darstellen. Aufgrund der Verbreitung der Bibliothek in Unternehmen stehen Angreifen eine Vielzahl potenziell anfälliger Systeme zur Verfügung.

Fazit: Cyberkriminelle haben aktuell wenig Grund, neue Angriffsmethoden zu entwickeln – die „Schatztruhe“ Log4j ist noch bei weitem nicht leer geräumt.

Roger Homrich

Recent Posts

Bericht: Google entwickelt App-Quarantäne für Android

Die Sicherheitsfunktion taucht in einer Beta eines kommenden Android-Updates auf. Die Quarantäne beendet unter anderem…

2 Minuten ago

Kostenloser Kurs zum Ausbau von Low-Code-Programmierung

Die OutSystems Developer School hilft Entwicklern, in 2 Wochen komplexe reaktive Anwendungen mit der Low-Code-Plattform…

3 Stunden ago

Cloudflare: DNS-basierte DDoS-Angriffe steigen im ersten Quartal um 80 Prozent

Das Jahr 2024 beginnt laut Cloudflare mit einem Paukenschlag. Die automatischen Systeme des Unternehmens wehren…

6 Stunden ago

Roblox: 34 Millionen Zugangsdaten im Darknet

Laut Kaspersky nehmen Infostealer gerade auch Spieleplattformen ins Visier. Neue Studie untersucht Angriffe zwischen 2021…

8 Stunden ago

EU-Datenschützer kritisieren Facebooks „Zustimmung oder Bezahlung“-Modell

Ohne eine kostenlose Alternative, die ohne Zustimmung zur Verarbeitung personenbezogener Daten zu Werbezwecken auskommt, ist…

3 Tagen ago

Europol meldet Zerschlagung der Phishing-as-a-Service-Plattform LabHost

LabHost gilt als einer der größten Phishing-Dienstleister weltweit. Die Ermittler verhaften 37 Verdächtige, darunter der…

3 Tagen ago