Cyberkriminelle immer länger unbemerkt im Unternehmensnetzwerk
Sophos hat sein „Active Adversary Playbook 2022“ veröffentlicht. Es beschreibt detailliert das Verhalten von Cyberkriminellen, die das Rapid Response Team von Sophos im Jahr 2021 beobachtet hat. Die Untersuchungen zeigen einen Anstieg der Verweildauer der Cyberkriminillen in Unternehmensnetzwerken um 36 Prozent. Der durchschnittliche, unentdeckte Aufenthalt im Netzwerk ohne größere Attacke wie etwa Ransomware liegt bei 34 Tagen. Der Report zeigt auch die Auswirkungen der ProxyShell-Schwachstellen in Microsoft Exchange auf, die Sophos zufolge von einigen Initial Access Brokern (IABs) ausgenutzt wurden, um in Netzwerke einzudringen und den Zugang dann an andere Cybergangster zu verkaufen.
„Die Welt der Cyberkriminalität ist unglaublich vielfältig und spezialisiert geworden“, sagt John Shier, Senior Security Advisor bei Sophos. „Initial Access Broker (IAB) haben eine eigene Cybercrime-Industrie entwickelt, indem sie in ein Ziel eindringen, es auskundschaften oder eine Backdoor installieren und dann den schlüsselfertigen Zugang an Ransomware-Banden für deren eigene Angriffe verkaufen. In dieser zunehmend dynamischen und spezialisierten Cyber-Bedrohungslandschaft kann es für Unternehmen schwierig sein, mit den sich ständig ändernden Tools und Methoden der Angreifenden Schritt zu halten. Es ist wichtig, dass sie wissen, worauf sie in jeder Phase der Angriffskette achten müssen, damit sie Angriffe so schnell wie möglich erkennen und neutralisieren können.“
Verweildauer in kleineren Unternehmen und im Bildungssektor länger
Die Untersuchungen von Sophos zeigen auch, dass die Verweildauer von Angreifenden in kleineren Unternehmen länger war als in größeren Unternehmen. Die Cyberkriminellen hielten sich in Unternehmen mit bis zu 250 Mitarbeitern etwa 51 Tage auf. Im Vergleich dazu verbrachten sie in Unternehmen mit 3.000 bis 5.000 Mitarbeitern in der Regel „nur“ 20 Tage. Einen Sonderfall stellen Ransomware-Attacken dar. Hier agieren die Kriminellen insgesamt „schneller“, jedoch stieg auch hier der unbemerkte Aufenthalt im Netzwerk von 11 Tagen in 2020 auf 15 Tage in 2021.
Größere Firmen für Cyberkriminelle „wertvoller“, Drängelei im Netzwerk
„Angreifer halten größere Organisationen für wertvoller und sind daher stärker motiviert, schnell einzudringen und auch schnell wieder zu verschwinden. Kleinere Unternehmen haben einen geringeren `Wert´, so dass es sich die Eindringlinge leisten können, sich länger im Hintergrund im Netzwerk aufzuhalten. Es ist allerdings auch möglich, dass diese Angreifenden über weniger Erfahrung verfügen und deshalb mehr Zeit im Netzwerk mit Auskundschaften verbringen. Auch haben kleinere Unternehmen in der Regel weniger Einblick in die Angriffskette, um Attacken zu erkennen und zu vertreiben. Dies verlängert ebenfalls die Präsenz der Angreifenden“, so Shier. „Mit den Möglichkeiten, die sich durch ungepatchte ProxyLogon- und ProxyShell-Schwachstellen ergeben, und dem Aufkommen von IABs sehen wir verstärkt, dass sich mehrere Angreifer in ein und demselben Ziel-Netzwerk befinden. Wenn es dort eng wird, wollen sie schnell handeln, um ihren Konkurrenten hervorzukommen.“
Weitere Ergebnisse des Active Adversary Playbook 2022
Die durchschnittliche Verweildauer bis zur Entdeckung war länger bei “heimlichen” Angriffen , die sich nicht zu einem größeren Angriff wie Ransomware entwickelt hatten, sowie bei kleineren Organisationen mit weniger IT-Sicherheitsressourcen. Die durchschnittliche Verweildauer der Angreifer in Unternehmen, die von Ransomware betroffen waren, betrug 15 Tage. Bei Organisationen, die zwar verletzt wurden, aber noch nicht von einem größeren Angriff wie Ransomware betroffen waren (23 Prozent aller untersuchten Fälle), lag die durchschnittliche Verweildauer bei 34 Tagen. Bei Organisationen im Bildungssektor oder mit weniger als 500 Mitarbeitern war die Verweildauer ebenfalls länger.
, die sich nicht zu einem größeren Angriff wie Ransomware entwickelt hatten, sowie bei kleineren Organisationen mit weniger IT-Sicherheitsressourcen. Die durchschnittliche Verweildauer der Angreifer in Unternehmen, die von Ransomware betroffen waren, betrug 15 Tage. Bei Organisationen, die zwar verletzt wurden, aber noch nicht von einem größeren Angriff wie Ransomware betroffen waren (23 Prozent aller untersuchten Fälle), lag die durchschnittliche Verweildauer bei 34 Tagen. Bei Organisationen im Bildungssektor oder mit weniger als 500 Mitarbeitern war die Verweildauer ebenfalls länger. Längere Verweilzeiten und offene Einstiegspunkte machen Unternehmen anfällig für mehrere Angreifer . Sophos-Forensiker deckten Fälle auf, in denen mehrere Angreifer, darunter IABs, Ransomware-Banden, Cryptominer und gelegentlich sogar mehrere Ransomware-Gruppen, gleichzeitig auf dieselbe Organisation zielten
. Sophos-Forensiker deckten Fälle auf, in denen mehrere Angreifer, darunter IABs, Ransomware-Banden, Cryptominer und gelegentlich sogar mehrere Ransomware-Gruppen, gleichzeitig auf dieselbe Organisation zielten Trotz eines Rückgangs bei der Verwendung des Remote Desktop Protocol (RDP) für externe Zugriffe nutzten Angreifende das Tool verstärkt für Schleichfahrten im Netzwerk. Im Jahr 2020 nutzten Angreifer RDP in 32 Prozent der analysierten Fälle für externe Aktivitäten. Dieser Anteil sank auf 13 Prozent im Jahr 2021. Diese Veränderung ist zwar zu begrüßen und deutet darauf hin, dass Unternehmen ihr Management externer Angriffsflächen verbessert haben, doch Angreifende missbrauchen RDP immer noch für interne Seitwärtsbewegungen. Sophos fand heraus, dass Angreifer RDP im Jahr 2021 in 82 Prozent der Fälle für interne Netzwerkerkundungen nutzten, im Jahr 2020 waren es noch 69 Prozent.
Im Jahr 2020 nutzten Angreifer RDP in 32 Prozent der analysierten Fälle für externe Aktivitäten. Dieser Anteil sank auf 13 Prozent im Jahr 2021. Diese Veränderung ist zwar zu begrüßen und deutet darauf hin, dass Unternehmen ihr Management externer Angriffsflächen verbessert haben, doch Angreifende missbrauchen RDP immer noch für interne Seitwärtsbewegungen. Sophos fand heraus, dass Angreifer RDP im Jahr 2021 in 82 Prozent der Fälle für interne Netzwerkerkundungen nutzten, im Jahr 2020 waren es noch 69 Prozent. Häufige bei Angriffen verwendete Tool-Kombinationen sind ein deutliches Warnsignal für Cyber-Angriffe. Die Untersuchungen der Vorfälle ergaben beispielsweise, dass im Jahr 2021 in 64 Prozent der Fälle PowerShell und bösartige Nicht-PowerShell-Skripte zusammen verwendet wurden. PowerShell und Cobalt Strike wurden in 56 Prozent der Fälle kombiniert und PowerShell und PsExec fanden die Sophos-Forscher in 51 Prozent der Fälle in Kombination. Die Erkennung solcher Korrelationen kann als Frühwarnung vor einem bevorstehenden Angriff dienen oder das Vorhandensein eines aktiven Angriffs bestätigen.
Die Untersuchungen der Vorfälle ergaben beispielsweise, dass im Jahr 2021 in 64 Prozent der Fälle PowerShell und bösartige Nicht-PowerShell-Skripte zusammen verwendet wurden. PowerShell und Cobalt Strike wurden in 56 Prozent der Fälle kombiniert und PowerShell und PsExec fanden die Sophos-Forscher in 51 Prozent der Fälle in Kombination. Die Erkennung solcher Korrelationen kann als Frühwarnung vor einem bevorstehenden Angriff dienen oder das Vorhandensein eines aktiven Angriffs bestätigen. 50 Prozent der Ransomware-Vorfälle betrafen eine bestätigte Daten-Exfiltration. Bei den verfügbaren Daten betrug der durchschnittliche Abstand zwischen Datendiebstahl und dem Einsatz von Ransomware 4,28 Tage. 73 Prozent der Vorfälle, auf die Sophos im Jahr 2021 reagierte, betrafen Ransomware. Von diesen Ransomware-Vorfällen waren 50 Prozent auch mit Daten-Exfiltration verbunden. Diese Datenbewegung ist oft die letzte Phase des Angriffs vor der Freisetzung der Ransomware.
Bei den verfügbaren Daten betrug der durchschnittliche Abstand zwischen Datendiebstahl und dem Einsatz von Ransomware 4,28 Tage. 73 Prozent der Vorfälle, auf die Sophos im Jahr 2021 reagierte, betrafen Ransomware. Von diesen Ransomware-Vorfällen waren 50 Prozent auch mit Daten-Exfiltration verbunden. Diese Datenbewegung ist oft die letzte Phase des Angriffs vor der Freisetzung der Ransomware. Conti war im Jahr 2021 mit 18 Prozent aller Vorfälle die am häufigsten auftretende Ransomware-Gruppe. Auf REvil-Ransomware entfiel einer von zehn Vorfällen. Andere verbreitete Ransomware-Familien sind DarkSide (die RaaS hinter dem berüchtigten Angriff auf Colonial Pipeline in den USA) und Black KingDom, eine der „neuen“ Gruppierungen, die im März 2021 im Zuge der ProxyLogon-Schwachstelle auftauchte. Bei den 144 in der Analyse einbezogenen Vorfällen identifizierte Sophos 41 verschiedene Ransomware-Angreifer. Davon waren 28 neue Akteure, die erstmals im Jahr 2021 gesichtet wurden. Achtzehn Ransomware-Gruppen, die bei Vorfällen im Jahr 2020 auftraten, waren 2021 nicht mehr auf der Liste.
Das Sophos Active Adversary Playbook 2022 basiert auf 144 Vorfällen aus dem Jahr 2021, die auf Unternehmen aller Größen und Branchen in den USA, Kanada, Großbritannien, Deutschland, Italien, Spanien, Frankreich, der Schweiz, Belgien, den Niederlanden, Österreich, den Vereinigten Arabischen Emiraten, Saudi-Arabien, den Philippinen, den Bahamas, Angola und Japan abzielten. Die am stärksten vertretenen Sektoren sind das verarbeitende Gewerbe (17 Prozent), gefolgt vom Einzelhandel (14 Prozent), dem Gesundheitswesen (13 Prozent), der IT (9 Prozent), dem Baugewerbe (8 Prozent) und dem Bildungswesen (6 Prozent).
Konkreter Nutzen für die IT-Security-Industrie
Ziel des Sophos-Reports ist es, dass Sicherheitsteams verstehen, wie Cyber-Kriminelle bei Angriffen vorgehen und wie sie schädliche Aktivitäten im Netzwerk erkennen und abwehren können. Ein Ergebnis dieser Untersuchungen ist die zunehmende Etablierung von sogenannten IT-Sicherheit-Ökosystemen – eine Strategie die auch Sophos mit seinem Adaptive Cybersecurity Ecosystem (ACE) realisiert. Es basiert auf den gesammelten Bedrohungsdaten der SophosLabs, Sophos Security Operations (menschliche Analysten, die über das Sophos Managed Threat Response-Programm in Tausenden von Kundenumgebungen eingebunden sind) und der Künstlichen Intelligenz (KI) von Sophos. Ein einziger, integrierter Data Lake fasst Informationen aus allen Lösungen und Threat Intelligence-Quellen zusammen. Echtzeit-Analysen ermöglichen es Verteidigern, Einbrüche zu verhindern, indem sie verdächtige Signale finden. Parallel dazu ermöglichen offene APIs Kunden, Partnern und Entwickler, Tools und Lösungen zu entwickeln, die mit dem System interagieren. Alles wird zentral verwaltet über die Sophos Central Management-Plattform.
Sachsen: Polizei registriert mehr Cybercrime-Fälle – hohe Dunkelziffer vermutet
Der Schaden geht in die Millionen: Im Jahr 2020 hat die sächsische Polizei 3120 Fälle von Cyberkriminalität im engeren Sinne erfasst. Das waren 465 mehr als im Jahr zuvor, aber weniger als in den Jahren 2018 (3196 Fälle) und 2017 (3675). "Es gibt nach wie vor ein sehr kleines Hellfeld und ein riesiges Dunkelfeld", schätzte Innenminister Roland Wöller (CDU) die Zahlen und ihre Schwankungen ein. Das habe vor allem mit dem Anzeigeverhalten zu tun. So seien Firmen meist zurückhaltend, eine Cyberattacke anzuzeigen, um keine Kunden zu verlieren. Mit dem E-Business – der elektronischen Geschäftsabwicklung – würden die Einfallstore für Kriminelle immer größer: "Das beschäftigt die Polizei immer mehr."
Betrug per Phishing führend
Nach Angaben des Innenministeriums entwickelt sich dieser Bereich der Kriminalität "sehr dynamisch". Die Experten unterscheiden dabei zwischen Cybercrime im engeren und weiteren Sinne. Im engeren Sinne betreffe das beispielsweise Computerbetrug und das Ausspähen von Daten. Straftaten, bei denen Informations- und Kommunikationstechnik zur Planung, Vorbereitung oder Ausführung zum Einsatz kommt, würden dagegen der Cyberkriminalität im weiteren Sinne zugerechnet. Hierbei sei die Deliktbreite deutlich größer und reiche von Beleidigung bis zum illegalen Verkauf von Waffen oder Drogen im Internet.
Computerbetrug etwa durch vorheriges Ergattern von Passwörtern und anschließende Betrugshandlungen standen in Sachsen 2020 mit 2842 Fällen (2019: 2427) an der Spitze bei Cyberkriminalität im engeren Sinne. Der von der Polizei des Bundeslandes festgestellte finanzielle Schaden betrug dabei rund 2,7 Millionen Euro. 2019 und 2018 waren es etwa 3,4 Millionen Euro beziehungsweise circa 2,4 Millionen Euro.
Zugriff auf Kundendaten lukrativ
Als Paradebeispiel für Cyberkriminalität gilt ein Cyberangriff auf die Leipziger Firma Spreadshirt im Sommer 2021. Unbekannten gelang es, Zugriff auf den Server des für seine T-Shirt-Drucke bekannten Unternehmens zu bekommen. Dabei wurde auch auf die Kundendaten zugegriffen. Da das Ermittlungsverfahren noch nicht abgeschlossen ist, halten sich die Ermittlungsbehörden mit Details zurück.
Lesen Sie auch Cybercrime: Erpressung auf neuem Niveau
Zur Bekämpfung der Computerkriminalität hatte das Landeskriminalamt 2014 das "Cybercrime Competence Center Sachsen" gegründet – auch mehrere andere Bundesländer zogen ungefähr zu dieser Zeit nach. Mit seinen mittlerweile 91 Spezialisten unterstützt es polizeiliche Ermittler in den Bereichen IT-Forensik, Telekommunikationsüberwachung oder bei der Auswertung großer Datenmengen. Darüber hinaus werden dort komplexe und herausragende Ermittlungsverfahren zum Thema Cybercrime geführt.
(tiw)
Cybercrime in Sachsen: 3.120 Fälle 2020 - fast 500 mehr als im Vorjahr
Das ganze Ausmaß von Kriminalität im Internet ist allerdings nicht bekannt. Viele Firmen zeigen das nicht an, weil sie einen Imageverlust befürchten.
Dresden. Der Schaden geht in die Millionen: Im Jahr 2020 hat die sächsische Polizei 3.120 Fälle von Cyberkriminalität im engeren Sinne erfasst. Das waren 465 mehr als im Jahr zuvor, aber weniger als in den Jahren 2018 (3.196 Fälle) und 2017 (3.675). "Es gibt nach wie vor ein sehr kleines Hellfeld und ein riesiges Dunkelfeld", schätzte Innenminister Roland Wöller (CDU) die Zahlen und ihre Schwankungen ein. Das habe vor allem mit dem Anzeigeverhalten zu tun. So seien Firmen meist zurückhaltend, einen Hacker-Angriff anzuzeigen, um keine Kunden zu verlieren. Mit dem E-Business - der elektronischen Geschäftsabwicklung - würden die Einfallstore für Kriminelle immer größer: "Das beschäftigt die Polizei immer mehr."
Nach Angaben des Innenministeriums entwickelt sich dieser Bereich der Kriminalität "sehr dynamisch". Die Experten unterscheiden dabei zwischen Cybercrime im engeren und weiteren Sinne. Im engeren Sinne betreffe das beispielsweise Computerbetrug und das Ausspähen von Daten. Straftaten, bei denen Informations- und Kommunikationstechnik zur Planung, Vorbereitung oder Ausführung zum Einsatz kommt, würden dagegen der Cyberkriminalität im weiteren Sinne zugerechnet. Hierbei sei die Deliktbreite deutlich breiter und reiche von Beleidigung bis zum illegalen Verkauf von Waffen oder Drogen im Internet.
Computerbetrug etwa durch vorheriges Hacken von Passwörtern und anschließenden Betrugshandlungen standen 2020 mit 2.842 Fällen (2019: 2.427) an der Spitze bei Cyberkriminalität im engeren Sinne. Der von der Polizei festgestellte finanzielle Schaden betrug dabei rund 2,7 Millionen Euro. 2019 und 2018 waren es etwa 3,4 Millionen Euro beziehungsweise circa 2,4 Millionen Euro.
Als Paradebeispiel für Cyberkriminalität gilt ein Hackerangriff auf die Leipziger Firma Spreadshirt im Sommer 2021. Unbekannten gelang es, Zugriff auf den Server des für seine T-Shirt-Drucke bekannten Unternehmens zu bekommen. Dabei wurden auch Kundendaten gestohlen. Da das Ermittlungsverfahren noch nicht abgeschlossen ist, halten sich die Ermittlungsbehörden mit Details zurück.
Zur Bekämpfung der Computerkriminalität hatte das Landeskriminalamt 2014 das "Cybercrime Competence Center Sachsen" gegründet. Mit seinen mittlerweile 91 Spezialisten unterstützt es polizeiliche Ermittler in den Bereichen IT-Forensik, Telekommunikationsüberwachung oder bei der Auswertung großer Datenmengen. Darüber hinaus werden dort komplexe und herausragende Ermittlungsverfahren zum Thema Cybercrime geführt. (dpa)