5 Cyberbedrohungen, die explodierten und was Corona damit zu tun hat
Die Corona-Pandemie hat die Welt auf den Kopf gestellt. Wir alle mussten innerhalb weniger Wochen unsere Routinen ändern und uns auf andere Arbeitsweisen einstellen. Diese Veränderungen haben die Einführung einiger neuer Technologien beschleunigt und auch die Innovation und die Entwicklung neuer Tools vorangetrieben. Leider haben sie auch einen Nährboden für Internetkriminalität geschaffen. In den letzten zwei Jahren hat sie explosionsartig zugenommen. Mittlerweile ist fast jeder davon betroffen, und viele von Ihnen machen sich wahrscheinlich Gedanken darüber. Um allerdings zu verstehen, inwieweit Sie gefährdet sind und welche Maßnahmen Sie ergreifen müssen, um sich zu schützen, müssen Sie zunächst wissen, was diese Cyber-Bedrohungen eigentlich sind und warum die Pandemie sie begünstigt hat. Werfen wir also einen Blick darauf!
Was waren die häufigsten Cyberbedrohungen 2021?
„Cyberbedrohungen“ ist ein alarmierender Begriff, der sich auf verschiedene Kategorien von Verbrechen bezieht, die im Internet von skrupellosen Personen begangen werden, oder auf Risiken, die von IT-Systemen ausgehen. Häufig ist reine Gier die Motivation für Cyberkriminalität. Hacker versuchen, Geld zu erpressen oder zu stehlen, oder sie stehlen sensible Informationen, um sie weiterzuverkaufen.
In anderen Fällen kann das Ziel darin bestehen, dem Opfer zu schaden, indem sein guter Ruf untergraben oder es öffentlich gedemütigt wird. Auch politische Erwägungen oder Spionage sind häufig die Motivation für Cyber-Bedrohungen.
Bei den Tätern kann es sich um einzelne Personen handeln, meistens agieren sie jedoch in mehr oder weniger organisierten Banden. Es gibt auch einige staatlich gesponserte Akteure, die hauptsächlich als Advanced Persistent Threats (APTs) bezeichnet werden.
Was waren aber nun die häufigsten Cybersicherheitsbedrohungen seit Beginn der Pandemie? Wir haben sie in fünf Kategorien eingeteilt:
1. Social Engineering
Social Engineering-Techniken nutzen die menschliche Psychologie und Manipulation für betrügerische Zwecke. So können Hacker beispielsweise die Verpflichtung eines Mitarbeiters ausnutzen, den Anweisungen seiner Vorgesetzten Folge leisten zu müssen, indem sie ihm eine Nachricht schicken, die angeblich von seinem Vorgesetzten verfasst wurde. Sie können dann sensible Informationen wie Anmeldedaten abgreifen oder bestimmte Aktionen wie die Überweisung von Geld auf ein bestimmtes Konto veranlassen.
Es gibt verschiedene Social-Engineering-Techniken. Die häufigste ist Phishing. Dabei wird meist eine betrügerische E-Mail verschickt, in der der Empfänger aufgefordert wird, auf einen Link zu klicken, der ihn auf eine gefälschte Website führt. Die Hacker entwerfen dazu eine spezielle Website, über die sie die Anmeldedaten des Empfängers erhalten. In anderen Fällen enthält die E-Mail einen Anhang mit bösartiger Software (Viren oder Ransomware), die darin versteckt ist.
Im Marz 2020 allein stieg die Anzahl von Phishing-Attacken um 667 %.
Phishing ist bei Hackern sehr beliebt, weil es sehr effektiv ist. Es gibt dabei mehrere Varianten, zum Beispiel:
Spear Phishing: Beim Phishing wird allgemein versucht, mehrere Personen auf einmal zu erreichen. Bei dieser Technik nimmt der Hacker jedoch ein bestimmtes Opfer ins Visier, nachdem er viele Informationen über das Ziel gesammelt hat. Das Ziel ist es, eine möglichst glaubwürdige Nachricht zu verfassen, um das Vertrauen des Opfers zu gewinnen;
Whaling: Diese Art von Phishing-Angriff richtet sich gegen hochrangige Führungskräfte, um im Erfolgsfall die Wirkung zu verstärken.
Studien zufolge werden 91 % der Cyberangriffe durch Spear-Phishing ausgelöst.
2. Ransomware
Ransomware ist eine bösartige Software, die darauf abzielt, ein IT-System ganz oder teilweise unzugänglich zu machen, oft durch Verschlüsselung der Daten. Der Hacker kann dann den Besitzer des infizierten Systems zwingen, ein Lösegeld zu zahlen, um seine Daten zurückzubekommen.
Allein 2020 stieg die Anzahl der Ransomware-Attacken um 435%
Gleichzeitig ist der Gesamtwert der Zahlungen mit Kryptowährung im Zusammenhang mit Ransomware um das Vierfache gestiegen. Die Angreifer werden immer gieriger, und der durchschnittliche Betrag der geforderten Lösegelder ist von 31.200 US-Dollar im Jahr 2020 auf 570.000 US-Dollar am Ende des ersten Halbjahres 2021 gestiegen.
Der Grund für diesen Anstieg ist vor allem die zunehmende Zahl der aufgedeckten Sicherheitslücken. Die Einführung immer komplexerer digitaler Technologien begünstigt diese Schwachstellen. Die Pandemie hat ebenfalls viele von ihnen aufgedeckt.
Wir müssen aber auch auf die vergleichsweise hohe Immunität der Täter hinweisen, die sich an Internetkriminalität beteiligen. Zahlungen in Kryptowährungen, die die Anonymität der Täter gewährleisten, erschweren die Identifizierung der Täter, weshalb sie von Hackern bevorzugt werden.
Noch schlimmer ist die Tatsache, dass es inzwischen „Ransomware as a Service“ gibt, d. h. Plattformen, auf denen Hackerlehrlinge ausgeklügelte Ransomware verwenden, die von Hackerbanden zur Verfügung gestellt wird. Sie erhalten eine Provision für die dank ihres Dienstes organisierten Angriffe. Dies erhöht die Rentabilität ihrer Aktivitäten zusätzlich.
Schlimmer noch: Die Unternehmen sollten nicht ausschließen, dass in der Folgezeit neue Angriffe gestartet werden. DarkSide, eine Gruppe von Angreifern, verschlüsselte beispielsweise nicht nur die Dateien ihrer Opfer. Sie nutzten ihren Zugriff auf die Daten zusätzlich, um sie weiterzuleiten und damit DDoS-Angriffe (Distributed Denial of Service) zu starten.
Und dieser Trend wird zweifellos weiter zunehmen. Cybersecurity Ventures hat nämlich errechnet, dass die Kosten für Ransomware-Angriffe bis 2031 höchstwahrscheinlich 265 Milliarden US-Dollar erreichen werden.
Bis zu diesem Zeitpunkt wird es alle zwei Sekunden einen Angriff geben.
3. Distributed Denial of Service (DDoS) Attacken
Ein DDoS-Angriff zielt darauf ab, eine große Anzahl von Anfragen gleichzeitig an eine Website zu richten. Die Website, die Ziel dieses Angriffs ist, ist dann überfordert und kann nicht mehr mithalten. Sie stürzt ab und die Internetnutzer können nicht mehr auf sie zugreifen.
Meistens werden diese Angriffe von so genannten Botnets, d. h. von Netzen von „Bots“, gestartet. Dabei handelt es sich um Code oder Software, die darauf ausgelegt ist, wiederholt eine Anfrage an einen Website-Server zu richten.
Computer, Server, Smartphones oder andere angeschlossene Geräte können gehackt und zu Bots umfunktioniert werden, die dann ohne das Wissen des Besitzers für eine DDoS-Attacke eingesetzt werden.
Im Gegensatz zu den meisten in diesem Artikel aufgeführten Bedrohungen geht es bei Distributed Denial-of-Service-Angriffen jedoch nicht um die Ausnutzung einer Schwachstelle. Sie nutzen einfach die normale Art und Weise aus, wie Dinge im Internet funktionieren.
Die zunehmende Nutzung von Cloud-Hosting-Angeboten erleichtert diese Angriffe ebenfalls, da sie gegen mit dem Internet verbundene Netze gerichtet sind.
Heutzutage nutzen Hacker auch künstliche Intelligenz, um nach Schwachstellen in anvisierten Websites zu suchen.
Leider sind diese Arten von Angriffen relativ billig in der Umsetzung, so dass sie leicht und kostengünstig durchgeführt werden können. Oft kombiniert der Hacker sie mit einer Lösegeldforderung und fordert Geld, um den Angriff zu stoppen.
In einer Reihe von Fällen wird der Angriff jedoch von Einrichtungen finanziert, die dem Eigentümer der fraglichen Website feindlich gesinnt sind. Dabei kann es sich um einen Konkurrenten, eine ideologisch oder politisch motivierte Gruppe und manchmal sogar um eine Regierung handeln.
Für die angegriffenen Websites gehen die Verluste mitunter in die Millionenhöhe. Schlimmer noch, die Unterbrechung des Dienstes kann den Ruf einer Website nachhaltig schädigen.
2021 hat ZDNet berechnet, dass die Zahl der DDoS-Angriffe in den beiden vorangegangenen Jahren um mindestens 154 % gestiegen ist.
4. Software von Drittanbietern
Es handelt sich dabei um Sicherheitslücken, die von Drittanbieter-Software ausgehen. Sehr oft verwenden Unternehmen unterschiedlichste Anwendungen und Tools, um ihre Geschäfte abzuwickeln. Diese bieten jedoch die Möglichkeit von Schwachstellen und Schlupflöchern, die zu Datenlecks und Datenschutzverletzungen führen können.
Laut Berechnungen von Verizon waren im Jahr 2020 80 % der Unternehmen durch eine Sicherheitslücke in mindestens einer ihrer Anwendungen, die von außen verursacht wurde, betroffen. In 43 % der Fälle standen diese Sicherheitsverletzungen im Zusammenhang mit webbasierten Anwendungen.
Diese Lücken verursachten bei den betroffenen Unternehmen Kosten in Höhe von durchschnittlich 4,29 Millionen Dollar.
5. Cloud Computing-Schwachstellen
Die Pandemie hat die Nutzung der Cloud in Unternehmen angekurbelt, weil sie die Telearbeit erleichtert. Ein Mitarbeiter kann auch von zu Hause aus mit den Anwendungen und der Software seines Unternehmens arbeiten, wenn diese in der Cloud gehostet werden. Dies ist schwieriger, wenn die Anwendungen auf einem lokalen Server betrieben werden.
Leider hat diese rasche Einführung auch eine Kehrseite: Sie wurde nicht immer mit angemessenen Sicherheitsvorkehrungen kombiniert. Die Cloud-Architektur, die sich stark von der traditionellen Netzwerkarchitektur unterscheidet, hat die IT-Verantwortlichen vor neue Herausforderungen im Bereich der Cybersicherheit gestellt. Sie waren nicht immer in der Lage, diese sofort zu bewältigen.
Infolgedessen kam es mitunter zu Sicherheitslücken in den IT-Systemen von Unternehmen, die von Hackern ausgenutzt wurden.
Allein in der zweiten Hälfte des Jahres 2020 haben Hacker 7,5 Millionen Angriffe auf Cloud-basierte IT-Systeme gestartet.
In einigen Fällen nutzten sie Schlupflöcher wie fehlende Passwörter oder ein nicht aktualisiertes System aus. Es gab aber auch Brute-Force-Angriffe, Ransomware-Angriffe und Datendiebstähle.
Warum nehmen die Cyber-Bedrohungen seit der Pandemie so stark zu?
2020 war für Unternehmen in aller Welt ein außergewöhnliches Jahr. Sie waren zum ersten Mal mit einer globalen Pandemie konfrontiert und hatten nur wenige Wochen Zeit, um sich auf die verschiedenen Herausforderungen einzustellen, mit denen sie konfrontiert waren.
Vor allem diejenigen, die bisher noch keine Homeoffice-Arbeitsplätze im Einsatz hatten, mussten diese sehr schnell einführen. Sie mussten neue Computerausrüstung anschaffen und neue Verfahren einführen, damit ihre Mitarbeiter von zu Hause aus arbeiten konnten
Viele Unternehmen haben virtuelle private Netze (VPNs) eingerichtet, um ihren Mitarbeitern den Zugang zum Unternehmensnetz zu ermöglichen. Einige Mitarbeiter arbeiteten mit ihrer eigenen Computerausrüstung. Dies führt aber dazu, dass sie die Sicherheitsmaßnahmen innerhalb der IT-Umgebung des Unternehmens umgehen.
Und da Mitarbeiter ihre Geräte nicht immer gründlich aktualisieren, könnten diese Sicherheitslücken aufweisen.
Diese Maßnahmen schufen neue Möglichkeiten für Angreifer. Cyberkriminelle waren in der Lage, Schwachstellen in diesen Systemen und schwache Passwörter auszunutzen. Aber sie nutzten auch andere Faktoren aus:
1. Die große Zahl der an die Öffentlichkeit gerichteten amtlichen Bekanntmachungen
Die zahlreichen Mitteilungen der Regierung und anderer vertrauenswürdiger Organisationen, die die Öffentlichkeit darüber informieren, was während der Pandemie zu tun ist, haben einige Betrüger inspiriert. Sie haben diese Gelegenheit genutzt, um Phishing-E-Mails und andere Social-Engineering-Techniken zu verwenden, die diese Art von offiziellen Ankündigungen imitieren.
So versendeten sie beispielsweise E-Mails mit Links zu Seiten, die angeblich die neuesten Daten über „Coronavirus-Fälle in Ihrer Nähe“ enthielten. Diese Seiten erschienen zwar seriös, wurden aber in Wirklichkeit von den Hackern entworfen, um E-Mail-Anmeldedaten zu stehlen.
In anderen Fällen enthielt ein Kommentar wie „Informieren Sie sich über die Maßnahmen, die Sie ergreifen können, um eine Infektion mit dem Coronavirus zu vermeiden“ einen Link, der auf Malware hinwies.
Einige Hacker machten sich auch die Angst vor der Krankheit zunutze. Sie verschickten beispielsweise E-Mails mit Links zu einem vermeintlichen Wundermittel.
Schließlich wurden in einigen betrügerischen E-Mails Spendenkampagnen imitiert, mit dem Ziel, Geld von den großzügigsten Menschen zu erpressen.
2. Unterbrechen der Lieferketten
Die Pandemie hat außerdem dazu geführt, dass Lieferketten in einigen Branchen unterbrochen wurden. Auch hier haben diese Unterbrechungen zu speziellen Warnmeldungen an die Kunden geführt und neue Cyber-Bedrohungen geschaffen. Betrüger haben dies ausgenutzt, um gefälschte E-Mails, gefälschte Rechnungen und sogar gefälschte Bewerbungen zu verschicken, um Mitarbeiter in Unternehmen zu täuschen.
Sehr oft enthielten diese betrügerischen E-Mails Anhänge, die mit Schadsoftware infiziert waren. Ziel war es, sensible Daten zu stehlen oder das Computersystem des Unternehmens zu blockieren, damit die Hacker ein Lösegeld für die Entsperrung verlangen können.
3. Das Internet der Dinge (Internet of Things, IoT)
Der Trend, immer mehr Geräte des täglichen Lebens mit dem Internet zu verbinden, eröffnet auch neue Möglichkeiten für Hacker.
Unser liebstes vernetztes Gerät, das Smartphone, ist zu einem ihrer Hauptziele geworden. Hacker haben es nicht nur auf Einzelpersonen abgesehen, sondern auch auf Unternehmen, die die „Bring your own device“-Richtlinie (BYOD) anwenden. Diese Richtlinien haben somit den Umfang der klassischen Cyber-Bedrohungen erweitert.
Remote-Arbeit und zunehmende Mobilität begünstigen ebenfalls den Einsatz von Mobilgeräten. Allerdings bieten Unternehmen auf ihren mobilen Geräten nicht immer dasselbe Maß an Sicherheit wie auf ihren traditionellen Computern.
Und wenn Mitarbeiter ihre eigenen Geräte verwenden, sind die Schwachstellen oft noch gravierender.
Symantec hat ermittelt, dass im Jahr 2021 durchschnittlich 5.200 Cyberangriffe auf IoT-Geräte pro Monat stattgefunden haben.
4. Neue Technologien
Die Zunahme von Homeoffice-Arbeit hat viele Unternehmen dazu veranlasst, innovative Videokonferenzsoftware wie Zoom oder Kollaborationssoftware wie Slack einzuführen.
Viele Mitarbeitende sind sich jedoch nicht bewusst, dass Hacker über diese Plattformen auch Phishing-Versuche starten können und dass auch Angreifer in die Videokonferenzen, an denen sie teilnehmen, eindringen können.
Daher sind sie weniger misstrauisch als bei E-Mails und neigen möglicherweise dazu, sensible Informationen weiterzugeben oder infizierte Dateien zu öffnen, die diese Personen übermittelt haben.
5. Verzögerungen bei der Veröffentlichung von Sicherheits-Patches
Dieser Punkt steht nicht in direktem Zusammenhang mit der Pandemie, das Arbeiten im Homeoffice hat aber sicher nicht geholfen.
Jedes Jahr werden fast 23.000 Sicherheitslücken in Software oder Hardware entdeckt. Diese Zahl ist riesig, und die meiste Zeit ist es für Unternehmen oder Einzelpersonen einfach nicht möglich, über alle aufgedeckten Schwachstellen informiert zu sein und sie zu beheben.
Infolgedessen entgehen die meisten von ihnen ihrer Wachsamkeit. Damit stellen sie sowohl neue Cyberbedrohungen als auch neue Möglichkeiten für Angreifer dar.
Noch schlimmer ist, dass Fachleute oft erst einige Wochen später Updates zur Behebung der Schwachstellen veröffentlichen, und dass Unternehmen oder Einzelpersonen, die von diesen Schwachstellen betroffen sind, diese Patches nicht immer sofort nach ihrer Veröffentlichung installieren (Unternehmen brauchen durchschnittlich 102 Tage, um sie einzuspielen).
Die meisten Hacker brauchen jedoch häufig gerade einmal eine Woche, um sich einen Plan auszudenken, wie sie diese Schwachstellen ausnutzen und Angriffe auf Unternehmen starten können, die ihnen ausgesetzt sind. Infolgedessen hat die Zahl der „Zero-Day“-Angriffe (Angriffe, die Sicherheitslücken ausnutzen, bevor der entsprechende Patch verfügbar ist) im vergangenen Jahr sehr schnell zugenommen, und dieser Trend wird sich in diesem Jahr wahrscheinlich noch verstärken.
Viele herkömmliche Antivirenprogramme basieren auf einer signaturbasierten Erkennung, bei der bestimmte Details im Malware-Code identifiziert werden. Diese Signatur wird dann der Antiviren-Datenbank hinzugefügt. Im Falle eines neuen Angriffs durch einen ähnlichen Virus vergleicht das Sicherheitstool den Code des verdächtigen Programms mit den Signaturen, die es in seiner Virendatenbank gespeichert hat. Wenn sie übereinstimmen, wird es als Malware eingestuft.
Heutzutage verschlüsseln Hacker Malware jedoch oft zumindest teilweise, so dass herkömmliche Antiviren-Software sie nicht erkennen kann.
6. Schwachstellen in IT-Security-Architekturen
Die Unternehmen haben sich im Laufe der Zeit häufig verschiedenste Cybersicherheits-Tools zugelegt, diese sind oft jedoch recht heterogen. Dies gilt umso mehr, seit die Pandemie ausgebrochen ist und immer mehr Menschen von zu Hause aus arbeiten.
So existieren beispielsweise Softwarelösungen zum Schutz vor Cyber-Bedrohungen, die mehrere Jahre alt sind, und neuere Tools nebeneinander. Infolgedessen ist es manchmal schwierig, sie effektiv zusammenarbeiten zu lassen, was eine Schwachstelle darstellt.
Dies führt dazu, dass Grauzonen entstehen, in denen die Sicherheit nicht mehr so hoch ist, wie sie sein sollte. Die raffiniertesten Hacker können diese Schwachstellen ausnutzen.
Schützen Sie sich und Ihr Business vor Cyberangriffen
Bleiben Sie auf dem neuesten Stand und informieren Sie sich, wie Sie Ihre IT-Umgebung und Ihre Kommunikation schützen können. Lesen Sie alle verfügbaren Informationen über neue Bedrohungen und was Sie tun können, um sich vor ihnen zu schützen. Folgen Sie unserem einzigartigen Kurs und schützen Sie sich vor Cyber-Kriminellen. Schauen Sie sich unsere zehn Best Practices an, mit denen Sie ein sicheres Internet-Erlebnis zu gewährleisten.
Sie können die Information gerne an Ihre Kollegen, Familie, Freunde, … weitergeben, denn auch sie könnten davon betroffen sein.
Fazit
Die COVID-19-Pandemie verursacht weltweit eine explosionsartige Zunahme von Cyber-Bedrohungen. Zu den häufigsten gehören:
Social Engineering
Ransomware
Distributed Denial of Service Attacken
Schwachstellen in externer Software
Schwachstellen in der Cloud
Die Hacker haben die Möglichkeiten, die sich durch die Krise selbst bieten, weitgehend ausgenutzt:
Die unzähligen öffentlichen Ankündigungen
Die Unterbrechungen in den Lieferketten
Die massive und plötzliche Zunahme an Homeoffice-Arbeitsplätzen
Für viele Unternehmen waren Homeoffice-Arbeitsplätze neu und sie mussten sich zu schnell anpassen. Infolgedessen mussten sie sich auf Technologien verlassen, mit denen sie nicht vertraut waren, was zu neuen Schwachstellen in ihren IT-Systemen führte.
Schließlich ist die Fülle dieser neuen Technologien auch mit einer Vielzahl von Sicherheitslücken verbunden. Hacker haben oft Zeit, diese Schwachstellen auszunutzen, bevor sie jemand behoben hat.
Deshalb ist es unerlässlich, dass Sie Sicherheitsmaßnahmen ergreifen, um sich vor diesen Cyber-Bedrohungen zu schützen. Zögern Sie auch nicht, sichere Tools wie VPN und sichere E-Mail zu verwenden. Diese Technologien mögen auf den ersten Blick abschreckend wirken, aber sie sind tatsächlich sehr einfach zu verwenden.
Unterschätzen Sie nicht, was Sie zum Schutz Ihrer persönlichen Daten tun können. Mit dem Einsatz von Mailfence gehen Sie einen Schritt weiter und unterstützen einen vertraulichen und sicheren E-Mail-Service.
Bleiben Sie stets auf dem Laufenden und folgen Sie uns auf Twitter und Reddit. Falls Sie weitere Informationen zur sicheren E-Mail-Suite von Mailfence benötigen, zögern Sie nicht und kontaktieren Sie uns unter
Wie sich Cyberbedrohungen und Cybersicherheit aktuell weiterentwickeln
Cyberangriffe verursachen weiterhin Zerstörung, Störungen und finanzielle Schäden. 2021 wurden Unternehmen aller Größenordnungen von raffinierten Cyberangriffen heimgesucht. Dieser Trend bleibt. Die Angriffe umfassen bekannte Taktiken und neue, gemischte Methoden, um maximalen Schaden und finanziellen Gewinn zu erzielen. Wie wirkt sich das auf die Sicherheit aus?
Phishing
Phishing wird weiterhin ein Hauptangriffsvektor in allen Branchen sein, wobei die Taktiken angepasst werden, um unentdeckt zu bleiben und so mehr Opfer zu erreichen. Eine neue Angriffsmethode verwendet jetzt schädliche QR-Codes, um Sicherheitstools zu umgehen.
Auch mehrstufige Phishing-Angriffe werden zunehmen. Textnachrichten, Direktnachrichten in sozialen Medien und Tools für die Zusammenarbeit in Teams (Teams, Slack, Discord) werden auch in Zukunft ein beliebtes Mittel für Phishing-Angriffe sein, um die Opfer zur Weitergabe von Anmeldedaten und Verifizierungscodes für die Zwei-Faktor-Authentifizierung (2FA) zu bewegen.
Angriffe auf die Lieferkette auf zwei Arten
Angriffe auf die Software-Lieferketten, ähnlich wie der SolarWinds-Angriff im Jahr 2020, nehmen voraussichtlich zu. Bedrohungsakteure zielen auf vertrauenswürdige Systeme ab, um auf Quellcode zuzugreifen und Malware zu verbreiten. Anbieter von verwalteten Diensten und Fernüberwachungs-/Automatisierungsdiensten sind nach wie vor wichtige Ziele, da sie Zugang zu den kritischen Systemen der Kunden haben.
Auch Angriffe auf die physischen Lieferketten werden voraussichtlich zunehmen. Diese Angriffe haben sich direkt auf die Lebensmittelversorgung ausgewirkt. Der brasilianische Fleischverarbeiter JBS S.A. wurde 2021 von einem Cyberangriff getroffen, der ihn zur Schließung seiner Anlagen in neun US-Bundesstaaten veranlasste.
Ransomware überall
Ransomware ist profitabel und wird voraussichtlich eine beliebte Angriffsmethode bleiben. Im Jahr 2021 erlitten die Opfer von Ransomware-Angriffen einen Rekordschaden in Höhe von 49,2 Millionen US-Dollar. Da kriminelle Gruppen Software-Schwachstellen ausnutzen, um sich Zugang zu wichtigen Systemen von Unternehmen jeder Größe zu verschaffen, wird der reale Betrieb gestoppt und die Opfer werden zur Zahlung gezwungen – wie bei dem Ransomware-Angriff auf den Managed-Service-Anbieter Kaseya.
Der Gesundheitssektor ist besonders anfällig für Ransomware-Angriffe, da hier routinemäßig große Mengen an personenbezogenen Daten verwendet und gespeichert werden. Außerdem verwenden die Anbieter in der Regel ältere Geräte und verfügen nicht über spezielles IT-/Sicherheitspersonal für die Netzwerkverwaltung. So stahl die Ransomware-Gruppe Hive personenbezogene Daten (PII) und 400 GB Daten von einem Dateiserver von Partnership HealthPlan of California. Ähnliche Angriffe werden sich in dieser zielgruppenreichen Umgebung fortsetzen.
Linux und MacOS im Fadenkreuz
Linux-basierte Malware ist auf dem Vormarsch, und Linux bleibt ein beliebtes Ziel für Ransomware, Trojaner, Rootkits und Cryptominers. Malware-Autoren erreichen auch immer mehr Rechner, indem sie Windows-Malware so portieren, dass sie auf Linux-Systemen läuft.
Ferner wurde auch Apple MacOS mit Malware angegriffen, die teilweise von Windows auf MacOS portiert wurde. MacOS-spezifische Malware zielt auch auf Schwachstellen des Betriebssystems ab. Es wird erwartet, dass MacOS-Malware aufgrund ihrer wachsenden Beliebtheit bei Malware-Entwicklern zunehmen wird.
Botnets zum Diebstahl von Kryptowährungen und für DDoS-Angriffe
Botnet-Angriffe haben allein in der ersten Hälfte des Jahres 2021 um 41 % zugenommen. Das Pink-Botnet, das mit 1,6 Millionen Geräten das größte beobachtete Botnet sein soll, wird für DDoS-Angriffe (Distributed Denial of Service) und das Einspielen unerwünschter Werbung genutzt.
Das MyKings-Botnet wird eingesetzt, um große Mengen an Kryptowährung zu stehlen – entweder durch die Installation eines bösartigen Cryptominer – oder Clipboard-Stealer-Trojaners auf den Computern der Opfer. Die Gruppe hat Berichten zufolge mindestens 24,7 Millionen Dollar gestohlen.
Das Mirai-Botnet ist wieder aufgetaucht. Die Bedrohungsakteure nutzen aktiv eine Java-Schwachstelle aus, um Mirai-Malware auf nicht gepatchten Servern zu installieren. Ein Mirai-Botnet wird für eine Vielzahl bösartiger Angriffe verwendet, darunter Ransomware, DDoS und bösartige Cryptominers.
Trojaner und Würmer
Trojaner und Würmer werden weiterhin auf Linux und Windows abzielen. Im Jahr 2021 nutzte die Malware HolesWarm Sicherheitsschwachstellen in beiden Betriebssystemen aus. Mehr als 1.000 Server waren betroffen, insbesondere solche in Cloud-Umgebungen.
Der modulare Trojaner Trickbot ist weiterhin sehr aktiv. Microsoft-Forscher entdeckten kürzlich, wie der Trickbot-Trojaner Internet-of-Things (IoT)-Geräte in seiner Command-and-Control-Infrastruktur nutzt, um MikroTik-Router anzugreifen. Trickbot-Angreifer kompromittierten Geräte mit bekannten Standardpasswörtern, indem sie Brute-Force-Angriffe einsetzten, um andere zu entdecken, und eine Schwachstelle im Betriebssystem des Routers ausnutzten.
API-Angriffe
Anwendungsprogrammierschnittstellen (APIs) sind zunehmend anfällig für Angriffe, und die Unternehmen sind mehr denn je auf APIs angewiesen. Angreifer nutzen APIs auf unbeabsichtigte Weise, um Schwachstellen in Datenspeicher- und -abrufprozessen zu finden (Business-Logic-Angriffe).
Das Modul für autonomes Fahren von Tesla wurde über eine Schwachstelle in einem Protokollierungstool zur Überwachung des Energieverbrauchs und des Standortverlaufs infiltriert. Der Hacker nutzte die API des Moduls, um Autotüren und -fenster zu ver- und entriegeln sowie das schlüssellose Fahren zu aktivieren. Bedrohungsakteure werden weiterhin APIs angreifen, um persönliche Daten zu sammeln, Geld zu stehlen und Schaden anzurichten.
Datenschutzverletzungen im Überfluss
Die Zahl der gemeldeten Datenschutzverletzungen ist im Jahr 2021 im Vergleich zum Vorjahr um 68 % gestiegen, und dieser Trend wird sich voraussichtlich fortsetzen. Komplexe IT-Umgebungen mit vielen nicht verfolgten Assets sind eine erhebliche Bedrohung für die Datensicherheit eines Unternehmens, da sie Angreifern mehrere Einstiegspunkte bieten. Rechtsvorschriften wie die EU-Datenschutzgrundverordnung können dazu beitragen, die Datenhygiene und Systemsicherheit zu verbessern, aber viele Unternehmen haben Schwierigkeiten, die Speicherorte und -methoden von Daten zu verfolgen.
Erwerb von Kryptowährungen
Angriffe auf Kryptowährungsbörsen und Währungsbesitzer werden weitergehen. Kryptowährungskriminalität hat im Jahr 2021 deutlich zugenommen. Illegale Kryptowährungs-Wallets erhielten einen Rekord von 15 Milliarden US-Dollar an Zahlungen, verglichen mit 7,9 Milliarden US-Dollar im Vorjahr. Die Gesamtnutzung ist im Vergleich zum Vorjahr um 567 % gestiegen. Die Annahme von Kryptowährungen für legitime Zwecke und ihr steigender Wert machen sie zu einem attraktiven Zahlungsmittel. Es wird erwartet, dass Geldwäsche, Betrug und Diebstahl von Geldbörsen ebenfalls zunehmen werden.
Planung für eine unsichere Zukunft
Eine Studie aus dem Jahr 2021 ergab, dass die Mehrheit der Angriffe finanziell motiviert war, und dies ist auch in diesem Jahr der Fall. Daten – deine Daten – sind eine hochgeschätzte Ware, nicht wegen des Preises, den sie beim Verkauf im Dark Web erzielen, sondern weil sie für dich so wichtig sind.
Der Schutz deiner Daten vor Kompromittierung erfordert einen proaktiven Ansatz, um die Auswirkungen eines Angriffs auf deine Systeme abzumildern und dein Unternehmen möglicherweise vor dem Ruin zu bewahren. Datensicherung ist gut, aber moderne Cyberangriffe zielen auf Backups ab, indem sie die Daten entweder verschlüsseln oder löschen.
Ein zuverlässiger Plan für die Datensicherung und -wiederherstellung stellt sicher, dass die Backups an einem separaten Ort gespeichert werden, der vom restlichen Netzwerk getrennt ist. Der Einsatz einer Reihe dedizierter Tools von mehreren Anbietern mag den Anforderungen deines Unternehmens entsprechen, aber die Zusammenarbeit mit mehreren Anbietern kann deine IT-Umgebung unnötig komplex machen.
Schütze dich mit STRATO Cyber Protect by Acronis
Perimeter-Verteidigung allein reicht nicht aus, um vor vielen modernen Cyberangriffen zu schützen. STRATO Cyber Protect by Acronis nutzt Algorithmen des Machine Learnings, um Ransomware-Angriffe proaktiv zu blockieren. Die verhaltensbasierte Erkennungs-Engine von Acronis untersucht aktuelle Verhaltensweisen und verhindert, dass sich Bedrohungen im gesamten Unternehmensnetzwerk ausbreiten, unabhängig vom Malware-Typ. Cyber Protect bietet einen mehrschichtigen Schutz vor Zero-Day-Exploits und gibt dir mit der Schwachstellenanalyse und dem Patch-Management die Gewissheit, dass deine Workloads auf dem neuesten Stand sind und die gesamte Angriffsfläche minimiert wird. Von einer zentralen Konsole aus musst du nicht mehr mehrere Tools einsetzen, um dein wichtigstes Gut zu pflegen und zu schützen: deine Daten.
STRATO Cyber Protect by Acronis eignet sich für Unternehmen jeder Größe und ist eine All-in-One-Lösung für Virenschutz, Anti-Malware und Backup-Software, die dir den Cyberschutz bietet, den du benötigst, um dein Netzwerk, deine Geräte und deine Daten sicher zu halten.
Deutlicher Anstieg von Cyber-Attacken gegen kritische Infrastruktur angesichts zunehmender geopolitischer Spannungen
Laut dem aktuellen Bericht kam es im 4. Quartal 2021 zu Angriffen mit Wiper-Malware gegen die Ukraine, gleichzeitig häuften sich Cyber-Bedrohungen vermutlich russischen Ursprungs
Auf einen Blick
Der Transport- und Frachtsektor war im 4. Quartal 2021 die am stärksten von Advanced Persistent Threats (APT) betroffene Branche.
Die vermutlich für die russische Regierung tätige Gruppe APT29 war im 4. Quartal 2021 die aktivste unter den staatlich gesteuerten Gruppierungen.
Nach Festnahmen im REvil-Ransomware-Milieu war Lockbit Ransomware im 4. Quartal 2021 die am häufigsten entdeckte Erpressersoftware.
Hochrangige Politiker und Wirtschaftsvertreter waren Ziel erfolgreicher Angriffe mit Living-off-the-Land-(LotL)-Attacken über Microsoft Excel und andere native Tools.
Die meisten Cyber-Attacken wurden im 4. Quartal 2021 mit Malware verübt (46%).
Im Visier der Angreifer waren meist Einzelpersonen; die Anzahl solcher aufgedeckten Attacken stieg im 4. Quartal 2021 um 73%.
Trellix, Experte für Cyber-Sicherheit veröffentlicht seinen „Threat Labs Report: April 2022 “ über die Aktivitäten von Cyber-Kriminellen in den letzten sechs Monaten. Daraus geht deutlich hervor, dass sich Cyber-Angriffe vermehrt gegen einzelne Verbraucher richten. Aber auch das Gesundheitswesen sowie die Transport-, Fracht-, Fertigungs- und IT-Branchen verzeichnen einen starken Anstieg der Bedrohungen.
„Wir befinden uns in einer kritischen Phase der Cyber-Sicherheit und beobachten zunehmend feindlich gesinntes Verhalten auf einer immer größeren Angriffsoberfläche“, erklärt Christiaan Beek, Lead Scientist und Principal Engineer bei Trellix Threat Labs. „Unsere Welt hat sich fundamental verändert. Im 4. Quartal zeichnete sich zunächst eine Wende nach der zweijährigen Pandemie ab, die Cyber-Kriminelle für ihre Zwecke genutzt hatten. Die Log4Shell-Schwachstelle betraf zum Beispiel Hunderte Millionen Geräte. Doch wir mussten feststellen, dass sich die Dynamik im neuen Jahr fortsetzte und internationale Cyber-Aktivitäten sprunghaft zunahmen.“
Bedrohungen gegen die kritische Infrastruktur
Im 4. Quartal 2021 richteten sich die Cyber-Aktivitäten verstärkt gegen systemrelevante Sektoren:
Transport und Fracht waren das Ziel von 27% aller aufgedeckten Fälle von Advanced Persistent Threat (APT) (Aktivitäten feindlicher und heimlich agierender Akteure).
Das Gesundheitswesen wurde am zweithäufigsten attackiert; 12% aller aufgedeckten Angriffe entfielen auf diesen Sektor.
Im Vergleich zum 3. Quartal stieg die Anzahl der Bedrohungen gegen die Fertigungsindustrie im 4. Quartal um 100% und gegen die IT-Branche um 36%.
Unter den Kunden von Trellix entfielen 62% aller beobachteten Detektionen im 4. Quartal 2021 auf den Transportsektor.
Anfang April veröffentlichte Trellix den globalen Cyber Readiness Report. Der Bericht untersucht, wie sich Anbieter kritischer Infrastrukturen auf Cyber-Angriffe vorbereiten. Dabei wird deutlich, dass viele Anbieter in diesem Bereich trotz eklatanter Sicherheitsverstöße keine Best-Practices für Cyber-Sicherheit implementiert haben.
Bedrohungen gegen die Ukraine
Trellix Threat Labs befasste sich eingehend mit Cyber-Bedrohungen gegen die Ukraine, zum Beispiel mit Wiper-Malware, einer Schadsoftware, die infizierte Geräte durch Zerstörung wichtiger Speicherinformationen unbrauchbar macht. Untersucht wurden Whispergate und HermeticWiper – zwei Malware-Varianten, die vor und während der Invasion der Ukraine zum Einsatz kamen – im Hinblick auf Ähnlichkeiten und Unterschiede. Diese Schadsoftware wurde eingesetzt, um die Kommunikationsmöglichkeiten in der Ukraine lahmzulegen und somit die ukrainischen IT-Systeme zu destabilisieren.
Der heutige Bericht listet die Akteure hinter den Bedrohungen gegen die Ukraine auf, darunter Actinium APT, Gamaredon APT, Nobelium APT (auch APT29 genannt), UAC-0056 und Shuckworm APT. APT29 machte 30% der Detektionen aller im 4. Quartal 2021 von Trellix festgestellten APT-Aktivitäten aus.
Der Bericht beinhaltet auch Empfehlungen für Organisationen, die ihre Umgebung proaktiv vor den Taktiken solcher Akteure schützen möchten. Weitere Hintergrundinformationen über die Cyber-Aktivitäten gegen die Ukraine erfahren Sie im Trellix Threat Center und Threat Labs Blog.
Taktiken, Techniken & Verfahren
Trellix beobachtete den fortgesetzten Einsatz von Living-off-the-Land (LoTL)-Methoden. Kriminelle Angriffe erfolgen dabei über bestehende Software und die native Steuerung eines Geräts. Die Windows Command Shell (CMD) (53%) und PowerShell (44%) zählten im 4. Quartal 2021 zu den am häufigsten verwendeten NativeOS Binärdateien. Remote Services (36%) waren die am häufigsten verwendeten administrativen Tools.
Trellix Threat Labs hat kürzlich LoTL-Methoden entdeckt, mit deren Hilfe die vermutlich südkoreanische APT-Gruppe DarkHotel Malware in Luxushotels infiltriert. Über Excel-Dateien werden erfolgreich Informationen über prominente Gäste auf Dienst- oder Konferenzreise gesammelt.
Anfang des Jahres identifizierte Trellix Threat Labs auch einen mehrstufigen Spionageangriff auf das Büro eines Premierministers. Hochrangige Regierungsmitglieder und Vertreter des Verteidigungssektors sollten auf diese Weise überwacht werden. Dabei verschafften sich die Angreifer über Microsoft OneDrive als Command-and-Control-(C2)-Server sowie Excel Zugriff auf die Umgebung des infizierten Geräts.
Weitere Methoden und Techniken, die in den letzten Monaten verstärkt zum Einsatz kamen:
Das Tool, das APT-Gruppen im 4. Quartal 2021 am häufigsten einsetzten, war Cobalt Strike – mit einem Zuwachs von 95% gegenüber dem 3. Quartal.
Verschleierte Dateien bzw. Informationen waren die Techniken, die im 4. Quartal 2021 am häufigsten beobachtet wurden, gefolgt von Referenzen aus Internetbrowsern sowie File and Directory Discovery.
Bei den berichteten Vorfällen wurde Malware im 4. Quartal 2021 am häufigsten verwendet (in 46% aller Vorfälle), das entspricht einem Anstieg um 15% gegenüber dem 3. Quartal.
Bedrohungen gegen Einzelpersonen
Bemerkenswert ist der erhebliche Anstieg um 73% der gegen Einzelpersonen und Personen des öffentlichen Lebens gerichteten Cyber-Vorfälle, den der Bericht dokumentiert. Dieser Bereich rückte im 4. Quartal 2021 am stärksten ins Visier der Angreifer. Er umfasst Bedrohungen über soziale Medien, Mobilgeräte und andere Dienste, bei denen Verbraucher Daten und Anmeldeinformationen speichern. So entdeckte Facebook im 4. Quartal 2021 Spyware-Kampagnen gegen Nutzer auf der ganzen Welt. Android-Nutzer weltweit wurden von einer anderen kriminellen Gruppierung mit Joker Malware attackiert. Solche Angriffe sind meist politisch motiviert und sollen die Interaktionen und Kontakte einzelner Personen nachverfolgen.
Zuvor hatte Trellix gemeinsam mit dem Center for Strategic and International Studies den Bericht In the Crosshairs: Organizations and Nation-State Cyber Threats veröffentlicht, aus dem hervorgeht, dass der Zugriff auf Konsumentendaten das Motiv für knapp die Hälfte der staatlich gestützten Cyber-Attacken war und wahrscheinlich auch weiterhin sein wird.
Bedrohungsaktivitäten im 4. Quartal 2021
Ransomware-Familien. Lockbit (21%) war die verbreitetste Ransomware-Familie, die im 4. Quartal 2021 entdeckt wurde – mit einem Anstieg von 21% gegenüber dem 3. Quartal – gefolgt von Cuba (18%) und Conti (16%).
Lockbit (21%) war die verbreitetste Ransomware-Familie, die im 4. Quartal 2021 entdeckt wurde – mit einem Anstieg von 21% gegenüber dem 3. Quartal – gefolgt von Cuba (18%) und Conti (16%). Ransomware-Festnahmen. Dank des Einschreitens von Strafverfolgungsbehörden weltweit rangierte REvil/Sodinokibi, die gängigste Ransomware-Familie im 3. Quartal 2021, im 4. Quartal nicht mehr unter den häufigsten Detektionen.
Dank des Einschreitens von Strafverfolgungsbehörden weltweit rangierte REvil/Sodinokibi, die gängigste Ransomware-Familie im 3. Quartal 2021, im 4. Quartal nicht mehr unter den häufigsten Detektionen. Ransomware-Zunahme. Ein massiver Anstieg von Ransomware-Aktivitäten wurde im 4. Quartal 2021 in Italien (793%), in den Niederlanden (318%) und in der Schweiz (173%) verzeichnet. Indien (70%) und das Vereinigte Königreich (47%) erlebten ebenfalls starke Zuwächse gegenüber dem 3. Quartal.
Ein massiver Anstieg von Ransomware-Aktivitäten wurde im 4. Quartal 2021 in Italien (793%), in den Niederlanden (318%) und in der Schweiz (173%) verzeichnet. Indien (70%) und das Vereinigte Königreich (47%) erlebten ebenfalls starke Zuwächse gegenüber dem 3. Quartal. Malware-Familien. Auf RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) und Formbook (12%) entfielen knapp 75% der im 4. Quartal 2021 beobachteten Malware-Familien.
Methodik
Der Bericht „Threat Labs Report: April 2022“ stützt sich auf eigene Daten aus dem Trellix-Netzwerk, das über 1 Milliarde Sensoren umfasst, sowie auf Open-Source Intelligence und von Trellix Threat Labs durchgeführte Untersuchungen vorherrschender Bedrohungen wie Ransomware und staatliche Aktivitäten. Dabei wurde mit Telemetriedaten im Zusammenhang mit der Erkennung von Bedrohungen gearbeitet. Von Erkennung spricht man, wenn eine Datei, URL, IP-Adresse oder ein anderer Indikator entdeckt und über das Trellix-XDR-Ökosystem kommuniziert wird.
Mehr zum Thema finden Sie unter
