APT-Attacken zu 79 Prozent aus China

APT-Attacken zu 79 Prozent aus China

Beitrag teilen

Im ersten Quartal 2023 haben die Angriffe auf den Finanz-, Telekommunikations- und Energiesektor zugenommen. Im Ransomware-Bereich ist bei den APT-Gruppen nach wie vor der finanzielle Gewinn entscheidend.

„Mehr als ein Jahr nach Beginn des Ukrainekriegs sind Cyber-Attacken zu einer strategischen Waffe geworden, die Staaten gezielt einsetzen, um Gegenspieler auszuspähen und die gesellschaftliche Spaltung voranzutreiben“, erklärt John Fokker, Head of Threat Intelligence, Trellix Advanced Research Center. „Sowohl in führenden Wirtschaftsnationen als auch in Schwellenländern sind bekannte APT-Gruppen eine reale Gefahr für kritische Infrastrukturen wie Telekommunikation, Energieversorgung und Produktion. Öffentliche und private Akteure müssen daher zwingend geeignete Abwehrmaßnahmen ergreifen, um sich gegen die immer raffinierter werdenden Attacken staatlich unterstützter Cyber-Krimineller zu schützen.”

Anzeige

Der neueste Bericht des Trellix Advanced Research Center behandelt das erste Quartal 2023 und informiert über sicherheitsrelevante Aktivitäten in den Bereichen Ransomware, Nation-State-APT-Angriffe, E-Mail-Bedrohungen, Missbrauch von Sicherheits-Tools und vielem mehr.

Die wichtigsten Ergebnisse auf einen Blick:

Koordinierte Spionage im Cyber-Raum

APT-Gruppen, die wie Mustang Panda und UNC4191 mit China in Verbindung stehen, waren im ersten Quartal am auffälligsten. 79 Prozent aller festgestellten Angriffe mit staatlichem Hintergrund entfielen auf diese Akteure. Es ist davon auszugehen, dass APT-Gruppen auch künftig Spionage und Disruption im Cyber-Raum mit herkömmlichen militärischen Aktivitäten koppeln werden.

Bei Ransomware zählt nur das Geld

Im Ransomware-Bereich ist nach wie vor der finanzielle Gewinn entscheidend. Entsprechend häufig werden der Versicherungs- und Finanzsektor ins Visier genommen (20 % bzw. 17 %). Die Opfer von Leak-Sites sind größtenteils US-amerikanische (48 %) Unternehmen mittlerer Größe mit 51 bis 200 Beschäftigten (32 %) und einem Umsatz von 10 bis 50 Mio. USD (38 %).

Cobalt Strike ist nach wie vor beliebt

Trotz der 2022 erfolgten Versuche, Cobalt Strike weniger attraktiv für die missbräuchliche Nutzung zu machen, erfreut es sich zunehmender Beliebtheit bei Cyber-Kriminellen und Ransomware-Akteuren. So war Cobalt Strike an 35 Prozent der Nation-State-Aktivitäten und 28 Prozent der Ransomware-Bedrohungen beteiligt – fast doppelt so viel wie im vierten Quartal 2022.

Ein Gruß aus der Vergangenheit

Viele kritische Schwachstellen entstehen durch die Umgehung von Patches für ältere CVEs, durch Lieferketten-Bugs, die obsolete Libraries nutzen, oder durch Sicherheitslücken, deren Behebung nicht konsequent umgesetzt wurde. Ein Beispiel dafür ist das im Februar 2023 aufgedeckte Apple-Problem, das letztlich auf den FORCEDENTRY-Exploit aus dem Jahr 2021 zurückgeht.

Unbefugter Zugriff auf die Cloud

Die Infrastruktur von Amazon, Microsoft und Google gerät immer mehr in den Fokus der Cyber-Kriminellen. Obwohl komplexere Angriffsstrategien mittels Mehrfaktorauthentifizierung, der Kompromittierung von Proxy-Servern und API-Ausführung weiterhin eine Rolle spielen, gelangen die meisten Eindringlinge über gültige Accounts in die Systeme. Konkret wird dieser Angriffsvektor doppelt so häufig genutzt wie andere Methoden. Der unbefugte Zugriff auf legitime Benutzerkonten im Zuge der Telearbeit ist und bleibt ein ernstes Problem.

Herkulesaufgabe: Unternehmen vor Angriffen schützen

„Security Operations Teams kämpfen Tag für Tag erbittert darum, die immer größer werdenden Angriffsflächen ihrer Unternehmen wirksam zu schützen“, konstatiert Joseph „Yossi“ Tal, SVP, Trellix Advanced Research Center. „Chronisch unterbesetzte Abteilungen müssen dabei Millionen von Datenpunkten in immer komplexeren Netzwerken im Blick behalten. Trellix unterstützt sie bei dieser Herkulesaufgabe, indem es umfassende Erkenntnisse und Analysen bereitstellt, die sich direkt in mehr Sicherheit umsetzen lassen.“

Der CyberThreat Report nutzt proprietäre Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Center zu staatlich unterstützten und kriminellen Cyber-Aktivitäten, Daten aus Open- und Closed-Source-Quellen sowie Leak-Sites von Bedrohungsakteuren. Als Bedrohungsnachweis gilt die telemetriebasierte Detektion und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens oder eines anderen Indikators über die Trellix XDR-Plattform.

Mehr bei Trellix.com

 


Über Trellix

Trellix ist ein globales Unternehmen, das die Zukunft der Cybersicherheit neu definiert. Die offene und native XDR-Plattform (Extended Detection and Response) des Unternehmens hilft Unternehmen, die mit den fortschrittlichsten Bedrohungen von heute konfrontiert sind, Vertrauen in den Schutz und die Ausfallsicherheit ihrer Betriebsabläufe zu gewinnen. Die Sicherheitsexperten von Trellix beschleunigen zusammen mit einem umfangreichen Partner-Ökosystem technologische Innovationen durch maschinelles Lernen und Automatisierung, um über 40.000 Geschäfts- und Regierungskunden zu unterstützen.


 

Passende Artikel zum Thema

Cloud SIEM für Echtzeit-Bedrohungserkennung 

Modernes Cloud SIEM soll für Echtzeit-Bedrohungserkennung und ein effizientes Monitoring sorgen. Das Cloud SIEM von Datadog setzt auf moderne Architekturen und ➡ Weiterlesen

Zero-Standing-Privileges: Mythos und Wahrheit unterscheiden

Was kann das Zero-Standing-Privileges (ZSP)-Prinzip und was ist Mythos? ZSP ist eine wichtige Komponente in der Identitätssicherheit. Seine Möglichkeiten werden ➡ Weiterlesen

Deepnude AI Image Generator als Köder

Vor kurzem haben Cybersicherheitsexperten von Silent Push in einem Blogbeitrag eine neue Angriffstaktik der Bedrohungsgruppe FIN7 vorgestellt. Die Cyberkriminellen nutzen ➡ Weiterlesen

Cybersecurity: Zugriff auf umfangreiche Bedrohungsdaten

Die Erweiterung der Arctic Wolf Security Operations Platform Aurora bietet Unternehmen Zugriff auf die Bedrohungsdaten ihres eigenen großen Security Operation ➡ Weiterlesen

DMARC Manager verbessert E-Mail-Sicherheit

Es gibt einen neuen DMARC Manager: Das fortschrittliche Tool adressiert die komplexen Herausforderungen, mit denen Unternehmen bei der Verwaltung von ➡ Weiterlesen

Cyberattacken: Smartphones vermehrt ein Ziel 

Über 16 Milliarden Mobilgeräten werden weltweit in etwa genutzt. Daher haben sich Smartphones und Tablets zu einer der bevorzugten Zielscheiben ➡ Weiterlesen

Linux-Backdoors von China-naher Hackergruppe entdeckt

ESET Forscher haben zwei neue Linux-Backdoors entdeckt, die wahrscheinlich von der China-nahen Hackergruppe Gelsemium stammen. Die Entdeckung erfolgte nach der ➡ Weiterlesen

Fast 80 Prozent mehr Cyber-Angriffe auf deutsche Unternehmen

Aktuelle Zahlen zeigen einen massiven Anstieg an Cyberangriffen. Laut einer Auswertung von Check Point gab es im Zeitraum Q3 2023 ➡ Weiterlesen