Cyber Threat Report zeigt neue Taktiken bei Cyber-Gangs

Cyber Threat Report zeigt neue Taktiken bei Cyber-Gangs

Beitrag teilen

Der Bedrohungsbericht zeigt signifikante Veränderungen bei Ransomware-Gangs und Malware-Kampagnen auf. Im Cyber Threat Report von Deep Instinct gibt es Hinweise auf unbekannte Taktiken und neue Opfer im Jahr 2022.

Deep Instinct hat seinen halbjährlichen Cyber Threat Report 2022 veröffentlicht. Die neueste Ausgabe des Berichts konzentriert sich auf die wichtigsten Malware- und Ransomware-Trends und -Taktiken aus der ersten Hälfte des Jahres 2022 und liefert wichtige Erkenntnisse und Prognosen für die sich ständig (und schnell) weiterentwickelnde Cybersecurity-Bedrohungslandschaft.

Anzeige

Die wichtigsten Erkenntnisses des Berichts

Veränderungen in der Struktur der Cyberkriminellen

Zu den am häufigsten beobachteten Aktivitäten gehören Veränderungen in der Welt der Ransomware-Gangs, darunter LockBit, Hive, BlackCat und Conti. Letztere hat „Conti Splinters“ hervorgebracht, die sich aus Quantum, BlackBasta und BlackByte zusammensetzen. Diese drei namhaften ehemaligen Untergruppen der Conti-Gruppe haben sich nach dem Rückzug von Conti selbstständig gemacht.

Malware-Kampagnen im Umbruch

Der Bericht hebt die Gründe für die erheblichen Veränderungen bei Emotet, Agent Tesla, NanoCore und anderen hervor. So verwendet beispielsweise Emotet stark obfuskierte VBA-Makros, um nicht entdeckt zu werden.

Während Microsoft eine Tür schließt, öffnen bösartige Akteure ein Fenster

Die Experten von Deep Instinct haben herausgefunden, dass Dokumente nicht mehr der wichtigste Angriffsvektor für Malware sind, nachdem Microsoft die Makros in Microsoft Office-Dateien standardmäßig deaktiviert hat. Stattdessen haben Beobachtungen gezeigt, dass die Cyber-Angreifer mittlerweile andere Methoden zur Verbreitung ihrer Malware einsetzen, wie LNK-, HTML- und Archiv-E-Mail-Anhänge.

Große Sicherheitslücken, die leicht ausgenutzt werden können

Schwachstellen wie SpoolFool, Follina und DirtyPipe

Sie verdeutlichen die Ausnutzbarkeit von Windows- und Linux-Systemen trotz aller Bemühungen zur Verbesserung ihrer Sicherheit. Eine Analyse des von der CISA (die U.S. amerikanische Cybersecurity & Infrastructure Security Agency) veröffentlichten Katalogs bekannter Sicherheitslücken zeigt, dass die Zahl der ausgenutzten Schwachstellen alle drei bis vier Monate in die Höhe schnellt, und wir erwarten den nächsten Anstieg zum Jahresende hin.

Die Angriffe zur Datenexfiltration erstrecken sich nun auch auf Dritte

Hackergruppen nutzen die Datenexfiltration in ihren Attacken, um Lösegeld für die geleakten Daten zu fordern. Im Falle der Exfiltration sensibler Daten gibt es weniger Möglichkeiten zur Wiederherstellung, so dass viele Angreifer sogar noch weiter gehen und Lösegeld von Drittunternehmen fordern, wenn sich deren sensible Informationen ebenfalls unter den gestohlenen Daten befinden.

Es ist keine Überraschung, dass Ransomware-Angriffe nach wie vor eine ernsthafte Bedrohung für Unternehmen darstellen, wenn man bedenkt, dass es derzeit 17 geleakte Datenbanken gibt, die von Cyberkriminellen betrieben werden. Diese nutzen die Daten für Angriffe auf Drittunternehmen und ganz besonders für Social Engineering, Diebstahl von Zugangsdaten und die (in Punkt 5 beschriebene) dreifache Erpressung (engl.: triple extortion).

Der Bericht enthält außerdem drei spezifische Prognosen:

Insider und Partnerprogramme

Böswillige Bedrohungsakteure suchen immer nach dem schwächsten Glied im Netzwerk. Angesichts der zunehmenden Innovationen im Bereich der Cybersicherheit, entscheiden sich einige Angreifer dafür, entweder direkt schwache Zielobjekte ausfindig zu machen oder einfach einen Insider zu bezahlen. Gruppen wie Lapsus$, zum Beispiel, setzen weniger auf das Ausnutzen von Schwachstellen, als vielmehr auf Insider, die bereit sind, den Zugang zu gewissen Daten ihrer Organisation zu verkaufen.

Protestware ist auf dem Vormarsch

Das Phänomen Protestware erfreut sich nicht nur wachsender Beliebtheit, sondern auch wachsender Nutzung. Dabei handelt es sich um die Selbstsabotage der eigenen Software, die mit Hilfe von Malware zur indirekten Cyberwaffe umgewandelt wird und allen oder einigen Nutzern schadet. Der Krieg zwischen Russland und der Ukraine hat zu einem Anstieg von Protestware geführt, wobei das bekannteste Beispiel der node-ipc wiper ist, ein beliebtes NPM-Paket. Es ist nicht leicht, solche Angriffe auf die Lieferkette zu erkennen, und sie werden in der Regel erst entdeckt, wenn mehrere Opfer betroffen sind.

Angriffe zum Jahresende: Zwar haben wir im Jahr 2022 noch nicht von einer größeren Sicherheitslücke gehört, die mit den Fällen von Log4J oder Exchange im Jahr 2021 vergleichbar ist, doch die Zahl der öffentlich zugewiesenen Common Vulnerabilities and Exposures (CVE – oder zu Deutsch Bekannte Schwachstellen und Anfälligkeiten) für gemeldete Sicherheitslücken ist im Vergleich zum Vorjahr gestiegen. Cyberangreifer nutzen im Jahr 2022 immer noch alte Schwachstellen aus, einfach weil es eine Fülle von ungepatchten Systemen für CVEs aus dem Jahr 2021 gibt.

Mehr bei DeepInstinct.com

 


Über Deep Instinct

Deep Instinct verfolgt einen präventiven Ansatz, um Ransomware und andere Malware mit dem weltweit ersten und einzigen speziell entwickelten Deep-Learning Framework für Cybersecurity zu stoppen.


 

Passende Artikel zum Thema

Identitätssicherheit: Viele Unternehmen sind noch am Anfang

Ein Anbieter von Identity Security für Unternehmen, hat seine aktuelle Studie „Horizons of Identity Security“ vorgestellt. Unternehmen mit fortschrittlicher Identitätssicherheit stehen ➡ Weiterlesen

NIS2-Compliance verstärkt IT-Fachkräftemangel

Eine neue Umfrage zur EU-weiten Umsetzung von NIS2 zeigt die erheblichen Auswirkungen auf Unternehmen bei der Anpassung an diese zentrale ➡ Weiterlesen

Datenverlust Klassifizierung: Wie verheerend ist er wirklich?

Ein Datenverlust ist immer ein Problem. Aber wie schwerwiegend der Verlust ist, hängt von den verlorenen Daten ab. Um das ➡ Weiterlesen

E-Mails: Sicherheit in den meisten Unternehmen mangelhaft

Jede achte Organisation war im letzten Jahr von einer Sicherheitsverletzung im E-Mail-Bereich betroffen, so die Studie “Email Security Threats Against ➡ Weiterlesen

GoldenJackal: Hacker greifen vom Internet isolierte Computer an

Die APT-Gruppe GoldenJackal greift erfolgreich Ziele in Europa an, die durch Air Gaps gut geschützt sind. Die Schadsoftware verbreitete sich ➡ Weiterlesen

Studie: SOC-Teams haben wenig Zutrauen in ihre Sicherheitstools

Ein führender Anbieter von KI-gestützter erweiterter Erkennung und Reaktion (XDR), hat die Ergebnisse seines neuen Forschungsberichts "2024 State of Threat ➡ Weiterlesen

Geräte und Nutzerkonten – darauf zielen Cyberangreifer

Der neue Cyber Risk Report zeigt die kritischen Schwachstellen in Unternehmen auf und bietet somit aber auch neue Möglichkeiten der ➡ Weiterlesen

NIS2-Richtlinie: Ziele und Herausforderungen bei der Umsetzung

Ziel der NIS-Direktive war es, für eine hohe Cyberresilienz in Unternehmen mit kritischer Infrastruktur in allen Mitgliedsstaaten der EU zu ➡ Weiterlesen