Diese Bedrohungen haben 2023 geprägt

23. Februar 2024
| Keine Kommentare
Diese Bedrohungen haben 2023 geprägt
Anzeige

Beitrag teilen

2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die schon seit einem Jahrzehnt ihr Unwesen treiben, erfanden sich neu, um relevant zu bleiben.

Die Threat-Intelligence-Experten von Cisco Talos haben die zentralen Entwicklungen aus 2023 analysiert und in einem lesenswerten Jahresrückblick zusammengefasst. Das Standardwerk für das Cybercrime-Jahr 2023 beleuchtet die wichtigsten Trends, die die Bedrohungslandschaft im letzten Jahr geprägt haben.

Anzeige

Angriffsvektor Ransomware

Die größte Gefahr für Unternehmen ging auch im Jahr 2023 von Ransomware aus. Schon im zweiten Jahr in Folge nahm LockBit in diesem Bereich eine unrühmliche Spitzenposition ein. Und wie gehabt konzentrierten sich die Angreifer auf Einrichtungen, die nur begrenzte Mittel für die Cybersicherheit zur Verfügung haben oder nur geringe Ausfallzeiten tolerieren – vor allem im Gesundheitswesen. 2023 war jedoch nicht alles wie gehabt: Akteure wie Clop setzten auf Zero-Day-Exploits. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht. Neu war auch, dass Ransomware-Akteure zu reiner Erpressung übergingen und sich den Verschlüsselung-Part sparten.

„Leider beschränkten sich im Jahr 2023 Angriffe mit 0-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit 0-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“

Anzeige

Jetzt Newsletter abonnieren

Einmal im Monat die besten News von B2B CYBER SECURITY lesen



Mit Klick auf „Anmelden“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden. Weitere Informationen finde ich in unserer Datenschutzerklärung. Nach dem Anmelden erhalten Sie zuerst eine Bestätigungsmail, damit keine anderen Personen Ihnen etwas ungewolltes bestellen können.
Aufklappen für Details zu Ihrer Einwilligung
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung. Sie können jederzeit den Newsletter wieder abbestellen. Einen entsprechenden Link finden Sie im Newsletter. Nach einer Abmeldung werden Ihre Daten in kürzester Zeit gelöscht. Eine Wiederherstellung ist nicht möglich. Falls Sie den Newsletter erneut haben möchten, ordern sie diesen einfach neu. Verfahren Sie auch so, wenn Sie eine andere E-Mail-Adresse für Ihren Newsletter nutzen möchten. Wenn Sie den auf der Website angebotenen Newsletter beziehen möchten, benötigen wir von Ihnen eine E-Mail-Adresse sowie Informationen, welche uns die Überprüfung gestatten, dass Sie der Inhaber der angegebenen E-Mail-Adresse und mit dem Empfang des Newsletters einverstanden sind. Weitere Daten werden nicht bzw. nur auf freiwilliger Basis erhoben. Für die Abwicklung der Newsletter nutzen wir Newsletterdiensteanbieter, die nachfolgend beschrieben werden.

CleverReach

Diese Website nutzt CleverReach für den Versand von Newslettern. Anbieter ist die CleverReach GmbH & Co. KG, Schafjückenweg 2, 26180 Rastede, Deutschland (nachfolgend „CleverReach“). CleverReach ist ein Dienst, mit dem der Newsletterversand organisiert und analysiert werden kann. Die von Ihnen zwecks Newsletterbezug eingegebenen Daten (z. B. E-Mail-Adresse) werden auf den Servern von CleverReach in Deutschland bzw. Irland gespeichert. Unsere mit CleverReach versandten Newsletter ermöglichen uns die Analyse des Verhaltens der Newsletterempfänger. Hierbei kann u. a. analysiert werden, wie viele Empfänger die Newsletternachricht geöffnet haben und wie oft welcher Link im Newsletter angeklickt wurde. Mit Hilfe des sogenannten Conversion-Trackings kann außerdem analysiert werden, ob nach Anklicken des Links im Newsletter eine vorab definierte Aktion (z. B. Kauf eines Produkts auf dieser Website) erfolgt ist. Weitere Informationen zur Datenanalyse durch CleverReach-Newsletter erhalten Sie unter: https://www.cleverreach.com/de/funktionen/reporting-und-tracking/. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können diese Einwilligung jederzeit widerrufen, indem Sie den Newsletter abbestellen. Die Rechtmäßigkeit der bereits erfolgten Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt. Wenn Sie keine Analyse durch CleverReach wollen, müssen Sie den Newsletter abbestellen. Hierfür stellen wir in jeder Newsletternachricht einen entsprechenden Link zur Verfügung. Die von Ihnen zum Zwecke des Newsletter-Bezugs bei uns hinterlegten Daten werden von uns bis zu Ihrer Austragung aus dem Newsletter bei uns bzw. dem Newsletterdiensteanbieter gespeichert und nach der Abbestellung des Newsletters aus der Newsletterverteilerliste gelöscht. Daten, die zu anderen Zwecken bei uns gespeichert wurden, bleiben hiervon unberührt. Nach Ihrer Austragung aus der Newsletterverteilerliste wird Ihre E-Mail-Adresse bei uns bzw. dem Newsletterdiensteanbieter ggf. in einer Blacklist gespeichert, sofern dies zur Verhinderung künftiger Mailings erforderlich ist. Die Daten aus der Blacklist werden nur für diesen Zweck verwendet und nicht mit anderen Daten zusammengeführt. Dies dient sowohl Ihrem Interesse als auch unserem Interesse an der Einhaltung der gesetzlichen Vorgaben beim Versand von Newslettern (berechtigtes Interesse im Sinne des Art. 6 Abs. 1 lit. f DSGVO). Die Speicherung in der Blacklist ist zeitlich nicht befristet. Sie können der Speicherung widersprechen, sofern Ihre Interessen unser berechtigtes Interesse überwiegen. Näheres entnehmen Sie den Datenschutzbestimmungen von CleverReach unter: https://www.cleverreach.com/de/datenschutz/.

Auftragsverarbeitung

Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.

Angreifer passen ihre Strategien an

Die Telemetriedaten von Cisco Talos zeigen, dass für die Verbreitung von Ransomware weiterhin Commodity-Loader bekannter Familien wie Qakbot und IcedID Verwendung fanden. Allerdings streiften diese Loader alle Überbleibsel ihrer Vergangenheit als Bankentrojaner ab und präsentieren sich nun als elegante Tools, um Nutzdaten zu übermitteln. Die Entwickler und Betreiber konnten sich an verbesserte Verteidigungsmaßnahmen anpassen und haben neue Wege gefunden, um die häufigeren Sicherheitsupdates zu umgehen. Die Geschwindigkeit, mit der Ransomware-Gruppen sich von Ermittlungserfolgen erholen konnten, war ebenfalls überraschend. So war die Zerschlagung des Quakbot-Netzes im August 2023 nur kurzfristig wirksam. Die Analyse von Talos deutet darauf hin, dass die Strafverfolgungsmaßnahmen möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control-Server (C2) beeinträchtigt haben.

Netzwerkgeräte und alte Schwachstellen im Visier

Ein neuer und regionsübergreifender Trend ist die Zunahme von Angriffen auf Netzwerkgeräte durch APTs und Ransomware-Akteure. Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten.

Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Talos-Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt.

Der Einsatz von Social Engineering für Operationen wie Phishing und Business Email Compromise (BEC) war 2023 ebenfalls ungebrochen. Als Resultat der standardmäßigen Deaktivierung von Makros durch Microsoft im Jahr 2022 nutzen Angreifer jedoch zunehmend andere Dateitypen, um ihre Malware zu verstecken. So stellten PDFs, die in diesem Jahr am häufigsten blockierte Dateierweiterung dar.

APT-Aktivitäten zeigen geopolitische Instabilität

Einen breiten Raum nimmt im Cisco Talos Report 2023 die Analyse von APT-Gruppen aus China, Russland und dem Nahem Osten ein. Dabei spiegeln die Telemetriedaten deutlich einen Anstieg von verdächtigem Datenverkehr parallel zu geopolitischen Ereignissen wider. Die zunehmend angespannten Beziehungen des Westens gegenüber Staaten aus dem asiatisch-pazifischen Raum führte bei APT-Gruppen aus China zu einer verstärkten Bereitschaft, Schäden zu verursachen – vor allem im Bereich der kritischen Infrastruktur in Ländern wie Taiwan.

Bei den russischen APTs zielten Gamaredon und Turla erwartungsgemäß auf die Ukraine ab. Interessanterweise zeigten die russischen Aktivitäten jedoch nicht die ganze Bandbreite ihrer zerstörerischen Cyberfähigkeiten. Gamaredon zielte vor allem auf Einrichtungen in Nordamerika und Europa ab, wobei die Zahl der Opfer in Westeuropa überproportional hoch war. Der vom iranischen Staat gesponserte APT-Akteur MuddyWater blieb auch 2023 ein wesentlicher Bedrohungsakteur aus dem Nahen Osten. Gegenmaßnahmen der Industrie haben jedoch die Fähigkeit der Gruppe beeinflusst, ihre Standard-Tools zu nutzen, darunter die Syncro-Plattform für Fernverwaltung und -überwachung (RMM).

Die Ereignisse Anfang Oktober 2023 zwischen der Hamas und Israel trugen dazu bei, dass mehrere politisch motivierte Hacktivistengruppen unkoordinierte und meist wenig ausgefeilte Angriffe gegen beide Seiten starteten. Eine ähnliche Entwicklung konnte schon zu Beginn des Russland-Ukraine-Kriegs beobachtet werden. Cisco Talos geht davon aus, dass sich das komplizierte und dynamische geopolitische Umfeld im Nahen Osten auch auf den Cyberbereich auswirken wird.

Weitere Erkenntnisse aus dem Talos Report:

Die Verwendung gültiger Konten war eine der am häufigsten beobachteten MITRE ATT&CK-Techniken, was unterstreicht, dass die Angreifer in verschiedenen Phasen ihrer Angriffe auf kompromittierte Anmeldedaten zurückgreifen.

Neue Ransomware-Varianten nutzten durchgesickerten Quellcode anderer RaaS-Gruppen. Das ermöglichte auch weniger erfahrenen Akteuren den Einstieg in die Ransomware-Erpressung.
Der verdächtige Netzwerkverkehr zeigte einen starken Anstieg von Aktivitäten, der mit großen geopolitischen Ereignissen und globalen Cyberangriffen zusammenfiel – beispielsweise den großangelegten DDoS-Angriff auf Microsoft Outlook.

Direkt zum Bericht auf Talosintelligence.com

 

Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.

Passende Artikel zum Thema

Bedrohungen in der europäischen Handelsbranche

2024 waren Unternehmensdienstleistungsbetriebe die am häufigsten attackierte Branche des Handelssektors, gefolgt von Einzelhandel und Fertigung. In Frankreich, Deutschland und Italien ➡ Weiterlesen

Echtzeit-Deepfakes: Die neue Dimension der Cyberattacken

Künstliche Intelligenz wird 2025 auch die Cybersecurity bestimmen. Eines der Felder, in der sie schon einige Zeit eingesetzt wird, sind ➡ Weiterlesen

Cybersicherheit in EMEA: Das sind die Trends

Weiterentwickelte Ransomware, Cloud-Angriffe und KI-basierter Cyber-Warfare bedrohen 2025 die Cybersicherheit von Unternehmen. Am häufigsten werden bösartige Dateien durch Phishing verbreitet. ➡ Weiterlesen

Studie: Ransomware schädigt Unternehmen erheblich

Eine Ransomware Attacke verursacht maximalen Schaden bei Unternehmen: Es dauert lange, den Normalbetrieb danach wieder aufzunehmen. Das führt zu erheblichen ➡ Weiterlesen

Cybersecurity: Wie Plattformisierung Komplexität verringert

Für viele Unternehmen stellt die Komplexität ihrer unterschiedlichen Sicherheitslösungen eine große Herausforderung dar, das hat eine neue globale Studie jetzt ➡ Weiterlesen

KI-basierter Identitätsdiebstahl nimmt weiter zu

Zugangsdaten sind bei Cyberkriminellen sehr begehrt. Um sie zu stehlen, nutzen sie zunehmend künstliche Intelligenz. Angriffe, basierend auf Deep-Fake-Technologie, sind ➡ Weiterlesen

NIS-2: Warum Compliance so wichtig ist

Von der NIS-2-Richtlinie sind ca. 30.000 deutsche Einrichtungen betroffen – Unternehmen, die zur kritischen Infrastruktur zählen als auch Unternehmen, die ➡ Weiterlesen

Agentenbasierte KI-Modelle steuern Phishing-Kampagnen

Malwarebytes hat kürzlich seinen neuesten State of Malware-Report vorgestellt. Dessen zentrale Aussage: Agentenbasierte KI-Modelle sind auf dem Vormarsch und werden ➡ Weiterlesen

 

Storys
, , , , , , ,