2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die schon seit einem Jahrzehnt ihr Unwesen treiben, erfanden sich neu, um relevant zu bleiben.
Die Threat-Intelligence-Experten von Cisco Talos haben die zentralen Entwicklungen aus 2023 analysiert und in einem lesenswerten Jahresrückblick zusammengefasst. Das Standardwerk für das Cybercrime-Jahr 2023 beleuchtet die wichtigsten Trends, die die Bedrohungslandschaft im letzten Jahr geprägt haben.
Angriffsvektor Ransomware
Die größte Gefahr für Unternehmen ging auch im Jahr 2023 von Ransomware aus. Schon im zweiten Jahr in Folge nahm LockBit in diesem Bereich eine unrühmliche Spitzenposition ein. Und wie gehabt konzentrierten sich die Angreifer auf Einrichtungen, die nur begrenzte Mittel für die Cybersicherheit zur Verfügung haben oder nur geringe Ausfallzeiten tolerieren – vor allem im Gesundheitswesen. 2023 war jedoch nicht alles wie gehabt: Akteure wie Clop setzten auf Zero-Day-Exploits. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht. Neu war auch, dass Ransomware-Akteure zu reiner Erpressung übergingen und sich den Verschlüsselung-Part sparten.
„Leider beschränkten sich im Jahr 2023 Angriffe mit 0-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit 0-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“
Angreifer passen ihre Strategien an
Die Telemetriedaten von Cisco Talos zeigen, dass für die Verbreitung von Ransomware weiterhin Commodity-Loader bekannter Familien wie Qakbot und IcedID Verwendung fanden. Allerdings streiften diese Loader alle Überbleibsel ihrer Vergangenheit als Bankentrojaner ab und präsentieren sich nun als elegante Tools, um Nutzdaten zu übermitteln. Die Entwickler und Betreiber konnten sich an verbesserte Verteidigungsmaßnahmen anpassen und haben neue Wege gefunden, um die häufigeren Sicherheitsupdates zu umgehen. Die Geschwindigkeit, mit der Ransomware-Gruppen sich von Ermittlungserfolgen erholen konnten, war ebenfalls überraschend. So war die Zerschlagung des Quakbot-Netzes im August 2023 nur kurzfristig wirksam. Die Analyse von Talos deutet darauf hin, dass die Strafverfolgungsmaßnahmen möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control-Server (C2) beeinträchtigt haben.
Netzwerkgeräte und alte Schwachstellen im Visier
Ein neuer und regionsübergreifender Trend ist die Zunahme von Angriffen auf Netzwerkgeräte durch APTs und Ransomware-Akteure. Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten.
Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Talos-Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt.
Der Einsatz von Social Engineering für Operationen wie Phishing und Business Email Compromise (BEC) war 2023 ebenfalls ungebrochen. Als Resultat der standardmäßigen Deaktivierung von Makros durch Microsoft im Jahr 2022 nutzen Angreifer jedoch zunehmend andere Dateitypen, um ihre Malware zu verstecken. So stellten PDFs, die in diesem Jahr am häufigsten blockierte Dateierweiterung dar.
APT-Aktivitäten zeigen geopolitische Instabilität
Einen breiten Raum nimmt im Cisco Talos Report 2023 die Analyse von APT-Gruppen aus China, Russland und dem Nahem Osten ein. Dabei spiegeln die Telemetriedaten deutlich einen Anstieg von verdächtigem Datenverkehr parallel zu geopolitischen Ereignissen wider. Die zunehmend angespannten Beziehungen des Westens gegenüber Staaten aus dem asiatisch-pazifischen Raum führte bei APT-Gruppen aus China zu einer verstärkten Bereitschaft, Schäden zu verursachen – vor allem im Bereich der kritischen Infrastruktur in Ländern wie Taiwan.
Bei den russischen APTs zielten Gamaredon und Turla erwartungsgemäß auf die Ukraine ab. Interessanterweise zeigten die russischen Aktivitäten jedoch nicht die ganze Bandbreite ihrer zerstörerischen Cyberfähigkeiten. Gamaredon zielte vor allem auf Einrichtungen in Nordamerika und Europa ab, wobei die Zahl der Opfer in Westeuropa überproportional hoch war. Der vom iranischen Staat gesponserte APT-Akteur MuddyWater blieb auch 2023 ein wesentlicher Bedrohungsakteur aus dem Nahen Osten. Gegenmaßnahmen der Industrie haben jedoch die Fähigkeit der Gruppe beeinflusst, ihre Standard-Tools zu nutzen, darunter die Syncro-Plattform für Fernverwaltung und -überwachung (RMM).
Die Ereignisse Anfang Oktober 2023 zwischen der Hamas und Israel trugen dazu bei, dass mehrere politisch motivierte Hacktivistengruppen unkoordinierte und meist wenig ausgefeilte Angriffe gegen beide Seiten starteten. Eine ähnliche Entwicklung konnte schon zu Beginn des Russland-Ukraine-Kriegs beobachtet werden. Cisco Talos geht davon aus, dass sich das komplizierte und dynamische geopolitische Umfeld im Nahen Osten auch auf den Cyberbereich auswirken wird.
Weitere Erkenntnisse aus dem Talos Report:
Die Verwendung gültiger Konten war eine der am häufigsten beobachteten MITRE ATT&CK-Techniken, was unterstreicht, dass die Angreifer in verschiedenen Phasen ihrer Angriffe auf kompromittierte Anmeldedaten zurückgreifen.
Neue Ransomware-Varianten nutzten durchgesickerten Quellcode anderer RaaS-Gruppen. Das ermöglichte auch weniger erfahrenen Akteuren den Einstieg in die Ransomware-Erpressung.
Der verdächtige Netzwerkverkehr zeigte einen starken Anstieg von Aktivitäten, der mit großen geopolitischen Ereignissen und globalen Cyberangriffen zusammenfiel – beispielsweise den großangelegten DDoS-Angriff auf Microsoft Outlook.
Über Cisco Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.
Passende Artikel zum Thema