Diese Bedrohungen haben 2023 geprägt

Diese Bedrohungen haben 2023 geprägt

Beitrag teilen

2023 kehrten Botnets von den Toten zurück, Ransomware-Akteure fanden kreative Wege, um mit Diebstahl Geld zu verdienen und Bedrohungsakteure, die schon seit einem Jahrzehnt ihr Unwesen treiben, erfanden sich neu, um relevant zu bleiben.

Die Threat-Intelligence-Experten von Cisco Talos haben die zentralen Entwicklungen aus 2023 analysiert und in einem lesenswerten Jahresrückblick zusammengefasst. Das Standardwerk für das Cybercrime-Jahr 2023 beleuchtet die wichtigsten Trends, die die Bedrohungslandschaft im letzten Jahr geprägt haben.

Anzeige

Angriffsvektor Ransomware

Die größte Gefahr für Unternehmen ging auch im Jahr 2023 von Ransomware aus. Schon im zweiten Jahr in Folge nahm LockBit in diesem Bereich eine unrühmliche Spitzenposition ein. Und wie gehabt konzentrierten sich die Angreifer auf Einrichtungen, die nur begrenzte Mittel für die Cybersicherheit zur Verfügung haben oder nur geringe Ausfallzeiten tolerieren – vor allem im Gesundheitswesen. 2023 war jedoch nicht alles wie gehabt: Akteure wie Clop setzten auf Zero-Day-Exploits. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht. Neu war auch, dass Ransomware-Akteure zu reiner Erpressung übergingen und sich den Verschlüsselung-Part sparten.

„Leider beschränkten sich im Jahr 2023 Angriffe mit 0-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit 0-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“

Angreifer passen ihre Strategien an

Die Telemetriedaten von Cisco Talos zeigen, dass für die Verbreitung von Ransomware weiterhin Commodity-Loader bekannter Familien wie Qakbot und IcedID Verwendung fanden. Allerdings streiften diese Loader alle Überbleibsel ihrer Vergangenheit als Bankentrojaner ab und präsentieren sich nun als elegante Tools, um Nutzdaten zu übermitteln. Die Entwickler und Betreiber konnten sich an verbesserte Verteidigungsmaßnahmen anpassen und haben neue Wege gefunden, um die häufigeren Sicherheitsupdates zu umgehen. Die Geschwindigkeit, mit der Ransomware-Gruppen sich von Ermittlungserfolgen erholen konnten, war ebenfalls überraschend. So war die Zerschlagung des Quakbot-Netzes im August 2023 nur kurzfristig wirksam. Die Analyse von Talos deutet darauf hin, dass die Strafverfolgungsmaßnahmen möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control-Server (C2) beeinträchtigt haben.

Netzwerkgeräte und alte Schwachstellen im Visier

Ein neuer und regionsübergreifender Trend ist die Zunahme von Angriffen auf Netzwerkgeräte durch APTs und Ransomware-Akteure. Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten.

Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Talos-Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt.

Der Einsatz von Social Engineering für Operationen wie Phishing und Business Email Compromise (BEC) war 2023 ebenfalls ungebrochen. Als Resultat der standardmäßigen Deaktivierung von Makros durch Microsoft im Jahr 2022 nutzen Angreifer jedoch zunehmend andere Dateitypen, um ihre Malware zu verstecken. So stellten PDFs, die in diesem Jahr am häufigsten blockierte Dateierweiterung dar.

APT-Aktivitäten zeigen geopolitische Instabilität

Einen breiten Raum nimmt im Cisco Talos Report 2023 die Analyse von APT-Gruppen aus China, Russland und dem Nahem Osten ein. Dabei spiegeln die Telemetriedaten deutlich einen Anstieg von verdächtigem Datenverkehr parallel zu geopolitischen Ereignissen wider. Die zunehmend angespannten Beziehungen des Westens gegenüber Staaten aus dem asiatisch-pazifischen Raum führte bei APT-Gruppen aus China zu einer verstärkten Bereitschaft, Schäden zu verursachen – vor allem im Bereich der kritischen Infrastruktur in Ländern wie Taiwan.

Bei den russischen APTs zielten Gamaredon und Turla erwartungsgemäß auf die Ukraine ab. Interessanterweise zeigten die russischen Aktivitäten jedoch nicht die ganze Bandbreite ihrer zerstörerischen Cyberfähigkeiten. Gamaredon zielte vor allem auf Einrichtungen in Nordamerika und Europa ab, wobei die Zahl der Opfer in Westeuropa überproportional hoch war. Der vom iranischen Staat gesponserte APT-Akteur MuddyWater blieb auch 2023 ein wesentlicher Bedrohungsakteur aus dem Nahen Osten. Gegenmaßnahmen der Industrie haben jedoch die Fähigkeit der Gruppe beeinflusst, ihre Standard-Tools zu nutzen, darunter die Syncro-Plattform für Fernverwaltung und -überwachung (RMM).

Die Ereignisse Anfang Oktober 2023 zwischen der Hamas und Israel trugen dazu bei, dass mehrere politisch motivierte Hacktivistengruppen unkoordinierte und meist wenig ausgefeilte Angriffe gegen beide Seiten starteten. Eine ähnliche Entwicklung konnte schon zu Beginn des Russland-Ukraine-Kriegs beobachtet werden. Cisco Talos geht davon aus, dass sich das komplizierte und dynamische geopolitische Umfeld im Nahen Osten auch auf den Cyberbereich auswirken wird.

Weitere Erkenntnisse aus dem Talos Report:

Die Verwendung gültiger Konten war eine der am häufigsten beobachteten MITRE ATT&CK-Techniken, was unterstreicht, dass die Angreifer in verschiedenen Phasen ihrer Angriffe auf kompromittierte Anmeldedaten zurückgreifen.

Neue Ransomware-Varianten nutzten durchgesickerten Quellcode anderer RaaS-Gruppen. Das ermöglichte auch weniger erfahrenen Akteuren den Einstieg in die Ransomware-Erpressung.
Der verdächtige Netzwerkverkehr zeigte einen starken Anstieg von Aktivitäten, der mit großen geopolitischen Ereignissen und globalen Cyberangriffen zusammenfiel – beispielsweise den großangelegten DDoS-Angriff auf Microsoft Outlook.

Direkt zum Bericht auf Talosintelligence.com

 


Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.


Passende Artikel zum Thema

APT41 hat mit DodgeBox und Moonwalk aufgerüstet

Analysten des Zscaler ThreatLabs haben die neuesten Entwicklungen der chinesischen Gruppierung APT41/Earth Baku unter die Lupe genommen. Dabei haben sie ➡ Weiterlesen

Report: Fertigungsbranche im Visier von Cyberkriminellen

Laut Threat Intelligence Report haben im ersten Halbjahr 2024 insbesondere Cyberattacken auf die Fertigungsbranche und den Industriesektor zugenommen. Der Report ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Ransomware-Angriffe: Der lange Leidensweg

Ransomware-Angriffe haben verheerende Folgen für Unternehmen. Sie dauern nur kurze Zeit, aber die Wiederherstellung kann sich über Monate hinziehen. Das ➡ Weiterlesen

Fertigung: Opfer von Credential-Harvesting-Angriffen

Cyberkriminelle haben es auf die Microsoft-Anmeldedaten von US-amerikanischen und kanadischen Fertigungsunternehmen abgesehen. Ein Anbieter von Cybersicherheitslösungen hat die Angriffe aufgedeckt ➡ Weiterlesen

Tipps zum Schutz vor CEO-Fraud und Deepfake-Angriffen

Deepfake-Angriffe nehmen rasant zu und werden immer besser. Besonders gefährlich ist es für Unternehmen, wenn ein Deepfake die Stimme und ➡ Weiterlesen

Fehlende Strategien gegen technologisch fundierte Cyber-Angriffe

Viele Unternehmen haben oft keine Strategie gegen raffinierte Cyber-Attacken. 83 Prozent der Unternehmen haben nach einer Umfrage keine umfassende Strategien gegen ➡ Weiterlesen

Nur 30 Prozent haben Cybersecurity-Teams rund um die Uhr

Nur ein Drittel der befragten Unternehmen verfügt über ein Security-Team, welches 24x7x365-Cybersecurity gewährleistet. Die neue Studie deckt aber auch Lücken ➡ Weiterlesen