Ransomware: Bildungseinrichtungen global im Visier

Ransomware: Bildungseinrichtungen global im Visier

Beitrag teilen

Ransomware hat sich lediglich im 2. Quartal kurz von der Spitze der meisten Attacken verdrängen lassen. Im 3. Quartal listet der Cisco Talos Report auf, dass das Bildungswesen erstmals der am stärksten von Cyberattacken betroffener Sektor ist – durch Ransomware.

Laut Analysen von Cisco Talos Incident Response (CTIR) ist Ransomware im dritten Quartal 2022 zurück an die Spitze aller Cyber-Attacken gekommen. Wie bereits im ersten Quartal waren Erpressungsversuche die häufigste Angriffsmethode. Neben bekannten Ransomware-Vertretern wie Hive und Vice Society kamen neue Varianten wie Black Basta zum Einsatz. Einen Wechsel gab es auch bei den am stärksten betroffenen Branchen: Das Bildungswesen hat den Telekommunikationssektor abgelöst.

Angriffsliste: Bildungssektor dann Finanzwesen

Talos, eine der weltweit größten kommerziellen Threat Intelligence Organisationen, hat seine vierteljährliche Analyse zur Bedrohungslage für das dritte Quartal 2022 veröffentlicht. Demnach hatten es Angreifer am häufigsten auf den Bildungssektor abgesehen, dicht gefolgt von den Bereichen Finanzwesen, Behörden und Energie.

„Zum ersten Mal im Jahr 2022 war der Telekommunikationssektor nicht länger die am häufigsten angegriffene Branche“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Das könnte darauf hinweisen, dass die Unternehmen global ihre Schutzmaßnahmen deutlich erhöht haben und somit weniger lukrative Ziele für Angreifer sind. Aktuell müssen das Bildungswesen, die Öffentliche Hand und Energieversorger ihre Abwehr verstärken, insbesondere durch Multi-Faktor-Authentifizierung und Threat-Detection-Lösungen.“

Alte und neue Ransomware

🔎 Im 3. Quartal des Talos-Report ist Ransomware wieder die Angriffsgefahr Nr. 1 (Bild: Cisco).

Verstärkt beobachtete Talos im dritten Quartal Angriffe über die bekannten Ransomware-Familien Hive und Vice Society. Vive Society kam überproportional häufig für Cyber-Attacken auf Bildungseinrichtungen zum Einsatz, wie ein Fall aus Österreich verdeutlicht. Dabei fanden die Security-Forscher von Talos durch Analyse der Ereignisprotokolle zahlreiche Verbindungsversuche eines infizierten Hosts zu anderen Teilen des Netzwerks über das Remote-Desktop-Protokoll (RDP). Dies deutete auf eine sogenannte „Seitwärtsbewegung“ der Angreifer hin. Gemeint ist der Versuch eines Hackers, von einem kompromittierten System aus, Nutzerinformationen mit Zugriffsberechtigungen in Client-Computern zu finden, mit denen er sich dann quer durch das Netzwerk bewegen kann.

Talos fand dabei ebenfalls Indikatoren für den Einsatz der Fernzugriffssoftware AnyDesk und TeamViewer, bei denen über 50 Systeme auf TeamViewer-bezogene URLs zugriffen. Parallel wurde Windows Defender um eine Ausnahme für die Ausführung von „AnyDesk.exe“ durch das SYSTEM-Konto ergänzt.

Ransomware Black Basta ganz vorne dabei

Neben bekannten Ransomware-Familien kam auch verstärkt die neue Variante Black Basta zum Einsatz, die erstmals im April 2022 auftauchte. Deren Einschleusung wurde zum Beispiel von Qakbot-Aktivitäten vorbereitet, bei denen Thread-Hijacking und passwortgeschützte ZIP-Dateien genutzt wurden. Bei einem Angriff auf ein US-Unternehmen verschickten die Angreifer wohl zuerst eine Phishing-E-Mail mit HTML-Anhang. Wurde dieser geöffnet, initiierte er ein JavaScript, das anschließend eine bösartige ZIP-Datei herunterlud. Diese installierte dann den Trojaner Qakbot, über den die Angreifer schließlich die Ransomware Black Basta absetzten. Die darauf basierende doppelte Erpressungstechnik ist besonders perfide: Zahlt das Opfer kein Lösegeld für seine verschlüsselten Dateien, droht die Veröffentlichung von gesammelten sensiblen Informationen.

Die Ergebnisse von Talos verdeutlichen, dass die Gefahr durch Ransomware nicht gebannt ist. Denn im dritten Quartal verzeichnete der Report zum ersten Mal eine gleiche Anzahl von Ransomware- und Pre-Ransomware-Fällen, die gemeinsam fast 40 Prozent der Bedrohungen ausmachten. Pre-Ransomware-Aktivitäten bereiten den späteren Einsatz von Ransomware vor, so wie im oben beschriebenen Fall mit Black Basta.

Obwohl jede Aktivität im Vorfeld einer Ransomware-Bedrohung einzigartig ist, gibt es Gemeinsamkeiten. Dazu gehören Host Enumeration, das Sammeln von Anmeldeinformationen und die Erweiterung von Berechtigungen. Falls später doch keine Ransomware zum Einsatz kommt, hat der Angreifer eventuell trotzdem genügend Daten gestohlen, um erheblichen Schaden anzurichten.

Mehr bei Cisco.com

 


Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.


 

Passende Artikel zum Thema

28. Januar 2024: Europäischer Datenschutztag

Am 28. Januar 2024 ist Europäischer Datenschutztag. In dem Zusammenhang gilt es, das Bewusstsein für Privatsphäre sowie Datenschutz zu schärfen ➡ Weiterlesen

Gesundheitswesen bevorzugtes Ziel für E-Mail-Angriffe

In einer Umfrage war das Gesundheitswesen häufiger als der Durchschnitt von E-Mail-Sicherheitsverletzungen betroffen. Vor allem die Wiederherstellungskosten nach solchen Angriffen ➡ Weiterlesen

Outlook: Kalendereintrag kann Passwort stehlen

Es gibt eine neue Sicherheitslücke in Outlook und drei Möglichkeiten auf NTLM v2-Hash-Passwörter zuzugreifen. Der Zugang kann durch die Kalenderfunktion ➡ Weiterlesen

Cloud-Sicherheit: Hälfte aller Attacken starten in der Cloud

Die Ergebnisse einer großangelegten Studie zeigen, dass die Cloud-Sicherheit deutlichen Verbesserungsbedarf hat. Cloud-Angriffe kosten Unternehmen im Durchschnitt 4,1 Millionen USD. ➡ Weiterlesen

Viele deutsche Handwerkskammern weiterhin offline

Bereits Anfang Januar wurde der IT-Dienstleister ODAV das Opfer einer Cyberattacke. Da der Dienstleister viele Services für deutsche Handwerkskammer stellt ➡ Weiterlesen

KI: 2024 zentraler Faktor in Unternehmen

Laut einer Studie halten weltweit 82 Prozent der CTOs und CIOs großer Unternehmen KI für entscheidend für die Abwehr von ➡ Weiterlesen

Angriffe auf SSH-Server durch SSH-Tunneling

Ein Pionier im Bereich Cloud Native Security hat eine seit langem bestehende aber kaum bekannte Bedrohung für SSH-Server näher beleuchtet. ➡ Weiterlesen

Cybersicherheitsvorfälle: Fehlendes Budget ist ein Risikofaktor

Laut einer Umfrage liegt in 18 Prozent der Cybersicherheitsvorfälle der Grund dafür an fehlendem Budget für Cybersicherheit. Die Fertigungsbranche ist ➡ Weiterlesen