Report 2023: Dominanz von Ransomware

30. Oktober 2023
| Keine Kommentare
Report 2023: Dominanz von Ransomware

Beitrag teilen

Die Zunahme von Ransomware, COTS-Malware und Angriffen auf Cloud-Anbieter bringt neue Herausforderungen für Cybersicherheitsteams mit sich. Der Elastic Global Threat Report 2023 zeigt deutlich die Dominanz von Ransomware unter der gesamten Malware.

Der Global Threat Report von Elastic Security Labs basiert auf der Analyse von über 1 Milliarde Datenpunkten aus den letzten zwölf Monaten. Er zeigt, dass Ransomware weiter auf dem Vormarsch ist und sich immer weiter diversifiziert: Mehr als die Hälfte aller beobachteten Malware-Infektionen fand auf Linux-Systemen statt und Credential-Access-Verfahren bei Einbrüchen in Cloud-Systeme gehören inzwischen zum Standard. Zusammengefasst die die wichtigsten Erkenntnisse aus dem Bericht:

Trends bei Malware

🔎 Der Elastic Global Threat Report 2023 zeigt deutlich die Dominanz von Ransomware unter der gesamten Malware (Bild: Elastic).

Der Großteil der beobachteten Malware setzte sich aus einigen wenigen, weit verbreiteten Ransomware-Familien und sogenannten COTS-Tools (Commercial Off-the-Shelf) zusammen. Da immer mehr finanziell motivierte Threat Communities Malware-as-a-Service(MaaS)-Funktionen einsetzen oder sogar anbieten, sollten Unternehmen vorrangig in die Entwicklung von Security-Funktionen mit umfassender Sichtbarkeit von Low-Level-Verhaltensweisen investieren, um bisher unentdeckte Bedrohungen aufzudecken.

  • Die am weitesten verbreiteten Ransomware-Familien, die wir anhand von Signaturen identifiziert haben, sind BlackCat, Conti, Hive, Sodinokibi und Stop. Sie waren für etwa 81 Prozent aller Ransomware-Aktivitäten verantwortlich.
  • COTS-Malware-Funktionen wie Metasploit und Cobalt Strike standen hinter 5,7 Prozent aller Signaturereignisse. Auf Windows-Systemen machten diese Familien etwa 68 Prozent aller Infektionsversuche aus.
  • Etwa 91 Prozent der Malware-Signaturereignisse stammten von Linux-Endpoints, während die Zahl bei Windows-Endpoints nur bei etwa 6 Prozent lag.

Trends beim Endpoint-Verhalten

Technisch besonders versierte Threat-Gruppen umgehen Sicherheitsmaßnahmen, indem sie sich auf Edge-Geräte, Appliances und andere Plattformen mit sehr geringer Sichtbarkeit zurückziehen. Der Bericht unterstreicht, dass es für Unternehmen noch nie so wichtig war wie heute, sich einen Überblick über die Manipulationssicherheit ihrer Endpoint-Security-Sensoren zu verschaffen und Monitoring-Projekte in Betracht zu ziehen. So können sie anfällige Gerätetreiber aufspüren, mit denen Sicherheitstechnologien außer Kraft gesetzt werden können. Organisationen mit großen Windows-Umgebungen sollten außerdem anfällige Gerätetreiber aufspüren, um diese grundlegenden Technologien zu deaktivieren.

  • Zusammen betrachtet gehen mehr als 70 Prozent aller Endpoint-Alerts auf Execution- und Defense-Evasion-Operationen zurück.
  • Die unauffälligsten Methoden hat Elastic auf Windows-Endpoints beobachtet, die mit 94 Prozent aller Endpoint-Verhaltens-Alerts das Hauptziel von Angriffen waren, gefolgt von macOS-Endpoints mit 3 Prozent.
  • Das macOS-spezifische Credential-Dumping war für erstaunliche 79 Prozent aller Credential-Access-Fälle verantwortlich – im Vergleich zum Vorjahr ein Anstieg von etwa 9 Prozent. Unseren Beobachtungen zufolge wurden dabei in Windows-Umgebungen zu mehr als 78 Prozent der Zeit ProcessDump.exe, WriteMiniDump.exe und RUNDLL32.exe verwendet.

Trends bei der Cloud-Security

Je mehr Unternehmen von der lokalen Bereitstellung auf hybride oder vollständig cloudbasierte Umgebungen umstellen, desto stärker werden Fehlkonfigurationen, lockere Zugriffskontrollen, ungesicherte Anmeldedaten und nicht funktionierende PoLP-Modellen (Principle of Least Privilege) ausgenutzt. Organisationen können das Risiko eines erfolgreichen Angriffs deutlich reduzieren, wenn sie die von ihren Cloud-Anbietern bereits unterstützten Security-Features implementieren und ihre Umgebung auf gängige Versuche des Credential-Missbrauchs überwachen.

  • Für Amazon Web Services zeichnet sich nach Auswertung der Bedrohungserkennungssignale bei der Häufigkeit der verschiedenen Taktiken die folgende Reihenfolge ab: Defense Evasion (38 Prozent), Credential Access (37 Prozent) und Execution (21 Prozent).
  • 53 Prozent der Credential-Access-Ereignisse standen im Zusammenhang mit kompromittierten legitimen Microsoft Azure-Konten.
  • Bei Microsoft 365 wurde mit 86 Prozent ein hoher Anteil von Credential-Access-Signalen festgestellt.
  • 85 Prozent der Threat-Detection-Signale bei Google Cloud standen im Zusammenhang mit Defense Evasion.
  • Etwa 61 Prozent aller Kubernetes-spezifischen Signale entfielen auf Discovery.Dabei handelte es sich überwiegend um unerwartete Dienstkontoanfragen, die abgelehnt wurden.

„In Zeiten, in denen Angreifende sich immer mehr zu kriminellen Unternehmen entwickeln, die ihre Angriffsstrategien zu Geld machen, kennt die Bedrohungslandschaft von heute wirklich keine Grenzen mehr“, so Jake King, Head of Security Intelligence und Director of Engineering bei Elastic „Open Source, handelsübliche Malware und der Einsatz von KI haben die Einstiegshürde für Angreifende gesenkt.Aaber wir beobachten auch den zunehmenden Einsatz von automatisierten Erkennungs- und Reaktionssystemen, mit denen das IT-Personal seine Infrastrukturen besser schützen kann. Das Ganze ist ein Katz-und-Maus-Spiel und unsere stärksten Waffen sind Wachsamkeit und kontinuierliches Investieren in neue Verteidigungstechnologien und ‑strategien.“

Mehr bei Elastic.co

 

Über Elastic

Elastic ist eine führende Plattform für Suche-basierte Lösungen. Elastic weiß, dass es nicht nur um die Daten, sondern auch um die Antworten geht. Mit der Elasticsearch-Plattform kann jede und jeder die Antworten finden, die sie oder er benötigt – in Echtzeit und unter Nutzung des gesamten Datenbestands, so groß dieser auch sein mag. Elastic liefert komplette, cloudbasierte und KI-gestützte Lösungen für Enterprise Security, Observability und Suche auf der Basis der Elasticsearch-Plattform, einer Entwicklungsplattform, die bereits von Tausenden von Unternehmen genutzt wird, darunter mehr als 50 % der „Fortune 500“-Unternehmen.

 

Passende Artikel zum Thema

Risikomanagement App für Microsoft 365

Die Risikomanagement App Cockpit ist eine fertige Plug & Play-Lösung, die über Desktop oder Smartphone bedient werden kann. Sie identifiziert, ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

1 Mill. Euro Preisgelder für 58 Zero-Day-Schwachstellen

Trend Micros Zero Day Initiative (ZDI) vergibt Preisgelder an ethische Hacker für das Aufdecken von Schwachstellen beim Pwn2Own Hacking-Wettbewerb. Für ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Proaktiv: Investitionen in IT-Sicherheit als Geschäftsstrategie

IT-Sicherheit ist nicht nur eine Investition, die den Schutz der Unternehmenswerte gewährleistet. Sie schafft auch einen erheblichen Mehrwert für Kunden ➡ Weiterlesen

Höchste Verschlüsselung mit Quantencomputer geknackt?

Die aktuell höchste Verschlüsselung ist der RSA-2048-Schlüssel. Diesen will nun der Forscher Ed Gerck Ph.D, Physiker und Mathematiker, mit einem ➡ Weiterlesen

PR-Meldungen
, , , , ,