Studie: Cyber-Attacken nutzen Tools

Cyber-Attacke

Beitrag teilen

Kaspersky teilt mit: In 25 Prozent der Cyber-Attacken in Europa missbrauchen Cyberkriminelle legitime Tools für ihre weiteren Aktivitäten. Am meisten nutzen sie Programmschwachstellen als Einfallstore ins Unternehmensnetzwerk oder Fernzugriffstools um Daten zu stehlen. 11,1 Prozent der Incident Responses in Europa stammen aus Deutschland; 25,9 Prozent aus der Schweiz.

Ob Finanzinstitute oder Unternehmen aus Telekommunikation, Industrie, Transport und Logistik – europäische Organisationen jeglicher Branche haben mit Cyberangriffen zu kämpfen. So betrafen fast ein Viertel (24 Prozent) der weltweit von Kaspersky analysierten Vorfallreaktionen (Incident Responses) im vergangenen Jahr Europa, das ist Platz zwei nach dem Mittleren Osten (32,6 Prozent). Am häufigsten lösten verdächtige Dateien (36,2 Prozent), bereits verschlüsselte Daten (21,3 Prozent) oder verdächtige Aktivitäten an den Endpoints (10,6 Prozent) eine Vorfallreaktion bei Unternehmen aus. Das Problem dabei: die Hälfte der Vorfälle wird erst nach einigen Wochen entdeckt, der Schaden ist also bereits entstanden. Darüber hinaus stehen ein Viertel der Sicherheitsvorfälle in Verbindung mit legitimen Verwaltungs- und Fernzugriffstools, die Sicherheitslösungen als Angriffe nur schwer erkennen können und die in Zeiten des Arbeitens von Zuhause sich großer Beliebtheit erfreuen.

Anzeige

Cyber-Attacken fallen teilweise erst spät auf

Unternehmen erkennen Cyberangriffe zum einen an auffälligen negativen Auswirkungen wie verschlüsselten Daten, Geldverlust oder geleakten Daten sowie aufgrund von Warnungen, die sie von ihren Sicherheitslösungen erhalten. Bei der Analyse der Vorfallreaktionen in Europa stellten die Kaspersky-Experten fest, dass in mehr als einem Drittel (35,3 Prozent) der Fälle ausgenutzte Programm-Schwachstellen das Einfallstor in das Unternehmensnetzwerk waren. Als weitere erste Angriffsvektoren konnten identifiziert werden:

  • schädliche E-Mails (29,4 Prozent),
  • externe Datenträger (11,8 Prozent),
  • Ausnutzung von Schwachstellen aufgrund fehlerhafter Konfiguration (11,8 Prozent),
  • geleakte Zugangsdaten (5,9 Prozent)
  • sowie Insider (5,9 Prozent)

Betroffen sind dabei Unternehmen jeglicher Branche. So stammten die von Kaspersky analysierten Incident Responses von Organisationen im Bereich Finanzen (25,4), Telekommunikation (16,9 Prozent), Industrie (16,9 Prozent) oder Transport (13,6 Prozent). Etwa jede zwölfte Vorfallreaktion stammte aus Behörden (8,5 Prozent).

Verwaltungs- und Fernzugrifftools sind Risiko für Unternehmen

Waren die Angreifer erst einmal im Netzwerk, missbrauchten sie in 25 Prozent der analysierten Incident Responses legitime Tools, um Schaden anzurichten. Diese dienen eigentlich IT- und Netzwerkadministratoren unter anderem dazu, Fehler zu beheben und den Mitarbeitern technischen Support zu bieten. Jedoch können Cyberkriminelle damit Prozesse auf Endpunkten ausführen, auf vertrauliche Informationen zugreifen und diese extrahieren, wobei verschiedene Sicherheitskontrollen zur Erkennung von Malware umgangen werden.

Bei der Analyse der Incident Responses konnten die Kaspersky-Experten 18 verschiedene legitime Tools identifizieren, die von Angreifern für schädliche Zwecke missbraucht wurden. Bei der Hälfte der in Europa analysierten Fälle (50 Prozent) wurden das mächtige Verwaltungstool PowerShell, das für viele Zwecke verwendet werden kann, vom Sammeln von Informationen bis zum Ausführen von Malware, und PsExec, das zum Starten von Prozessen auf Remote-Endpunkten verwendet wird, genutzt. SoftPerfect Network Scanner, mit dem Informationen zu Netzwerkumgebungen abgerufen werden, in 37,5 Prozent der Angriffe.

Legitime Software verschleiert Attacken

„Um eine Erkennung zu vermeiden und in einem gefährdeten Netzwerk so lange wie möglich unsichtbar zu bleiben, verwenden Angreifer häufig Software, die für normale Nutzeraktivitäten, Administratoraufgaben und Systemdiagnosen entwickelt wurde“, erklärt Konstantin Sapronov, Leiter des globalen Notfallteams bei Kaspersky. „Mit diesen Tools können Angreifer Informationen über Unternehmensnetzwerke sammeln und sich darin bewegen, Software- und Hardwareeinstellungen ändern oder sogar schädliche Aktionen ausführen – sie könnten legitime Software verwenden, um Kundendaten zu verschlüsseln. Legitime Software kann Angreifern dabei helfen, unter dem Radar von Sicherheitsanalysten zu bleiben, da sie den Angriff häufig erst erkennen, nachdem der Schaden angerichtet wurde. Es ist aus vielen Gründen nicht möglich, diese Tools auszuschließen. Ordnungsgemäß eingesetzte Protokollierungs- und Überwachungssysteme helfen jedoch dabei, verdächtige Aktivitäten im Netzwerk und komplexe Angriffe in früheren Phasen zu erkennen.“

Unternehmen sollten die Implementierung einer Endpoint-Detection-and-Response-Lösung mit einem MDR-Service in Betracht ziehen, um solche Angriffe rechtzeitig erkennen und darauf reagieren zu können. MITRE ATT&CK® Round 2 Evaluation [2], bei der verschiedene Lösungen wie Kaspersky EDR und Kaspersky Managed Protection Service evaluiert wurden, kann Unternehmen bei der Auswahl von EDR-Produkten unterstützen, die den eigenen Anforderungen entsprechen. Die Ergebnisse der ATT&CK-Evaluierung belegen die Bedeutung einer umfassenden Lösung, die ein vollautomatisches mehrschichtiges Sicherheitsprodukt und einen manuellen Threat-Hunting-Service kombiniert.

Kaspersky-Schutztipps für Unternehmen

  • Den Zugriff auf Remoteverwaltungstools von externen IP-Adressen beschränken und sicherstellen, dass auf Fernbedienungsschnittstellen nur von einer begrenzten Anzahl von Endpunkten aus zugegriffen werden kann.
  • Eine strenge Passwort-Richtlinie für alle IT-Systeme und den Einsatz von Multi-Faktor-Authentifizierung durchsetzen.
  • Mitarbeitern eingeschränkte Privilegien anbieten und Konten mit hohen Privilegien nur denjenigen gewähren, die dies zur Erfüllung ihrer Aufgabe benötigen.
  • Installation einer dedizierten Sicherheitslösung wie Kaspersky Endpoint Security for Business [3] auf allen Windows-, Linux- und MacOS-Endpunkten. Dies ermöglicht den Schutz vor bekannten und unbekannten Cyberbedrohungen und bietet eine Reihe von Cyber-Sicherheitskontrolloptionen für jedes Betriebssystem.
  • SOC-Teams Zugang zu den neuesten Erkenntnissen über Bedrohungen mittels Threat Intelligence [4] ermöglichen, damit es über Instrumente, Techniken und Taktiken von Bedrohungsakteuren auf dem Laufenden bleibt.
  • Regelmäßige Erstellung von Backups aller relevanten Geschäftsdaten. Auf diese Weise können wichtige Daten schnell wiederhergestellt werden, die mittels Ransomware verschlüsselt und unbrauchbar gemacht wurden.

Weitere Erkenntnisse des Incident Response Analyst Report von Kaspersky sind online verfügbar.

Mehr dazu bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Open-Source-Tool zur Analyse von Linux-Malware

Mit dem neuen Open-Source-Tool können SOC-Teams und Entwickler die Sicherheit überwachen und Bedrohungen untersuchen. Traceeshark kombiniert die dynamische Analyse von ➡ Weiterlesen

Cyberkriminalität: Aktuelle Bedrohungen und Taktiken

Ein Anbieter im Bereich Connectivity Cloud stellt seine Forschungsdaten zur weltweiten Cyberkriminalität der Allgemeinheit zur Verfügung. Sie haben Angreifer aufgespürt, ➡ Weiterlesen

NIS2: Veraltete Software ist ein Risiko

NIS2 betrifft Unternehmen, die zur kritischen Infrastruktur gehören. Sie alle müssen prüfen, ob die Software ihrer Geräte auf dem neuesten ➡ Weiterlesen

Quishing: Phishing mit QR-Codes

In Anlehnung an Albert Einstein ließe sich wohl sagen, dass der kriminelle Einfallsreichtum der Menschen unendlich ist. Der neueste Trend ➡ Weiterlesen

Authentifizierungs-Codes geknackt

Forscher in China haben einen Ansatz demonstriert, der erfolgreich auf kürzere Authentifizierungs- und Verschlüsselungscodes abzielt - allerdings noch nicht auf ➡ Weiterlesen

Drei Schritte zur quantensicheren Verschlüsselung (PQC)

Vor wenigen Wochen hat das US-amerikanische National Institute of Standards and Technology (NIST) die ersten drei – von insgesamt vier ➡ Weiterlesen

Eine aktuelle Software Bill of Materials ist die Ausnahme

Eine Software Bill of Materials (SBOM), also eine Stückliste aller Software-Komponenten in einem vernetzten Gerät, stellt in der deutschen Industrie ➡ Weiterlesen

IT-Sicherheit für alle – kostenlose Sicherheitstools

Ein führender Anbieter im Bereich Connectivity Cloud stellt mehrere wichtige Sicherheitstools, die oft teuer sind, Unternehmen kostenlos zur Verfügung. Dies ➡ Weiterlesen