Cyber-Kriminalität
Spot an: Derzeitige cyberkriminelle Trends
Es ist wieder an der Zeit, die Erkenntnisse aus unserer permanenten Analyse der kriminellen Aktivitäten zu veröffentlichen. Spezialisierung auf Teilbereiche von Angriffen liegt im Trend, raffinierte Ransomware bleibt der Renner genauso wie angreifbare Schwachstellen.
Save to Folio
Ein Teil unserer Aufgabe besteht darin, unsere Gegner, sprich Cyberkriminelle, zu beobachten und ihre Methoden zu analysieren. Die Erkenntnisse dieser Aktivitäten fließen selbstverständlich in die Entwicklung und den Betrieb unserer Lösungen ein. Wir veröffentlichen die Untersuchungsergebnisse in verschiedenen Formen und Medien und darüber hinaus geben wir an Interessierte Einblicke in den digitalen Untergrund und in aktuelle Bewegungen. Derzeit sind die technische Spezialisierung unter den cyberkriminellen Gruppen sowie immer raffiniertere Ransomware und Schwachstellen die wichtigsten Themen.
Mehr zu aktuellen Bedrohungen gibt es auch in unserer Webinar-Aufzeichnung
Cyberkriminalität als Untergrundmarkt
Erst die Möglichkeit der Bezahlung erlaubt die Entstehung hochwertiger (teurer) Dienstleistungen. Dies erleben wir derzeit in der Cyberkriminalität. Wurden Dienstleistungen früher mit gestohlenen Kreditkarten über Zwischenhändler oder „Money Mules“ angeboten, erlauben Kryptowährungen wie Monero heutzutage eine akkurate Entlohnung von Spezialisten. Entsprechend werden Teilbereiche von Cyberattacken als Dienstleistungen angeboten. So gibt es Gruppen, die sich auf das Eindringen in IT-Systeme spezialisieren und die Leistung Access as a Service anbieten, oder andere, die für die Entwicklung von Software zur Verschlüsselung oder „Pen-Testing“ angemessen entlohnt werden. Daher können moderne Gruppen wie Conti, REvil oder Emotet in ihrer Entwicklung eher mit Unternehmen verglichen werden. Aus geleakten Diskussionen speziell zur Conti- Gruppe geht hervor, dass der Grad der Professionalität Bonuszahlungen, Urlaubsanträge und Gehaltsgespräche beinhaltet. Das „Unternehmen“ hatte vor seiner Auflösung im Mai dieses Jahres mehr als 150 „Angestellte“ und verfügte zusätzlich über „Fachhandelspartner“ bzw. „Affiliates“.
Digitale Erpressung
Die cyberkriminellen Schwerverbrecher sind heutzutage die Erpresser. Unternehmensdaten werden gestohlen und/oder verschlüsselt und das Opfer je nach Schwere des Schadens erpresst. Die Angreifer verfügen dabei über technische Expertise und Werkzeuge, die mit legalen Pen-Testing-Anbietern vergleichbar sind. Das Ziel der Täter ist es, zunächst die Kontrolle der vorhandenen IT-Security-Infrastruktur entweder durch den Diebstahl von Passwörtern und/oder Erschleichen von Privilegien (z.B. Domain Admin) zu erlangen. Zahlt ein Opfer eines Datendiebstahls nicht, werden diese Infos von den Hackern veröffentlicht. Von November 2019 bis März 2022 wurden durch die 10 gefährlichsten Ransomware-Gruppen Daten von über 3000 Unternehmen veröffentlicht. Trend Micro hat die Opfer der zwei erfolgreichsten Gruppen, Conti und Lockbit, näher untersucht. Beide konzentrieren sich vorwiegend auf Unternehmen in Nordamerika und Europa. Beide greifen Firmen aller Größen an, wobei ein Schwerpunkt im Mittelstand (50 – 5000 Mitarbeiter) liegt.
Die interessantesten neuen Entwicklungen im Ransomware-Bereich gab es auf politischer Ebene. So erklärte Conti im Februar die vollständige Unterstützung für Russland, was eine Ereigniskette in Gang setzte, die letztlich zur Auflösung der Täter im Mai führte.
Schwachstellen
Cyberkriminelle können darauf vertrauen, dass es in den Unternehmen Softwareschwachstellen gibt. Oft sind sie sogar bekannt, werden aber in der Risikobetrachtung als nicht kritisch eingeschätzt. Auch ändert sich die Kritikalität einer bekannten Sicherheitslücke dynamisch mit den technischen Möglichkeiten der Akteure, und selbst jahrelang bekannte als relativ unkritisch eingestufte Lücken können durch das erfolgreiche Einbinden in cyberkriminelle Aktivitäten ein ungeheures Schadenspotenzial entwickeln. Und es hat sich gezeigt, dass Cyberkriminelle solche älteren Schwachstellen durchaus attraktiv finden: Derzeit sind 787 aktiv ausgenutzte bekannt (Stand 08. Juli 22). Betroffen sind alle Softwarehersteller, wobei 2021 wegen der häufigeren Nutzung des Home Offices eine verstärkte Zuwendung zu VPN-Schwachstellen zu beobachten war.
IT-Risiko Mensch
Menschliche Risiken lassen sich grundsätzlich in zwei Kategorien einordnen. Am bekanntesten sind Aktionen, die mit Hilfe von Social Engineering Menschen dazu verleiten, ohne es zu bemerken, Cyberkriminellen zu helfen. Diese Aktivitäten sind abhängig von der Zielstrebigkeit der Täter. So bot z.B. die Gruppe Lapsus$ an, einem Mitarbeiter Geld für Login-Daten zu zahlen. Diese und ähnlich „ausgeklügelte“ Techniken erlaubten es den Tätern (16-jährigen Schülern) bei Unternehmen wie Microsoft, Ubisoft oder Nividia Schäden zu verursachen.
Fortschrittlichere Angriffsmethoden sind dagegen nicht mehr nur auf eine Mail begrenzt. In einem inzwischen durch Interpol und das nigerianische EFCC aufgedeckten Fall (Operation Killerbee) wurde eine Gruppe verhaftet, die vor dem eigentlichen Angriff eine normale Geschäftskonversation mit dem Opfer führte und hierzu sogar einen Webauftritt gestaltete. Die verschlüsselte Angriffsdatei wurde angekündigt und das Passwort vorab zugesendet. Von einem „menschlichen Fehler“ zu sprechen, verbietet sich an dieser Stelle, denn das Opfer hatte keine Chance.
Zu der zweiten Kategorie gehören Fehlkonfigurationen. Darunter fällt u.a. auch das bewusste Ausschalten von Sicherheitsfunktionalität, um Performance zu sparen, oder der Einsatz schwacher Passwörter. Aus Sicherheitssicht wiegen diese „Fehler“ in der Regel schwerer als alles, was IT-technische Laien in der Lage sein sollten anzurichten. Viel häufiger ist es Unkenntnis oder bewusste Risikokalkulation, die für Schwachstellen sorgen.
Untersuchungen des Security Posture Managements Cloud One Conformity zufolge sind zwei von drei virtuellen Maschinen in der Azure Cloud nicht nach Best Practice Empfehlungen von Microsoft konfiguriert. Derartige Fehlkonfigurationen wirken sich unterschiedlich aus und können der ganzen Welt - inklusive Cyberkriminellen - Zugriff auf Daten erteilen. Natürlich aber kann genau das die Absicht des Kunden sein, weshalb Cloud Provider diese technischen Möglichkeiten anbieten.
Cryptomining
Fehlkonfigurationen vor allem in Cloud- und Container-Umgebungen haben einer im Verhältnis neuen aber wesentlich kleineren cyberkriminellen Branche zum Aufstieg verholfen. Das Schürfen von Kryptowährungen wie Bitcoin ist an sich nicht verboten. Die dafür installierte Software nutzt aber die zur Verfügung stehende Rechenleistung für das Mining. Dadurch entstehen vorwiegend Energiekosten bzw. Verschleißkosten bei der eingesetzten Hardware. Durch den Anstieg der Energiepreise wird das „Schürfen“ von Kryptowährungen zunehmend unattraktiv, zumindest, solange man selbst die Energierechnungen bezahlen muss. Genau deshalb halten zunehmend Gruppen nach ungeschützten Systemen Ausschau, um diese für ihre Zwecke zu missbrauchen.
Der Zugriff beim Cryptomining erfolgt weitestgehend automatisiert. Die Täter suchen Skript-gesteuert nach verwundbaren Systemen, und auch die Installation des Miners sowie dessen Einrichtung erfolgen automatisiert. Bösartige Coinminer arbeiten dabei alles andere als effizient. Nach einer von Trend Micro durchgeführten Hochrechnung wurde für einen Gewinn von 2.500 $ Energie im Wert von knapp 12.000 $ verbraucht (Juni 2021). Dabei sind die Kosten für einzelne Unternehmen meist so gering, dass es selten zu Anklagen/Verhaftungen kommt und die Malware oft sehr lange unbemerkt bleibt. Viele der Cryptomining-Gruppen sehen sich deshalb auch nicht als Cyberkriminelle, da sie „nur“ verbrauchen, was sonst ungenutzt herumliegt. Nicht selten nutzen allerdings die Access as a Service-Spezialisten Cryptominer, um die Funktionalität ihrer Zugänge nachzuweisen bzw. als Verdienstmöglichkeit bevor ihre „Kunden“ den Zugang übernehmen.
Hacktivisten & Cybersöldner
Durch den Krieg in der Ukraine hat eine Gruppe Cyberangreifer mediale Aufmerksamkeit auf sich gezogen, die es schon sehr lange gibt. Hacktivisten hacken für einen politischen oder sonstigen Zweck und nicht wegen finanziellen Gewinns. Sie wollen Aufmerksamkeit und stehlen Daten, die sie direkt veröffentlichen oder für Erpressungen mit nicht monetären Forderungen nutzen. Auch Sabotage, Zerstörung, das Bloßstellen von Unternehmen und Einzelpersonen gehören zu ihrem Repertoire.
Der Begriff Cybersöldner ist dabei relativ neu und bezeichnet Menschen, die weniger ihrer eigenen politischen Überzeugung folgen als vielmehr bezahlte Dienstleistungen im Namen einer Regierung oder anderen Gruppierung durchführen. Faktisch kann selten geklärt werden, ob ein solcher Täter im eigenen oder fremden Namen agiert. Im aktuellen Krieg sind derartige Hacker auf beiden Seiten tätig, aber angegriffen werden nicht nur die direkten Kriegsteilnehmer. So gab es u.a. auch Hacktivisten-Attacken auf die Bundesregierung. Die große Gefahr bei diesen Gruppen besteht darin, dass sie selbst nach Kriegsende nicht unbedingt auf ihre erworbenen Fähigkeiten verzichten, sondern weiterhin versuchen diese einzusetzen. Als Cybersöldner im Auftrag eines Landes, einer Firma oder auch privat als Cyberkrimineller. Im Moment werden diese Menschen ausgebildet und im „Fronteinsatz“ trainiert.
Abwehr & Verteidigung
Unternehmen müssen heutzutage damit rechnen, dass sich die Cyberkriminalität weiter professionalisiert und auch quantitativ zulegt. Zudem könnte mit Russland ein bedeutender Staat diese Täter bewusst fördern. In der eigenen Organisation reißen moderne Technik, die Mitarbeiter, sowie die Dynamik der IT immer wieder Sicherheitslöcher auf, und viele davon können nicht mehr wirtschaftlich tragbar verschlossen werden, wenn sich das Anwenderunternehmen ihrer überhaupt bewusst wird.
Dabei wird es zunehmend wichtiger, den Überblick über die eigene Infrastruktur zu behalten, IT-Security-Risiken zu erkennen und zu qualifizieren sowie Reserven für den Notfall bereit zu halten. Dies ist selbst für ein Unternehmen des Mittelstands nur noch schwer mit eigenen Ressourcen zu stemmen. Die Empfehlung ist deshalb mit Security-Herstellern und Fachhandel eine Partnerschaft einzugehen, die neben Technologie auch Serviceleistungen beinhaltet, um sinnvoll die eigenen Fähigkeiten zu ergänzen.
Mit Trend Micro One bieten wir ein Konzept an, mit dem Anwender Cyberrisiken im gesamten Unternehmen besser verstehen, kommunizieren und eindämmen können.