Dem risiko einen schritt voraus: Trend Micro Bericht zu Bedrohungen für die Cybersicherheit – Jahresmitte 2023
20/23
DEM RISIKO EINEN
SCHRITT VORAUS
Trend Micro Bericht zu Bedrohungen für die Cybersicherheit – Jahresmitte 2023
Proaktive und ganzheitliche Sicherheitslösungen sind von kritischer Bedeutung, wie dieser Bericht zu Bedrohungen für die Cybersicherheit zeigt. Illegale Akteure ändern ihre Ziele, nutzen Innovationen und werden kreativer, um ihre Effizienz und Produktivität zu steigern.
KI-gestützte Tools haben betrügerische Aktionen einfacher gemacht, die Optimierung von Zielen automatisiert und die Skalierbarkeit mit einer Vielzahl neuer Delikte erhöht. Ransomware-Akteure haben in diesem Jahr zunehmend Bring-Your-Own-Vulnerable-Drives (BYOVD) angegriffen und gleichzeitig Zero-Day-Schwachstellen genutzt, etwa in GoAnywhere, 3CX, PaperCut und MOVEit. Und Unternehmen werden nach wie vor durch schwache oder Standardpasswörter bedroht.
Die Daten zum Angriffsflächen-Risikomanagement (Attack Surface Risk Management, ASRM) zeigen, dass in den USA, in Brasilien und in Indien im ersten Halbjahr 2023 die meisten Risikoereignisse erkannt wurden. Die Branchen Fertigung, Gesundheitswesen und Technologie waren in diesem Zeitraum am stärksten betroffen.
Die folgenden Infografiken präsentieren Highlights aus den telemetrischen Daten, die eine umfassende Sicht auf die Angriffsflächen von 500.000 kommerziellen Kunden und Millionen von Verbraucherkunden bieten. Mithilfe nativer Sensoren für Endpunkte, E-Mail, Messaging, Netzwerk- und Webverkehr, die Cloud und operative Technologien ergeben sich die wichtigsten Techniken, Taktiken und Trends bei den Aktivitäten von Bedrohungsakteuren. Außerdem sind Ziele in der Risikolandschaft aufgeführt, darunter Bedrohungen im Zusammenhang mit Ransomware, Cloud und Unternehmen sowie Advanced Persistent Threats (APT). All dies ist auf einen Blick verfügbar.
RANSOMWARE
Nutzen Sie einen Shift-Left-Ansatz, um vernetzten Ransomware-Gruppen mit ständig wechselnden Zielen einen Schritt voraus zu sein
Ransomware-Gruppen aktualisieren nach wie vor ihre Tools und Techniken, um die Zahl der möglichen Ziele zu vergrößern und Daten effizient zu extrahieren. Anfang des Jahres tauchte ein neuer Akteur auf, Mimic. Dieser Akteur missbrauchte das legitime Suchtool Everything, um Erweiterungen und Namen von Dateien abzufragen. Dadurch konnte er feststellen, welche Daten verschlüsselt und welche Dateien vermieden werden sollten. Gleichzeitig erweiterte die Ransomware Royal die Zahl der möglichen Ziele dank eines Updates, das auf Linux-Plattformen ausgerichtet war.
Untersuchungen von Royal und Mimic deuten auf Verbindungen zur größeren und bekannteren Ransomware-Gruppe Conti hin. Die Untersuchung von TargetCompany zeigte Verbindungen zu anderen Familien wie BlueSky und der Ransomware GlobeImposter auf. Diese Verbindungen belegen, dass die These einer Ransomware-Revolution zutrifft: Die Zusammenarbeit verschiedener Gruppen kann die Kosten senken, die Marktpräsenz verbessern und gleichzeitig die Effektivität der kriminellen Aktivitäten wahren.
Der finanzielle Gewinn könnte dabei nicht die einzige Motivation für Ransomware-Gruppen darstellen. Möglicherweise rekrutieren staatliche Stellen die Akteure, statt sie strafrechtlich zu verfolgen. Im Mai-Bericht zur RomCom-Backdoor ging es um die Frage, inwiefern die Nutzung der Backdoor für geopolitisch motivierte Angriffe auf die Ukraine seit mindestens Oktober 2022 auf eine Veränderung bei den Zielen von Void Rabisu hindeutet. Die Ransomware-Angriffe der jüngsten Zeit sind jetzt hinsichtlich Fähigkeiten, Vorgehensweise und Angriffsmöglichkeiten mit APT-Gruppen vergleichbar.
Ransomware-Akteure, die ihre Angriffe aus finanziellen Gründen ausführen, könnten auch versuchen, mit extrahierten Daten Kryptowährungen zu stehlen. Sie könnten außerdem Business-Email-Compromise(BEC)-Delikte begehen und Aktienmärkte mit Short-and-Distort-Systemen manipulieren. Kryptowährungen haben auch dazu geführt, dass Zahlungsschemata für Bedrohungsakteure vorteilhafter sind. Dies unterstreicht die Notwendigkeit eines Shift-Left-Ansatzes: Es gilt, das Eindringen von Bedrohungen in das Netzwerk von vornherein zu verhindern. Dies ist besonders wichtig, wenn Ransomware-Angriffe erwartet werden, die erst nach einem erfolgreichen Zugriff und dem Extrahieren von Daten zur Erpressung führen.
WEITERE LESEEMPFEHLUNGEN
KÜNSTLICHE INTELLIGENZ
KI-Innovationen vereinfachen Aufgaben, auch für Cyberkriminelle
Bereits 2021 beschleunigten 52 % der Unternehmen aufgrund der COVID-19-Krise ihre Pläne für die KI-Einführung. Mittlerweile beginnen immer mehr Organisationen damit, KI-Funktionen in ihren Betrieb einzubetten. Die KI-Einführung setzte sich im letzten Jahr in einem stabilen Tempo fort. 35 % der Unternehmen nutzen jetzt KI-Funktionen. Jedes vierte Unternehmen führt KI-Anwendungen ein, um Lücken bei Arbeitskräften und Qualifikationen zu schließen. Zwei von drei Unternehmen planen den Einsatz von KI-Anwendungen mit dem Ziel, ihre Nachhaltigkeitsziele zu erreichen.
Die Cybersicherheitsbranche kann auch eine zunehmende Nachfrage nach Identity-Awareness-Techniken zur Bekämpfung von Betrug erwarten. Gleichzeitig steigt die Zahl der Cyberkriminellen, die KI-Funktionen einsetzen, um virtuelle Verbrechen effizienter auszuführen. Virtuelle Entführer verwenden zurzeit beispielsweise das Klonen von Stimmen, SIM-Jacking, ChatGPT und Social-Network-Analysis-and-Propensities(SNAP)-Modelle, um die profitabelsten Ziele zu identifizieren und ihre Tricks anzuwenden.
ChatGPT und andere KI-Tools erstellen unterdessen verschachtelte Automatisierungsebenen. Sie sammeln Informationen, bilden Zielgruppen, identifizieren anfällige Verhaltensweisen und priorisieren anhand der voraussichtlichen Einnahmen. Ihr Ziel ist es, bekannte Opfer („große Fische“) in Harpunenangriffe und Romance Scams zu locken. Andere Bedrohungsakteure spielen auf lange Sicht und betrügen ihre Opfer durch Investitionsbetrügereien mit Kryptowährungen, das sogenannte Schweineschlachten. Es gibt auch Berichte, dass KI-basierte Codierungsassistenten und ChatGPT dazu gebracht werden können, schädlichen Code zu schreiben.
Diese Arten von Cyberkriminalität werden häufiger werden, wenn immer mehr Personen und Unternehmen künstliche Intelligenz einsetzen und in sie investieren mit dem Ziel, ihren Betrieb zu optimieren.
SCHWACHSTELLEN
Cyber Risk Index sinkt auf ein mäßiges Niveau; aufgrund der eingeführten Innovationen gibt es jedoch weiter zahlreiche Bedrohungen
Laut einer Umfrage unter mehr als 3.700 Unternehmen in vier Regionen ist der Cyber Risk Index (CRI) mit einem Wert von +0,01 im zweiten Halbjahr 2022 auf ein mäßiges Niveau gesunken. Die Details zeigen, dass der CRI in Nordamerika mit –0,10 den höchsten Wert unter den Regionen aufweist. Der Cyber Preparedness Index hat sich von 5,30 auf 5,29 verschlechtert, und der Cyber Threat Index ist von 5,63 auf 5,39 gesunken. In der ersten Jahreshälfte 2023 wurden 894 Schwachstellenwarnungen veröffentlicht, nur 50 weniger als im ersten Halbjahr des Vorjahres.
Zur gleichen Zeit werfen Bedrohungsakteure ihre Netze noch weiter aus. Sie nutzen dafür Schwachstellen in kleineren Plattformen für spezifischere Ziele, etwa den Dateiübertragungsdienst MOVEit, die Unternehmenskommunikationssoftware 3CX und die Druckmanagement-Softwarelösung PaperCut. Im Juni nutzte die Ransomware Clop eine Schwachstelle in MOVEit aus. Bereits Anfang des Jahres kompromittierte sie verschiedene Regierungsbehörden in den Vereinigten Staaten (darunter das Department of Energy), Universitätssysteme in mehreren Bundesstaaten und private Unternehmen.
Im Mai führte Google acht neue Top-Level-Domänen (TLDs) ein, darunter .zip und .mov. Dies kann zu Sicherheitsrisiken führen. Cyberkriminelle können sie dazu verwenden, bösartige URLs hinter legitimen Internetseiten zu verbergen und auf diese Weise Malware- und andere Angriffe zu starten – eine bewährte Technik, die auch heute noch effektiv ist.
Während Innovationen weiterentwickelt werden und immer mehr Daten einsetzen, finden Bedrohungsakteure immer mehr Möglichkeiten, Menschen zu Opfern zu machen. Die vernetzten Autos von heute enthalten mehr als 100 Millionen Codezeilen. Die intelligenten Funktionen dienen jedoch nicht nur den Anwendern, sondern öffnen auch Hackern die Türen. Da immer mehr intelligente Autos zugelassen werden, werden Angreifer versuchen, Zugriff auf die Daten in den Anwenderkonten zu erhalten und sie für Verbrechen zu nutzen.
Diese Bedrohungen unterstreichen die Notwendigkeit eines proaktiven Cyberrisiko-Managements, das Elemente einer Zero-Trust-Strategie und einer kontinuierlichen Transparenz und Bewertung über den gesamten Risiko-Lebenszyklus anwendet. Zu diesen Elementen gehören Entdeckung, Bewertung und Eindämmung. Investitionen in erweiterte Detection-and-Response-Funktionen würden zu einer ausreichenden Zahl von Daten, Analysen und Integrationen führen. Sicherheitsteams und Researcher könnten dadurch Erkenntnisse zu Bedrohungen und Verteidigungsfähigkeit gewinnen
KAMPAGNEN
Bedrohungs-Comebacks nutzen neue Tools, um der Entdeckung zu entgehen und die Portabilität zu erweitern
Böswillige Akteure entwickeln weiter neue und aktualisierte Tools und Techniken, um die Entdeckung ihres Arsenals zu verhindern und ihre Netze weiter auszuwerfen.
In seiner letzten Kampagne im vergangenen Jahr nutzte APT34 eine DNS-basierte Command-and-Control (C&C)-Kommunikation in Kombination mit legitimem E-Mail-Verkehr über SMTP (Simple Mail Transfer Protocol), um die Sicherheitsrichtlinien innerhalb von Netzwerkgrenzen zu umgehen. Weitere Untersuchungen zeigen, dass APT34 in Regierungsdomänen umfassend verbreitet sein könnte.
Earth Preta verlagerte den Schwerpunkt zu kritischen Infrastrukturen und wichtigen Einrichtungen. Das kann sich auf nationale und internationale Beziehungen, Volkswirtschaften und Aktienmärkte auswirken. Die APT-Gruppe verwendet jetzt hybride Techniken, um Malware über Google Drive-Links bereitzustellen, die in Köderdokumenten eingebettet sind und physische Vektoren dafür nutzen, in Netzwerke einzudringen. Sie nutzt außerdem WinRAR und curl (bzw. cURL) sowie bisher nicht bekannte Malware, um Daten zu sammeln und zu übertragen. Die Verflechtungen zwischen herkömmlichen Geheimdiensttechniken und Initiativen für die Sammlung von Cyberdaten weisen auf eine hoch koordinierte Cyberspionage-Operation hin.
Auch andere persistente Bedrohungen tauchen mit neuen und verbesserten Tools und Indikatoren für veränderte Ziele wieder auf. Nach einer Ruhephase erschien die APT41-Untergruppe Earth Longzhi mit einer neuen Technik („Stack Rumbling“) wieder auf der Bildfläche. Durch diese neue Technik werden Sicherheitslösungen über Image File Execution Options (IFEO) deaktiviert. Dabei handelt es sich um eine neue Denial-of-Service (DoS)-Technik, die erstmals in dieser Kampagne zu beobachten war. Stichproben für diese Kampagne zeigen, dass die Gruppe Unternehmen auf den Philippinen, in Thailand, Taiwan und Fidschi im Fokus hat. Eingebettete Dokumente in den Stichproben deuten darauf hin, dass die Gruppe als Nächstes Unternehmen in Vietnam und Indonesien ins Visier nehmen könnte.
WEITERE LESEEMPFEHLUNGEN
BEDROHUNGSLANDSCHAFT IM ÜBERBLICK
85629564910
GESAMTZAHL DER BEDROHUNGEN, DIE IM ERSTEN HALBJAHR 2023 BLOCKIERT WURDEN
37 MILLIARDEN
BLOCKIERTE E-MAIL-BEDROHUNGEN
1. JAHRESHÄLFTE 2023
1,1 MILLIARDEN
BLOCKIERTE BÖSARTIGE URLS
1. JAHRESHÄLFTE 2023
45,9 MILLIARDEN
BLOCKIERTE BÖSARTIGE DATEIEN
1. JAHRESHÄLFTE 2023
44,1 MILLIARDEN
EMAIL-REPUTATION-ABFRAGEN
1. JAHRESHÄLFTE 2023
2,1 BILLIONEN
URL-REPUTATION-ABFRAGEN
1. JAHRESHÄLFTE 2023
1,1 BILLIONEN
FILE-REPUTATION-ABFRAGEN
1. JAHRESHÄLFTE 2023
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- API Security Exposed: The Role of API Vulnerabilities in Real-World Data Breaches
- Countering AI-Driven Threats With AI-Powered Defense
- Intercepting Impact: 2024 Trend Micro Cyber Risk Report
- The Illusion of Choice: Uncovering Electoral Deceptions in the Age of AI
- Navigating Risk Management: How Red Teaming Can Prepare Your Team for Actual Cyber Attacks