Ransomware-Gruppen aktualisieren nach wie vor ihre Tools und Techniken, um die Zahl der möglichen Ziele zu vergrößern und Daten effizient zu extrahieren. Anfang des Jahres tauchte ein neuer Akteur auf, Mimic. Dieser Akteur missbrauchte das legitime Suchtool Everything, um Erweiterungen und Namen von Dateien abzufragen. Dadurch konnte er feststellen, welche Daten verschlüsselt und welche Dateien vermieden werden sollten. Gleichzeitig erweiterte die Ransomware Royal die Zahl der möglichen Ziele dank eines Updates, das auf Linux-Plattformen ausgerichtet war.

Untersuchungen von Royal und Mimic deuten auf Verbindungen zur größeren und bekannteren Ransomware-Gruppe Conti hin. Die Untersuchung von TargetCompany zeigte Verbindungen zu anderen Familien wie BlueSky und der Ransomware GlobeImposter auf. Diese Verbindungen belegen, dass die These einer Ransomware-Revolution zutrifft: Die Zusammenarbeit verschiedener Gruppen kann die Kosten senken, die Marktpräsenz verbessern und gleichzeitig die Effektivität der kriminellen Aktivitäten wahren.

Der finanzielle Gewinn könnte dabei nicht die einzige Motivation für Ransomware-Gruppen darstellen. Möglicherweise rekrutieren staatliche Stellen die Akteure, statt sie strafrechtlich zu verfolgen. Im Mai-Bericht zur RomCom-Backdoor ging es um die Frage, inwiefern die Nutzung der Backdoor für geopolitisch motivierte Angriffe auf die Ukraine seit mindestens Oktober 2022 auf eine Veränderung bei den Zielen von Void Rabisu hindeutet. Die Ransomware-Angriffe der jüngsten Zeit sind jetzt hinsichtlich Fähigkeiten, Vorgehensweise und Angriffsmöglichkeiten mit APT-Gruppen vergleichbar.

Ransomware-Akteure, die ihre Angriffe aus finanziellen Gründen ausführen, könnten auch versuchen, mit extrahierten Daten Kryptowährungen zu stehlen. Sie könnten außerdem Business-Email-Compromise(BEC)-Delikte begehen und Aktienmärkte mit Short-and-Distort-Systemen manipulieren. Kryptowährungen haben auch dazu geführt, dass Zahlungsschemata für Bedrohungsakteure vorteilhafter sind. Dies unterstreicht die Notwendigkeit eines Shift-Left-Ansatzes: Es gilt, das Eindringen von Bedrohungen in das Netzwerk von vornherein zu verhindern. Dies ist besonders wichtig, wenn Ransomware-Angriffe erwartet werden, die erst nach einem erfolgreichen Zugriff und dem Extrahieren von Daten zur Erpressung führen.

Laut einer Umfrage unter mehr als 3.700 Unternehmen in vier Regionen ist der Cyber Risk Index (CRI) mit einem Wert von +0,01 im zweiten Halbjahr 2022 auf ein mäßiges Niveau gesunken. Die Details zeigen, dass der CRI in Nordamerika mit –0,10 den höchsten Wert unter den Regionen aufweist. Der Cyber Preparedness Index hat sich von 5,30 auf 5,29 verschlechtert, und der Cyber Threat Index ist von 5,63 auf 5,39 gesunken. In der ersten Jahreshälfte 2023 wurden 894 Schwachstellenwarnungen veröffentlicht, nur 50 weniger als im ersten Halbjahr des Vorjahres.

Zur gleichen Zeit werfen Bedrohungsakteure ihre Netze noch weiter aus. Sie nutzen dafür Schwachstellen in kleineren Plattformen für spezifischere Ziele, etwa den Dateiübertragungsdienst MOVEit, die Unternehmenskommunikationssoftware 3CX und die Druckmanagement-Softwarelösung PaperCut. Im Juni nutzte die Ransomware Clop eine Schwachstelle in MOVEit aus. Bereits Anfang des Jahres kompromittierte sie verschiedene Regierungsbehörden in den Vereinigten Staaten (darunter das Department of Energy), Universitätssysteme in mehreren Bundesstaaten und private Unternehmen.

Im Mai führte Google acht neue Top-Level-Domänen (TLDs) ein, darunter .zip und .mov. Dies kann zu Sicherheitsrisiken führen. Cyberkriminelle können sie dazu verwenden, bösartige URLs hinter legitimen Internetseiten zu verbergen und auf diese Weise Malware- und andere Angriffe zu starten – eine bewährte Technik, die auch heute noch effektiv ist.

Während Innovationen weiterentwickelt werden und immer mehr Daten einsetzen, finden Bedrohungsakteure immer mehr Möglichkeiten, Menschen zu Opfern zu machen. Die vernetzten Autos von heute enthalten mehr als 100 Millionen Codezeilen. Die intelligenten Funktionen dienen jedoch nicht nur den Anwendern, sondern öffnen auch Hackern die Türen. Da immer mehr intelligente Autos zugelassen werden, werden Angreifer versuchen, Zugriff auf die Daten in den Anwenderkonten zu erhalten und sie für Verbrechen zu nutzen.

Diese Bedrohungen unterstreichen die Notwendigkeit eines proaktiven Cyberrisiko-Managements, das Elemente einer Zero-Trust-Strategie und einer kontinuierlichen Transparenz und Bewertung über den gesamten Risiko-Lebenszyklus anwendet. Zu diesen Elementen gehören Entdeckung, Bewertung und Eindämmung. Investitionen in erweiterte Detection-and-Response-Funktionen würden zu einer ausreichenden Zahl von Daten, Analysen und Integrationen führen. Sicherheitsteams und Researcher könnten dadurch Erkenntnisse zu Bedrohungen und Verteidigungsfähigkeit gewinnen