Die Bedrohungsakteure von heute sind schlauer, raffinierter und besser ausgestattet als jemals zuvor in der Geschichte der Cybersicherheit – und es werden mehr: Allein im vergangenen Jahr wurden 33 neue Akteure identifiziert. Damit verfolgt Crowdstrike mittlerweile die Aktivitäten von über 200 Angreifergruppen, wie zuletzt der Global Threat Report 2023 zeigte. Unter ihnen sind sowohl nationalstaatliche Angreifer, Cyberkriminelle – und Hacktivisten. Die durchschnittliche Breakout-Time – also der Zeitraum, den Angreifer benötigen, um sich innerhalb der Umgebung ihrer Opfer lateral von einem kompromittierten Host zum nächsten zu bewegen – betrug im Jahr 2022 bei Cyberangriffen nur noch 84 Minuten, dank der immer dreisteren und raffinierteren Techniken der Angreifer. Zum Vergleich: Im Jahr 2021 lag die Breakout-Time noch bei einer Stunde und 38 Minuten.
Die Geschwindigkeit, wie schnell sich Angreifer intern ausbreiten, ist ein guter Indikator für das vorhandene Skillset heutiger Cyberangreifer, das sich aus Fertigkeiten, Kenntnissen und Kompetenzen zusammensetzt. So lässt sich unter anderem eine zunehmende Spezialisierung und Vernetzung der Angreifer beobachten. Hinzu kommen aber andere Faktoren, wie beispielsweise mehr Angriffsvektoren und damit assoziierte Schwachstellen, die für die Seitwärtsbewegung (Lateral Movement) ausgenutzt werden können.
Die Cloud als Einfallstor
Cloud-Dienste werden immer beliebter und sind mittlerweile für viele Unternehmen ein zentraler Bestandteil ihrer Infrastruktur. Dies macht sie auch für Cyberakteure hochinteressant. Allein die Zahl der beobachteten Cloud-Vorfälle, in denen Cloud-Schwachstellen gezielt ausgenutzt werden, ist um 95 Prozent gestiegen und so wundert es nicht, dass Angriffe von Bedrohungsakteuren auf die Cloud sich seit 2021 fast verdreifacht haben. Diese Zahlen unterstreichen einen größeren Trend: Angreifer adaptieren ihr Verhalten und richten ihre Aktivitäten und Operationen zunehmend auf erfolgreiche Angriffe gegen Cloud-Umgebungen aus. Zudem gehört der Identitätsdiebstahl zu den effektivsten Angriffsvektoren auf Cloud-Umgebungen und auf Legacy-Infrastrukturen.
Heutige Angreifer sind sehr geschickt darin, gestohlene Zugangsdaten zu erlangen und zu missbrauchen. Dabei schrecken sie auch nicht vor großen Cloud-Anbietern zurück. Daher wird es immer wichtiger, dass deutsche Unternehmen ihre Cloud-Infrastruktur widerstandsfähiger machen und ihre eigene Angriffsfläche minimieren, da Angreifer jede Schwachstelle ausnutzen. Diese Entwicklung zeigt zugleich, wie wichtig das Modell der „Shared Responsibility“ ist. Unternehmen sollten prüfen, ob ihre Cloud-Anbieter ein starkes Engagement für Sicherheit und Compliance zeigen und in der Lage sind, sie bei der Erfüllung ihrer Anforderungen zu unterstützen.
Gepatchte Schwachstellen werden wiederholt ausgenutzt
Eine weitere Erkenntnis des Reports, die für hiesige Unternehmen von großer Bedeutung ist, ist die Tatsache, dass Angreifer Schwachstellen zunehmend mehrfach ausnutzen und sich dabei auf zuvor etablierte Angriffsvektoren und -komponenten konzentrieren. Die im Jahr 2022 beobachteten Zero-Day- und N-Day-Schwachstellen belegen, dass heutige Angreifer in der Lage sind, ihr Spezialwissen zu nutzen, um bereits installierte Patches zu umgehen und dieselben anfälligen Komponenten erneut anzugreifen. Bestes Beispiel ist wohl die Ende 2021 entdeckte Log4j-Schwachstelle, die bis heute für Unruhe im Internet sorgt.
Aber auch andere Schwachstellen, wie ProxyNotShell und Follina – übrigens nur zwei der über 900 Sicherheitslücken und 30 Zero-Day-Schwachstellen, zu denen Microsoft im Jahr 2022 Patches veröffentlicht hat – werden im großen Stil ausgenutzt, weil staatliche Akteure und Cyberkriminelle die Patches und Schutzmaßnahmen umgehen. Patchen ist also nicht immer eine dauerhafte Lösung, besonders wenn der Patch nur wie ein Pflaster wirkt und das Problem nicht vollständig behebt.
Cyberkriminelle Akteure setzen nicht mehr nur auf Ransomware-Zahlungen
Cyberkriminelle setzen nicht mehr nur auf klassische Ransomware-Aktivitäten, um Unternehmen und Behörden zu erpressen. Die Zahl der Angreifer, die Datendiebstahl- und Erpressungskampagnen kombinieren, ist im Jahr 2022 um 20 Prozent gestiegen. Bei der Datenerpressung werden sensible Daten von den Opfern gestohlen und dann damit gedroht, die Daten online freizugeben, wenn das Opfer nicht die vom Angreifer geforderte Zahlung leistet. Ransomware-Angriffe haben oft schon Datenerpressung als Komponente enthalten. In letzter Zeit beobachten wir, dass immer mehr Angreifer das Ransomware-Element ganz aufgeben und sich nur noch auf die Datenerpressung konzentrieren.
Darüber hinaus setzen Cyberkriminelle verstärkt auf identitätsbasierte Angriffe, unter anderem mithilfe von gestohlenen Zugangsdaten, um Unternehmen zu infiltrieren. In diesem Zusammenhang werden auch die Services von Access-Broker, also Cyberkriminellen, die Zugangsdaten von Unternehmen unterschiedlicher Größe stehlen und diese in Untergrundforen weiterverkaufen, immer beliebter. Das verdeutlicht die starke Zunahme ihrer Inserate in Untergrundforen. Im Jahr 2022 wurden mehr als 2.500 Anzeigen für Access-Broker-Services entdeckt, die unrechtmäßig erworbenen Zugriff auf Unternehmen gewähren oder verkaufen. Dies entspricht einem Anstieg von 112 Prozent gegenüber 2021.
Die jüngsten Ergebnisse und Beobachtungen verdeutlichen, dass das Katz-und-Maus-Spiel zwischen Angreifern und IT-Sicherheitsexperten weiter geht. Unternehmen sollten daher ihre Kenntnisse und ihr Verständnis der sich rasch entwickelnden TTPs und Ziele der Gegner mithilfe der neuesten Technologien vertiefen, um den heutigen Gegnern einen Schritt voraus zu sein.
Aris Koios ist Technology Strategist bei Crowdstrike, einem Anbieter von Cybersicherheitslösungen.