THR 2023 Byline

Malware ist nicht das Problem, das Problem sind die Angreifer

Malware ist nicht das Problem, das Problem sind die Angreifer

Von Zeki Turedi, Field CTO EMEA bei CrowdStrike

Überall auf der Welt finden Cyberangreifer neue Wege, ihren Einfluss zu vergrößern, Angriffe zu optimieren und ihre Wirkungskraft zu erhöhen. Der CrowdStrike Threat Hunting Report 2023 zeigt, dass die Angreifer im vergangenen Jahr nicht nur immer aggressivere Taktiken angewandt sowie Systemschwachstellen ausgenutzt haben und somit eine immer größere Bedrohung für Unternehmen in ganz Europa darstellen.

Laut dem Threat Hunting Report 2023, ist die Breakout-Time, also der Zeitraum, den Angreifer benötigen, um sich lateral von einem kompromittierten Host innerhalb der Umgebung zum nächsten zu bewegen, gegenüber 84 Minuten im Jahr 2022, auf einen historischen Tiefstand von 79 Minuten gesunken. Die schnellste Breakout-Time des Jahres lag bei einem Rekordwert von nur sieben Minuten – das ist die Zeit, die man braucht, um vom Schreibtisch aufzustehen und sich eine Tasse Kaffee zu kochen.

Außerdem setzen Angreifer heutzutage vermehrt auf identitätsbasierte Angriffe. Sie verlassen sich dabei nicht nur auf kompromittierte gültige Zugangsdaten, sondern haben gezeigt, dass sie in der Lage sind, alle Formen der Identifizierung und Autorisierung zu missbrauchen, einschließlich im Untergrund erworbener Zugangsdaten.

Wie steht es um die Cybersicherheit in Europa?

Der Threat Hunting Report 2023 hat gezeigt, dass die Angreifer immer gewiefter und hartnäckiger vorgehen. Der Finanzsektor in Europa ist besonders anfällig. Dieses Jahr hat dieser sogar die Telekommunikation im Ranking des Threat Hunting Report überholt und ist nun der am zweithäufigsten angegriffene Industriezweig, dicht hinter der Technologiebranche. Auf die Telekommunikationsbranche entfielen mindestens zehn Prozent aller Angriffe, wobei ein erheblicher Teil dieser auf iranische Angreifergruppen zurückzuführen ist. Cobalt Strike, PsExec, ProcessHacker, Mimikatz und NetScan waren die fünf wichtigsten Tools, die von interaktiven Eindringlingen verwendet wurden.

Darüber hinaus war der eCrime-Bedrohungsakteur VICE SPIDER in Europa am weitesten verbreitet und wurde in 19 vertikalen Branchen beobachtet.

Finanzdienstleistungssektor in Alarmbereitschaft

Die Anzahl interaktiver Einbrüche in den Finanzdienstleistungssektor ist im vergangenen Jahr um über 80 Prozent gestiegen. LABYRINTH CHOLLIMA, ein in Nordkorea ansässiger Bedrohungsakteur, der dafür berüchtigt ist, Finanztechnologie- und Kryptowährungsunternehmen ins Visier zu nehmen, hat sowohl sein Custom-Tooling als auch seine Vorgehensweise aktualisiert, um gezielt in Linux und macOS-Umgebungen zu arbeiten. Auch wenn sich einige Angreifer auf den Diebstahl von Kryptowährungen oder NFTs (Non-Fungible Tokens) konzentrieren, bleiben opportunistische "Big Game Hunting"-Ransomware- und Datendiebstahl-Kampagnen die primäre eCrime-Bedrohung für Finanzinstitute.

Identitätsbasierte Angriffe erfreuen sich großer Beliebtheit

Angreifer setzen verstärkt auf identitätsbasierte Angriffe. 62 Prozent der interaktiven Angriffsversuche basierten auf dem Missbrauch gültiger Zugangsdaten. Gleichzeitig stieg die Zahl der Versuche, geheime Schlüssel und andere Anmeldeinformationen über Metadaten-APIs von Cloud-Instanzen zu erlangen, um 160 Prozent.

Ein weiterer Grund für die massive Zunahme identitätsbasierter Angriffe ist die 583-prozentige Zunahme von Kerberoasting-Angriffen, einer Technik, die Angreifer missbrauchen können, um gültige Anmeldeinformationen für Microsoft Active Directory-Dienstkonten zu erhalten, was den Akteuren oft höhere Privilegien verschafft und es ihnen ermöglicht, in den Umgebungen der Opfer länger unentdeckt zu bleiben. Diese Taktik stellt eine erhebliche Bedrohung für Unternehmen dar, da die Angreifer keine höheren Rechte benötigen, um diesen Angriff auszuführen. Im vergangenen Jahr wurden Angriffe auf Kerberos vor allem mit eCrime-Akteuren in Verbindung gebracht. VICE SPIDER war erneut einer der aktivsten eCrime-Angreifer, der für 27 Prozent aller Angriffe verantwortlich war, bei denen die Kerberoasting-Technik zum Einsatz kam.

Angreifern einen Schritt voraus sein

Die Ergebnisse des aktuellen Threat Hunting Report von CrowdStrike zeigen, dass die Angreifer in der Bedrohungslandschaft agiler sind als noch vor einem Jahr und alarmierend schnell agieren. Cybersecurity-Teams in ganz Europa müssen vorrangig eng mit ihren Partnern zusammenarbeiten, um Strategien zu entwickeln, mit denen Bedrohungen noch schneller gestoppt werden können und die modernen Angreifern keine Schlupflöcher bieten. Die Zukunft der Cybersicherheit erfordert eine enge Zusammenarbeit von Mensch und Technologie, um mit der Geschwindigkeit, dem Umfang und der zunehmenden Raffinesse der Angreifer fertig zu werden. Richtig ausgeführt, können Teams verborgene Bedrohungen schnell aufdecken, die Entscheidungsfindung von Sicherheitsanalysten beschleunigen und den Erkennungsprozess optimieren. Im Kampf gegen eine Bedrohung, die in nur sieben Minuten die Kontrolle übernehmen kann, gibt es keinen Spielraum für Kompromisse bei den Sicherheitsvorkehrungen.