Threat Hunting Report von CrowdStrike

Alle sieben Minuten ein potenzieller Cyberangriff

14. September 2022, 7:00 Uhr | Wilhelm Greiner
Threat Hunting Report
© CrowdStrike

CrowdStrike warnt in seinem aktuellen Threat Hunting Report vor einem Anstieg von Hands-on-Angriffsversuchen (also interaktiven statt rein automatisierten Attacken) um 50 Prozent im Vergleich zum Vorjahr, in EMEA um 40 Prozent. Die Threat Hunter des Security-Anbieters aus dem texanischen Austin haben mehr als 77.000 potenzielle Angriffsversuche identifiziert – also einen Angriffsversuch ungefähr alle sieben Minuten.

Dabei handelt es sich, wie CrowdStrike erläutert, um Fälle, bei denen eine proaktive, von Menschen geleitete Bedrohungsjagd Angreifer aufgedeckt hat, die in verschiedenen Phasen der Angriffskette bösartige Techniken angewandt haben. Die Angreiferseite setze dabei alles daran, sich den autonomen Erkennungsmethoden zu entziehen, so der Anbieter.
 
Berechnungen der Security-Fachleute zeigen einen bedenklichen Trend: Die Zeit, die ein Angreifer im Schnitt braucht, um von der initalen Kompromittierung zu anderen Hosts im Zielnetzwerk vorzudringen („Breakout Time“), ist auf eine Stunden und 24 Minuten gesunken – fast eine Viertelstunde schneller als im Vorjahr (1:38 Stunden). In knapp einem Drittel (30 Prozent) der Fälle sei es dem Angreifer gelungen, sich in weniger als 30 Minuten lateral zu bewegen, also vom kompromittierten Endpunkt tiefer ins Netzwerk vorzudringen. Dies zeige, wie sehr die Bedrohungsakteure ihre Vorgehensweisen weiterentwickeln, um Abwehrsysteme zu umgehen und ihr Ziel zu erreichen.
 
Kriminelle steckten laut CrowdStrike hinter fast der Hälfte dieser interaktiven Einbruchskampagnen: Die Threat Hunter haben sie als Akteure in 43 Prozent der Fälle ausfindig gemacht. Staatliche Akteure macht CrowdStrike für 18 Prozent der Aktivitäten verantwortlich, Hacktivisten für ein Prozent. Die übrigen Angriffsversuche konnten sie nicht eindeutig zuordnen.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
Die wichtigsten in EMEA tätigen Angreifergruppen. Mit dem Zusatz „Spider“ versieht CrowdStrike Angreifergruppen aus Russland, „Kitten“ verweist auf den Iran, Wolf auf die Türkei und Chollima auf Nordkorea.
Die wichtigsten in EMEA tätigen Angreifergruppen. Mit dem Zusatz „Spider“ versieht CrowdStrike Angreifergruppen aus Russland, „Kitten“ verweist auf den Iran, Wolf auf die Türkei und Chollima auf Nordkorea.
© CrowdStrike

In EMEA – so fassen Amerikaner bekanntlich Europa, den Nahen Osten und Afrika zusammen, auch wenn meist vorrangig Europa gemeint ist – lag der Anstieg interaktiver Angriffe gegenüber dem globalen Wert von 50 Prozent bei „nur“ 40 Prozent. Dafür sind die staatsnahen Angreifergruppen in unserer Region aktiver: Cyberkriminalität machte hier 35 Prozent der Angriffe aus, gezielte staatliche Angriffe 22 Prozent, Hacktivismus zwei Prozent – der Ukraine-Krieg lässt grüßen. In Asien ist gezieltes staatlich gefördertes Hacking übrigens mit 35 Prozent nochmals deutlich ausgeprägter, in Nord- und Südamerika mit sieben Prozent hingegen eher eine Randerscheinung.

Die Angreiferseite setzt laut den Security-Forschern immer weniger auf Malware: 71 Prozent aller entdeckten Vorfälle kamen ohne Malware aus. Dies rühre vor allem daher, dass die Angreifer in großem Umfang gültige Anmeldeinformationen missbrauchen.

Der Technologiesektor war global mit 19 Prozent die am häufigsten attackierte Branche. In EMEA liegt er mit 17 Prozent gleichauf mit der Telekommunikationsbranche. Das in dieser Region am häufigsten genutzte Angriffswerkzeug ist Cobalt Strike: Es kam in zwölf Prozent der beobachteten interaktiven Angriffe zum Einsatz, andere Web-Shells in elf Prozent der Fälle. Ebenfalls beliebt sind auf Angreiferseite PsExec, Mimikatz und ProcDump.

Der Bericht fasst die Erkenntnisse der globalen Threat Hunting-Aktivitäten von CrowdStrikes Falcon-OverWatch-Team im Zeitraum vom 1. Juli 2021 bis 30. Juni 2022 zusammen, beschreibt Vorgehensweisen der Angreifer und gibt Empfehlungen zur Reaktion.


Verwandte Artikel

CrowdStrike GmbH

Cybercrime

Security-Report