Sophos Active Adversary Playbook 2022
Cyberkriminelle bleiben länger unbemerkt
Sophos’ „Active Adversary Playbook 2022“ beschreibt das Verhalten von Cyberkriminellen, die das Rapid Response Team des britischen Security-Anbieters 2021 beobachtet hat. Bedenklich: Die Security-Fachleute beobachteten einen Anstieg der Verweildauer der Cyberkriminellen in Unternehmensnetzwerken um 36 Prozent: Im Durchschnitt können sich Angreifer – wenn man auffällige Attacken wie Ransomware außen vor lässt – 34 Tage unentdeckt in Unternehmensnetzen tummeln.
Die Verweildauer von Angreifer war in kleineren Unternehmen länger als in größeren: Die Kriminellen hielten sich in Unternehmen mit bis zu 250 Mitarbeitern zirka 51 Tage auf, in Großunternehmen mit über 5.000 Mitarbeitern hingegen fiel ihre Anwesenheit nach „nur“ 19 Tagen auf (siehe Grafik oben). Bei Ransomware-Angriffen agieren die Kriminellen zügiger, doch auch hier wuchs der Zeitraun des unbemerkten Aufenthalts im Netzwerk von elf Tagen im Jahr 2020 auf 15 Tage 2021. Sophos-Forensiker deckten Fälle auf, in denen mehrere Angreifer, darunter IABs (Initial Access Broker), Ransomware-Banden, Cryptominer und gelegentlich sogar mehrere Ransomware-Gruppen gleichzeitig auf dieselbe Organisation zielten.
„Die Welt der Cyberkriminalität ist unglaublich vielfältig und spezialisiert geworden“, sagt John Shier, Senior Security Advisor bei Sophos. „Initial Access Broker haben eine eigene Cybercrime-Industrie entwickelt, indem sie in ein Ziel eindringen, es auskundschaften oder eine Backdoor installieren und dann den schlüsselfertigen Zugang an Ransomware-Banden für deren eigene Angriffe verkaufen.“ In dieser zunehmend dynamischen und spezialisierten Cyber-Bedrohungslandschaft, so Shier weiter, könne es für Unternehmen schwierig sein, mit den sich ständig ändernden Tools und Methoden der Angreifer Schritt zu halten. „Es ist wichtig, dass sie wissen, worauf sie in jeder Phase der Angriffskette achten müssen, damit sie Angriffe so schnell wie möglich erkennen und neutralisieren können“, sagt Shier.
Angreifer nutzten RDP (Remote Desktop Protocol) im Jahr 2020 in 32 Prozent der analysierten Fälle für externe Aktivitäten, 2021 nur noch in 13 Prozent der Fälle. Diese Veränderung sei zwar zu begrüßen, so Sophos, denn sie deute darauf hin, dass Unternehmen ihr Management externer Angriffsflächen verbessert haben. Doch die Angreiferseite missbrauche RDP weiterhin für Seitwärtsbewegungen im Unternehmensnetz.
73 Prozent der Vorfälle, auf die Sophos im Jahr 2021 reagierte, betrafen Ransomware. Conti war im Jahr 2021 mit 18 Prozent aller Vorfälle die am häufigsten auftretende Ransomware-Gruppe. Auf REvil entfiel jeder zehnte Vorfall.
Häufige bei Angriffen verwendete Tool-Kombinationen sind ein Warnsignal für Cyberangriffe. Die Sophos-Untersuchungen ergaben beispielsweise, dass 2021 in fast zwei Drittel (64 Prozent) der Fälle PowerShell in Kombination mit bösartigen Nicht-PowerShell-Skripten zum Einsatz kam.
Das Sophos Active Adversary Playbook 2022 basiert auf 144 Vorfällen aus dem Jahr 2021, die auf Unternehmen aller Größen und Branchen in den USA, Kanada, Großbritannien, Deutschland, Italien, Spanien, Frankreich, der Schweiz, Belgien, den Niederlanden, Österreich, den Vereinigten Arabischen Emiraten, Saudi-Arabien, den Philippinen, den Bahamas, Angola und Japan abzielten.
Lesen Sie mehr zum Thema
