CrowdStrike Global Threat Report 2020
Gezielte Angriffe auf TK-Branche und Kommunen
Laut CrowdStrikes aktuellem Global Threat Report 2020 stand auch letztes Jahr wieder finanziell motivierte Cyberkriminalität kontinuierlich im Mittelpunkt. Der kalifornische Anbieter eines cloudbasierten Endgeräteschutzes verzeichnete eine Zunahme von Ransomware-Angriffen, diverse Weiterentwicklungen bei den eingesetzten Taktiken und steigende Lösegeldforderungen. Angreifergruppen gehen laut dem Report verstärkt dazu über, Daten zu exfiltrieren, um mit der Veröffentlichung peinlicher oder proprietärer Informationen zu drohen.
Im aktuellen Bericht spricht CrowdStrike von einer "schonungslosen Ransomware-Epidemie". Man gehe davon aus, dass diese sich verschärfen werde, solange diese Angriffsart lukrativ, einfach durchzuführen und relativ risikoarm sei. Die letztes Jahr am häufigsten von auf Unternehmen gerichteter Ransomware betroffenen Branchen waren laut dem Report lokale Behörden und kommunale Einrichtungen, akademische Institutionen, die Technologiebranche, das Gesundheitswesen, die Industrie, Finanzdienstleistungen sowie Medienunternehmen.
Die wichtigsten Angriffsvektoren waren letztes Jahr Ransomware, Banking-Trojaner und Malware-Downloader (siehe Bild oben). Dabei nehmen laut CrowdStrike-Beobachtungen Malware-freie Angriffe zu: 2019 verwendete über die Hälfte (51 Prozent) der Angriffe Malware-freie Techniken, im Vorjahr waren es noch 40 Prozent. Dies zeigt laut dem Endpoint-Security-Spezialisten die Dringlichkeit, über traditionelle Antivirenlösungen hinauszudenken.
Zahlreiche Branchen waren laut den CrowdStrike-Forschern 2019 nicht nur Zielscheibe von Kriminalität, sondern auch von nationalstaatlichen Angriffen. So war zum Beispiel die Telekommunikationsindustrie im Visier von Angreifern wie beispielsweise China oder Nordkorea. Die Kalifornier vermuten, dass es verschiedene Nationen - insbesondere China - auf den TK-Sektor abgesehen haben, um geistiges Eigentum und Wettbewerbsanalysen zu stehlen.
"2019 gab es zahlreiche neue Techniken von nationalstaatlichen Akteuren und einen zunehmend komplexeren eCrime-Untergrund voller dreister Taktiken und einer massiven Zunahme gezielter Lösegeldforderungen. Daher müssen moderne Sicherheitsteams zur Aufdeckung, Untersuchung und Behebung von Sicherheitsvorfällen auf Technologien mit schnellen, präventiven Gegenmaßnahmen wie Threat Intelligence setzen und die 1-10-60-Regel befolgen", so Adam Meyers, Vice President of Intelligence bei CrowdStrike.
Mit der "1-10-60-Regel" ist gemeint: Erkennen eines Eindringens in weniger als einer Minute, Analysieren innerhalb von zehn Minuten, Eindämmen und Beseitigen des Angriffs innerhalb von 60 Minuten. Ein Unternehmen, das diese Vorgaben erfüllt, sei eher in der Lage, einen potenziellen Angreifer unschädlich zu machen, bevor er sich tiefer ins System vorarbeiten kann. Zugleich könne es auch die Auswirkungen eines Angriffs auf die Organisation minimieren.
Deutschland taucht in dem Report nur einmal auf: Hierzulande - wie auch in Südkorea - sei die Automobilindustrie 2019 laut unbestätigten Informationen aus externer Quelle im Visier der vietnamesischen Angreifergruppe Ocean Buffalo gestanden. Der Hintergrund: Zeitgleich habe die Regierung Vietnams Initiativen vorangetrieben, den Anteil heimischer Produkte an der vietnamesischen Automobilproduktion von zehn auf 35 bis 40 Prozent zu steigern und erstmals auch Autos komplett "Made in Vietnam" zu produzieren.
China konzentriere sich bei vielen Angriffsoperationen nach wie vor auf Lieferketten. CrowdStrike geht davon aus, dass der Staat auf diese Taktik setzt, um mehrere Opfer gleichzeitig zu identifizieren und zu infizieren. Zudem sei es sehr wahrscheinlich, dass gezielte Angriffe auf die Schlüsselindustrien der USA weitergehen werden, die bedeutsam für Chinas strategische Interessen sind, darunter grüne Energieerzeugung, Gesundheitswesen, Biotechnologie, Pharmazie und Luftfahrt.
Der Fokus Nordkoreas auf Kryptowährungsbörsen wiederum deute auf Spionagebemühungen hin, die darauf abzielen, Informationen über Nutzer oder Kryptowährungen zu sammeln. CrowdStrike vermutet, dass Nordkorea eine eigene Kryptowährung entwickelt, um internationale Sanktionen zu umgehen.
Trotz all dieser teils ausgefeilten und aufwendigen Angriffsaktivitäten raten die CrowdStrike-Forscher, niemals die Wirksamkeit altmodischer Social-Engineering-Techniken zu unterschätzen. Betrüger nutzen schon längst gefälschte Geschäfts-E-Mails (Business E-Mail Compromise, BEC) und Telefongespräche, um ihre Opfer dazu zu verleiten, eine schädliche E-Mail zu öffnen oder auf ein bösartiges Dokument zu klicken. Vorfälle im Jahr 2019 hätten gezeigt, dass diese Taktiken für gezielte Aktionen zum Einsatz kommen, um Operationen Nordkoreas und des Irans zu unterstützen.
Der Global Threat Report analysiert Bedrohungsdaten der CrowdStrike-Plattform Falcon Intelligence, zudem von Falcon OverWatch, CrowdStrikes Team für die gemanagte Bedrohungssuche, von der hauseigenen cloudbasierten Datenbank Threat Graph, die laut den Amerikanern pro Woche rund 2,5 Billionen Ereignisse in 176 Ländern verarbeitet, sowie von CrowdStrike Services. Der Report ist gegen Angabe personenbezogener Daten unter www.crowdstrike.de/ressourcen/reports/2020-crowdstrike-global-threat-report/ erhältlich.
Lesen Sie mehr zum Thema
