Threat Hunting Report von CrowdStrike
Kriminelle gelangen schneller ans Ziel
CrowdStrikes Threat Hunting Report für 2021 zeigt eine deutlich Zunahme von Angriffsaktivitäten, sowohl in puncto Volumen als auch Geschwindigkeit: Die Sicherheitsfachleute beobachteten quer durch die Branchen und geografischen Regionen 60 Prozent mehr Angriffsversuche. Bedenklich: Haben Kriminelle einmal im Netzwerk Fuß gefasst, kommen sie heute deutlich schneller an lohnende Datenbestände als früher.
Laut dem Report ist die durchschnittliche „Breakout Time“ – also die Zeit, die ein Angreifer braucht, um sich von seinem initialen Angriffspunkt zu anderen Systemen im Netzwerk zu bewegen – auf nur eine Stunde und 32 Minuten gesunken. Dies entspreche einer Beschleunigung um den Faktor drei seit 2020. In über einem Drittel der Fälle sei es den Angreifern sogar gelungen, in weniger als 30 Minuten zu weiteren Zielen im Netzwerk vorzustoßen. Dies zeige, dass Bedrohungsakteure ihre Taktiken, Techniken und Verfahren ständig anpassen, um ihre Ziele schneller zu erreichen.
Der Bericht enthält noch einige weitere interessante Erkenntnisse. So waren laut den CrowdStrike-Fachleuten in den letzten drei Monaten 68 Prozent aller als Angriff indizierten Funde Malware-frei. Dies bedeute, dass die Angreifer immer ausgefeiltere und raffiniertere Techniken nutzen, um eine Entdeckung zu vermeiden.
Zudem verzeichnet CrowdStrike einen massiven Anstieg interaktiver Angriffe auf die Telekommunikationsbranche. Diese Aktivitäten erstrecken sich laut dem Report über alle wichtigen geografischen Regionen und wurden mit einer Vielzahl von Angreifern in Verbindung gebracht. Unter den staatlichen oder staatsnahen Bedrohungsakteuren gehen laut dem Bericht die meisten gezielten Angriffe von Gruppen aus China, Nordkorea und dem Iran aus.
Unter den kriminellen Akteuren war die Gruppe, die CrowdStrike als „Wizard Spider“ bezeichnet, am aktivsten: Sie sei an fast doppelt so vielen Angriffen beteiligt gewesen wie jede andere Gruppierung. So stecke Wizard Spider hinter gezielten Operationen mit der Ransomware Ryuk und neuerdings auch hinter Angriffen mit der Conti-Erpressersoftware.
Des Weiteren habe sich die Zahl der Cryptojacking-Vorfälle bei interaktiven Angriffen im Jahresvergleich verdoppelt. Die Intensivierung solcher Vorfälle überrascht nicht, sind doch Kryptowährungen angesichts des Preisanstiegs der letzten Jahre ein lohnendes Asset.
Und schließlich war es laut dem Bericht auch ein gutes Jahr für Access Broker, also Akteure, die darauf spezialisiert sind, in Netzwerke einzudringen, um die Zugänge dann zu verkaufen. Diese Art der Arbeitsteilung gewinnt laut CrowdStrike zunehmend an Bedeutung für Kriminelle, die Angriffe planen.
Eine Aufschlüsselung der Bedrohungslage nach Ländern bietet der Report des US-Security-Anbieters nicht. Er enthält somit keine Zahlen zu Deutschland.
Um die Taktiken und Techniken moderner Angreifer zu kontern, ist es laut CrowdStrike unerlässlich, dass Unternehmen Fachleute für das Threat Hunting (also die aktive Suche nach Bedrohungen im Netzwerk) wie auch für Threat Intelligence (Sammlung und Auswertung von Bedrohungsinformationen) in ihre Sicherheitsteams integrieren. Zudem rät der Security-Anbieter zu Machine-Learning-basiertem EDR (Endpoint Detection and Response), um Einblicke in die Endpunkte zu gewinnen und Angreifer zu stoppen.
Lesen Sie mehr zum Thema
