CrowdStrike Global Threat Report 2021
Mehr Datenerpressung, mehr nationalstaatliche Angriffe
Laut CrowdStrikes Global Threat Report 2021 gewinnen vor allem Angriffe auf Lieferketten (Supply Chain Attacks), Ransomware und Erpressung mit gestohlenen Daten an Bedeutung. Zugleich erwartet der US-Anbieter vor dem Hintergrund der COVID-19-Krise verstärkte Aktivitäten nationalstaatlicher Akteure wie Nordkorea und China.
Nach Erkenntnissen von CrowdStrikes Bedrohungsjägern liegt der Anteil krimineller Angriffe bei 79 Prozent aller aufgedeckten „Hands on Keyboard“-Einbrüche (also nicht-automatisierter Angriffe mit manueller Intervention). Ein beliebter Angriffsvektor sei dabei die Lieferkette (gemeint ist vorrangig die Kompromittierung eines Softwareanbieters wie Ende 2020 SolarWinds). Denn dieses Vorgehen ermöglicht es böswilligen Akteuren, mit einem einzigen Angriff mehrere nachgelagerte Ziele zu erreichen. Was zu erwarten und auch bereits Gegenstand von Medienberichten war: Nationalstaatliche Angreifer haben laut dem Report Netzwerke infiltriert, um Daten aus der COVID-19-Impfstoffforschung zu stehlen. Dabei habe die Angreiferseite ihre Strategien verbessert, um unentdeckt zu bleiben und sich in den Netzwerken zu tarnen, sodass sie ihre Ziele oft täuschen konnten, warnt CrowdStrike.
„Hinter jedem Angriff steckt ein Mensch, und die Cyberakteure werden von Tag zu Tag dreister und raffinierter“, so Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike. Er rät deshalb zu Cloud-nativer Technik für Sichtbarkeit im Netzwerk und Prävention von Angriffen, einschließlich Threat Intelligence und Threat Hunting, wie eben sein Haus sie anbietet. Außerdem, so mahnt er, spiele der Identitätsschutz eine zentrale Rolle bei der Verteidigung der Unternehmensinfrastruktur.
Weitere Erkenntnisse aus dem Report: Die Gesundheitsbranche ist weiterhin mit erheblichen Bedrohungen durch kriminelle Gruppen konfrontiert. Laut CrowdStrike haben im vergangenen Jahr 18 verschiedene „Big Game Hunting“-Ransomware-Familien (also auf besonders lukrative Ziele ausgerichtete Erpressersoftware) 104 Gesundheitsorganisationen infiziert, vorrangig Maze (eine Angreifergruppe, die sich Ende 2020 offiziell aufgelöst hat) und Conti.
Auch eine weitere Variante der Erpressung mit Daten werde weiter zunehmen: die Veröffentlichung von Unternehmensinterna auf Leak-Sites, sofern das Opfer des Datendiebstahls nicht zahlt. Die Verbreitung dieses Erpressungsansatzes hat sich erst kürzlich zur klassischen Erpressung per Datenverschlüsselung hinzugesellt (LANline berichtete).
Zugleich erwartet der US-Security-Anbieter vermehrte Aktivitäten nationalstaatlicher APT-Gruppen. So geht CrowdStrike davon aus, dass Angreifer aus Nordkorea aufgrund von COVID-19 und daraus resultierender Lebensmittelknappheit ihre Operationen im Jahr 2021 verstärken werden. China wiederum werde den Fokus auf die Kompromittierung von Lieferketten und auf wichtige westliche Branchen richten, um den 14. Fünfjahres- und den COVID-19-Impfstoffplan zu unterstützen. Zu den potenziellen Zielen zählen die Sicherheitsforscher neben der Gesundheitsbranche die Bereiche Wissenschaft, Technologie, Fertigung sowie Luft- und Raumfahrt.
Der Global Threat Report basiert auf Bedrohungsdaten von CrowdStrikes Falcon-Plattform, dem hauseigenen Threat-Hunting-Team OverWatch, CrowdStrikes Threat Graph (einer Cloud-nativen Graphdatenbank, die laut dem Anbieter fünf Billionen Ereignisse pro Woche aus 176 Ländern verarbeitet) sowie von der eigenen Services-Truppe. Der IT-Security-Anbieter führt mit dem aktuellen Bericht einen sogenannten eCrime-Index (ECX) ein. Der Index soll Stärke, Volumen und Raffinesse des Cybercrime-Marktes widerspiegeln, man werde ihn wöchentlich anhand von 18 Indikatoren für kriminelle Aktivitäten aktualisieren.
Lesen Sie mehr zum Thema
