Neuer Global Threat Report von CrowdStrike
Mehr Erpressung, viele staatsnahe Angriffe
CrowdStrike berichtet in seinem Global Threat Report 2022 von einer 82-prozentigen Zunahme Ransomware-bedingter Datenlecks. 18 Prozent der Angriffskampagnen waren gezielter Natur, im Vorjahr waren dies noch 13 Prozent. Ebenfalls beachtlich: Laut CrowdStrike setzen Angreifer immer stärker auf gestohlene Identitäten – 62 Prozent der jüngst entdeckten digitalen Einbrüche seien ohne Malware-Einsatz verlaufen.
Finanziell motivierte Aktivitäten dominieren weiter die von CrowdStrike OverWatch erfassten interaktiven Eindringversuche. Angriffe, die sich der Cyberkriminalität zuschreiben lassen, machten weiterhin rund die Hälfte (49 Prozent, im Vorjahr 52 Prozent) aller beobachteten Aktivitäten aus. Nicht klar zuzuweisen („unattributed“) ist weiterhin ungefähr ein Drittel der Angriffe.
Laut dem Report waren das starke Wachstum und die Auswirkungen gezielter Ransomware-Angriffe und disruptiver Operationen sowie ein Anstieg Cloud-bezogener Angriffe letztes Jahr in fast jeder Branche und in jedem Land spürbar: Man habe 2021 einen Anstieg von 82 Prozent bei Ransomware-bezogenen Datenlecks festgestellt, verteilt auf 2.686 Angriffe gegenüber 1.474 im Vorjahr. Man habe im vergangenen Jahr 2.721 Fälle von „Big Game Hunting“ (gezielte Angriffe auf große und somit potenziell lukrative Opfer) beobachtet, zudem im Durchschnitt über 50 gezielte Ransomware-Ereignisse pro Woche.
Die beobachteten Ransomware-Forderungen beliefen sich laut CrowdStrike auf durchschnittlich 6,1 Millionen Dollar, ein Plus von 36 Prozent gegenüber 2020. Die Angreiferseite nutze zunehmend gestohlene Nutzerinformationen und -identitäten, um Sicherheitslösungen zu umgehen: Von den im vierten Quartal 2021 erfassten Entdeckungen waren 62 Prozent Malware-frei.
Nationalstaatsnahe Gruppierungen
Auch Bedrohungsakteure, die offenbar Nationalstaaten nahestehen, trugen letztes Jahr rege zum Angriffsgeschehen bei. CrowdStrike nennt einige Beispiele:
Im Iran ansässige Angreifer verwendeten laut den Sicherheitsspezialisten Ransomware sowie doppelte Erpressung, bei CrowdStrike „Lock and Leak“ genannt: Sie ziehen Daten ab, verschlüsseln dann die Daten im Zielnetzwerk und geben schließlich über von ihnen kontrollierte Kanäle Informationen über die Opfer weiter, um den Druck bei der Lösegeldforderung zu erhöhen.
2021 waren China-nahe Akteure nach CrowdStrike-Erkenntnissen führend bei der Ausnutzung von Schwachstellen, sie verlagerten ihre Taktik zunehmend auf internetfähige Geräte und Dienste wie Microsoft Exchange. Man habe die Ausnutzung von zwölf im Jahr 2021 veröffentlichten Schwachstellen durch China nahestehende Akteure beobachtet.
Der Russland-nahe Angreifer Cozy Bear habe seine Angriffe auf Cloud-Service-Anbieter ausgeweitet, um durch laterale Bewegung Zugang zu weiteren Zielen zu erhalten. Fancy Bear, ebenfalls aus dem Umfeld Russlands, nutze verstärkt Taktiken zum Abfangen von Anmeldeinformationen (Credential Harvesting), darunter groß angelegte Scanning-Techniken und individuell zugeschnittene Phishing-Websites. Nordkorea wiederum zielte laut dem Report gerne auf Unternehmen, die mit Kryptowährungen zu tun haben.
Diverse kriminelle Gruppierungen – darunter Partner von Doppel Spider und Wizard Spider – bauten laut CrowdStrike auf Log4Shell als Angriffsvektor für Ransomware-Operationen. Nationalstaatsnahe Akteure aus China und dem Iran bringt der US-Security-Anbieter ebenfalls mit einem wahrscheinlichen Ausnutzen der Log4j-Schwachstelle in Verbindung.
„Da sich Cyberkriminelle und Nationalstaaten auf der ganzen Welt weiterhin an die sich verändernde, vernetzte Landschaft anpassen, ist es von entscheidender Bedeutung, dass Unternehmen sich weiterentwickeln, um sich gegen diese Bedrohungen zu verteidigen, indem sie neue Technologien, Lösungen und Strategien integrieren“, mahnte Adam Meyers, Senior Vice President of Intelligence bei CrowdStrike.
Der 8. jährliche Global Threat Report beschreibt neue Operationen und Techniken von Iran, China, Russland und Nordkorea, zudem stellt er mit Wolf (Türkei) und Ocelot (Kolumbien) zwei neue Gruppen nationalstaatlicher Angreifer vor. Insgesamt haben die Experten ihre Liste beobachteter Gruppen um 21 neue aus aller Welt erweitert. Der vollständigen CrowdStrike Global Threat Report 2022 findet sich hier.
Lesen Sie mehr zum Thema
