Cisco Talos Threat-Assessment-Report: Commodity-Malware war die größte Bedrohung im zweiten Quartal 2022 [...]
Das Cisco Talos Incident Response (CTIR) Team sieht im zweiten Quartal 2022 zum ersten Mal seit über einem Jahr nicht mehr Ransomware als größte Bedrohung. Neu an der Spitze sind Commodity-Trojaner.
Das Cisco Talos Incident Response (CTIR) Team, das von der weltweit größten kommerziellen Threat-Intelligence-Organisation unterstützt wird, hat seinen vierteljährlichen Threat-Assessment-Report veröffentlicht.
Mit 20 Prozent aller Angriffe nehmen Commodity-Trojaner seit neuestem die Spitzenposition bei den Bedrohungen ein. Im Vergleich zu den vorangegangenen Quartalen machte Ransomware einen geringeren Prozentsatz aus und liegt bei 15 Prozent, während es im letzten Quartal noch 25 Prozent waren.
Mögliche Gründe sind die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung.
Commodity-Malware ist weit verbreitet und kann gekauft oder kostenlos heruntergeladen werden. Sie ist in der Regel nicht angepasst und wird von einer Vielzahl von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten verwendet.
Beispiele aus dem 2. Quartal sind unter anderem Remcos RAT, Vidar Information Stealer, Redline Stealer und der Qakbot Banking-Trojaner. Nach Commodity-Malware und Ransomware gehörten Phishing, Business-E-Mail-Compromise (BEC) und Insider-Threats zu den Bedrohungen, die Talos häufig beobachtete.
Die am häufigsten angegriffene Branche war wie bereits im letzten Quartal die Telekommunikation, dicht gefolgt von Organisationen im Bildungs- und Gesundheitswesen.
Bedrohungstrends
Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hatten es auf Organisationen abgesehen, die allenfalls hohe Lösegelder bezahlen. Conti gab im Mai die Einstellung des Betriebs bekannt. Die Auswirkungen auf die Ransomware-Szene sind aber noch nicht abschätzbar.
Eine neue RaaS-Variante namens „Black Basta“ ist eine mutmaßliche Umbenennung von Conti und dürfte in den kommenden Quartalen eine ernstzunehmende Bedrohung darstellen. LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet.
Wie schon im ersten Quartal konnten viele E-Mail-basierte Bedrohungen beobachtet werden, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzer:innen zum Klicken auf einen Link oder zum Öffnen einer Datei aufzufordern.
Schutz ist möglich
„Eine der größten Gefahren für die IT-Sicherheit ist das Fehlen einer Multi-Faktor-Authentifizierung (MFA)“, sagt Markus Sageder, Cybersecurity-Experte bei Cisco Österreich.
„Ausgehend von den jüngsten Angriffen empfehlen wir daher allen Organisationen, eine MFA für alle Dienste zu implementieren und auch sicherzustellen, dass alle Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien auch wirklich einhalten.“
Weitere Informationen: Weitere Details zu den Erkenntnissen von Cisco Talos aus dem zweiten Quartal 2022 in diesem Blogbeitrag (englisch)
Abgesehen davon, dass die CISCO-Meldung wie sonst überall 1:1 verbreitet wurde, wird nicht erklärt, WAS denn so ein „Commodity-Trojaner“ ist. Anderswo habe ich gefunden, dass ein Commodity Trojaner ein RAT (Remote Access Trojan) sei und dem Angreifer offenbar Zugriff auf den Computer des Infizierten gibt, aber derart schlecht programmiert ist, dass nur wenige darauf reinfallen. Rätselhaft, wie es dieses Ding dann lt Cisco an die Spitze geschafft hat.