Human Factor Report: Angreifer machen sich neuartige Tools und Techniken zunutze

Proofpoint hat heute seinen jährlichen „Human Factor“-Report veröffentlicht. Aus dem Bericht geht hervor, dass nach zwei Jahren pandemiebedingter Verwerfungen das vergangene Jahr weltweit für die Cyberkriminellen eine Rückkehr zur Normalität markierte. [...]

The Human Factor Report befasst sich mit den neusten Entwicklungen in der Bedrohungslandschaft. (c) Unsplash
The Human Factor Report befasst sich mit den neusten Entwicklungen in der Bedrohungslandschaft. (c) Unsplash

„Da Microsoft 365 heute typischerweise einen großen Teil der Angriffsfläche eines Unternehmens ausmacht, wird die Bedrohungslandschaft – ob mit Hilfe von Office-Makros oder OneNote-Dokumenten – auch weiterhin maßgeblich vom Missbrauch dieser Plattform geprägt sein“, so Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Während sich die Sicherheitskontrollen langsam verbessert haben, sind die Bedrohungsakteure kreativ geworden und haben ihre Umgehungsaktivitäten ausgeweitet. Einst eine Domäne von Cybersecurity-Experten in Red Teams, sind Techniken wie die Umgehung von MFA und telefonbasierte Angriffe heute ganz alltäglich. Auch wenn viele Cyberkriminelle noch experimentieren, bleibt ein Umstand jedoch eine Konstante: Angreifer nutzen Menschen aus, und diese sind die wichtigste Variable in der heutigen Angriffskette.“

The Human Factor Report befasst sich mit den neusten Entwicklungen in der Bedrohungslandschaft, wobei der Schwerpunkt auf der Kombination aus Technologie und Psychologie liegt. Genau dies macht moderne Cyberangriffe unter den drei Hauptaspekten des Benutzerrisikos – Anfälligkeit, Angriffe und Privilegien – so gefährlich. Der zugrunde liegende Datensatz umfasst mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhängen, 28 Millionen Cloud-Konten, 1,7 Milliarden verdächtigen SMS-Nachrichten sowie weitere Informationen.

Von komplexen Techniken wie der Umgehung der Multi-Faktor-Authentifizierung über telefonbasierte Angriffe bis hin zu Conversational-Bedrohungen, die sich allein auf den Charme des Angreifers stützen, zeugte das vergangene Jahr von beispielloser Kreativität unter den Cyberkriminellen. Diese variierten, testeten und verwarfen Angriffsketten und Übertragungsmechanismen in ungekanntem Tempo.

Im Folgenden finden sich die wichtigsten Erkenntnisse des 2023 Human Factor Report von Proofpoint:

  • Einbruch bei der Verwendung von Office-Makros, nachdem Microsoft Mechanismen zu deren Blockierung eingeführt hatte: Office-Makros waren fast drei Jahrzehnte eine beliebte Methode zur Verbreitung von Malware. Nachdem Microsoft die Art und Weise überarbeitet hatte, wie seine Software mit aus dem Internet heruntergeladenen Dateien verfährt, ging die Verwendung von Office-Makros durch Angreifer schließlich zurück. Diese Änderungen mündeten in einer Reihe von Experimenten, mit denen Cyberkriminelle nach alternativen Techniken suchten, um ihre Ziele infizieren.
  • Cyberkriminelle kombinieren Einfallsreichtum mit Präzision und Geduld: Conversational Smishing und Pig Butchering – Attacken, bei denen Angreifer zunächst scheinbar harmlose Nachrichten verschicken – haben im vergangenen Jahr stark zugenommen. Im mobilen Bereich war dies die am schnellsten wachsende Bedrohung des Jahres, deren Volumen um das Zwölffache anstieg. Und telefonbasierte Angriffe (TOAD) erreichten mit 13 Millionen Nachrichten pro Monat ihren Höhepunkt. Mehrere staatlich geförderte APT-Akteure investierten viel Zeit in den Austausch von harmlosen Nachrichten mit ihren Zielen, um über Wochen und Monate hinweg eine Beziehung aufzubauen.
  • Phish-Kits von der Stange zum MFA-Bypass sind inzwischen allgegenwärtig – auch wenig technisch versierte Kriminelle können nun eine Phishing-Kampagne starten: MFA-Bypass-Frameworks wie EvilProxy, Evilginx2 und NakedPages waren für mehr als eine Million Phishing-Nachrichten pro Monat verantwortlich.
  • Legitime Infrastrukturen spielen bei vielen Cloud-basierten Angriffen eine Schlüsselrolle – ein Beleg für die Grenzen regelbasierter Schutzmaßnahmen: Die meisten Unternehmen sahen sich mit Bedrohungen konfrontiert, die von bekannten Cloud-Providern wie Microsoft und Amazon ausgingen. Deren Infrastruktur beherbergt zahlreiche legitime Dienste, auf die sich Unternehmen verlassen.
  • Neue Verbreitungswege katapultierten SocGholish in die Top Fünf Malware (nach Nachrichtenvolumen): Mit einer neuartigen Verbreitungsmethode, die Drive-by-Downloads und gefälschte Browser-Updates umfasst, sind die Cyberkriminellen hinter SocGholish (Threat Actor 569, TA569) zunehmend in der Lage, Websites zu infizieren. Auf diese Weise wird die Malware ausschließlich über Drive-by-Downloads verbreitet und die Opfer durch gefälschte Browser-Updates zum Herunterladen verleitet. Viele Websites, auf denen die SocGholish-Malware gehostet wird, wissen nicht, dass sie sie hosten, was zur Verbreitung der Malware beiträgt.
  • Cloud-Bedrohungen sind mittlerweile allgegenwärtig: 94 Prozent der Cloud-Tenants werden jeden Monat entweder durch einen zielgerichteten oder einen Brute-Force-Angriff attackiert. Dies deutet auf eine ähnliche Häufigkeit wie bei E-Mail- und mobilen Vektoren hin. Die Zahl der Brute-Force-Angriffe – insbesondere das Ausspähen von Passwörtern – stieg von durchschnittlich 40 Millionen pro Monat im Jahr 2022 auf fast 200 Millionen Anfang 2023.
  • Missbrauch des Vertrauens in große Marken ist eine der einfachsten Formen des Social Engineerings: Microsoft-Produkte und -Dienstleistungen belegten vier der fünf Spitzenplätze bei den missbrauchten Marken, wobei Amazon die am häufigsten missbrauchte Marke war.
  • Ein für die Cyberkriminellen erfolgreicher initialer Zugang kann unmittelbar zu domänenweiten Angriffen wie einer Ransomware-Infektion oder Datendiebstahl führen: Nicht weniger als 40 Prozent der falsch konfigurierten oder unwissentlich existierenden Admin-Identitäten können in einem einzigen Schritt ausgenutzt werden, z. B. durch das Zurücksetzen eines Domain-Passworts, um Berechtigungen zu erhöhen. Und bei 13 Prozent der unwissentlich existierenden Admin-Identitäten wurde festgestellt, dass sie bereits über Domänen-Administratorrechte verfügen, was es Angreifern ermöglicht, Anmeldedaten zu sammeln und auf Unternehmenssysteme zuzugreifen. Etwa 10 Prozent der Endpunkte haben ein ungeschütztes Passwort für privilegierte Konten, wobei 26 Prozent dieser ungeschützten Konten Domänenadministratoren sind.
  • Ein Jahr, nachdem die Strafverfolgungsbehörden im Januar 2021 das Emotet-Botnet vom Netz genommen hatten, meldete sich die weltweit bekannteste cyberkriminelle Gruppe zurück: Obwohl Emotet im Jahr 2022 mehr als 25 Millionen Nachrichten verschickte – mehr als doppelt so viele wie der zweitgrößte Bedrohungsakteur – trat die Gruppe nur sporadisch in Erscheinung. Ferner zeigte die Gruppe Anzeichen von Lethargie bei der Anpassung an die Post-Macro-Bedrohungslandschaft.
  • Während die Bedrohungslandschaft weitgehend von Finanzkriminalität dominiert wird, kann bereits ein einzelner Angriff eines APT-Akteurs (Advanced Persistent Threat) massive Auswirkungen haben: Eine große Kampagne von TA471, einer mit Russland in Verbindung stehenden APT-Gruppe, die sowohl Unternehmens- als auch Regierungsspionage betreibt, katapultierte diese Gruppe an die Spitze der APT-Akteure nach Nachrichtenvolumen. TA416, ein mit dem chinesischen Staat in Verbindung stehender APT-Akteur, war einer der aktivsten. Vor allem zu Beginn des Krieges zwischen Russland und der Ukraine gab es neue Kampagnen von TA416, die sich gegen diplomatische Einrichtungen europäischer Staaten richteten, die mit Flüchtlings- und Migrationsaufgaben zu tun haben.

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*