Die rückläufige Wirtschaftsentwicklung könnte dazu führen, dass mehr Menschen in die Cyberkriminalität abrutschen, um über die Runden zu kommen. Zu diesem Schluss kommt eine vor kurzem veröffentlichte Studie von Unit 42 von Palo Alto Networks. [...]
Der 2022 Unit 42 Incident Response Report liefert Erkenntnisse aus der Arbeit von Unit 42 im Bereich Incident Response (IR). Er nutzt eine Stichprobe von über 600 IR-Fällen, die von Unit 42 bearbeitet wurden, um CISOs und Sicherheitsteams dabei zu helfen, die größten Sicherheitsrisiken zu verstehen, denen sie ausgesetzt sind. Sicherheitsverantwortliche sollen erkennen, wo sie ihre knappen Ressourcen priorisieren müssen, um diese Risiken zu reduzieren, so eine Presseaussendung von Palo Alto.
Palo Alto Networks Unit 42 hat herausgefunden, dass Ransomware und Business Email Compromise (BEC) die häufigsten Vorfälle waren, auf die das Incident Response Team in den letzten zwölf Monaten reagieren musste; diese machten etwa 70 Prozent der Vorfälle aus.
„Cyberkriminalität ist derzeit ein leichtes Geschäft, weil es wenig kostet und oft hohe Gewinne abwirft. Unerfahrene Angreifer haben Zugang zu Tools wie Hacking-as-a-Service, die im Dark Web immer beliebter werden“, erklärte Wendi Whitmore, SVP und Head of Unit 42 bei Palo Alto Networks. „Ransomware-Angreifer werden auch immer organisierter mit ihrem Kundenservice und ihren Zufriedenheitsumfragen, wenn sie sich mit Cyberkriminellen und den geschädigten Unternehmen auseinandersetzen.“
Unit 42 fand außerdem heraus, dass in 75 Prozent der Fälle von Insiderbedrohungen ein ehemaliger Mitarbeiter beteiligt ist. „Die derzeitige wirtschaftliche Volatilität macht es für Unternehmen zwingend erforderlich, sich auf den Schutz vor Insiderbedrohungen zu konzentrieren. Cyberkriminelle suchen im Internet nach Mitarbeitern und bieten ihnen direkt Geld für ihre Zugangsdaten an“, so Whitmore weiter.
Zu den wichtigsten Trends, die in dem Bericht behandelt werden, zählen folgende Aspekte:
Ransomware
Alle vier Stunden wird ein neues Ransomware-Opfer auf Leak-Sites veröffentlicht. Die frühzeitige Erkennung von Ransomware-Aktivitäten ist für Unternehmen entscheidend. In der Regel werden Ransomware-Akteure erst entdeckt, nachdem Dateien verschlüsselt wurden und die betroffene Organisation eine Lösegeldforderung erhalten hat. Unit 42 hat herausgefunden, dass die durchschnittliche Verweildauer – d. h. die Zeit, die Angreifer in einer Zielumgebung verbringen, bevor sie entdeckt werden – bei Ransomware-Angriffen 28 Tage beträgt. Die Lösegeldforderungen beliefen sich auf bis zu 30 Millionen US-Dollar, und die tatsächlichen Auszahlungen betrugen bis zu acht Millionen US-Dollar – ein stetiger Anstieg im Vergleich zu den Ergebnissen des 2022 Unit 42 Ransomware Report. Betroffene Unternehmen müssen zunehmend damit rechnen, dass Angreifer eine doppelte Erpressung anwenden, indem sie damit drohen, vertrauliche Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Die höchsten durchschnittlichen Lösegeldforderungen wurden in der Finanz- und Immobilienbranche gestellt, mit einer durchschnittlichen Forderung von fast acht bzw. 5,2 Millionen US-Dollar.
BEC
Cyberkriminelle setzten bei der Kompromittierung von Geschäfts-E-Mails eine Vielzahl von Techniken ein, um Betrug zu begehen. Formen des Social Engineering wie Phishing bieten eine einfache und kostengünstige Möglichkeit, sich verdeckt Zugang zu verschaffen und gleichzeitig das Risiko einer Entdeckung gering zu halten. Dem Bericht zufolge fordern Cyberkriminelle in vielen Fällen ihre ahnungslosen Opfer einfach auf, ihre Zugangsdaten preiszugeben – und bekommen sie auch. Sobald sie sich Zugang verschafft haben, betrug die folgende durchschnittliche Verweildauer bei BEC-Angriffen 38 Tage und der durchschnittliche Diebstahlsbetrag 286.000 US-Dollar.
Betroffene Branchen
Angreifer folgen dem Geld, wenn es darum geht, Branchen ins Visier zu nehmen. Viele Angreifer sind jedoch opportunistisch. Sie scannen einfach das Internet auf der Suche nach Systemen, bei denen sie bekannte Schwachstellen ausnutzen können. Unit 42 identifizierte als die am stärksten von Incident-Response-Fällen (IR) betroffenen Branchen das Finanzwesen, freiberufliche und juristische Dienstleistungen, das verarbeitende Gewerbe, das Gesundheitswesen, die High-Tech-Branche sowie den Groß- und Einzelhandel.
Der Bericht enthüllt auch einige Statistiken von IR-Fällen:
- Die drei wichtigsten Angriffsvektoren waren Phishing, die Ausnutzung bekannter Software-Schwachstellen und Brute-Force-Angriffe auf Zugangsdaten, die sich hauptsächlich auf das Remote-Desktop-Protokoll (RDP) konzentrierten. Zusammengenommen machen diese Angriffsvektoren 77 Prozent der vermuteten Ursachen für Intrusion-Vorfälle aus.
- Mehr als die Hälfte aller Schwachstellen, die für den Erstzugang ausgenutzt wurden, entfielen auf ProxyShell (55 Prozent), gefolgt von Log4J (14 Prozent), SonicWall (7 Prozent), ProxyLogon (5 Prozent) und Zoho ManageEngine ADSelfService Plus (4 Prozent).
- In der Hälfte aller IR-Fälle entdeckten die Forscher, dass Unternehmen keine Multi-Faktor-Authentifizierung auf kritischen, dem Internet zugewandten Systemen wie Unternehmens-Webmail, VPN-Lösungen (Virtual Private Network) oder anderen Fernzugriffslösungen hatten.
- In 13 Prozent der Fälle verfügten die Unternehmen über keine Schutzmaßnahmen, um eine Kontosperre für Brute-Force-Angriffe auf Zugangsdaten zu gewährleisten.
- In 28 Prozent der Fälle trugen unzureichende Patch-Management-Verfahren zum Erfolg der Angreifer bei.
- In 44 Prozent der Fälle verfügten die Unternehmen nicht über eine EDR (Endpoint Detection and Response)- oder XDR (Extended Detection and Response)-Sicherheitslösung, oder sie war auf den ursprünglich betroffenen Systemen nicht vollständig implementiert, um bösartige Aktivitäten zu erkennen und darauf zu reagieren.
Be the first to comment