18. April 2023 Mandiant

Verweildauer von Angreifern im Unternehmensnetzwerk weiter gesunken

Mandiant M-Trends 2023: Auf 74 Prozent der Cyber-Sicherheitsvorfälle werden Unternehmen in der EMEA-Region von externen Akteuren hingewiesen. [...]

Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. (c) Unsplash
Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. (c) Unsplash

Mandiant veröffentlicht die Ergebnisse des M-Trends 2023. Der jährliche Bericht erscheint bereits zum 14. Mal und liefert aktuelle Daten und Analysen zur sich ständig verändernden Bedrohungslandschaft. Die Informationen beruhen auf den Erkenntnissen der Mandiant-Experten, die schwerwiegende Cyberangriffe weltweit untersucht und behoben haben. Die neue Ausgabe des Berichts zeigt die Fortschritte, die Unternehmen weltweit gemacht haben, um ihre Abwehrmaßnahmen gegen immer raffiniertere Angreifer zu stärken.

„Die M-Trends 2023 zeigen, dass unsere Branche im Bereich der Cybersicherheit zwar immer besser wird, wir aber auch mit immer raffinierteren und sich ständig weiterentwickelnden Angreifern zu kämpfen hat. Mehrere Trends, die wir 2021 beobachtet haben, setzten sich auch 2022 fort. Dazu gehören die wachsende Zahl neuer Malware-Familien und die zunehmende Cyberspionage durch staatlich unterstützte Akteure“, erklärt Jürgen Kutscher, VP, Mandiant Consulting bei Google Cloud. „Unternehmen sollten deshalb weiterhin sorgfältig arbeiten um die Cybersicherheitslage mit modernen Cyberabwehrfunktionen zu verbessern. Es ist wichtig, sowohl die Cyber-Resilienz gegen diese neuen Bedrohungen kontinuierlich zu überprüfen als auch die allgemeine Reaktionsfähigkeit zu testen.“

Der Median der Verweildauer sinkt auf etwas über zwei Wochen

Verglichen mit dem Vorjahr ist die weltweite Verweildauer von Angreifern im Median laut dem M-Trends-Bericht 2023 auf 16 Tage im Jahr 2022 weiter gesunken. Der Medianwert basiert auf der Anzahl der Tage, die ein Angreifer in der Umgebung seines Ziels verbringt, bevor er entdeckt wird. Im Vorjahr 2021 lag der Medianwert noch bei 21 Tagen. Mit 16 Tagen bezeichnet der Medianwert für 2022 den geringste für einen M-Trends-Bericht gemessene Wert seit der erstmaligen Veröffentlichung vor 14 Jahren.

Beim Vergleich, wie Bedrohungen aufgedeckt werden, stellt Mandiant fest, dass die Anzahl der Unternehmen, die von einer externen Stelle über eine vergangene oder aktuelle Bedrohung informiert wurden, zugenommen hat. Unternehmen mit Hauptsitz in Nord-, Mittel- und Südamerika wurden in 55 Prozent der Fälle von einer externen Stelle benachrichtigt. Im Vorjahr waren es lediglich 40 Prozent der Vorfälle. Dies ist der höchste Prozentsatz externer Meldungen, der in den letzten sechs Jahren in Nord- und Südamerika verzeichnet wurde. Auch in der EMEA-Region stieg der Zahl der Hinweise durch externe Unternehmen im Jahr 2022 auf 74 Prozent der Fälle – verglichen mit 62 Prozent im Vorjahr.

Beim Anteil der weltweiten Untersuchungen im Zusammenhang mit Ransomware stellten die Experten von Mandiant fest, dass dieser zwischen 2021 und 2022 zurückgegangen ist. Im Jahr 2022 involvierten 18 Prozent Untersuchungen Ransomware, während es im Jahr 2021 noch 23 Prozent waren. Dies ist der niedrigste Prozentsatz an Ransomware-Untersuchungen bei Mandiant seit der Zeit vor 2020.

„Es liegen keine Daten vor, die auf eine einzelne Ursache für den leichten Rückgang der Ransomware-Angriffe hindeuten. Vielmehr gibt es mehrere Veränderungen im operativen Umfeld, die wahrscheinlich zu diesen niedrigeren Zahlen beitragen“, berichtet Sandra Joyce, VP, Mandiant Intelligence bei Google Cloud. „Zu diesen Veränderungen zählen die anhaltenden Bemühungen von Regierungen und Strafverfolgungsbehörden, Ransomware-Diensten und Einzelpersonen das Handwerk zu legen. Sie zwingen die Akteure, sich zumindest neu auszurüsten oder neue Partnerschaften einzugehen. Weitere Faktoren sind der Konflikt in der Ukraine und Akteure, die ihre ursprünglichen Zugriffsoperationen an eine Welt anpassen müssen, in der Office-Makros häufig standardmäßig deaktiviert sind. Zu guter Letzt werden Organisationen potenziell darin immer besser, Ransomware-Ereignisse schneller zu erkennen, zu verhindern und sich davon zu erholen”.

Cyberspionage und Malware-Familien nehmen weltweit zu

Mandiant beobachtet umfangreiche Cyberspionage- und Informationskampagnen vor und seit dem Einmarsch Russlands in die Ukraine am 24. Februar 2022. Das Unternehmen beobachtete vor allem Aktivitäten der Gruppen UNC2589 und APT28 vor dem Einmarsch in die Ukraine. In den ersten vier Monaten des Jahres 2022 kam es zu mehr zerstörerischen Cyberangriffen in der Ukraine als in den gesamten acht Jahren zuvor.

Im Jahr 2022 verfolgte Mandiant 588 neue Malware-Familien, die zeigen, dass die Angreifer ihr Arsenal ständig erweitern. Die fünf wichtigsten Kategorien der neu entdeckten Malware-Familien waren Backdoors (34 Prozent), Downloader (14 Prozent), Dropper (11 Prozent), Ransomware (7 Prozent) und Launcher (5 Prozent). Diese Malware-Familien sind über die Jahre auf einem konstanten Niveau geblieben. Backdoors machen weiterhin etwas mehr als ein Drittel der neu entdeckten Malware-Familien aus.

Wie in den Vorjahren war die von Mandiant am häufigsten identifizierte Malware-Familie die multifunktionale Backdoor BEACON. Im Jahr 2022 war BEACON Teil von 15 Prozent aller untersuchten Angriffe und ist nach wie vor die mit Abstand am häufigsten gefundene Malware in allen Regionen. Sie wird von einer Vielzahl von Angreifergruppen verwendet, die Mandiant überwacht. Darunter befinden sich staatlich unterstützte Gruppen, die China, Russland und dem Iran zugeschrieben werden, sowie finanziell motivierte Angreifer und mehr als 700 UNC-Gruppen („uncategorized“). Laut Bericht lässt sich diese starke Präsenz wahrscheinlich auf die allgemeine Verfügbarkeit von BEACON in Kombination mit der hohen Anpassungsfähigkeit und Benutzerfreundlichkeit der Malware zurückzuführen.

„Mandiant hat mehrere Vorfälle untersucht, die von neuen, immer raffinierteren und effizienteren Angreifern durchgeführt wurden. Sie nutzen Daten aus illegalen Cybercrime-Märkten und wenden überzeugende Social-Engineering-Methoden über Sprachanrufe und Textnachrichten an. Sie versuchen sogar, Mitarbeiter zu bestechen, um Zugang zu Netzwerken zu erhalten“, erklärt Charles Carmakal, CTO, Mandiant Consulting bei Google Cloud. „Diese Gruppen stellen ein erhebliches Risiko für Unternehmen dar, denn selbst mit robusten Sicherheitsprogrammen sind diese Techniken schwer abzuwehren. Wenn Unternehmen ihre Sicherheitsteams, ihre Infrastruktur und ihre Fähigkeiten weiter ausbauen, sollte der Schutz vor diesen Bedrohungsakteuren Teil ihrer Planungsziele sein.“

Weitere Erkenntnisse aus dem Bericht M-Trends 2023

  • Infektionsvektor: Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. Dies ist zwar ein Rückgang im Vergleich zu den 37 Prozent der im Jahr 2021 festgestellten Vorfälle, dennoch bleiben Sicherheitslücken nach wie vor ein wichtiges Instrument für Angreifer, um ihre Ziele zu attackieren. Phishing war erneut der zweithäufigste Infektionsvektor mit 22 Prozent der Vorfälle gegenüber 12 Prozent im Jahr 2021.
  • Betroffene Branchen: 25 Prozent der Untersuchungen betrafen staatliche Organisationen, verglichen mit 9 Prozent im Jahr 2021. Dies spiegelt in erster Linie die Unterstützung von Mandiant bei der Untersuchung von Cyber-Bedrohungsaktivitäten wider, die auf die Ukraine abzielten. Wie bereits im Vorjahr zählen Gewerbe und Professional Services, die Finanz- und Technologiebranche sowie das Gesundheitswesen zu den häufigsten Zielen der Angreifer.
  • Diebstahl von Zugangsdaten: Die Untersuchungen von Mandiant zeigen, dass im Jahr 2022 im Vergleich zu den Vorjahren mehr Malware zum Diebstahl von Informationen eingesetzt und mehr Zugangsdaten gekauft wurden. In vielen Fällen werden die Zugangsdaten wahrscheinlich außerhalb der Unternehmensumgebung gestohlen und dann gegen das Unternehmen verwendet. Dies geschieht möglicherweise aufgrund wiederverwendeter Passwörter oder persönlichen Konten, die auf geschäftlichen Geräten genutzt werden.
  • Datendiebstahl: Die Experten von Mandiant haben festgestellt, dass die Angreifer im Jahr 2022 bei 40 Prozent der Angriffe auf Datendiebstahl abzielen. Im Vergleich zu den Vorjahren konnten die Verteidiger von Mandiant beobachten, dass Bedrohungsakteure im Jahr 2022 häufiger als in den Vorjahren versucht haben, Daten zu stehlen, oder erfolgreich Daten entwendet haben.
  • Nutzung von Kryptowährungen durch Nordkorea: Neben den traditionellen nachrichtendienstlichen Aufklärungsmissionen und Störangriffen zeigten die Akteure der Demokratischen Volksrepublik Korea im Jahr 2022 verstärktes Interesse daran, Kryptowährungen zu stehlen und zu nutzen. Diese Operationen waren äußerst lukrativ und dürften auch 2023 unvermindert fortgesetzt werden. Weitere Informationen darüber, wie nordkoreanische Bedrohungsakteure Cyberkriminalität als Mittel zur Finanzierung ihrer Spionageoperationen nutzen, finden Sie im APT43-Bericht von Mandiant.

„Der neueste M-Trends-Bericht zeigt, dass die Verweildauer in einem weiteren Jahr in Folge gesunken ist. Wir betrachten die durchschnittliche Anzahl der Tage, die ein Angreifer in der Umgebung eines Ziels verweilt, bevor er entdeckt wird. Die Zeit beträgt in EMEA jetzt weniger als drei Wochen. Verglichen mit 48 Tagen im Vorjahr ist das eine Verbesserung von 70 Prozent“, erklärt Stuart McKenzie, Head of Mandiant Consulting EMEA bei Google Cloud. „Dies belegt zwar einen deutlichen Fortschritt bei den Cyber-Sicherheitsfähigkeiten der Verteidiger, aber wir sehen auch, dass die Bedrohungsakteure immer dreister werden. Es ist wichtig, dass die Verteidigungsmaßnahmen nicht statisch sind und dass die Unternehmen kontinuierliche Testprogramme durchführen, um eine starke Sicherheitslage aufrechtzuerhalten. Auch dabei gilt: Übung macht den Meister. Eine der besten Methoden, um vorbereitet zu sein, ist die ständige Verteidigung gegen Cyberangriffe, die von einem Red Team simuliert werden. Durch kontinuierliches Testen der Verteidigung gegen wahrscheinliche, echte Szenarien kann ein Unternehmen schnell Schwachstellen aufdecken und sich auf die richtigen Stellen in seiner Verteidigung konzentrieren, an denen es arbeiten muss.“

„In der EMEA-Region, einschließlich Deutschland, ist Phishing mit einem Anteil von 40 Prozent an allen Angriffen die am häufigsten verwendete Angriffsmethode. Diese Beobachtung hebt die Wichtigkeit hervor, Mitarbeiter kontinuierlich weiterzubilden. Aufklärung und Schulungen sollten Mitarbeiter in die Lage versetzen, Phishing zu erkennen und zu vermeiden, um die Angriffsfläche zu reduzieren. Das gilt umso mehr für Unternehmen im Bereich der kritischen Infrastruktur, die in die Weiterbildung ihrer Mitarbeiter investieren sollten“, ergänzt Mike Hart, Vice President Western Europe bei Mandiant.


Mehr Artikel

Die Teilnehmer des Roundtables (v.l.n.r.): Roswitha Bachbauer (CANCOM Austria), Thomas Boll (Boll Engineering AG), Manfred Weiss (ITWelt.at) und Udo Schneider (Trend Micro). (c) timeline/Rudi Handl
News

Security in der NIS2-Ära

19. September 2024 Wolfgang Franz

NIS2 ist mehr ein organisatorisches Thema als ein technisches. Und: Von der Richtlinie sind via Lieferketten wesentlich mehr Unternehmen betroffen als ursprünglich geplant, womit das Sicherheitsniveau auf breiter Basis gehoben wird. Beim ITWelt.at Roundtable diskutierten drei IT-Experten und -Expertinnen über die Herausforderungen und Chancen von NIS2. […]

Christoph Mutz, Senior Product Marketing Manager, AME, Western Digital (c) AME Western Digital
Interview

Speicherlösungen für Autos von morgen

19. September 2024 Klaus Lorbeer

Autos sind fahrende Computer. Sie werden immer intelligenter und generieren dabei jede Menge Daten. Damit gewinnen auch hochwertige Speicherlösungen im Fahrzeug an Bedeutung. Christoph Mutz von Western Digital verrät im Interview, welche Speicherherausforderungen auf Autohersteller und -zulieferer zukommen. […]

Andreas Schoder ist Leiter Cloud & Managend Services bei next layer, Alexandros Osyos ist Senior Produkt Manager bei next layer. (c) next layer
Interview

Fokus auf österreichische Kunden

19. September 2024 Klaus Lorbeer

Der österreichische Backup-Experte next layer bietet umfassendes Cloud-Backup in seinen Wiener Rechenzentren. Im Interview mit ITWelt.at erläutern Andreas Schoder, Leiter Cloud & Managed Services, und Alexandros Osyos, Senior Produkt Manager, worauf Unternehmen beim Backup achten müssen und welche Produkte und Dienstleistungen next layer bietet. […]

Miro Mitrovic ist Area Vice President für die DACH-Region bei Proofpoint.(c) Proofpoint
Kommentar

Die Achillesferse der Cybersicherheit

19. September 2024 Miro Mitrovic*

Eine immer größere Abhängigkeit von Cloud-Technologien, eine massenhaft mobil arbeitende Belegschaft und große Mengen von Cyberangreifern mit KI-Technologien haben im abgelaufenen Jahr einen wahrhaften Sturm aufziehen lassen, dem sich CISOS ausgesetzt sehen. Eine große Schwachstelle ist dabei der Mensch, meint Miro Mitrovic, Area Vice President DACH bei Proofpoint. […]

Alexander Graf ist Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH. (c) Antares-NetlogiX Netzwerkberatung GmbH
Interview

Absicherung kritischer Infrastrukturen

19. September 2024 Wolfgang Franz

NIS2 steht vor der Tür – höchste Zeit, entsprechende Maßnahmen auch im Bereich der Operational Technology (OT) zu ergreifen. »Wenn man OT SIEM richtig nutzt, sichert es kritische Infrastrukturen verlässlich ab«, sagt Alexander Graf, Experte für OT-Security (COSP) und Geschäftsführer der Antares-NetlogiX Netzwerkberatung GmbH, im ITWelt.at-Interview. […]

Brian Wrozek, Principal Analyst bei Forrester (c) Forrester
Interview

Cybersicherheit in der Ära von KI und Cloud

19. September 2024 Christof Baumgartner

Die Bedrohungslandschaft im Bereich der Cybersicherheit hat sich zu einer unbeständigen Mischung von Bedrohungen entwickelt, die durch zunehmende Unsicherheit und steigende Komplexität bedingt ist. Zu diesem Schluss kommt der Report »Top Cyber-security Threats In 2024« von Forrester. ITWelt.at hat dazu mit Studienautor Brian Wrozek ein Interview geführt. […]

In Österreich gibt es die freie Wahl des Endgeräts. Oder doch nicht? (c) Pexels
News

RTR erklärt Wahlfreiheit zum Nischenthema

19. September 2024 Christof Baumgartner

Bei der Frage, ob Endkunden oder die Provider darüber entscheiden sollten, welches Endgerät sie an ihrem Breitbandanschluss nutzen können, stellt sich die RTR klar auf eine Seite. Laut RTR existiert bereits Wahlfreiheit. Dennoch will die Regulierungsbehörde aktiv werden, wenn sich noch mehr Kunden über das Fehlen der Wahlfreiheit bei ihr beschweren. Logik geht anders. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*