Verweildauer von Angreifern im Unternehmensnetzwerk weiter gesunken

Mandiant M-Trends 2023: Auf 74 Prozent der Cyber-Sicherheitsvorfälle werden Unternehmen in der EMEA-Region von externen Akteuren hingewiesen. [...]

Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. (c) Unsplash
Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. (c) Unsplash

Mandiant veröffentlicht die Ergebnisse des M-Trends 2023. Der jährliche Bericht erscheint bereits zum 14. Mal und liefert aktuelle Daten und Analysen zur sich ständig verändernden Bedrohungslandschaft. Die Informationen beruhen auf den Erkenntnissen der Mandiant-Experten, die schwerwiegende Cyberangriffe weltweit untersucht und behoben haben. Die neue Ausgabe des Berichts zeigt die Fortschritte, die Unternehmen weltweit gemacht haben, um ihre Abwehrmaßnahmen gegen immer raffiniertere Angreifer zu stärken.

„Die M-Trends 2023 zeigen, dass unsere Branche im Bereich der Cybersicherheit zwar immer besser wird, wir aber auch mit immer raffinierteren und sich ständig weiterentwickelnden Angreifern zu kämpfen hat. Mehrere Trends, die wir 2021 beobachtet haben, setzten sich auch 2022 fort. Dazu gehören die wachsende Zahl neuer Malware-Familien und die zunehmende Cyberspionage durch staatlich unterstützte Akteure“, erklärt Jürgen Kutscher, VP, Mandiant Consulting bei Google Cloud. „Unternehmen sollten deshalb weiterhin sorgfältig arbeiten um die Cybersicherheitslage mit modernen Cyberabwehrfunktionen zu verbessern. Es ist wichtig, sowohl die Cyber-Resilienz gegen diese neuen Bedrohungen kontinuierlich zu überprüfen als auch die allgemeine Reaktionsfähigkeit zu testen.“

Der Median der Verweildauer sinkt auf etwas über zwei Wochen

Verglichen mit dem Vorjahr ist die weltweite Verweildauer von Angreifern im Median laut dem M-Trends-Bericht 2023 auf 16 Tage im Jahr 2022 weiter gesunken. Der Medianwert basiert auf der Anzahl der Tage, die ein Angreifer in der Umgebung seines Ziels verbringt, bevor er entdeckt wird. Im Vorjahr 2021 lag der Medianwert noch bei 21 Tagen. Mit 16 Tagen bezeichnet der Medianwert für 2022 den geringste für einen M-Trends-Bericht gemessene Wert seit der erstmaligen Veröffentlichung vor 14 Jahren.

Beim Vergleich, wie Bedrohungen aufgedeckt werden, stellt Mandiant fest, dass die Anzahl der Unternehmen, die von einer externen Stelle über eine vergangene oder aktuelle Bedrohung informiert wurden, zugenommen hat. Unternehmen mit Hauptsitz in Nord-, Mittel- und Südamerika wurden in 55 Prozent der Fälle von einer externen Stelle benachrichtigt. Im Vorjahr waren es lediglich 40 Prozent der Vorfälle. Dies ist der höchste Prozentsatz externer Meldungen, der in den letzten sechs Jahren in Nord- und Südamerika verzeichnet wurde. Auch in der EMEA-Region stieg der Zahl der Hinweise durch externe Unternehmen im Jahr 2022 auf 74 Prozent der Fälle – verglichen mit 62 Prozent im Vorjahr.

Beim Anteil der weltweiten Untersuchungen im Zusammenhang mit Ransomware stellten die Experten von Mandiant fest, dass dieser zwischen 2021 und 2022 zurückgegangen ist. Im Jahr 2022 involvierten 18 Prozent Untersuchungen Ransomware, während es im Jahr 2021 noch 23 Prozent waren. Dies ist der niedrigste Prozentsatz an Ransomware-Untersuchungen bei Mandiant seit der Zeit vor 2020.

„Es liegen keine Daten vor, die auf eine einzelne Ursache für den leichten Rückgang der Ransomware-Angriffe hindeuten. Vielmehr gibt es mehrere Veränderungen im operativen Umfeld, die wahrscheinlich zu diesen niedrigeren Zahlen beitragen“, berichtet Sandra Joyce, VP, Mandiant Intelligence bei Google Cloud. „Zu diesen Veränderungen zählen die anhaltenden Bemühungen von Regierungen und Strafverfolgungsbehörden, Ransomware-Diensten und Einzelpersonen das Handwerk zu legen. Sie zwingen die Akteure, sich zumindest neu auszurüsten oder neue Partnerschaften einzugehen. Weitere Faktoren sind der Konflikt in der Ukraine und Akteure, die ihre ursprünglichen Zugriffsoperationen an eine Welt anpassen müssen, in der Office-Makros häufig standardmäßig deaktiviert sind. Zu guter Letzt werden Organisationen potenziell darin immer besser, Ransomware-Ereignisse schneller zu erkennen, zu verhindern und sich davon zu erholen”.

Cyberspionage und Malware-Familien nehmen weltweit zu

Mandiant beobachtet umfangreiche Cyberspionage- und Informationskampagnen vor und seit dem Einmarsch Russlands in die Ukraine am 24. Februar 2022. Das Unternehmen beobachtete vor allem Aktivitäten der Gruppen UNC2589 und APT28 vor dem Einmarsch in die Ukraine. In den ersten vier Monaten des Jahres 2022 kam es zu mehr zerstörerischen Cyberangriffen in der Ukraine als in den gesamten acht Jahren zuvor.

Im Jahr 2022 verfolgte Mandiant 588 neue Malware-Familien, die zeigen, dass die Angreifer ihr Arsenal ständig erweitern. Die fünf wichtigsten Kategorien der neu entdeckten Malware-Familien waren Backdoors (34 Prozent), Downloader (14 Prozent), Dropper (11 Prozent), Ransomware (7 Prozent) und Launcher (5 Prozent). Diese Malware-Familien sind über die Jahre auf einem konstanten Niveau geblieben. Backdoors machen weiterhin etwas mehr als ein Drittel der neu entdeckten Malware-Familien aus.

Wie in den Vorjahren war die von Mandiant am häufigsten identifizierte Malware-Familie die multifunktionale Backdoor BEACON. Im Jahr 2022 war BEACON Teil von 15 Prozent aller untersuchten Angriffe und ist nach wie vor die mit Abstand am häufigsten gefundene Malware in allen Regionen. Sie wird von einer Vielzahl von Angreifergruppen verwendet, die Mandiant überwacht. Darunter befinden sich staatlich unterstützte Gruppen, die China, Russland und dem Iran zugeschrieben werden, sowie finanziell motivierte Angreifer und mehr als 700 UNC-Gruppen („uncategorized“). Laut Bericht lässt sich diese starke Präsenz wahrscheinlich auf die allgemeine Verfügbarkeit von BEACON in Kombination mit der hohen Anpassungsfähigkeit und Benutzerfreundlichkeit der Malware zurückzuführen.

„Mandiant hat mehrere Vorfälle untersucht, die von neuen, immer raffinierteren und effizienteren Angreifern durchgeführt wurden. Sie nutzen Daten aus illegalen Cybercrime-Märkten und wenden überzeugende Social-Engineering-Methoden über Sprachanrufe und Textnachrichten an. Sie versuchen sogar, Mitarbeiter zu bestechen, um Zugang zu Netzwerken zu erhalten“, erklärt Charles Carmakal, CTO, Mandiant Consulting bei Google Cloud. „Diese Gruppen stellen ein erhebliches Risiko für Unternehmen dar, denn selbst mit robusten Sicherheitsprogrammen sind diese Techniken schwer abzuwehren. Wenn Unternehmen ihre Sicherheitsteams, ihre Infrastruktur und ihre Fähigkeiten weiter ausbauen, sollte der Schutz vor diesen Bedrohungsakteuren Teil ihrer Planungsziele sein.“

Weitere Erkenntnisse aus dem Bericht M-Trends 2023

  • Infektionsvektor: Auch im dritten Jahr in Folge bleiben Sicherheitslücken weltweit mit 32 Prozent der am häufigsten genutzte Infektionsvektor der Angreifer. Dies ist zwar ein Rückgang im Vergleich zu den 37 Prozent der im Jahr 2021 festgestellten Vorfälle, dennoch bleiben Sicherheitslücken nach wie vor ein wichtiges Instrument für Angreifer, um ihre Ziele zu attackieren. Phishing war erneut der zweithäufigste Infektionsvektor mit 22 Prozent der Vorfälle gegenüber 12 Prozent im Jahr 2021.
  • Betroffene Branchen: 25 Prozent der Untersuchungen betrafen staatliche Organisationen, verglichen mit 9 Prozent im Jahr 2021. Dies spiegelt in erster Linie die Unterstützung von Mandiant bei der Untersuchung von Cyber-Bedrohungsaktivitäten wider, die auf die Ukraine abzielten. Wie bereits im Vorjahr zählen Gewerbe und Professional Services, die Finanz- und Technologiebranche sowie das Gesundheitswesen zu den häufigsten Zielen der Angreifer.
  • Diebstahl von Zugangsdaten: Die Untersuchungen von Mandiant zeigen, dass im Jahr 2022 im Vergleich zu den Vorjahren mehr Malware zum Diebstahl von Informationen eingesetzt und mehr Zugangsdaten gekauft wurden. In vielen Fällen werden die Zugangsdaten wahrscheinlich außerhalb der Unternehmensumgebung gestohlen und dann gegen das Unternehmen verwendet. Dies geschieht möglicherweise aufgrund wiederverwendeter Passwörter oder persönlichen Konten, die auf geschäftlichen Geräten genutzt werden.
  • Datendiebstahl: Die Experten von Mandiant haben festgestellt, dass die Angreifer im Jahr 2022 bei 40 Prozent der Angriffe auf Datendiebstahl abzielen. Im Vergleich zu den Vorjahren konnten die Verteidiger von Mandiant beobachten, dass Bedrohungsakteure im Jahr 2022 häufiger als in den Vorjahren versucht haben, Daten zu stehlen, oder erfolgreich Daten entwendet haben.
  • Nutzung von Kryptowährungen durch Nordkorea: Neben den traditionellen nachrichtendienstlichen Aufklärungsmissionen und Störangriffen zeigten die Akteure der Demokratischen Volksrepublik Korea im Jahr 2022 verstärktes Interesse daran, Kryptowährungen zu stehlen und zu nutzen. Diese Operationen waren äußerst lukrativ und dürften auch 2023 unvermindert fortgesetzt werden. Weitere Informationen darüber, wie nordkoreanische Bedrohungsakteure Cyberkriminalität als Mittel zur Finanzierung ihrer Spionageoperationen nutzen, finden Sie im APT43-Bericht von Mandiant.

„Der neueste M-Trends-Bericht zeigt, dass die Verweildauer in einem weiteren Jahr in Folge gesunken ist. Wir betrachten die durchschnittliche Anzahl der Tage, die ein Angreifer in der Umgebung eines Ziels verweilt, bevor er entdeckt wird. Die Zeit beträgt in EMEA jetzt weniger als drei Wochen. Verglichen mit 48 Tagen im Vorjahr ist das eine Verbesserung von 70 Prozent“, erklärt Stuart McKenzie, Head of Mandiant Consulting EMEA bei Google Cloud. „Dies belegt zwar einen deutlichen Fortschritt bei den Cyber-Sicherheitsfähigkeiten der Verteidiger, aber wir sehen auch, dass die Bedrohungsakteure immer dreister werden. Es ist wichtig, dass die Verteidigungsmaßnahmen nicht statisch sind und dass die Unternehmen kontinuierliche Testprogramme durchführen, um eine starke Sicherheitslage aufrechtzuerhalten. Auch dabei gilt: Übung macht den Meister. Eine der besten Methoden, um vorbereitet zu sein, ist die ständige Verteidigung gegen Cyberangriffe, die von einem Red Team simuliert werden. Durch kontinuierliches Testen der Verteidigung gegen wahrscheinliche, echte Szenarien kann ein Unternehmen schnell Schwachstellen aufdecken und sich auf die richtigen Stellen in seiner Verteidigung konzentrieren, an denen es arbeiten muss.“

„In der EMEA-Region, einschließlich Deutschland, ist Phishing mit einem Anteil von 40 Prozent an allen Angriffen die am häufigsten verwendete Angriffsmethode. Diese Beobachtung hebt die Wichtigkeit hervor, Mitarbeiter kontinuierlich weiterzubilden. Aufklärung und Schulungen sollten Mitarbeiter in die Lage versetzen, Phishing zu erkennen und zu vermeiden, um die Angriffsfläche zu reduzieren. Das gilt umso mehr für Unternehmen im Bereich der kritischen Infrastruktur, die in die Weiterbildung ihrer Mitarbeiter investieren sollten“, ergänzt Mike Hart, Vice President Western Europe bei Mandiant.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*