Proofpoint hat seinen jährlichen »Human Factor«-Report veröffentlicht. Aus dem Bericht geht hervor, dass nach zwei Jahren pandemiebedingter Verwerfungen das vergangene Jahr weltweit für die Cyberkriminellen eine Rückkehr zur Normalität markierte. Für Betroffene keine gute Nachricht. [...]
Während sich die Sicherheitskontrollen langsam verbessert haben, sind die Bedrohungsakteure kreativ geworden und haben ihre Umgehungsaktivitäten ausgeweitet«, sagt Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. »Einst eine Domäne von Cybersecurity-Experten in Red Teams, sind Techniken wie die Umgehung von MFA und telefonbasierte Angriffe heute ganz alltäglich. Auch wenn viele Cyberkriminelle noch experimentieren, bleibt ein Umstand jedoch eine Konstante: Angreifer nutzen Menschen aus und diese sind die wichtigste Variable in der heutigen Angriffskette.«
Der »Human Factor Report« von Proofpoint befasst sich mit den neuesten Entwicklungen in der Bedrohungslandschaft, wobei der Schwerpunkt auf der Kombination von Technologie und Psychologie liegt. Genau dies mache moderne Cyberangriffe unter den drei Hauptaspekten des Benutzerrisikos – Anfälligkeit, Angriffe und Privilegien – so gefährlich.
Im Folgenden finden sich die wichtigsten Erkenntnisse des »2023 Human Factor Report« von Proofpoint:
- Einbruch bei der Verwendung von Office-Makros, nachdem Microsoft Mechanismen zu deren Blockierung eingeführt hatte: Office-Makros waren fast drei Jahrzehnte eine beliebte Methode zur Verbreitung von Malware. Nachdem Microsoft die Art und Weise überarbeitet hat, wie seine Software mit aus dem Internet heruntergeladenen Dateien verfährt, ging die Verwendung von Office-Makros durch Angreifer schließlich zurück. Diese Änderungen mündeten in einer Reihe von Experimenten, mit denen Cyberkriminelle nach alternativen Techniken suchten, um ihre Ziele infizieren.
- Cyberkriminelle kombinieren Einfallsreichtum mit Präzision und Geduld: Conversational Smishing und Pig Butchering – Attacken, bei denen Angreifer zunächst scheinbar harmlose Nachrichten verschicken – haben im vergangenen Jahr stark zugenommen. Im mobilen Bereich war dies die am schnellsten wachsende Bedrohung des Jahres, deren Volumen um das Zwölffache anstieg. Und telefonbasierte Angriffe (TOAD) erreichten mit 13 Millionen Nachrichten pro Monat ihren Höhepunkt. Mehrere staatlich geförderte APT-Akteure investierten viel Zeit in den Austausch von harmlosen Nachrichten mit ihren Opfern, um über Wochen und Monate hinweg eine Beziehung aufzubauen.
- Phishing-Kits von der Stange zur Umgehung von Multi-Faktor-Authentifizierung (MFA) sind inzwischen allgegenwärtig – auch wenig technisch versierte Kriminelle können nun eine Phishing-Kampagne starten: MFA-Bypass-Frameworks wie EvilProxy, Evilginx2 und NakedPages waren für mehr als eine Million Phishing-Nachrichten pro Monat verantwortlich.
- Legitime Infrastrukturen spielen bei vielen Cloud-basierten Angriffen eine Schlüsselrolle – ein Beleg für die Grenzen regelbasierter Schutzmaßnahmen: Die meisten Unternehmen sahen sich mit Bedrohungen konfrontiert, die von bekannten Cloud-Providern wie Microsoft und Amazon ausgingen. Deren Infrastruktur beherbergt zahlreiche legitime Dienste, auf die sich Unternehmen verlassen.
- Neue Verbreitungswege katapultierten SocGholish in die Malware Top Fünf (nach Nachrichtenvolumen): Mit einer neuartigen Verbreitungsmethode, die Drive-by-Downloads und gefälschte Browser-Updates umfasst, sind die Cyberkriminellen hinter SocGholish zunehmend in der Lage, Websites zu infizieren. Auf diese Weise wird die Malware ausschließlich über Drive-by-Downloads verbreitet und die Opfer durch gefälschte Browser-Updates zum Herunterladen verleitet. Viele Websites, auf denen die SocGholish-Malware gehostet wird, wissen nicht, dass sie sie hosten, was zur Verbreitung der Malware beiträgt.
Cloud-Bedrohungen sind mittlerweile allgegenwärtig: 94 Prozent der Cloud-Tenants werden jeden Monat entweder durch einen zielgerichteten oder einen Brute-Force-Angriff attackiert. Dies deutet auf eine ähnliche Häufigkeit wie bei E-Mail- und mobilen Vektoren hin. Die Zahl der Brute-Force-Angriffe – insbesondere das Ausspähen von Passwörtern – stieg von durchschnittlich 40 Millionen pro Monat im Jahr 2022 auf fast 200 Millionen Anfang 2023. - Missbrauch des Vertrauens in große Marken ist eine der einfachsten Formen des Social Engineerings: Microsoft-Produkte und -Dienstleistungen belegten vier der fünf Spitzenplätze bei den missbrauchten Marken, wobei Amazon die am häufigsten missbrauchte Marke war.
- Ein für die Cyberkriminellen erfolgreicher initialer Zugang kann unmittelbar zu domänenweiten Angriffen wie einer Ransomware-Infektion oder Datendiebstahl führen: Nicht weniger als 40 Prozent der falsch konfigurierten oder unwissentlich existierenden Admin-Identitäten können in einem einzigen Schritt ausgenutzt werden, z. B. durch das Zurücksetzen eines Domain-Passworts, um Berechtigungen zu erhöhen. Und bei 13 Prozent der unwissentlich existierenden Admin-Identitäten wurde festgestellt, dass sie bereits über Domänen-Administratorrechte verfügen, was es Angreifern ermöglicht, Anmeldedaten zu sammeln und auf Unternehmenssysteme zuzugreifen. Etwa 10 Prozent der Endpunkte haben ein ungeschütztes Passwort für privilegierte Konten, wobei 26 Prozent dieser ungeschützten Konten Domänenadministratoren sind.
Be the first to comment