„Mehr als ein Jahr nach Beginn des Ukrainekriegs sind Cyber-Attacken zu einer strategischen Waffe geworden, die Staaten gezielt einsetzen, um Gegenspieler auszuspähen und die gesellschaftliche Spaltung voranzutreiben“, erklärt John Fokker, Head of Threat Intelligence, Trellix Advanced Research Center. „Sowohl in führenden Wirtschaftsnationen als auch in Schwellenländern sind bekannte APT-Gruppen eine reale Gefahr für kritische Infrastrukturen wie Telekommunikation, Energieversorgung und Produktion. Öffentliche und private Akteure müssen daher zwingend geeignete Abwehrmaßnahmen ergreifen, um sich gegen die immer raffinierter werdenden Attacken staatlich unterstützter Cyber-Krimineller zu schützen.”

Der neueste Bericht des Trellix Advanced Research Center behandelt das erste Quartal 2023 und informiert über sicherheitsrelevante Aktivitäten in den Bereichen Ransomware, Nation-State-APT-Angriffe, E-Mail-Bedrohungen, Missbrauch von Sicherheits-Tools und vielem mehr. Die wichtigsten Ergebnisse auf einen Blick:

• Koordinierte Spionage im Cyber-Raum. APT-Gruppen, die wie Mustang Panda und UNC4191 mit China in Verbindung stehen, waren im ersten Quartal am auffälligsten. 79 Prozent aller festgestellten Angriffe mit staatlichem Hintergrund entfielen auf diese Akteure. Es ist davon auszugehen, dass APT-Gruppen auch künftig Spionage und Disruption im Cyber-Raum mit herkömmlichen militärischen Aktivitäten koppeln werden.
   
• Bei Ransomware zählt nur das Geld. Im Ransomware-Bereich ist nach wie vor der finanzielle Gewinn entscheidend. Entsprechend häufig werden der Versicherungs- und Finanzsektor ins Visier genommen (20 % bzw. 17 %). Die Opfer von Leak-Sites sind größtenteils US-amerikanische (48 %) Unternehmen mittlerer Größe mit 51 bis 200 Beschäftigten (32 %) und einem Umsatz von 10 bis 50 Mio. USD (38 %).

• Cobalt Strike ist nach wie vor beliebt. Trotz der 2022 erfolgten Versuche, Cobalt Strike weniger attraktiv für die missbräuchliche Nutzung zu machen, erfreut es sich zunehmender Beliebtheit bei Cyber-Kriminellen und Ransomware-Akteuren. So war Cobalt Strike an 35 Prozent der Nation-State-Aktivitäten und 28 Prozent der Ransomware-Bedrohungen beteiligt – fast doppelt so viel wie im vierten Quartal 2022.

• Ein Gruß aus der Vergangenheit. Viele kritische Schwachstellen entstehen durch die Umgehung von Patches für ältere CVEs, durch Lieferketten-Bugs, die obsolete Libraries nutzen, oder durch Sicherheitslücken, deren Behebung nicht konsequent umgesetzt wurde. Ein Beispiel dafür ist das im Februar 2023 aufgedeckte Apple-Problem, das letztlich auf den FORCEDENTRY-Exploit aus dem Jahr 2021 zurückgeht.

• Unbefugter Zugriff auf die Cloud. Die Infrastruktur von Amazon, Microsoft und Google gerät immer mehr in den Fokus der Cyber-Kriminellen. Obwohl komplexere Angriffsstrategien mittels Mehrfaktorauthentifizierung, der Kompromittierung von Proxy-Servern und API-Ausführung weiterhin eine Rolle spielen, gelangen die meisten Eindringlinge über gültige Accounts in die Systeme. Konkret wird dieser Angriffsvektor doppelt so häufig genutzt wie andere Methoden. Der unbefugte Zugriff auf legitime Benutzerkonten im Zuge der Telearbeit ist und bleibt ein ernstes Problem.

„Security Operations Teams kämpfen Tag für Tag erbittert darum, die immer größer werdenden Angriffsflächen ihrer Unternehmen wirksam zu schützen“, konstatiert Joseph „Yossi“ Tal, SVP, Trellix Advanced Research Center. „Chronisch unterbesetzte Abteilungen müssen dabei Millionen von Datenpunkten in immer komplexeren Netzwerken im Blick behalten. Trellix unterstützt sie bei dieser Herkulesaufgabe, indem es umfassende Erkenntnisse und Analysen bereitstellt, die sich direkt in mehr Sicherheit umsetzen lassen.“

Der CyberThreat Report nutzt proprietäre Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Center zu staatlich unterstützten und kriminellen Cyber-Aktivitäten, Daten aus Open- und Closed-Source-Quellen sowie Leak-Sites von Bedrohungsakteuren. Als Bedrohungsnachweis gilt die telemetriebasierte Detektion und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens oder eines anderen Indikators über die Trellix XDR-Plattform.

Weitere Ressourcen

• Der CyberThreat Report