Das Cisco-Talos-Incident-Response-Team (CITR) blickt zurück auf ein weiteres Quartal voller Ransomware. Revil (mit mehreren Kaseya-Attacken auf Managed-Service-Provider und deren Kunden) sowie Vice-Society waren die einzigen Ransomware-Gruppen, die mehr als einmal im Quartal aktiv waren. Hingegen ist die Ryuk-Ransomware nicht mehr beobachtet worden.
Das Cisco-Talos-Incident-Response-Team (CITR), das von der weltweit grössten kommerziellen Threat-Intelligence-Organisation unterstützt wird, hat seinen vierteljährlichen Threat-Assessment-Report veröffentlicht. Auch im 3. Quartal war Ransomware die dominierende Bedrohung.
Die zweithäufigste festgestellte Bedrohung war zwischen Juli und Oktober 2021 Business E-Mail Compromise (BEC). Dabei nutzen Angreifer verschiedene Taktiken per E-Mail, um die Empfängerinnen und Empfänger zu täuschen und zu schädlichem Verhalten zu bewegen. Nach Einschätzung des CITR belegt die Dominanz von Ransomware und BEC im Quartal die Dringlichkeit, Multifaktor-Authentifizierung im Unternehmen einzuführen und auf die traditionellen Passwörter zu verzichten.
Roman Stefanov, Head of Cyber Security bei Cisco Schweiz, empfiehlt zudem dringend, eine neue Sicherheitskultur zu etablieren, die nicht auf Detailwissen und Drill aus ist, sondern Mitarbeitende befähigt, einen sicheren und verantwortungsvollen Umgang mit IT-Infrastruktur und Daten zu pflegen. «Sonst sind die Früchte der Digitalisierung in Gefahr und Unternehmen schwächen sich selbst an allen Fronten», sagt er. «Im schlimmsten Fall gefährden dauernde Angriffe auf die Organisation den Geschäftserfolg.»
Weitere Bedrohungen im Quartal betrafen die Solarmarker-Malware, die Talos oft beobachtete, sowie den Redline-Information-Stealer, der Informationen sammelt und in russischen Darkweb-Foren verkauft.
Beobachtungen im 3. Quartal 2021
- Lokale Regierungsorganisationen waren Ziel Nummer 1 der digitalen Kriminalität. Damit verdrängte dieses Ziel die Gesundheitsbranche, die zuvor drei Quartale nacheinander das beliebteste Ziel war.
- 38 Prozent aller Bedrohungen betrafen Ransomware. Im Quartal zuvor war die Zahl mit 46 Prozent etwas höher. Einige neue Ransomware-Familien wurden beobachtet wie Vice Society, Hive, Karma, Grief, CryptBD oder Thanos.
- Die Zahl der vom CTIR registrieren BEC-Fälle war die höchste seit Beginn der Quartalsreports Ende 2019.
- E-Mail wurde am häufigsten als initialer Angriffsvektor erkannt. Keine Überraschung angesichts der Zunahme von BEC-Fällen und der Ransomware-Angreifer, die oft Phishing nutzen.
- Das Fehlen einer Multifaktor-Authentifizierung (MFA) ist nach wie vor eines der grössten Hindernisse für die Unternehmenssicherheit. CTIR beobachtete häufig Ransomware-Vorfälle, die hätten verhindert werden können, wenn MFA für kritische Dienste aktiviert worden wäre.
- Remote-Access-Tools wie Teamviewer und Anydesk sind im dritten Quartal häufiger als zuvor bei Ransomware-Attacken eingesetzt worden.