Das Cisco Talos Incident Response Team sieht im zweiten Quartal 2022 zum ersten Mal seit über einem Jahr nicht mehr Ransomware als grösste Bedrohung. Neu an der Spitze sind Commodity-Trojaner.
Das Cisco Talos Incident Response Team, das von der weltweit grössten kommerziellen Threat Intelligence Organisation unterstützt wird, hat seinen vierteljährlichen Threat Assessment Report veröffentlicht. Mit 20 Prozent aller Angriffe nehmen Commodity-Trojaner neu die Spitzenposition bei den Bedrohungen ein. Im Vergleich zu den vorangegangenen Quartalen machte Ransomware einen geringeren Prozentsatz aus und liegt bei 15 Prozent, während es im letzten Quartal noch 25 Prozent waren. Mögliche Faktoren sind die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung. Commodity-Malware ist weit verbreitet und kann gekauft oder kostenlos heruntergeladen werden. Sie ist in der Regel nicht angepasst und wird von einer Vielzahl von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten verwendet. Beispiele aus dem 2. Quartal sind unter anderem Remcos RAT, Vidar Information Stealer, Redline Stealer und der Qakbot Banking-Trojaner. Nach Commodity-Malware und Ransomware gehörten Phishing, Business-Email-Compromise (BEC) und Insider-Threats zu den Bedrohungen, die Talos häufig beobachtete. Die am häufigsten angegriffene Branche war wie bereits im letzten Quartal die Telekommunikation, dicht gefolgt von Organisationen im Bildungs- und Gesundheitswesen.
Bedrohungstrends
Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hatten es auf Organisationen abgesehen, die allenfalls hohe Lösegelder bezahlen. Conti gab im Mai bekannt, dass sie ihren Betrieb einstellt. Die Auswirkungen auf die Ransomware-Szene sind aber noch nicht abschätzbar. Eine neue RaaS-Variante namens «Black Basta» ist eine mutmassliche Umbenennung von Conti und dürfte in den kommenden Quartalen eine ernstzunehmende Bedrohung sein. LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet. Wie schon in im ersten Quartal konnten viele E-Mail-basierte Bedrohungen beobachtet werden, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzer zum Klicken auf einen Link oder zum Öffnen einer Datei aufzufordern.
Schutz ist möglich
«Das Fehlen von Multi-Faktor-Authentifizierung (MFA) ist nach wie vor eines der grössten Hindernisse für IT-Sicherheit», sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz. «Aufgrund der untersuchten Angriffe empfehlen wir allen Organisationen, nicht nur eine MFA für alle Dienste zu implementieren, sondern auch sicherzustellen, dass alle Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien einhalten.»