Die neue Cisco Talos Analyse der globalen Bedrohungsvektoren zeigt einen starken Anstieg von Ransomware im vierten Quartal 2023. Das verarbeitende Gewerbe und der Bildungssektor sind am stärksten von Angriffen betroffen. Fehlende Multi-Faktor-Authentifizierung bleibt eine der grössten Schwachstellen.
Für das vierte Quartal 2023 (Oktober - Dezember) hat das Cisco Talos Incident Response Team (Talos IR) seinen vierteljährlichen Trendbericht veröffentlicht. Der Bildungssektor und die Fertigungsindustrie waren die beiden am häufigsten angegriffenen Branchen - fast die Hälfte der von Talos beobachteten Angriffe entfiel auf sie. Im Vergleich zum Vorquartal verzeichnete Talos einen Anstieg der Angriffe auf den Bildungssektor um vier Prozent und auf die Fertigungsindustrie um zehn Prozent. Auch das Gesundheitswesen und die öffentliche Verwaltung waren erneut stark betroffen. Die Industrie spielt eine entscheidende Rolle bei der Herstellung von Gütern, die für andere kritische Infrastruktursektoren von grundlegender Bedeutung sind. Aus diesem Grund haben Störungen in der verarbeitenden Industrie nicht nur Auswirkungen auf die Industrie selbst, sondern auch auf die Lieferkette und abhängige Sektoren. Angriffe können daher instabile Bedingungen in der Lieferkette schaffen, die sofortige Aufmerksamkeit und Massnahmen erfordern, um den Betrieb und/oder den Ruf zu schützen.
Grösste Gefahr und Schwäche
Die am häufigsten beobachtete Bedrohung im 4. Quartal war Ransomware, einschliesslich Pre-Ransomware-Aktivitäten. Sie machte 28 Prozent aus, was einem starken Anstieg von 17 Prozent gegenüber dem Vorquartal entspricht. Das Talos Incident Response Team beobachtete in diesem Quartal zum ersten Mal Aktivitäten im Zusammenhang mit den Ransomware-Gruppen Play, Cactus, BlackSuit und NoEscape. Weitere wichtige Bedrohungen in diesem Quartal waren eine Insiderbedrohung und Phishing-Kampagnen. Talos IR reagierte auch auf zahlreiche Vorfälle mit verschiedenen Post-Compromitment-Aktivitäten, obwohl diese Angriffe in ihrem Umfang begrenzt waren und durch Sicherheitsmassnahmen früh in der Angriffskette eingedämmt wurden, bevor die Ziele des Angreifers identifiziert werden konnten. In diesem Quartal manifestierte sich, was sich bereits das ganze Jahr gezeigt hat: Die Haupt-Sicherheitsschwäche ist das Fehlen oder nicht ordnungsgemässe Implementieren einer Multi-Faktor-Authentifizierung (MFA). Dies macht laut Bericht 36 Prozent der Engagements aus. Talos IR empfiehlt, MFA für alle Benutzerkonten (z.B. Mitarbeiter, Auftragnehmer, Geschäftspartner usw.) zu erweitern. Auf dem neuesten Stand zu bleiben, was Software-Updates für öffentlich zugängliche Anwendungen betrifft, ist ein entscheidender Aspekt der Sicherheitsposition einer Organisation, da veraltete Systeme angreifbare Wege für Angreifer darstellen.
Erstmals QR-Code-Phishing
Im Jahr 2023 wurde wiederholt über eine deutliche Zunahme von QR-Code-Phishing berichtet. Talos IR reagierte im vierten Quartal erstmals auf eine QR-Code-Phishing-Kampagne, bei der Angreifer Opfer dazu brachten, bösartige QR-Codes in Phishing-E-Mails mit ihren persönlichen Mobilgeräten zu scannen. Dies führte zur Ausführung von Malware auf den Mobilgeräten. Infolgedessen verlagert sich die Angriffsfläche, da Sicherheitsprotokolle und Überwachungssysteme von Unternehmen weniger Kontrolle und Einblick in private Geräte haben als in vom Unternehmen verwaltete Hardware ausserhalb des Unternehmensnetzwerks. Darüber hinaus sind die meisten E-Mail-Sicherheitslösungen wie Secure E-Mail Gateways (SEGs) derzeit nicht in der Lage, bösartige QR-Codes zu erkennen.