Das Cisco Talos Incident Response Team hat Bilanz über das zweite Quartal gezogen: Ransomware macht beinahe die Hälfte aller Sicherheitsvorfälle aus. Zum dritten Mal in Folge war das Gesundheitswesen Angriffsziel Nummer eins. Interessanterweise war ein alter Angriffsvektor neu genutzt worden.
Das Cisco Talos Incident Response (CTIR) Team, das von der weltweit grössten kommerziellen Threat Intelligence Organisation unterstützt wird, hat seinen vierteljährlichen Threat Assessment Report veröffentlicht. Cisco Talos beobachtete eine Vielzahl von Angriffen, wobei Ransomware die dominierende Bedrohung in diesem Quartal war. Laut CTIR war Ransomware für fast die Hälfte aller Vorfälle verantwortlich – dreimal häufiger als die zweithäufigste Bedrohung. Die Ziele der kriminellen Akteure sind breit gestreut, jedoch war das Gesundheitswesen das dritte Quartal in Folge das Hauptangriffsziel. Regierungsorganisationen lagen an zweiter Stelle. «Es gibt viele Gründe, warum Akteure weiterhin das Gesundheitswesen ins Visier nehmen, darunter die COVID-19-Pandemie, die Opfer zusätzlich unter Druck setzt, für die schnellstmögliche Wiederherstellung der Dienste zu zahlen. Positiv zu vermerken ist, dass es mehrere Vorfälle im Vorfeld von Ransomware gab, bei denen eine rechtzeitige Erkennung durch Cisco Secure-Produkte und eine schnelle Abhilfe dazu führten, dass der Vorfall eingedämmt werden konnte, bevor es zu einer Verschlüsselung kam», sagt Roman Stefanov, Cybersecurity-Verantwortlicher von Cisco Schweiz.
Multi-Faktor-Authentifizierung für mehr Sicherheit
Die Ransomware-Akteure nutzten kommerzielle Tools wie Cobalt Strike, Open-Source-Tools und Tools, die auf dem Gerät des Opfers installiert waren. Weitere beobachtete Bedrohungen waren die Ausnutzung bekannter Schwachstellen, das Mining von Kryptowährungen und die Kompromittierung von Konten. Interessanterweise gab es mehrere Vorfälle mit trojanisierten USB-Laufwerken, ein älterer Angriffsvektor, der seit vielen Jahren nicht mehr beobachtet wurde. «Das Fehlen einer Multi-Faktor-Authentifizierung (MFA) ist nach wie vor eines der grössten Hindernisse für die Unternehmenssicherheit», schlussfolgert Roman Stefanov aus dem Quartalsbericht. CTIR beobachtet nämlich häufig Ransomware-Vorfälle, die hätten verhindert werden können, wenn MFA für wichtige Dienste aktiviert worden wäre. CTIR empfiehlt Unternehmen dringend, MFA zu implementieren, wo immer dies möglich ist.