Die rückläufige Wirtschaftsentwicklung könnte dazu führen, dass mehr Menschen in die Cyberkriminalität abrutschen, um über die Runden zu kommen. Zu diesem Schluss kommt eine aktuelle Studie von Unit 42 von Palo Alto Networks.
Der 2022 Unit 42 Incident Response Report liefert Erkenntnisse aus der umfangreichen Arbeit von Unit 42 im Bereich Incident Response (IR). Er nutzt eine Stichprobe von über 600 IR-Fällen, die von Unit 42 bearbeitet wurden, um CISOs und Sicherheitsteams dabei zu helfen, die grössten Sicherheitsrisiken zu verstehen, denen sie ausgesetzt sind. Sicherheitsverantwortliche sollen erkennen, wo sie ihre knappen Ressourcen priorisieren müssen, um diese Risiken zu reduzieren. Palo Alto Networks Unit 42 hat herausgefunden, dass Ransomware und Business Email Compromise (BEC) die häufigsten Vorfälle waren, auf die das Incident Response Team in den letzten zwölf Monaten reagieren musste; diese machten etwa 70 Prozent der Vorfälle aus. „Cyberkriminalität ist derzeit ein leichtes Geschäft, weil es wenig kostet und oft hohe Gewinne abwirft. Unerfahrene Angreifer haben Zugang zu Tools wie Hacking-as-a-Service, die im Dark Web immer beliebter werden“, erklärte Wendi Whitmore, SVP und Head of Unit 42 bei Palo Alto Networks. „Ransomware-Angreifer werden auch immer organisierter mit ihrem Kundenservice und ihren Zufriedenheitsumfragen, wenn sie sich mit Cyberkriminellen und den geschädigten Unternehmen auseinandersetzen.“ Unit 42 fand ausserdem heraus, dass in 75 Prozent der Fälle von Insiderbedrohungen ein ehemaliger Mitarbeiter beteiligt ist. „Die derzeitige wirtschaftliche Volatilität macht es für Unternehmen zwingend erforderlich, sich auf den Schutz vor Insiderbedrohungen zu konzentrieren. Cyberkriminelle suchen im Internet nach Mitarbeitern und bieten ihnen direkt Geld für ihre Zugangsdaten an“, so Whitmore weiter.
Zu den wichtigsten Trends zählen:
Ransomware
Alle vier Stunden wird ein neues Ransomware-Opfer auf Leak-Sites veröffentlicht. Die frühzeitige Erkennung von Ransomware-Aktivitäten ist für Unternehmen entscheidend. In der Regel werden Ransomware-Akteure erst entdeckt, nachdem Dateien verschlüsselt wurden und die betroffene Organisation eine Lösegeldforderung erhalten hat. Unit 42 hat herausgefunden, dass die durchschnittliche Verweildauer – d. h. die Zeit, die Angreifer in einer Zielumgebung verbringen, bevor sie entdeckt werden – bei Ransomware-Angriffen 28 Tage beträgt. Die Lösegeldforderungen beliefen sich auf bis zu 30 Millionen US-Dollar, und die tatsächlichen Auszahlungen betrugen bis zu acht Millionen US-Dollar – ein stetiger Anstieg im Vergleich zu den Ergebnissen des 2022 Unit 42 Ransomware Report. Betroffene Unternehmen müssen zunehmend damit rechnen, dass Angreifer eine doppelte Erpressung anwenden, indem sie damit drohen, vertrauliche Informationen zu veröffentlichen, wenn das Lösegeld nicht gezahlt wird. Die höchsten durchschnittlichen Lösegeldforderungen wurden in der Finanz- und Immobilienbranche gestellt, mit einer durchschnittlichen Forderung von fast acht bzw. 5,2 Millionen US-Dollar.
BEC
Cyberkriminelle setzten bei der Kompromittierung von Geschäfts-E-Mails eine Vielzahl von Techniken ein, um Betrug zu begehen. Formen des Social Engineering wie Phishing bieten eine einfache und kostengünstige Möglichkeit, sich verdeckt Zugang zu verschaffen und gleichzeitig das Risiko einer Entdeckung gering zu halten. Dem Bericht zufolge fordern Cyberkriminelle in vielen Fällen ihre ahnungslosen Opfer einfach auf, ihre Zugangsdaten preiszugeben – und bekommen sie auch. Sobald sie sich Zugang verschafft haben, betrug die folgende durchschnittliche Verweildauer bei BEC-Angriffen 38 Tage und der durchschnittliche Diebstahlsbetrag 286.000 US-Dollar.
Betroffene Branchen
Angreifer folgen dem Geld, wenn es darum geht, Branchen ins Visier zu nehmen. Viele Angreifer sind jedoch opportunistisch. Sie scannen einfach das Internet auf der Suche nach Systemen, bei denen sie bekannte Schwachstellen ausnutzen können. Unit 42 identifizierte als die am stärksten von Incident-Response-Fällen (IR) betroffenen Branchen das Finanzwesen, freiberufliche und juristische Dienstleistungen, das verarbeitende Gewerbe, das Gesundheitswesen, die High-Tech-Branche sowie den Gross- und Einzelhandel.
Der Bericht enthüllt auch einige Statistiken von IR-Fällen, von denen die Cyberangreifer nicht wollen, dass sie an die Öffentlichkeit gelangen:
- Die drei wichtigsten Angriffsvektoren waren Phishing, die Ausnutzung bekannter Software-Schwachstellen und Brute-Force-Angriffe auf Zugangsdaten, die sich hauptsächlich auf das Remote-Desktop-Protokoll (RDP) konzentrierten. Zusammengenommen machen diese Angriffsvektoren 77 Prozent der vermuteten Ursachen für Intrusion-Vorfälle aus.
- Mehr als die Hälfte aller Schwachstellen, die für den Erstzugang ausgenutzt wurden, entfielen auf ProxyShell (55 Prozent), gefolgt von Log4J (14 Prozent), SonicWall (7 Prozent), ProxyLogon (5 Prozent) und Zoho ManageEngine ADSelfService Plus (4 Prozent).
- In der Hälfte aller IR-Fälle entdeckten die Forscher, dass Unternehmen keine Multi-Faktor-Authentifizierung auf kritischen, dem Internet zugewandten Systemen wie Unternehmens-Webmail, VPN-Lösungen (Virtual Private Network) oder anderen Fernzugriffslösungen hatten.
- In 13 Prozent der Fälle verfügten die Unternehmen über keine Schutzmassnahmen, um eine Kontosperre für Brute-Force-Angriffe auf Zugangsdaten zu gewährleisten.
- In 28 Prozent der Fälle trugen unzureichende Patch-Management-Verfahren zum Erfolg der Angreifer bei.
- In 44 Prozent der Fälle verfügten die Unternehmen nicht über eine EDR (Endpoint Detection and Response)- oder XDR (Extended Detection and Response)-Sicherheitslösung, oder sie war auf den ursprünglich betroffenen Systemen nicht vollständig implementiert, um bösartige Aktivitäten zu erkennen und darauf zu reagieren.
Unit 42 Incident Response Services
Palo Alto Networks Unit 42 verfügt über ein erfahrenes Team von Sicherheitsberatern mit Erfahrungen im öffentlichen und privaten Sektor, die bereits einige der grössten Cyberangriffe der Geschichte bewältigt haben. Sie verwalten komplexe Cyberrisiken und reagieren auf hochentwickelte Bedrohungen, einschliesslich Angriffe von Staaten, APTs und komplexe Ransomware-Untersuchungen. Die Experten von Unit 42 stehen rund um die Uhr zur Verfügung, um den Kunden zu helfen, die Art des Angriffs zu verstehen und ihn dann schnell einzudämmen, zu beheben und zu beseitigen. Sie verwenden eine bewährte Methodik und kampferprobte Tools, die aus der praktischen Erfahrung bei der Untersuchung von Tausenden von Vorfällen entwickelt wurden.
