Neuer Report liefert Erkenntnisse zu den Auswirkungen von Ransomware, der Kompromittierung von Geschäfts-E-Mails und ungepatchten Schwachstellen für Unternehmen aller Grössen in einer turbulenten Cyberbedrohungslandschaft.
Das Cybersecurity-Unternehmen Arctic Wolf veröffentlicht seinen ersten jährlichen Arctic Wolf Labs Threat Report. Der Bericht liefert Erkenntnisse zu einem turbulenten Jahr für die Cybersicherheit: Der Einmarsch Russlands in die Ukraine hat die Operationen führender Ransomware-Gruppen gestört, fehlende Multi-Faktor-Authentifizierung (MFA) hat die Zahl der Angriffe auf Geschäfts-E-Mails in die Höhe getrieben, und die Log4Shell- und ProxyShell-Schwachstellen werden auch mehr als ein Jahr nach ihrer ersten Veröffentlichung weiterhin massenhaft ausgenutzt. Der Arctic Wolf Labs Threat Report basiert auf globalen Bedrohungs-, Malware-, digitalen Forensik- und Incident-Response-Falldaten, die Arctic Wolf im Rahmen seiner Security Operations sammelt. Arctic Wolf verfügt über eines der größten Security Operations Center weltweit und gewährt mit seinem Threat Report Einblicke in die tiefen und differenzierten Erkenntnisse und Forschungsergebnisse des Arctic Wolf Labs zum Ökosystem der Cyberkriminalität, zeigt wichtige Bedrohungstrends und leitet daraus Vorhersagen und strategische Cybersicherheitsempfehlungen für das kommende Jahr ab.
Die wichtigsten Erkenntnisse des Arctic Wolf Labs Threat Reports:
Business E-Mail Compromise (BEC) auf dem Vormarsch
Einer der auffälligsten Trends in der Bedrohungslandschaft war ein deutlicher Anstieg der Anzahl erfolgreicher BEC-Angriffe im Jahr 2022 im Vergleich zu 2021. Die Kompromittierung von Geschäfts-E-Mails – auch bekannt als E-Mail-Account-Compromise (EAC) – ist eine Art von E-Mail-Cyberbetrug, bei dem sich Angreifer als vertrauenswürdige Kontakte ausgeben, wie Führungskräfte oder Anwälte, und die Opfer dann dazu verleiten, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Business E-Mail Compromise (BEC)-Angriffe machten dabei im letzten Jahr mehr als ein Viertel (29 %) der Incident-Response-Vorfälle aus, wobei die Mehrheit (58 %) der Opferorganisationen keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte.
Rückgang der Ransomware-Attacken, Zunahme von Ransomware as a Service
Der Einmarsch Russlands in die Ukraine hat die Aktivitäten von Bedrohungsakteuren in diesen beiden Ländern erheblich gestört, was zu einem Rückgang der weltweit beobachteten Ransomware-Fälle um 26 % im Vergleich zum Vorjahr geführt hat. Gleichzeitig hat die Nutzung von Ransomware as a Services (RaaS) zugenommen, was es auch technisch weniger versierten Cyberkriminellen ermöglicht, Ransomware-Angriffe auszuführen und die Identitäten der Bedrohungsakteure zu verschleiern.
LockBit ist dominierende Ransomware-Gruppe
Die höchste Anzahl an Ransomware-Opfern entfiel im Jahr 2022 auf fünf Ransomware-Varianten, die alle unter das RaaS-Paradigma fallen. Erschwerend kommt hinzu, dass nachweislich teilweise mehrere Ransomware-Varianten gleichzeitig eingesetzt werden bzw. dass Angreifer zwischen den Varianten hin- und herspringen und unterschiedliche Optionen erproben. LockBit hat sich dabei als dominierende Ransomware-Gruppe etabliert, wobei die E-Kriminalitätsorganisation mit 822 gelisteten Opferorganisationen 248 % mehr Betroffene als BlackCat (ALPHV), die zweitaktivste Gruppe, hatte. Weitere Gruppen waren Conti, BlackBasta und Hive.
Log4Shell und ProxyShell: ungepatchte Schwachstellen weiterhin Top-Root-Point-of-Compromise
Bedrohungsakteure nutzen unterschiedliche Methoden, um sich Zugang zu den Systemen ihrer Opfer zu verschaffen: Knapp zwei Drittel (72 %) entfielen im letzten Jahr auf externe Angriffe, wobei 3 % der Sicherheitsvorfälle durch Fehlkonfigurationen der IT-Systeme, 24 % durch Remote Access Hijacking und 45 % durch bekannte Schwachstellen verursacht wurden, für die bereits Sicherheits-Patches und -Updates verfügbar waren. Dabei sind die Schwachstellen in Microsoft Exchange (ProxyShell) und Log4j (Log4Shell), die bereits im Jahr 2021 bekannt wurden, nach wie vor die beiden häufigsten Angriffspunkte (Root Points of Compromise, RPOC) unter den Incident-Reponse-Fällen bei Arctic Wolf. Neben externen Angriffen, bei denen eine technische Schwachstelle ausgenutzt wird, gibt es Methoden, bei denen die angegriffenen Nutzer selbst (unwissend) aktiv werden und z. B. eine maliziöse Website oder Datei öffnen. Dabei entfielen im letzten Jahr 12 % auf Phishing E-Mails, 7 % auf schlechte Passworthygiene und vormals geleakte Zugangsdaten, 4 % auf weitere Social-Engineering-Methoden und 5 % auf weitere RPOCs.
