Trellix stellt den neuesten Threat Report: November 2022 des Advanced Research Center (ARC) vor. Unter dem Dach des ARC arbeitet und analysiert die Elite der weltweiten Cyber-Sicherheits- und Intelligence-Experten. Der aktuelle Bericht gibt Auskunft über die Cyber-Sicherheitstrends des dritten Quartals 2022.
Höchste APT-Zahlen in Deutschland
Im Ländervergleich verzeichnete Deutschland im dritten Quartal nicht nur die meisten APT-Angriffe (29 % der beobachteten Aktivitäten), sondern auch die meisten Ransomware-Fälle. Letztere stiegen gegenüber dem Vorquartal um 32 Prozent und machten damit 27 % der weltweiten Ransomware-Aktivitäten aus.
„Deutschland steht im weltweiten Vergleich auf Platz 1 bei kriminellen Angriffen im 3. Quartal 2022. Damit könnte das Ergebnis des aktuellen Trellix-Berichts nicht erschreckender sein“, so Andreas Groß, Senior Manager Presales bei Trellix.
„Deutsche Unternehmen und Organisationen stehen vor enormen Herausforderungen ihre kritischen Infrastrukturen zu sichern. Um eine umfassende IT-Sicherheitsstrategie zu garantieren, muss Cyber-Sicherheit spätestens jetzt zu einem der Top-Agenda Punkte für Vorstände und Führungskräfte werden.“
Der neue Trellix-Bericht informiert über Bedrohungen, die sich auf Ransomware und staatlich gestützte Cyber-Angreifer (APT-Akteure) zurückführen lassen. Weitere Themen sind u.a. die Gefährdung der E-Mail-Sicherheit sowie der Missbrauch von Drittanbieter-Sicherheitstools.
Die wichtigsten Erkenntnisse auf einen Blick:
- Doppelt so viele Ransomware-Angriffe auf den Logistiksektor
Transport- und Versandunternehmen standen im dritten Quartal im Fadenkreuz einer ganzen Armada von Angreifern. Allein in den USA schossen die Ransomware-Aktivitäten gegenüber dem Vorquartal um 100 Prozent in die Höhe. Weltweit rangierte der Logistiksektor damit auf Rang 2 der bedrohten Branchen, direkt nach der Telekommunikationsindustrie. Zugleich wurden hier mehr APT-Attacken nachgewiesen als in jeder anderen Branche.
- Neue Bedrohungsakteure
Am auffälligsten war in Q3 Mustang Panda, ein mit China in Verbindung gebrachter APT-Akteur, der in bisherigen Berichten noch nicht in Erscheinung getreten war. Ebenfalls sehr aktiv waren die russische Hackergruppe APT29 sowie APT36 aus Pakistan.
- Neue Ransomware-Trends
Der im Darknet als Komplettpaket vertriebenen Ransomware Phobos ist es bis dato gelungen, größtenteils unterhalb des Radars der breiten Öffentlichkeit zu bleiben. Nichtsdestotrotz entfielen 10 Prozent der weltweiten Aktivitäten auf diesen Trojaner; in den USA war Phobos im dritten Quartal sogar die zweithäufigste Ransomware überhaupt. Global steht LockBit nach wie vor an der Spitze, mit 22 % aller Nachweise.
- Alte Schwachstellen bleiben bestehen
Seit Jahren bekannte Sicherheitslücken bilden auch weiterhin gern genutzte Einfallstore. So führten die Schwachstellen CVE-2017-11882, CVE-2018-0798 und CVE-2018-0802 der Equation-Editor-Komponente von Microsoft zu einer wahren Flut an Spam-Mails, die Anwender im Berichtszeitraum in ihrem Postfach fanden.
- Missbrauch von Cobalt Strike
Nach Beobachtungen der Trellix-Experten war Cobalt Strike an 33 Prozent der weltweiten Ransomware-Aktivitäten und 18 Prozent der APT-Nachweise beteiligt. Cobalt Strike ist ein legal erhältliches Tool, mit dem sich Angriffsszenarien emulieren lassen, um so die operative Sicherheit zu erhöhen. Zugleich ist es ein populäres Instrument für Internet-Kriminelle, die seine Funktionalität für ihre Zwecke missbrauchen.
„Aus Russland, aber auch von anderen staatlichen Akteuren kommt seit Beginn des Jahres eine Angriffswelle nach der anderen“, erklärt John Fokker, Head of Threat Intelligence, Trellix. „Diese Gefährdungen sowie die steigende Zahl der politisch motivierten Hacktivist-Aktionen und die anhaltenden Ransomware-Attacken auf das Gesundheits- und Bildungswesen zeigen, dass wir Cyber-Kriminelle und ihre Methoden noch mehr als bisher ins Visier nehmen und analysieren müssen.“
Der Threat Report: November 2022 nutzt proprietäre Daten des Trellix-Sensorsnetzwerks, Analysen des Trellix Advanced Research Center zu Ransomware und staatlichen Akteuren sowie Open-Source-Informationen. Für den Nachweis von Bedrohungen werden auch Telemetriedaten herangezogen. Als Bedrohungsnachweis gilt die Detektion und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens, oder eines anderen Indikators über die Trellix-XDR-Plattform.