Cisco Talos Report: Ransomware ist zurück, Bildungseinrichtungen global im Visier Bildungswesen erstmals am stärksten von Cyberattacken betroffener Sektor Nach einem Vierteljahr Pause ist Ransomware wieder die grösste Bedrohung  Neben alten Bekannten auch neue Ransomware-Varianten wie Black Basta aktiv Analysen des Cisco Talos Incident Response (CTIR)-Teams zeigen: Ransomware ist im dritten Quartal 2022 zurück an der Spitze der Cyber-Attacken. Wie bereits im ersten Quartal waren Erpressungsversuche die häufigste Angriffsmethode. Neben bekannten Ransomware-Vertretern wie Hive und Vice Society kamen neue Varianten wie Black Basta zum Einsatz. Einen Wechsel gab es auch bei den am stärksten betroffenen Branchen: Das Bildungswesen hat den Telekommunikationssektor abgelöst. Wien, 21. November 2022 – Talos, eine der weltweit größten kommerziellen Threat Intelligence Organisationen, hat seine vierteljährliche Analyse zur Bedrohungslage für das dritte Quartal 2022 veröffentlicht. Demnach hatten es Angreifer:innen am häufigsten auf den Bildungssektor abgesehen, dicht gefolgt von den Bereichen Finanzwesen, Behörden und Energie.  „Zum ersten Mal im Jahr 2022 wird eine andere Branche häufiger zum Ziel, als die Telekommunikation“, sagt Markus Sageder, Cybersecurity Experte bei Cisco Österreich. „Das könnte darauf hindeuten, dass die Unternehmen weltweit ihre Schutzmassnahmen deutlich erhöht haben und somit weniger lukrative Ziele darstellen. Aktuell müssen das Bildungswesen, die Öffentliche Hand und Energieversorger ihre Abwehr verstärken, insbesondere durch Multi-Faktor-Authentifizierung und Threat-Detection-Lösungen.“ Alte und neue Ransomware: Angriffe mit Vice Society und Black Basta Verstärkt beobachtete Talos im dritten Quartal Angriffe über die bekannten Ransomware-Familien Hive und Vice Society. Vice Society kam überproportional häufig für Cyber-Attacken auf Bildungseinrichtungen zum Einsatz. Dabei fanden die Security-Forscher:innen von Talos  Hinweise auf eine sogenannte „Seitwärtsbewegung“ der Angreifer:innen. Gemeint ist der Versuch von Hacker:innen, von einem kompromittierten System aus Nutzerinformationen mit Zugriffsberechtigungen in Client-Computern zu finden, mit denen sie sich dann quer durch das Netzwerk bewegen können. Neben bekannten Ransomware-Familien kam auch verstärkt die neue Variante Black Basta zum Einsatz, die erstmals im April 2022 auftauchte. Deren Einschleusung wurde zum Beispiel von Qakbot-Aktivitäten vorbereitet, bei denen Thread-Hijacking und passwortgeschützte ZIP-Dateien genutzt wurden. Bei einem Angriff auf ein US-Unternehmen verschickten die Angreifer:innen wohl zuerst eine Phishing-E-Mail mit HTML-Anhang. Wurde dieser geöffnet, initiierte er ein JavaScript, das anschließend eine bösartige ZIP-Datei herunterlud. Diese installierte dann den Trojaner Qakbot, über den die Angreifer:innen schliesslich die Ransomware Black Basta absetzten. Die darauf basierende doppelte Erpressungstechnik ist besonders perfide: Zahlt das Opfer kein Lösegeld für seine verschlüsselten Dateien, droht die Veröffentlichung von gesammelten sensiblen Informationen.  Die Ergebnisse von Talos verdeutlichen, dass die Gefahr durch Ransomware nicht gebannt ist. Denn im dritten Quartal verzeichnete der Report zum ersten Mal eine gleiche Anzahl von Ransomware- und Pre-Ransomware-Fällen, die gemeinsam fast 40 Prozent der Bedrohungen ausmachten. Pre-Ransomware-Aktivitäten bereiten den späteren Einsatz von Ransomware vor, so wie im oben beschriebenen Fall mit Black Basta. Obwohl jede Aktivität im Vorfeld einer Ransomware-Bedrohung einzigartig ist, gibt es Gemeinsamkeiten. Dazu gehören Host Enumeration, das Sammeln von Anmeldeinformationen und die Erweiterung von Berechtigungen. Falls später doch keine Ransomware zum Einsatz kommt, haben die Angreifer:innen eventuell trotzdem genügend Daten gestohlen, um erheblichen Schaden anzurichten. Weitere Ergebnisse Zu den weiteren Erkenntnissen im dritten Quartal 2022 gehören: Angreifer:innen nutzen viele öffentlich verfügbare Tools und Skripte, die in GitHub-Repositories gehostet werden oder sich kostenlos von Websites Dritter herunterladen lassen. Dazu gehören etwa Hashcat, Invoke, NinjaCopy oder SharpUnhooker. Es gab mehrere Fälle, in denen Angreifer:innen gültige Konten ausnutzten. Diese hatten schwache Passwörter, waren falsch konfiguriert oder nicht ordnungsgemäß deaktiviert. Zu den weiteren häufigen Angriffsvektoren zählen Exploits öffentlich zugänglicher Anwendungen sowie Phishing. Fast 18 Prozent der Unternehmen hatten keine Multi-Faktor-Authentifizierung (MFA) oder sie war nur für wenige Konten und kritische Dienste aktiviert. Talos beobachtet häufig Ransomware- und Phishing-Vorfälle, die MFA verhindert hätte. Zu den am häufigsten genutzten Angriffstechniken gehörten der Einsatz legitimer Fernzugriffssoftware wie AnyDesk und TeamViewer, das Einschleusen von Tools oder Skripten in eine kompromittierte Umgebung (Ingress Tool Transfer) sowie die Nutzung von Pre-Ransomware-Tools wie Cobalt Strike und Mimikatz. Bei der Ransomware-Ausführung spielte in 75 Prozent der Fälle PsExec eine wichtige Rolle. Weitere Details finden Sie hier: Cisco Talos Quarterly Report