Presseinformation vom 16.05.2022
Cybersecurity-Experte bei Cisco Österreich
-
Ransomware nach wie vor die größte Bedrohung
-
Keine Ransomware-Familie bei Attacken im ersten Quartal 2022 zweimal beobachtet
-
Social-Engineering-Techniken auf dem Vormarsch: Erhöhte Fallzahlen verdeutlichen Bedrohungslage
Wien, 17. Mai 2022 – der Trend zu Ransomware-Attacken setzt sich fort: Wie schon 2021 bleibt die Methode auch im ersten Quartal 2022 an der Spitze der Cybercrime-Aktivitäten. Die Log4j-Schwachstelle bleibt weiterhin ein Einfallstor. Beunruhigend ist, dass auch APT-Angriffe zunehmen. Attackiert wurden auch GitLab und Confluence-Systeme.
Das Cisco Talos Incident Response (CTIR) Team, das von der weltweit größten kommerziellen Threat Intelligence Organisation unterstützt wird, hat unlängst seinen vierteljährlichen Threat Assessment Report veröffentlicht. Das Ergebnis: Ransomware ist nach wie vor die größte Bedrohung, die das Team in diesem Quartal verzeichnete. Der Trend vergangener Quartale setzt sich damit seit 2020 nahtlos fort. Im ersten Quartal 2022 kam es auch zu einer Zunahme von Einsätzen im Zusammenhang mit fortgeschrittenen Bedrohungen (APT). Dazu gehörten die vom iranischen Staat gesponserten MuddyWater-APT-Aktivitäten sowie die China zugeordneten Mustang Panda-Aktivitäten, die USB-Laufwerke zur Verbreitung des PlugX-Remote-Access-Trojaners (RAT) nutzen. Ein:e mutmaßliche chinesische:r Angreifer:in mit dem Pseudonym „Deep Panda“ nutzte die weiterhin bestehende Log4j-Schwachstelle aus.
„Es ist richtig, dass sich Cybersecurity-Bedrohungen in den letzten Monaten verschärft haben – aber viele der Angriffe hätten durchaus verhindert werden können“, resümiert Markus Sageder, Cybersecurity-Experte bei Cisco Österreich. „Aufgrund der Ergebnisse des Cybersecurity-Reports empfehlen wir ausdrücklich eine Zero-Trust-Strategie und den Einsatz von adaptiven Multi-Faktor-Authentifizierungen für alle wichtigen Dienste sowie insbesondere integrierte Endpoint-Detection-& Response-Lösungen.“
Die am häufigsten angegriffene Branche war die Telekommunikation, die auch im vorangegangenen Quartal an der Spitze rangierte, dicht gefolgt von Organisationen im Bildungswesen und in der öffentlichen Verwaltung.
Ransomware & Log4j als Bedrohungslage
Bei den Ransomware-Attacken im ersten Quartal 2022 wurde keine Ransomware-Familie zweimal beobachtet. Dies ist ein Anzeichen für die Entwicklung zu einer stärkeren Heterogenität der Ransomware-Angreifer:innen, die Cisco Talos bereits im letzten Jahr beobachtet hat. In diesem Quartal traten auch neue Ransomware-Familien auf, darunter Cerber (auch bekannt als CerberImposter), Entropy und Cuba. Auch hochkarätige Ransomware-Familien wie Hive und Conti waren beteiligt. CTIR beobachtete auch im aktuellen Quartal, dass Ransomware-Angreifer:innen sensible Daten exfiltrierten, um eine doppelte Erpressung auszuführen – ein Trend, der im Winter 2019 begann.
Log4j bleibt anfällig: Nach Ransomware war die bekannte Sicherheitslücke des Apache-Loggingprogramms, das von Unternehmen auf der ganzen Welt verwendet wird, die zweithäufigste Cybersecurity-Bedrohung. Im Januar 2022 beobachtete CTIR eine wachsende Zahl von Aktivitäten, bei denen Angreifer:innen versuchten, Log4j in anfälligen VMware Horizon-Servern auszunutzen.
Aufgrund von Mängeln bei der Protokollierung und Sichtbarkeit war es bei den meisten Angriffen herausfordernd, einen Anfangsvektor zu bestimmen. In Fällen, bei denen ein Vektor festgestellt oder mit hoher Wahrscheinlichkeit identifiziert werden konnte, wurde die Log4j-Lücke vermehrt ausgenutzt.
Im Rahmen eines Angriffs auf eine Holdinggesellschaft nutzte ein:e Angreifer:in Cerber-Ransomware, um eine Schwachstelle in GitLab auszunutzen. Andere Sicherheitsfirmen berichten über eine neue Version von Cerber-Ransomware, die auf Atlassian Confluence- und GitLab-Server mit älteren RCE-Schwachstellen abzielt.
Schwachstellen in der Sicherheit
Weitere Erkenntnisse der Cisco Cybersecurity-Expert:innen sind:
- Angriffe per Phishing nahmen weiter zu: Dabei wird ein bösartiger Link oder ein Dokument eingesetzt. Es gab zudem mehr Bedrohungen mittels Social-Engineering-Techniken als je zuvor. Die Phishing-Instrumente tarnen sich immer besser als legitime Dateien oder Dienstprogramme.
- Es ist eine Zunahme von Techniken zu verzeichnen, die ungepatchte und anfällige, öffentlich zugängliche Anwendungen ausnutzen.
- Im Vergleich zu den vorangegangenen Quartalen hat CITR eine starke Zunahme von Techniken zur Umgehung der Verteidigung und zum Sammeln von Daten festgestellt. Interessant für die Angreifer:innen sind Details über bestimmte Hosts, Keylogging zum Sammeln von Anmeldeinformationen und die Auswahl von Dateien für die spätere Exfiltration für mehrfache Erpressungen.
- Wie im letzten Quartal sind Dienstprogramme wie PsExec und Cobalt Strike sowie generell Fernzugriffssoftware für Angriffe verwendet worden.
Weiterführende Informationen: