Kritische Sicherheit 2022: Der Jahresbericht
Im letzten Jahr entdeckten und blockieren wir 146,4 Milliarden Bedrohungen – ein Anstieg von 55,3 % im Vergleich zu Vorjahr. Ein Überblick über einige der kritischsten Probleme und wichtigsten Taktiken der Kriminellen in 2022.
Save to Folio
Das Jahr 2022 — das von wirtschaftlichen Turbulenzen, Supply Chain-Problemen und sogar einem Krieg geprägt war, erwies sich für Unternehmen nicht nur offline, sondern auch online als schwierig. Während Mitarbeiter von Unternehmen Überstunden machten, um ihre Organisationen inmitten von Herausforderungen und Engpässen vor Bedrohungen zu schützen, arbeiteten auch böswillige Akteure rund um die Uhr, um ihre kriminellen Aktivitäten am Laufen zu halten. Ein Beweis dafür sind die 146,4 Milliarden Bedrohungen, die wir 2022 entdeckten und blockierten - ein erschreckender Anstieg von 55,3 % gegenüber dem Vorjahr. Wir stellen einige der kritischsten Cybersicherheitsprobleme des Jahres 2022 dar. Einen detaillierteren Überblick über die Cybersecurity-Bedrohungslandschaft des letzten Jahres finden Sie im Whitepaper „Rethinking Tactics: 2022 Annual Security Report“.
Die Top ATT&CK-Techniken 2022
Anhand der wichtigsten bei den Angriffen des letzten Jahres verwendeten MITRE ATT&CK-Frameworks lässt sich sagen, dass die meisten böswilligen Akteure in der Anfangsphase ähnliche Methoden einsetzten. Eine genauere Untersuchung der drei wichtigsten ATT&CK-Methoden zeigt, dass Cyberkriminelle sich über Remote Services Zugang verschaffen und dann gültige Konten durch Credential Dumping missbrauchen.
- Remote Services, Technique T1021 – Enterprise | MITRE ATT&CK® (lateral movement)
- Angreifer nutzen etwa valide Accounts, um sich bei einem Service anzumelden, der speziell dafür ausgelegt ist, Remote-Verbindungen zu akzeptieren, z. B. Telnet, SSH und VNC. Der Angreifer kann dann als der angemeldete Benutzer Aktionen durchführen.
- Valid Accounts, Technique T1078 – Enterprise | MITRE ATT&CK® (initial access)
- Angreifer können sich die Anmeldeinformationen bestehender Accounts beschaffen und missbrauchen, um sich einen Erstzugang zu erschließen, den Zugang aufrechtzuerhalten, Privilegien zu erweitern oder die Verteidigung zu umgehen. Kompromittierte Anmeldedaten lassen sich zur Umgehung von Zugriffskontrollen für verschiedene Ressourcen auf Systemen innerhalb des Netzwerks verwenden und können sogar für den dauerhaften Zugriff auf entfernte Systeme und extern verfügbare Services genutzt werden.
- OS Credential Dumping, Technique T1003 – Enterprise | MITRE ATT&CK® (credential access)
- Angreifer versuchen, Anmeldedaten auszuspionieren, um vom Betriebssystem und von der Software Material für die Kontoanmeldung und Anmeldedaten zu erhalten, normalerweise in Form eines Hashs oder eines Klartextkennworts. Credentials können dann verwendet werden, um laterale Bewegungen durchzuführen und auf vertrauliche Informationen zuzugreifen.
Bösartiger Konter für Microsofts Maßnahmen
Es ist bekannt, dass bösartige Akteure Microsoft Office-Dokumente missbrauchen, indem sie bösartige Makros in ihre Angriffe einbetten. In der Regel sind diese Payloads an über Social Engineering manipulierte Mails angehängt, mit denen versucht wird, die Opfer zum versehentlichen Herunterladen und Ausführen von Malware zu verleiten.
Im letzten Jahr blockierte Microsoft das Ausführen von Makros in Office-Dokumenten, um Cyberkriminelle an deren Missbrauch als ursprünglichen Zugangsvektor zu hindern. Diese Maßnahme führte zu einem deutlichen Rückgang der Verwendung von Office-Makros in Angriffen und veranlasste die Cyberkriminellen, Alternativen zu finden, wie z. B. HTML-Infiltration, Malvertising und Existenzsicherungstaktiken.
Kriminelle zielen auf Schwachpunkte der Cloud
Supply-Chain-Angriffe auf Serverlose Plattformen
Seitdem immer mehr Unternehmen auf serverlose Plattformen umsteigen, ziehen böswillige Akteure schnell nach. Letztes Jahr analysierten wir die Sicherheit von serverlosen Plattformen, die von Unternehmen zur Überwachung komplexer Prozesse und zum Hosten sensibler Daten genutzt werden, und fanden Schwachstellen, die von Angreifern ausgenutzt werden können. Cyberkriminelle stehlen mittlerweile Anmeldedaten für Cloud-Services, um an sensible Umgebungsvariablen zu gelangen, und starten Supply-Chain-Angriffe, wie z. B. wenn der Code einer Python-Bibliothek geändert wurde, um sensible Variableninhalte abzugreifen.
Kryptowährungs-Mining-Angriffe auf Linux-Rechner
Unserer Beobachtung zufolge konzentrierten sich böswillige Akteure darauf, Linux-Rechner mit Crypto-Mining-Malware zu kompromittieren. Im November 2022 entdeckten und blockierten wir einen Crypto-Mining-Angriff mit dem CHAOS Remote Administrative Tool, einem Remote-Access-Trojaner (RAT), der auf Linux-Rechner abzielt.
Crypto Miner wirken sich negativ auf die gesamte Cloud-Infrastruktur eines Unternehmens aus, indem sie die CPU-Auslastung von durchschnittlich 13 % auf 100 % steigern, die Stromkosten um satte 600 % pro Cloud-Instanz erhöhen und Online-Dienste unterbrechen oder zum Stillstand bringen.
Wie können sich Unternehmen gegen solche Entwicklungstaktiken schützen?
Infolge der zunehmend hybriden Arbeitsweise und neuer Technologien für die Gewährleistung der Geschäftskontinuität vergrößerte sich die Angriffsoberfläche dramatisch. Sicherheitsteams stehen vor der Herausforderung diese trotz des Fachkräftemangels abzusichern. Gleichzeitig gingen Cyberkriminelle immer professioneller vor, um eine maximale Ausbeute zu gewährleisten und ihre Robustheit zu verbessern.
Unternehmen können sich vor den sich ständig weiterentwickelnden Bedrohungen schützen, indem sie Best Practices für die Sicherheit anwenden, z. B. ihre verschiedenen Technologien und Netzwerke ordnungsgemäß überwachen, Software so bald wie möglich aktualisieren und sicherstellen, dass die Cloud-Infrastruktur sicherheitsorientiert eingerichtet ist.