Cyberbedrohungen
Cyberbedrohungen auf Rekord-Niveau
Die Zahl der Cyberbedrohungen erreichte 2023 erneut ein Rekordhoch. Bei näherem Hinsehen zeigt sich aber, dass die Akteure nicht mehr auf Masse in ihren Angriffen setzen, sondern eher auf Qualität. Wir haben alle Trends im Einzelnen untersucht.
Save to Folio
Mehr als 161 Milliarden Mal erkannten und blockierten Trend Micro-Sicherheitssysteme im vergangenen Jahr Malware-Attacken. Damit setzt sich die drastische Entwicklung der vergangenen Jahre weiter fort. Seit 2019 hat sich die Zahl der Bedrohungen fast verdreifacht.
Deutschland rangiert auf Platz sechs der am häufigsten von Malware betroffenen Länder. Die meisten Fälle wurden in Japan erkannt (rund 1,7 Milliarden), gefolgt von den USA (rund 994 Millionen). Im europäischen Vergleich liegen wir sowohl bei Malware insgesamt (rund 226 Millionen) als auch bei den E-Mail-Bedrohungen (rund 1,1 Milliarden) auf Platz zwei. Für Ransomware-Akteure scheint Deutschland sogar das beliebteste Ziel in der EU zu sein: Unter allen Mitgliedsstaaten wurde in Deutschland die größte Zahl an Ransomware-Bedrohungen (rund 243.000) entdeckt – fast doppelt so viele wie in Frankreich.
Qualität statt Quantität
Trotz des Höchststands der blockierten Bedrohungen 2023 wurden weniger Fälle im Trend Micro E-Mail Reputation Service (ERS) und Web Reputation Service (WRS) erkannt. Dagegen stieg die Zahl der identifizierten Bedrohungen im File Reputation Service (FRS). Dieses Muster lässt darauf schließen, dass Cyberkriminelle zunehmend der Qualität den Vorrang vor der Größe zu geben, während sie die wachsende Angriffsfläche ausnutzen. Der Report weist auch eine zunehmende Anzahl von Endpunkt-Erkennungen aus, die darauf hindeuten, dass Bedrohungsakteure ihre Operationen so kalibrieren, dass sie sich von groß angelegten Angriffen auf eine engere Auswahl von Zielen mit höheren Opferprofilen verlagern, um mit minimalem Aufwand maximalen Gewinn zu erzielen.
Während die Kriminellen weiterhin auf bewährte Techniken zurückgreifen und immer mehr Möglichkeiten finden, legitime Prozesse zur Tarnung zu missbrauchen, delegieren und rationalisieren sie auch Operationen und ersetzen schnell die Takedowns. All dies führt zu konstanten, mutigeren und operativeren Plänen. SOCs und Unternehmen müssen ihre Prozesse und Protokolle verfeinern, damit ihre Verteidigung in der Lage ist, die Persistenz mit Effizienz zu bekämpfen.
Vor allem Regierungseinrichtungen und Behörden standen 2023 im Fokus der Cyberkriminellen. In diesem Sektor entdeckte Trend Micro weltweit die meisten Malware-Kampagnen (mehr als 302.000), gefolgt vom Gesundheitswesen (rund 228.000) und der Produktion (rund 212.000). Bei den Ransomware-Kampagnen führt dagegen die Finanzbranche das Feld mit großem Abstand an (rund 20.000) an. Organisationen in diesem Sektor wurden fast doppelt so häufig angegriffen wie Regierungseinrichtungen mit fast 10.000 blockierten Fällen auf Platz zwei. Der Technologiesektor folgt mit knapp 7.700 erkannten Bedrohungen. Security-Verantwortliche in den genannten Branchen sollten also auch in diesem Jahr besonders aufmerksam sein.
Raffiniertere Ransomware-Taktiken
Aus der Studie geht auch hervor, dass Cyberkriminelle gezielter angreifen, ihre Ransomware-Taktik weiterentwickeln und immer raffinierter agieren. Die Sicherheitsforscher erkannten folgende Trends, die sich auch in diesem Jahr fortsetzen dürften:
- Die Remote Verschlüsselung nimmt zu. Das könnte ein taktischer Kniff der Angreifer sein, um laterale Bewegung zu vermeiden und den eigenen Fußabdruck zu reduzieren. Dieses Vorgehen beobachteten die Sicherheitsforscher zum Beispiel bei den Hacker-Gruppen Akira, BlackCat, BlackMatter, LockBit und Royal.
- Etliche Ransomware-Akteure verschlüsseln nicht mehr alle Daten, sondern nur noch einzelne Datenpakete (Intermittent Encryption). Das beschleunigt die Verschlüsselung, macht die Daten aber dennoch unbrauchbar für das Opfer und erschwert den Entschlüsselungsprozess. Dazu gehören Gruppen wie BlackCat, BlackBasta oder Ransomware Play.
- Eine weitere Finesse besteht darin, eine nicht überwachte virtuelle Maschine aufzusetzen, um die EDR-Systeme (Endpoint Detection and Response) zu umgehen.
- Multi-Ransomware-Angriffe werden immer beliebter: Die ursprünglichen Eindringlinge verkaufen ihren Zugang an andere Ransomware-Gruppen. Anschließend folgen mehrere Angriffe mit einer Kombination aus Malware, Datendiebstahl und Wiper-Tools.
Die Banden verüben auch immer dreistere Anschläge: Einige der aktivsten Gruppen des Jahres 2023 waren sehr erfolgreich: Clop nutzte große Sicherheitslücken aus, und BlackCat brachte eine neue Variante auf den Markt. Außerdem machten sie ihre Erpressung öffentlich, indem sie die 4-Tage-Offenlegungspflicht der Börsenaufsichtsbehörde ausnutzten, um ihre Opfer zu einer schnelleren Kommunikation mit ihnen zu bewegen. Auch sie machen schnelle Kehrtwendungen: Nach der Zerschlagung von Qakbot wandte sich BlackBasta an den Affiliate Water Curupira's Pikabot, um eine Spam-Kampagne zu starten.
Die Top-2-Risiko-Events betreffen die Cloud
Dringend im Auge behalten sollten Unternehmen außerdem ihre Cloud-Umgebungen. Denn die zwei häufigsten Risiken, die Trend Micro ASRM (Attack Surface Risk Management) erkannte, betrafen riskante Cloud Applikationen und den Zugriff auf gefährliche Websites. Die mit Abstand größte Bedrohung ist demnach potenziell gefährlicher Cloud-App-Zugang. Dieses Risiko wurde mehr als 82 Milliarden Mal im ASRM erkannt. Auf Platz zwei folgt der Zugriff auf potenziell gefährliche Websites (mehr als 18 Milliarden Vorfälle).
Security-Teams sollten daher Cloud-Anwendungen, auf die aus ihren Netzen zugegriffen wird, sorgfältig überwachen. Wichtig sind außerdem Schulungen, um Nutzer dafür zu sensibilisieren, wie sie riskante Websites und Links erkennen. Denn der Mensch bleibt das schwächste Glied in der Cybersicherheits-Kette.
Die Umgehung von Sicherheitstools, die Kommunikation und Kontrolle kompromittierter Systeme und das Eindringen in die Systeme und Netzwerke des Opfers sind die am häufigsten verwendeten TTPs (insgesamt, Endpunkte, Netzwerk und E-Mail).
KI bereitet den Weg für kriminelle Amateure
Innovationen, die alltägliche Unternehmenstransaktionen und -prozesse ermöglichen, bergen die Gefahr neuer Bedrohungen: Anwendungsprogrammierschnittstellen (API) sind mit verschiedenen Sicherheitsproblemen behaftet, die von böswilligen Akteuren ausgenutzt werden können. Berkley Packet Filtering von BPF-fähiger Malware konnte bereits gesichtet werden und auch exponierte Container Registrys mit erheblichen Sicherheitslücken.
Während große Sprachmodelle bei der vollautomatischen Erstellung von Malware noch erhebliche Einschränkungen aufweisen, zeugt die Geschwindigkeit, mit der aus früheren Aufforderungen gelernt wird, Anpassungsfähigkeit und Effizienz. Auch wenn noch immer ein erhebliches Maß an Prompt-Engineering, Fehlerbehandlung, Feinabstimmung des Modells und menschlicher Aufsicht erforderlich ist, um brauchbare Ergebnisse zu erzielen, wird es mit Hilfe der KI gefährlich einfach, ein Cyberkrimineller zu sein, da bisherige Barrieren wie Sprach- und Programmierkenntnisse praktisch überwunden sind.
Fazit
Der Annual Cybersecurity Report 2023 macht deutlich, dass Security-Teams immer stärker unter Druck geraten. Während Cyberkriminelle ihre Taktiken weiterentwickeln, müssen Unternehmen ihre Sicherheitskonzepte nachschärfen. Eine schnelle, ganzheitliche Angriffserkennung über alle Vektoren der IT-Umgebung hinweg ist dafür ebenso unverzichtbar wie ein kontinuierliches Cyber-Risikomanagement. So schreibt es auch die NIS2-Richtlinie vor. Beide Forderungen lassen sich beispielsweise in der umfassenden, KI-gestützten Cyber-Defense-Plattform Trend Vision One zusammenführen.
Den gesamten Bedrohungsreport von Trend Micro können Interessierte hier nachlesen.