X-Force Threat Intelligence Index 2023 - IBM Security
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
X-Force Threat Intelligence Index 2023 IBM Security
Inhaltsverzeichnis 01 → 07 → 12 →
Zusammenfassung Cyber-bezogene Entwicklungen Empfehlungen
im Zusammenhang mit dem
02 → Krieg Russlands in der Ukraine 13 →
Wesentliche Erkenntnisse Über uns
08 →
03 → Die Malware-Landschaft 14 →
Wichtige Statistiken Mitwirkende
09 →
04 → Bedrohungen für OT und 15 →
Die wichtigsten ursprünglichen industrielle Steuersysteme Anhang
Zugriffsvektoren
10 →
05 → Geografische Trends
Die wichtigsten
Angriffsmethoden 11 →
Branchentrends
06 →
Die wichtigsten Auswirkungen
01
Zusammenfassung
2022 war ein weiteres turbulentes Jahr für die Milliarden von Datenpunkten von
Cybersicherheit. Es gab in dieser Hinsicht viele Netzwerk- und Endpunktgeräten, Incident
Ereignisse, aber zu den wichtigsten zählten Response (IR)-Einsätzen, Schwachstellen-
die anhaltenden Auswirkungen der Pandemie und Exploit-Datenbanken und mehr. Dieser
und der Ausbruch des militärischen Konflikts in Bericht enthält eine umfassende Aufstellung
der Ukraine. Umbrüche haben 2022 zu sowohl unserer Forschungsdaten von Januar bis
wirtschaftlichen und geopolitischen als auch Dezember 2022.
gesellschaftlichen Veränderungen und Kosten
geführt – und genau das Chaos geschaffen, Wir stellen diese Ergebnisse als Ressource
in dem Cyberkriminelle erfolgreich agieren für IBM Kunden, Forscher auf dem Gebiet der
können. Cybersicherheit, politische Entscheidungsträger,
die Medien und die erweiterte Community der
Und das haben sie auch getan. Sicherheitsspezialisten und Branchenführer
zur Verfügung. Die heutige instabile Situation
IBM Security® X-Force® hat opportunistische mit immer komplexeren und böswilligeren
Bedrohungsakteure beobachtet, die sich die Bedrohungen erfordert gemeinsame
chaotische Situation zunutze machen, um Anstrengungen zum Schutz von Unternehmen,
Regierungen und Unternehmen auf der Bürgerinnen und Bürgern. Mehr denn
ganzen Welt zu infiltrieren. je benötigen Sie Bedrohungsdaten und
Erkenntnisse über Ihre Sicherheitsumgebung,
Der IBM Security X-Force Threat Intelligence um Angreifern einen Schritt voraus zu sein und
Index 2023 verfolgt neue und bestehende Ihre wichtigsten Ressourcen zu schützen.
Trends sowie Angriffsmuster und umfasst
Damit auch Sie erfolgreich agieren können.
Nächstes Kapitel 3
01 Zusammenfassung
Wie sich unsere Datenanalyse
für 2022 geändert hat
Seit 2022 haben wir die Vorgehensweise, – Exploits und Zero-Day-Schwachstellen:
wie wir Teile unserer Daten untersuchen, Durch Extrapolation aus unserer robusten
maßgeblich verändert. Die Änderungen Schwachstellendatenbank, die Daten
ermöglichen uns aussagekräftigere aus fast 30 Jahren umfasst, können wir
Analysen und eine stärkere Orientierung unsere Analyse in einen Kontext stellen
an Industriestandards. Dies verhilft Ihnen und die tatsächliche Bedrohung durch
dazu, fundiertere Sicherheitsentscheidungen Sicherheitslücken ermitteln. Dieser Prozess
zu treffen und Ihr Unternehmen besser vor steht auch im Zusammenhang mit dem
Bedrohungen zu schützen. schwindenden Anteil an gezielt eingesetzten
Exploits und wirkungsvollen Zero Days.
Zu den Änderungen in unserer Analyse
im Jahr 2022 gehören: – Methoden der Bedrohungsakteure
und ihre Auswirkungen: Indem wir die
– Ursprüngliche Zugriffsvektoren: Schritte, die Bedrohungsakteure während
Durch die Übernahme des MITRE eines Angriffs unternehmen, von den
ATT&CK-Frameworks zur Nachverfolgung tatsächlichen Auswirkungen eines Vorfalls
ursprünglicher Zugriffsvektoren können getrennt haben, konnten wir die kritischen
wir unsere Forschungsergebnisse besser Phasen des Vorfalls identifizieren. Dabei
auf die breitere Cybersicherheitsbranche wurden wiederum Bereiche erkannt, auf
abstimmen und wichtige Trends auf die die Responder nach einem Störfall
technischer Ebene erkennen. vorbereitet sein sollten.
Nächstes Kapitel 4
02
Wesentliche
Erkenntnisse
Die wichtigsten beobachteten der Bedrohungsakteure. 30 % der Vorfälle, Zunahme von Hacktivismus und
Angriffsmethoden: Bei fast einem Viertel die zu Erpressungen führten, betrafen zerstörerischer Malware: Russlands Krieg
aller im Jahr 2022 behobenen Vorfälle war Unternehmen aus der Fertigungsbranche, da in der Ukraine öffnete die Tür zu einem von
mit 21 % die Bereitstellung von Backdoors Cyberkriminelle weiterhin die angespannte vielen aus der Cybersicherheit-Community
die häufigste Methode. Vor allem die zu Lage dieser Branche ausnutzten. erwarteten Demonstrationsbeispiel
Beginn des Jahres beobachtete Zunahme von dafür, wie Cybertechnologie die moderne
Emotet, einer vielseitig einsetzbaren Malware, Phishing war der wichtigste ursprüngliche Kriegsführung ermöglicht. Obwohl sich
trug wesentlich zum Anstieg der Backdoor- Zugriffsvektor: Phishing ist nach wie vor der die schlimmsten Vorhersagen zum
Aktivitäten im Vergleich zum Vorjahr bei. Auch führende Infektionsvektor, der bei 41 % Zeitpunkt der Veröffentlichung dieses
wenn die Anzahl der Backdoor-Aktivitäten der Vorfälle ermittelt wurde, gefolgt von der Berichts nicht bewahrheitet haben, gab
anstieg, machte Ransomware, die seit Ausnutzung von Anwendungen mit Internet- es ein bemerkenswertes Wiederaufleben
mindestens 2020 an erster Stelle steht, Schnittstelle in 26 % der Fälle. Infektionen durch von Hacktivismus und zerstörerischer
mit 17 % einen Großteil der Störfälle aus, schädliche Makros sind in den Hintergrund Malware. X-Force beobachtete auch
was die anhaltende Bedrohung durch diese getreten, was vermutlich auf die Entscheidung beispiellose Veränderungen in der Welt
Malware unterstreicht. von Microsoft zurückzuführen ist, Makros der Cyberkriminalität mit einer verstärkten
standardmäßig zu blockieren. Die Verwendung Zusammenarbeit zwischen cyberkriminellen
Erpressung war die häufigste Auswirkung schädlicher ISO- und LNK-Dateien hat sich Gruppen und Trickbot-Banden, die es auf
von Angriffen auf Unternehmen: Erpressung im Jahr 2022 zur wichtigsten Taktik für die ukrainische Unternehmen abgesehen haben.
war mit 27 % eindeutig das beliebteste Mittel Verbreitung von Malware durch Spam entwickelt.
Vorheriges Kapitel Nächstes Kapitel 5
03
27 %
Prozentualer Anteil von Angriffen mit Erpressung
Bei mehr als einem Viertel aller Vorfälle, auf die X-Force im Jahr 2022 reagierte,
Wichtige Statistiken versuchten Bedrohungsakteure, Geld von den Opfern zu erpressen. Ihre Taktiken haben
sich in den letzten zehn Jahren weiterentwickelt – ein Trend, der sich voraussichtlich
fortsetzen wird, da die Bedrohungsakteure immer aggressiver nach Gewinn streben.
21 %
Anteil der Vorfälle mit Backdoors
Der Einsatz von Backdoors ergab die häufigste Angriffsmethode, die im vergangenen
Jahr weltweit bei mehr als einem von fünf gemeldeten Vorfällen angewendet wurde.
Der erfolgreiche Einsatz von Abwehrmaßnahmen hat wahrscheinlich verhindert, dass
die Bedrohungsakteure weitere Ziele verfolgen konnten, zu denen eventuell auch
Ransomware gehört hätte.
17 %
Anteil von Ransomware an Angriffen
Selbst in einem chaotischen Jahr, in dem einige der produktivsten Ransomware-Syndikate
aktiv waren, stellte Ransomware die zweithäufigste Angriffsart dar, dicht gefolgt von
Backdoor-Bereitstellungen, die auch weiterhin den Geschäftsbetrieb von Unternehmen
stören. Der Anteil von Ransomware an den Vorfällen sank von 21 % im Jahr 2021 auf
17 % im Jahr 2022.
Vorheriges Kapitel Nächstes Kapitel 6
03 Wichtige Statistiken
41 % 100 % 52 %
Prozentsatz der Vorfälle, bei denen Phishing Anstieg der Anzahl der Thread-Hijacking- Rückgang der gemeldeten Phishing-Kits
für den Erstzugriff eingesetzt wurde Versuche pro Monat zur Abfrage von Kreditkartendaten
Phishing-Attacken waren auch 2022 die Im Jahr 2022 gab es doppelt so viele Thread- Fast alle untersuchten Phishing-Kits zielten
häufigste Art der Angriffe: 41 % der von Hijacking-Versuche pro Monat wie 2021. auf Namen (98 %) und E-Mail-Adressen
X-Force bearbeiteten Störfälle nutzten Thread-Hijacking wurde häufig in Verbindung (73 %) ab, gefolgt von Privatadressen (66 %)
diese Methode für den Erstzugriff. mit Spam-E-Mails verwendet, die auf Emotet, und Kennwörtern (58 %). Kreditkartendaten,
Qakbot und IcedID zurückzuführen waren. die 2021 in 61 % der Fälle das Ziel waren, sind
bei den Bedrohungsakteuren nicht mehr so
beliebt – die Daten zeigen, dass sie 2022 nur
noch Ziel von 29 % der Phishing-Kits waren,
was einem Rückgang von 52 % entspricht.
62 % 26 % 31 %
Prozentsatz der Phishing-Attacken Anteil der Schwachstellen 2022 mit Anteil der weltweiten Angriffe, die auf den
mit Spear-Phishing-Anhängen bekannten Exploits asiatisch-pazifischen Raum abzielten
Die Angreifer bevorzugten den 26 Prozent der Schwachstellen im Jahr 2022 Der asiatisch-pazifische Raum bleibt
gezielten Einsatz von Anhängen allein waren bereits bekannt. Den von X-Force seit auch 2022 die am häufigsten angegriffene
oder in Kombination mit Links oder Anfang der 1990er-Jahre erfassten Daten Region, auf die 31 % aller Vorfälle entfallen.
Spear-Phishing als Service. zufolge ist dieser Anteil in den letzten Jahren Dies entspricht einem Anstieg von fünf
zurückgegangen, was die Vorteile eines gut Prozentpunkten gegenüber dem Gesamtanteil
gepflegten Patch-Management-Prozesses der Angriffe, auf die X-Force im Jahr 2021
verdeutlicht. in der Region reagiert hat.
Vorheriges Kapitel Nächstes Kapitel 7
04
Die wichtigsten ursprünglichen
Die wichtigsten
wichtigsten ursprünglichen
ursprünglichen Zugriffsvektoren
Zugriffsvektoren 2022
Zugriffsvektoren Die
Die wichtigsten ursprünglichen Zugriffsvektoren 2022
2022 ging X-Force von der Verfolgung von Nutzung von Anwendungen mit Internet-Schnittstelle
26 %
Erstzugriffsvektoren als breitere Kategorien, wie
Phishing und ausgespähte Anmeldedaten, zu Phishing – Spear-Phishing-Anhang
Erstzugriffstechniken über, die im Framework 25 %
der MITRE ATT&CK Matrix for Enterprise
Phishing – Spear-Phishing-Link
aufgeführt sind. Diese Umstellung ermöglicht 14 %
es X-Force, wichtige Trends auf technischer
Ebene genauer zu verfolgen. Darüber hinaus Externe Remote-Services
12 %
bietet es besser nutzbare und vergleichbare
Daten und steht im Einklang mit den Gültige Konten – Lokal
Standardisierungsbemühungen 7%
der gesamten Branche.
Gültige Konten – Domain
5%
Hardwareerweiterungen
3%
Gültige Konten – Standard
2%
Phishing – Spear-Phishing als Service
2%
Gültige Konten – Cloud
2%
Abbildung 1: Die wichtigsten von X-Force beobachteten ursprünglichen Zugriffsvektoren 2022. Quelle: X-Force
Vorheriges Kapitel Nächstes Kapitel 8
04 Die wichtigsten ursprünglichen
Zugriffsvektoren
Phishing
Phishing (T1566), ob durch Anhänge, Links 2022 bei Kunden durchführte, wurde bei entspricht dem, was in früheren Berichten
Phishing-Typ in % der gesamten oder als Service, ist nach wie vor der führende rund 54 % der Tests eine unsachgemäße des Threat Intelligence Index als „Ausnutzung
Phishing-Fälle Infektionsvektor und machte 2022 41 % aller Authentifizierung bzw. ein unsachgemäßer von Schwachstellen“ bezeichnet wurde, und
von X-Force bearbeiteten Vorfälle aus. Dieser Umgang mit Anmeldedaten festgestellt. Das markiert einen Rückgang um 34 % verglichen
Anteil bleibt nach einem Anstieg von 33 % X-Force Red Adversary Simulation Team mit 2021.
5% im Jahr 2020 ab 2021 konstant. Betrachtet führte regelmäßig Spear-Phishing-Angriffe
man alle Phishing-Vorfälle, so wurden bei mit QR-Codes durch, die auf Token für die An dritter Stelle steht der Missbrauch von
62 % der Angriffe Spear-Phishing-Anhänge Mehrfaktorauthentifizierung (MFA) abzielten. gültigen Konten (T1078), der in 16 % der
33 % (T1566.001), bei 33 % Spear-Phishing-Links Vielen Unternehmen fehlte die Transparenz beobachteten Vorfälle festgestellt wurde.
62 %
(T1566.002) und bei 5 % Spear-Phishing-as- über Anwendungen und Endpunkte, auf die In diesen Fällen haben die Angreifer die
a-Service (T1566.003) verwendet. X-Force über das Identitäts- und Zugriffsmanagement Anmeldedaten für bestehende Konten
konnte darüber hinaus beobachten, dass sowie Single-Sign-On- (SSO) Portale wie Okta ausgespäht und missbraucht, um sich
Bedrohungsakteure in einigen Fällen neben zugegriffen wurde. Zugriff zu verschaffe n. Zu diesen Vorfällen
Phishing-as-a-Service oder Links auch gehörten Cloud-Konten (T1078.004) und
Anhänge verwenden. An zweiter Stelle steht die Ausnutzung von Standardkonten (T1078.001) mit jeweils 2 %,
Attachment
Phishing LinkLink Phishing as a service
Anhang Anwendungen mit Internet-Schnittstelle Domänenkonten (T1078.002) mit 5 % und
als Service
Daten von IBM X-Force Red aus dem (T1190), d. h. die durch Angreifer verursachte lokale Konten (T1078.003) mit 7 %.
Jahr 2022 veranschaulichen den Wert von Ausnutzung von Schwachstellen in Computern
Phishing und dem falschen Umgang mit oder Programmen, die über das Internet
Abbildung 2: Arten von Phishing-Subtechniken in Anmeldedaten für Bedrohungsakteure. zugänglich sind. Sie wurde in 26 % der von der
Prozent aller von X-Force beobachteten Phishing-Fälle
im Jahr 2022. Quelle: X-Force Bei den Penetrationstests, die X-Force Red X-Force bearbeiteten Fälle festgestellt. Dies
Vorheriges Kapitel Nächstes Kapitel 9
04 Die wichtigsten ursprünglichen
Zugriffsvektoren
Phishing-Kits haben eine längere
Lebensdauer und zielen eher auf
personenbezogene Daten als auf
Kreditkartendaten ab
Rückgang der Angriffe IBM Security hat das zweite Jahr in Folge – Etwa die Hälfte aller gemeldeten Kits – Kreditkarteninformationen wurden deutlich
Tausende von Phishing-Kits aus der ganzen betraf 93 Benutzer, während 2021 jeder weniger häufig Ziel von Phishing-Kits. Dieser
von Phishing-Kits auf
Welt analysiert und festgestellt, dass die Einsatz durchschnittlich nicht mehr als Anteil fiel von 61 % im Jahr 2021 auf 29 %
Kreditkarteninformationen Kit-Bereitstellungen länger aktiv sind und 75 potenzielle Geschädigte ergab. im Jahr 2022.
von 61 % im Jahr 2021 auf mehr Benutzer erreichen. Die Daten zeigen,
dass sich die Lebensdauer der beobachteten – Die maximale Anzahl der Opfer einer – Der Rückgang der Zahl der Phishing-
29 % im Jahr 2022. Phishing-Kits im Vergleich zum Vorjahr mehr gemeldeten Phishing-Attacke lag bei knapp Kits, die auf Kreditkartendaten abzielen,
als verdoppelt hat, während der Medianwert über 4.000, was jedoch einen Ausreißer deutet darauf hin, dass sich die Phisher
für die Bereitstellung im gesamten Datensatz darstellt. auf personenbezogene Daten (PII)
mit 3,7 Tagen relativ niedrig blieb. konzentrieren, was ihnen breiter angelegte
– Fast alle gemeldeten und analysierten und gefährlichere Möglichkeiten eröffnet.
Insgesamt dauerte die kürzeste Bereitstellung Phishing-Kits versuchten in 98 % der PII-Daten können entweder gesammelt und
nur wenige Minuten und die längste, die 2022 Fälle, Namen abzufassen. Es folgten im Dark Web oder anderen Foren verkauft
entdeckt wurde, mehr als drei Jahre. Unsere E-Mail-Adressen mit 73 %, Privatadressen oder für weitere Operationen gegen Ziele
Untersuchungen ergaben Folgendes: mit 66 % und Kennwörter mit 58 %. verwendet werden.
– Die Einsatzdauer für ein Drittel der
bereitgestellten Kits betrug im vergangenen
Jahr etwa 2,3 Tage, also mehr als doppelt so
lange wie im Jahr zuvor, als der gleiche Anteil
nicht länger als einen Tag eingesetzt wurde.
Vorheriges Kapitel Nächstes Kapitel 1004 Die wichtigsten ursprünglichen
Zugriffsvektoren
Am meisten von
Spoofing betroffene Marken
Zu den Top-Marken, bei denen Spoofing Ausgespähte Anmeldedaten zu solchen Die am meisten von Spoofing betroffenen
beobachtet wurde, gehören vor allem die Services sind wertvoll. Der Zugriff auf Marken im Jahresvergleich
größten Namen der Tech-Branche. X-Force geht Konten, mit denen die Opfer ganze Teile ihrer
2022 2021
davon aus, dass diese Veränderung gegenüber Online-Präsenz verwalten, kann das Einfallstor
der etwas vielfältigeren Liste von 2021 auf für den Zugriff auf andere Konten darstellen.
1 Microsoft Microsoft
die verbesserte Fähigkeit zurückzuführen Die Konzentration der Angreifer auf diese
ist, Marken identifizieren zu können, auf Form des Erstzugriffs wird im Cloud Threat
2 Google Apple
die ein Kit für das Spoofing konfiguriert Landscape Report 2022 hervorgehoben, der
wurde, und nicht nur jene Marken, auf die es einen mehr als dreifachen Anstieg der Anzahl
3 Yahoo Google
standardmäßig abzielt. Viele Phishing-Kits von Cloud-Konten, die im Dark Web zum
sind vielseitig einsetzbar und die von Spoofing Verkauf angeboten werden, auf 200 % im
4 Facebook BMO Harris Bank
betroffene Marke kann durch Änderung eines Vergleich zu 2021 feststellt.
einfachen Parameters ausgetauscht werden.
5 Outlook Chase
Beispielsweise kann ein Kit, das standardmäßig
Gmail fälscht, mit einer geänderten Zeile zu
6 Apple Amazon
einem Angriff auf Microsoft werden.
7 Adobe Dropbox Abbildung 3: Dieses Diagramm
zeigt die am häufigsten von Spoofing
8 AOL DHL betroffenen Marken in den Jahren 2021
und 2022 und verdeutlicht, dass sich die
Bedrohungsakteure zunehmend auf große
9 PayPal CNN Technologiemarken konzentrieren.
Quelle: IBM Phishing-Kit-Daten
10 Office365 Hotmail
Vorheriges Kapitel Nächstes Kapitel 1104 Die wichtigsten ursprünglichen
Zugriffsvektoren
Schwachstellen
Die Ausnutzung von Schwachstellen – für X-Force Red Adversary Simulation Services Vor fast 30 Jahren, noch vor der Einführung
Anteil der Vorfälle durch Ausnutzung 2022 als Ausnutzung von Anwendungen verfolgt, um fortgeschrittene Bedrohungen des CVE-Systems (Common Vulnerabilities and
von Schwachstellen in den letzten mit Internet-Schnittstelle (T1190) erfasst – zu simulieren. Das Team konzentrierte Exposures), begann X-Force mit dem Aufbau
vier Jahren steht an zweiter Stelle der wichtigsten sich verstärkt auf die Untersuchung von einer soliden Schwachstellendatenbank. Diese
Infektionsvektoren und ist seit 2019 eine Schwachstellen in Betriebssystemen und Datenbank ist heute eine der umfassendsten
bevorzugte Kompromittierungsmethode von Anwendungen, die genutzt werden, um der Cybersicherheitsbranche. Obwohl
2022
26 % Angreifern. 2022 nutzten 26 % der von X-Force Zugriff und Berechtigungen auszuweiten. Schwachstellen ein großes Sicherheitsrisiko
behobenen Angriffe Schwachstellen aus, ein Dieser Schwerpunkt ergab sich vor allem aus darstellen, gibt es weitaus mehr gemeldete
2021 Jahr zuvor waren es 34 %, im Jahr 2020 35 % früheren Übungen mit langjährigen Kunden, Sicherheitslücken als bekannte und
34 %
und 2019 30 %. die die traditionellen Angriffswege von gezielt eingesetzte Exploits. Und trotz der
2020 Active Directory abgesichert hatten, sowie öffentlichen Aufmerksamkeit für Zero Days
35 % Nicht jede von Bedrohungsakteuren aus der Notwendigkeit zur Verfolgung neuer ist die tatsächliche Anzahl bekannter Zero
ausgenutzte Schwachstelle führt zu einem Angriffswege. Days im Vergleich zur Gesamtzahl bekannter
2019
30 % Cybervorfall. Die Anzahl der Vorfälle, die Schwachstellen verschwindend gering.
auf die Ausnutzung von Schwachstellen Während Sicherheitslücken als gängiges
zurückzuführen sind, ist 2022 gegenüber Einfallstor gelten und die Branche jedes Jahr auf
2021 um 19 % zurückgegangen, nachdem mehrere größere reagiert, sind sie nicht immer
sie 2020 um 34 % gestiegen war. X-Force gleich. Für Entscheidungsträger ist es wichtig,
vermutet, dass diese Veränderung auf die weit sich einen umfassenden Überblick über die
verbreitete Log4J-Sicherheitslücke Ende 2021 Schwachstellenlandschaft zu verschaffen und
zurückzuführen ist. sicherzustellen, dass sie über den notwendigen
Kontext verfügen, um die tatsächliche
Die Ausnutzung des Zugriffs ist ein wichtiger Bedrohung zu verstehen, die eine bestimmte
Forschungsbereich, den das Team von Sicherheitslücke für ihre Netzwerke darstellt.
Vorheriges Kapitel Nächstes Kapitel 1204 Die wichtigsten ursprünglichen
Zugriffsvektoren
Jedes Jahr wird eine neue Rekordzahl an Einführung formeller Bug-Bounty-Programme
X-Force-Datenbank mit Schwachstellen vs. Exploits Sicherheitslücken entdeckt. Die Gesamtzahl Anreize für die proaktive Entdeckung
der 2022 erfassten Sicherheitslücken von Schwachstellen in Anwendungen
belief sich auf 23.964 gegenüber 21.518 geschaffen. Darüber hinaus gibt es einige weit
30.000 im Jahr 2021. Dieser Zunahmetrend hat verbreitete und etablierte Schwachstellen,
23.964 sich in den letzten zehn Jahren von Jahr die Angreifern bereits als Mittel zur
25.000 21.518
19.391
zu Jahr fortgesetzt. Die Analyse unserer Ausnutzung von Systemen dienen, sodass
17.923 18.115
20.000 Schwachstellendatenbank hat ergeben, die Bedrohungsakteure keine neuen Exploits
dass das Verhältnis zwischen bekannten, entwickeln müssen. Dieser Rückgang ist
15.000
funktionsfähigen Exploits und den gemeldeten wahrscheinlich auf eine Kombination aus
10.000
6.505
Schwachstellen in den letzten Jahren mehreren Faktoren zurückzuführen, deutet
6.090 5.479 5.716 6.290
abgenommen hat: 36 % im Jahr 2018, 34 % aber nicht darauf hin, dass die Ausnutzung
5.000
im Jahr 2019, 28 % im Jahr 2020, 27 % im von Schwachstellen weniger bedrohlich
0 Jahr 2021 und 26 % im Jahr 2022. geworden ist.
2018 2019 2020 2021 2022
Diese Zahlen können sich ändern, wenn Zero Während das Verhältnis von Exploits
Summe der Summe der Schwachstellen Days und Exploits für ältere Schwachstellen zu Schwachstellen kleiner wird, hat der
Sum of total exploits Sum of total vulnerabilities
Exploits insgesamt insgesamt entwickelt werden – was manchmal erst Schweregrad der von X-Force erfassten
Jahre nach ihrer Entdeckung der Fall ist. Exploits in den letzten fünf Jahren
Für diesen Rückgang gibt es mehrere zugenommen. 58 % der Schwachstellen
Abbildung 4: X-Force-Schwachstellendatenbankansicht
mit Sicherheitslücken und Exploits der letzten fünf Jahre. mögliche Erklärungen. Erstens hat die hatten 2018 einen mittleren Wert
Quelle: X-Force (Common Vulnerability Scoring System, CVSS),
Vorheriges Kapitel Nächstes Kapitel 1304 Die wichtigsten ursprünglichen
Zugriffsvektoren
4,0–6,9 von 10, verglichen mit knapp 36 %, nicht den tatsächlichen Schweregrad eines
CVSS-Werte der Schwachstellen in der X-Force-Datenbank die auf 7,0–9,9 kamen. Im Jahr 2021 hat CVE wider, da sie nicht berücksichtigen,
sich die Verteilung zwischen diesen beiden wie die Schwachstelle ausgenutzt wird
Werten umgekehrt. Die Schwachstellen oder ob überhaupt ein Exploit vorliegt. Die
58 % mit hohem Schweregrad machen jetzt fünf Bewertungen helfen den Sicherheitsexperten
55 %
49 % 49 %
Prozentpunkte mehr aus als die mit jedoch, Schwachstellen zu vergleichen und
47 % 47 %
46 %
42 % mittlerem Schweregrad. zu deren schnelleren Behebung Prioritäten
36 % 38 % zu setzen. Die Grafik in Abbildung 6 auf der
Von allen Schwachstellen, die X-Force folgenden Seite verdeutlicht das wahre
seit 1988 erfasst hat, werden 38 % als Ausmaß des Schwachstellenproblems in der
hoch eingestuft, wohingegen nur 1 % den Cybersicherheitsbranche.
6% 6% 4% 4% 4%
kritischen Wert von 10 erreicht. Die Hälfte der
0,4 % 0,4 % 0,4 % 0,5 % 0,6 % ermittelten Schwachstellen wird als mittel
2018 2019 2020 2021 2022 eingestuft, die restlichen 11 % als niedrig bei
3,9 und darunter. Diese Werte allein spiegeln
Kritisch Hoch Mittel Niedrig
Abbildung 5: X-Force-Schwachstellendatenbank
mit Schweregrad der in unserem System erfassten
Sicherheitslücken. Quelle: X-Force
Vorheriges Kapitel Nächstes Kapitel 1404 Die wichtigsten ursprünglichen
Zugriffsvektoren
#15
Schwachstellen der
Betriebstechnik (OT) Das Problem mit den Schwachstellen
300.000
Die Anzahl der 2022 entdeckten 2021
280.000 2017 Log4J
Schwachstellen in industriellen Kumulative Schwachstellen, Exploits und
EternalBlue Wreck Sudo
Steuersystemen (ICS) ist zum ersten Mal seit 260.000 Zero Days seit 1988
zwei Jahren zurückgegangen: auf 457 im Jahr 240.000 Kategorie Anzahl % 2013 2018 2022
2022 gegenüber 715 im Jahr 2021 und 472 Breach Spectre Follina
220.000 Schwachstellen 228.167 nicht
2003 Meltdown Proxy
im Jahr 2020. Die Lebenszyklen von ICS und insgesamt zutreffend
200.000 Metasploit erstellt 2014 NotShell
die Art und Weise, wie sie im Allgemeinen Ausgenutzte 78.156 34 %
Heartbleed 2019 Spring4Shell
180.000 Schwachstellen insgesamt
verwaltet und gepatcht werden, könnten eine 2004 Poodle BlueKeep SynLapse
160.000 Nicht ausgenutzte 150.011 66 % Exploit DB erstellt
Erklärung dafür sein. Angreifer wissen, dass Schwachstellen insgesamt
Shellshock
2020
viele ICS-Komponenten und OT-Netzwerke 140.000 Zero Days insgesamt 7.327 3% 2008 Sunburst
2015
aufgrund der Forderung nach minimalen 120.000 1993 Conficker Freak Supernova
Kritisch 2.746 1% Vorgänger von XFDB Zerologon
Ausfallzeiten, langen Gerätelebenszyklen und 100.000
Hoch 86.595 38 % 2011 2016
älterer, weniger unterstützter Software immer 1997 Beast
80.000 Sweet32
noch durch ältere Schwachstellen gefährdet Mittel 114.480 50 % XFDB (ISS) erstellt
60.000 2012
sind. Die Infrastruktur ist in der Regel viele Niedrig 24.274 11 %
1999 Crime
Jahre länger in Betrieb als herkömmliche 40.000
CVE erstellt
Büro-Workstations, was die Lebensdauer von 20.000
ICS-spezifischen Schwachstellen über die 0
von IT-Schwachstellen hinaus verlängert. 8 9 90
91 992 993 994 995 996 997 998 999 000 001 002 003 004 005 06 007 008 09 010 011 012 013 014 015 016 017 018 019 020 021 022
198 198 19 1 9 1 1 1 1 1 1 1 1 2 2 2 2 2 2 2 0 2 2 2 0 2 2 2 2 2 2 2 2 2 2 2 2 2
Schwachstellen Gezielt einsetzbare Exploits Zero Day
Abbildung 6: Die Grafik zeigt die Zunahme von Schwachstellen, Exploits und Zero Days seit 1988.
Außerdem eine Zeitleiste der wichtigsten Ereignisse im Zusammenhang mit Schwachstellen seit
1993. XFDB steht für X-Force Database und Exploit DB steht für Exploit Database. Quelle: X-Force
Vorheriges Kapitel Nächstes Kapitel 1505
Die wichtigsten Angriffsmethoden
Die wichtigsten Angriffsmethoden 2022
Zuvor wurde im X-Force Threat Intelligence
Index die breite Kategorie der wichtigsten
Angriffe untersucht. Für 2022 hat X-Force diese
Klassifizierung in zwei verschiedene Kategorien
unterteilt: die spezifischen Handlungen
der Bedrohungsakteure in den Netzwerken der
Opfer oder die Angriffsmethoden sowie die
beabsichtigten oder realisierten Auswirkungen
dieser Handlungen auf das Opfer oder 21 %
die Folgen. Malware –
17 %
Backdoors
Aus den Daten von X-Force Incident Response
geht hervor, dass die Verwendung von Backdoors
mit einem Anteil von 21 % an allen gemeldeten
Malware –
Ransomware 5 % 5 %
Serverzugriff Spamkampagne
Vorfällen die häufigste Angriffsmethode
darstellte. Es folgten Ransomware mit 17 %
und die Kompromittierung geschäftlicher
E-Mails (BEC) mit 6 %. Schädliche Dokumente
(Maldocs), Spamkampagnen, Fernzugriffstools
und Serverzugriff wurden in jeweils 5 % der
Fälle entdeckt.
6 % 5 % 5 %
Kompromittierung Tool – Malware –
geschäftlicher E-Mails (BEC) Fernzugriff Maldoc
Abbildung 7: Die wichtigsten von X-Force beobachteten Angriffsmethoden im Jahr 2022. Quelle: X-Force
Vorheriges Kapitel Nächstes Kapitel 1605 Die wichtigsten Angriffsmethoden
In Fällen, in denen eine Backdoor- exfiltrieren. Böswillige Akteure, die nicht über
Verteilung der Emotet-Vorfälle im Jahr 2022 Bereitstellung als Angriffsmethode eingestuft die erforderliche Malware verfügen, um sich
wurde, ist es wahrscheinlich, dass der selbst Zugriff zu verschaffen, können dies auch
Bedrohungsakteur weitere Pläne hatte, wenn über Backdoors versuchen.
70 %
62 % die Backdoor in Betrieb genommen wurde. Ein
60 % erfolgreiches Eingreifen der Sicherheitsteams Inital Access Broker versuchen in der Regel,
50 %
oder des Teams zur Fehlerbehebung ihre Zugänge zu versteigern, wobei X-Force
hat wahrscheinlich verhindert, dass der Preise von 5.000 bis 10.000 USD beobachten
40 %
Bedrohungsakteur weitere Ziele erreichen konnte. Jedoch können die Endpreise auch
30 % konnte. Zu diesen weiteren böswilligen niedriger sein. Andere berichten von Zugängen,
23 % Aktivitäten gehörte wahrscheinlich auch die für 2.000 bis 4.000 USD verkauft werden,
20 %
Ransomware, da etwa zwei Drittel dieser einer sogar für 50.000 USD. Diese Beträge
8% 8% Backdoor-Fälle die Merkmale einer
10 % stehen den deutlich niedrigeren Preisen für eine
Ransomware-Attacke aufwiesen. einzelne Kreditkarte gegenüber, die für weniger
0
als 10 USD angeboten wird.
JAN FEB MRZ APR MAI JUN JUL AUG SEP OKT NOV DEZ
Der vermehrte Einsatz von Backdoors könnte
auch auf den Gewinn zurückzuführen sein, Backdoors führten im Februar und März
der sich mit dieser Art des Zugriffs im Dark zu einem bemerkenswerten Anstieg der
Abbildung 8: Die Grafik zeigt den sprunghaften Web erwirtschaften lässt. Ein kompromittierter Emotet-Fälle. Dieser Anstieg hat die Rangliste
Anstieg der Emotet-Fälle zu Beginn des Jahres 2022.
Zugriff zum Unternehmensnetzwerk von der Backdoor-Fälle erheblich beeinflusst, da
Quelle: X-Force
einem Initial Access Broker kostet in der Regel die in diesem Zeitraum installierten Backdoors
mehrere Tausend US-Dollar. Mit dieser Art des 47 % aller 2022 weltweit identifizierten
Zugriffs können böswillige Akteure, die einen Backdoors ausmachten. Nach einer Pause von
schnellen Gewinn erzielen wollen, Probleme Emotet von Juli bis November – nach der es
bei der Aufrechterhaltung des Zugriffs fast zwei Wochen lang mit deutlich geringerem
vermeiden, während sie mit der Bedrohung Volumen wieder hochgefahren wurde – ging
in die Breite gehen und wertvolle Daten die Zahl der Backdoor-Fälle deutlich zurück.
Vorheriges Kapitel Nächstes Kapitel 1705 Die wichtigsten Angriffsmethoden
Ransomware Ransomware-Varianten
Selbst in einem chaotischen Jahr, in dem Besonders schädigend ist die Verbreitung Da sich Ransomware-Gruppen und die
Durchschnittliche Dauer von einige der produktivsten Ransomware- von Schadteilen durch Ransomware über ein jeweiligen Zugriffsbroker ständig ändern,
Ransomware-Attacken Syndikate aktiv waren, stellte Ransomware die Netzwerk, wenn dabei Domänencontroller konnte X-Force regelmäßige Veränderungen
zweithäufigste Angriffsart dar, dicht gefolgt von kompromittiert werden. Bei einem bei den führenden Gruppen feststellen, die
2019 2021
Backdoor-Bereitstellungen, die auch weiterhin kleinen Prozentsatz der von X-Force Red in diesem Bereich aktiv sind. X-Force
Über 2 Monate Über 3 Tage den Geschäftsbetrieb von Unternehmen durchgeführten Netzwerk-Penetrationstests hat 2022 19 Varianten von Ransomware
stören. Der Anteil von Ransomware an den (ca. 4 %) wurden Unternehmen mit entdeckt, verglichen mit 16 im Jahr 2021.
Vorfällen sank von 21 % im Jahr 2021 auf fehlerhaften Konfigurationen im Active LockBit-Varianten machten 17 % der
17 % im Jahr 2022. Directory gefunden, was zu einer Ausweitung insgesamt beobachteten Ransomware-
der Berechtigungen oder zur vollständigen Vorfälle aus, gegenüber 7 % im Jahr 2021.
Eine IBM Security X-Force-Studie ergab, dass Übernahme der Domäne führen konnte. Phobos lag mit 11 % an zweiter Stelle
die durchschnittliche Dauer von Ransomware- Im Jahr 2022 beobachtete X-Force auch gleichauf mit WannaCry. Die führenden
Attacken von 2019 bis 2021 um 94,34 % aggressivere Ransomware-Attacken auf die Gruppen im Jahr 2022 verdrängten den
von über zwei Monaten auf knapp vier Tage zugrunde liegende Infrastruktur, wie ESXi Erstplatzierten des Jahres 2021, REvil, auch
gesunken ist. Dennoch stellt Ransomware eine und Hyper-V. Die potenziell weitreichenden bekannt als Sodinokibi, mit 37 % der Fälle im
eindeutige und allgegenwärtige Bedrohung Auswirkungen dieser Angriffsmethoden Jahr 2021 und den Zweitplatzierten Ryuk mit
dar, und es gibt Anzeichen dafür, dass sie sich machen deutlich, wie wichtig es ist, 13 %, die beide auf 3 % zurückfielen.
eher weiter ausbreitet als nachlässt. Domänencontroller und Hypervisoren
angemessen zu schützen. LockBit 3.0 ist die neueste Variante der
Ransomware-Familie LockBit und Teil einer
Ransomware-as-a-Service (RaaS)-Operation, die
mit LockerGoga und MegaCortex in Verbindung
steht. LockBit ist seit September 2019 aktiv, und
LockBit 3.0 kam 2022 heraus. Ein wesentlicher
Teil des Quellcodes von LockBit 3.0 scheint von
der Ransomware BlackMatter übernommen
worden zu sein.
Vorheriges Kapitel Nächstes Kapitel 1805 Die wichtigsten Angriffsmethoden
Kompromittierung geschäftlicher
E-Mails (BEC)
#19 Ransomware-Varianten und Häufigkeit im Jahr 2022
Forscher entdeckten die Ransomware
Phobos erstmals Anfang 2019.
Aufgrund von Ähnlichkeiten im Code,
BEC liegt 2022 mit 6 % der Vorfälle, auf die
X-Force reagiert hat, wieder auf dem dritten
Platz. Der Prozentsatz ist etwas niedriger
LockBit
der Verbreitungsmechanismen, als die 8 % der Angriffe 2021 und die 9 %
17 %
Phobos 11 % der Angriffstechniken und der für den fünften Platz 2020. Er verdrängte
WannaCry 11 % Erpressungsnachrichten wurde Phobos als den zweitplatzierten Angriff von 2021, bei
BlackCat 9% Variante der bereits bekannten Ransomware- dem es sich um Angriffe auf Server handelte.
Conti 6%
Djvu 6% Familien Crysis und Dharma identifiziert. Bei dieser Art von Angriffen verschafft sich
Babuk 6% Phobos wurde häufig für kleinere Angriffe mit ein Angreifer mit unbekanntem Ziel Zugang
5x2tr 3% geringeren Lösegeldforderungen eingesetzt. zu einem Server. Im Jahr 2022 wurde
REvil 3%
Hive 3%
E-Mail-Phishing-Kampagnen und diese Art von Angriffen genauer danach
Vice Society 3% das Ausnutzen anfälliger RDP-Ports klassifiziert, welche Art von Zugang diese
DefrayX 3% (Remote Desktop Protocol) sind die Akteure erreicht haben. In der Hälfte der
Makop 3%
MedusaLocker
wichtigsten Verbreitungswege von Phobos. BEC-Fälle, auf die X-Force reagierte, wurden
3%
Venom 3% Spear-Phishing-Links verwendet. In jeweils
Ryuk 3% WannaCry tauchte erstmals 2017 auf und 25 % der Fälle wurden schädliche Anhänge
Cat4er 3%
Venus
verbreitet sich selbst, indem es mithilfe genutzt und gültige Konten für BEC-Versuche
3%
Lizard 3% von EternalBlue die Sicherheitslücke im missbraucht.
0 2% 4% 6% 8% 10 % 12 % 14 % 18 % Microsoft Server Message Block 1.0 (SMBv1)
Server (MS17-010) ausnutzt. Mehrere
Fälle von WannaCry oder Ryuk, die X-Force
Abbildung 9: Ransomware-Varianten und die 2022 beobachtete, waren das Ergebnis
Häufigkeit, mit der sie bei Aktivitäten von X-Force von Infektionen, die drei bis fünf Jahre
Incident Response 2022 beobachtet wurden. zurücklagen und auf alten, ungepatchten
Quelle: X-Force
Geräten auftraten, was die Wichtigkeit einer
ordnungsgemäßen Bereinigung nach solchen
Ereignissen unterstreicht.
Vorheriges Kapitel Nächstes Kapitel 1906
Die wichtigsten Auswirkungen
Die wichtigsten Auswirkungen 2022
X-Force untersuchte auch die Folgen der
Vorfälle für die betroffenen Unternehmen,
um besser zu verstehen, welche Auswirkungen 21 %
die Bedrohungsakteure mit den Vorfällen, Erpressung
auf die X-Force reagierte, erzielen wollten.
Anhand dieser Informationen können die
Unternehmen die häufigsten Auswirkungen
besser verstehen und Reaktionen auf mögliche
zukünftige Vorfälle effektiver planen. 19 %
Datendiebstahl
11 %
Die Analyse ergab, dass mehr als einer von
vier Vorfällen darauf abzielte, das betroffene
Unternehmen zu erpressen – dies war Ausspähen von
die häufigste Auswirkung der von X-Force Anmeldedaten
behobenen Vorfälle. Die beobachteten
Erpressungsfälle wurden meist mithilfe
von Ransomware oder BEC durchgeführt
und beinhalteten häufig den Einsatz von
Fernzugriffstools, Cryptominern, Backdoors,
Downloadern und Web Shells. 9 %
11 % Markenruf
Datenleck
Abbildung 10: Die wichtigsten Auswirkungen, die X-Force bei
Incident-Response-Aktivitäten 2022 beobachtet hat. Quelle: X-Force
Vorheriges Kapitel Nächstes Kapitel 2006 Die wichtigsten Auswirkungen
An zweiter Stelle stand Datendiebstahl, der
Prozentualer Anteil der Erpressungsfälle nach Branchen im Jahr 2022 19 % aller von X-Force behobenen Vorfälle
ausmachte. Das Ausspähen von Anmeldedaten,
Fertigung 30 % bei dem Benutzernamen und Kennwörter
Leistungen für Privat-
entwendet wurden und entsprechende
22 %
und Geschäftskunden Abhilfemaßnahmen erforderlich wurden,
Energie 13 % beliefen sich auf 11 %. Vorfälle, bei denen
X-Force gezielte Informationen identifizieren
Finanzen und
Versicherung
13 % konnte, die nach dem Diebstahl tatsächlich
weitergegeben wurden, waren mit 11 %
Groß- und Einzelhandel 9%
weniger häufig als Datendiebstahl.
Medien und
4% Auswirkungen auf den Markenruf, wie
Telekommunikation
z. B. die Beeinträchtigung der Services, die
Bildung 4%
Unternehmen ihren Kunden anbieten, machten
Transport 4% 9 % der Vorfälle aus. Im Anhang findet sich
eine vollständige Liste der von X-Force
0 5% 10 % 15 % 20 % 25 % 30 % 35 %
erfassten Auswirkungen. Bei den Vorfällen, die
sich auf den Markenruf des Opfers auswirkten,
Abbildung 11: Der prozentuale Anteil der Erpressungsfälle, handelte es sich hauptsächlich um DDoS-
die X-Force im Rahmen von Incident-Response-Einsätzen Attacken (Distributed Denial of Service), die
2022 beobachtet hat. Die Summe der Zahlen ergibt aufgrund häufig auch zur Erpressung der Opfer genutzt
von Rundungen nicht 100 %. Quelle: X-Force
werden, damit diese Geld zahlen, um den
Angriff zu stoppen.
Vorheriges Kapitel Nächstes Kapitel 2106 Die wichtigsten Auswirkungen
Erpressung
Obwohl Erpressung heute meist mit werden, um potenzielle juristische Kosten und
Bemerkenswerte Entwicklungen bei der Online-Erpressung1–9 Ransomware in Verbindung gebracht wird, Rufschädigung eines Angriffs zu erhöhen.
wird bei Erpressungskampagnen eine Vielzahl
an Methoden eingesetzt, um Druck auf die Häufig konzentrieren sich sowohl die
Jahr Ereignis Taktik
Opfer auszuüben. Dazu gehören DDoS- Sicherheitsexperten als auch die Opfer von
Bedrohungen, Datenverschlüsselung und Cyberattacken in erster Linie auf die von den
2013 Cryptolocker – eine der Datenverschlüs-
neuerdings auch Doppel- und Dreifach- Bedrohungsakteuren beobachteten
ersten großen Wellen selung
Erpressungen, bei denen mehrere bereits Auswirkungen auf ein Unternehmen.
von Ransomware
bekannte Elemente kombiniert werden. Es ist jedoch ebenso wichtig, die Absichten
und Fähigkeiten der Bedrohungsakteure
2014 DDoS 4 Bitcoin, Ransom DDoS
Eine weitere Taktik, mit der mindestens eine zu untersuchen und zu beobachten, wie
Armada Collective
Ransomware-Gruppe ab 2022 experimentierte, sich diese im Laufe der Zeit verändern und
bestand darin, die gestohlenen Daten für weiterentwickeln. Mit diesem Ansatz lässt sich
2015 Chimera-Ransomware erhöht Doppelerpressung
nachfolgende Opfer zugänglicher zu machen. besser feststellen, wohin die Weiterentwicklung
die Gefahr, dass gestohlene
Bei dieser Taktik wird es den Opfern aus dieser Fähigkeiten in Zukunft führen könnte.
Daten online weitergegeben
der zweiten Reihe einfach gemacht, ihre Erpressungsmöglichkeiten erweitern
werden
Daten in einem Datenleck zu identifizieren. sich ständig, wobei das primäre Ziel der
Somit soll der Druck auf das Unternehmen Ransomware-Akteure darin liegt, finanzielle
2017–18 BitPaymer und SamSam Big Game Hunting
erhöht werden, welches die Ransomware- Gewinne zu erzielen. Daher geht das X-Force-
Gruppe oder die dazugehörige Gruppe ins Team davon aus, dass die Bedrohungsakteure
2020 Vastaamo-Ransomware Dreifacherpressung
Visier genommen hat. X-Force geht davon ihre Erpressungsmethoden weiterentwickeln
aus, dass Bedrohungsakteure bis 2023 mit und stets neue Wege finden werden, um Opfer
erweiterten oder neuartigen nachgelagerten zu Zahlungen zu zwingen.
Benachrichtigungen der Opfer experimentieren
Vorheriges Kapitel Nächstes Kapitel 2207
Cyber-bezogene Entwicklungen im
Zusammenhang mit dem Krieg Russlands
in der Ukraine Die staatlich geförderten Cyberaktivitäten signifikante Cyberoperationen und damit
Russlands nach der russischen Invasion verbundene Störungen sowohl in der Ukraine
in der Ukraine haben zum Zeitpunkt der als auch in anderen Ländern hingewiesen.
Veröffentlichung dieses Berichts nicht zu X-Force bewertete die wichtigsten
den weit verbreiteten und folgenschweren Bedrohungen, einschließlich der Rückkehr
Angriffen geführt, die westliche von Hacktivismus und Wiper-Malware,
Regierungsstellen ursprünglich befürchtet sowie die wichtigsten Veränderungen in
hatten. Russland hat jedoch eine noch nie der Welt der Cyberkriminellen. Die meisten
dagewesene Anzahl von Wiper-Angriffen gegen dieser Operationen betrafen Einrichtungen
Ziele in der Ukraine eingesetzt, was seine in der Ukraine, in Russland und in den
anhaltenden Investitionen in zerstörerische Nachbarländern, aber einige haben sich
Malware verdeutlicht. Darüber hinaus hat auch auf andere Gebiete ausgeweitet.
die Invasion zu einem Wiederaufleben
hacktivistischer Aktivitäten von Gruppen Alternativ machen sich Sicherheitsexperten
geführt, die mit einer der beiden Seiten auf geschickte Art und Weise die Fortschritte
sympathisieren, sowie zu einer Neuordnung zunutze, die in den letzten Jahren in
der cyberkriminellen Landschaft in Osteuropa. den Bereichen Erkennung, Reaktion und
Informationsaustausch erzielt wurden. Viele
Angesichts der seit 2015 zu beobachtenden der ersten Angriffsversuche durch Wiper
fortgeschrittenen Fähigkeiten Russlands wurden schnell identifiziert, analysiert und
bei der Durchführung von Cyberattacken publik gemacht. Zu diesen Angriffen zählen
auf kritische Infrastrukturen haben die mindestens acht identifizierte Wiper-Angriffe
internationalen Behörden für Cybersicherheit sowie die Entdeckung und Unterbrechung einer
im April 2022 eine Warnung herausgegeben. geplanten russischen Cyberattacke auf das
In der Warnung wurde auf potenziell ukrainische Stromnetz im April 2022.
Vorheriges Kapitel Nächstes Kapitel 2307 Cyber-bezogene Entwicklungen im Zusammenhang
mit dem Krieg Russlands in der Ukraine
Zeitleiste ausgewählter Hacktivismus-Ereignisse 2022
18. Mrz.
NB65 behauptet, die 21. Mai
russische Raumfahrtbehörde 6. Sep.
Im Cyberspace sind die Auswirkungen des Roscosmos sei gehackt
Anonymous
Killnet startet
24. Feb. erklärt Killnet den
aktuellen Krieges vor allem durch selbst Russland marschiert
worden
Cyberkrieg
DDoS-Angriffe
auf japanische
ernannte Hacktivistengruppen zu spüren, die in die Ukraine ein
Netzwerke
sich für die nationalen Interessen der Ukraine 6. Jul.
29. Apr.
oder Russlands stark machen. Während 26. Feb. 31. Mai Killnet startet 22. Nov.
Killnet beginnt mit DDoS-Angriffe
sich seit der russischen Invasion viele Ukrainische
DDoS-Angriffen auf NB65 droht serbischer Killnet nimmt
Regierung kündigt auf lettische
Regierung mit Hacks
Gruppen gebildet haben, die sowohl gegen Schaffung einer
rumänische Netzwerke Netzwerke die britische
Königsfamilie
russische als auch ukrainische Netzwerke IT-Armee an
ins Visier
zur Erreichung politischer Ziele vorgehen,
hebt sich Killnet als eine der produktivsten
pro-russischen Gruppen hervor. Sie hat
FEB. MRZ. APR. MAI JUN. JUL. AUG. SEP. OKT. NOV.
DDoS-Attacken auf öffentliche Einrichtungen,
Ministerien, Flughäfen, Banken und 30. Mai
24. Feb.
Energieunternehmen in den Mitgliedstaaten Anonymous Killnet droht mit 11. Aug.
mehrtägigen
der NATO, in verbündeten Ländern in verkündet Cyberkrieg Killnet setzt
gegen russische Angriffen auf DDoS-Angriffe 5. Okt.
Europa sowie in Japan und den Vereinigten Regierung 17. Mrz. Italien auf das lettische Killnet startet
Staaten durchgeführt. Unternehmen, auf Anonymous behauptet, 20. Jun. Parlament fort DDoS-Angriffe auf
ein mit dem russischen Killnet startet US-amerikanische
die das Zielprofil von Killnet zutrifft, sollten Ölpipeline-Giganten Transneft
11. Mai
DDoS-Angriffe auf Netzwerke
Killnet beginnt
sicherstellen, dass Maßnahmen zur verbundenes Forschungs- und
mit Angriffen auf
litauische Netzwerke
Entwicklungsunternehmen für etwa 10 Tage
DDoS-Abwehr ergriffen werden, z. B. gehackt zu haben italienische Netzwerke
durch die Beauftragung eines
Drittanbieters zur DDoS-Abwehr.
Abbildung 12: Das Bild zeigt die bisher beobachteten Hacktivismus-Ereignisse während des
Konflikts in der Ukraine. Quelle: X-Force-Analyse von Open-Source-Berichten
Vorheriges Kapitel Nächstes Kapitel 2407 Cyber-bezogene Entwicklungen
im Zusammenhang mit dem
Krieg Russlands in der Ukraine
Verwendung von Wipers in
Russlands Krieg in der Ukraine
Russlands Krieg in der Ukraine zeichnet sich Die bemerkenswerten Ausnahmen WannaCry
durch den Einsatz mehrerer Wiper-Familien und NotPetya, die sich wahllos ausbreiteten,
aus, die in rascher Folge und in beispiellosem nachdem sie ihre ersten Opfer getroffen
Ausmaß gegen mehrere Ziele eingesetzt hatten, lassen allerdings befürchten, dass sich
wurden, sowie durch den Einsatz von Malware solche Wiper entweder weiter verbreiten oder
neben kinetischen Militäroperationen. für böswillige Operationen an anderer Stelle
wiederverwendet werden.
Hierzu gehören mindestens neun neue
Wiper: AcidRain, WhisperGate, HermeticWiper, X-Force geht weiterhin davon aus,
IsaacWiper, CaddyWiper, DoubleZero, dass vom russischen Staat gesponserte
AwfulShred, OrcShred und SoloShred. Cyberbedrohungsakteure nach wie vor eine
Diese Wiper-Angriffe wurden vor allem erhebliche Bedrohung für Computernetze
gegen ukrainische Netzwerke in der Zeit und kritische Infrastrukturen auf der
vor der Invasion und in der Anfangsphase ganzen Welt darstellen. Diese Einschätzung
des Krieges, hauptsächlich von Januar basiert auf langjährigen russischen
bis März 2022, eingesetzt. Während es Cyberoperationen, die auf ukrainische,
bereits in der Vergangenheit zum Einsatz europäische, NATO- und US-Netzwerke
von Wipers kam, handelte es sich dabei abzielen, sowie auf Angriffsoperationen,
jedoch meist um eigenständige Kampagnen die von russischen Bedrohungsgruppen
gegen eine begrenzte Anzahl von Zielen. seit 2015 durchgeführt werden.
Vorheriges Kapitel Nächstes Kapitel 2507 Cyber-bezogene Entwicklungen
im Zusammenhang mit dem
Krieg Russlands in der Ukraine
Unruhe bei russischen
cyberkriminellen Gruppen
2022 war ein turbulentes Jahr für Darüber hinaus hat die Gruppe offenbar Die Gruppe veröffentlichte außerdem eine
ITG23 – eines der bekanntesten russischen die Nutzung von zwei ihrer bekanntesten neue Version ihrer Anchor-Malware, einer
Cyberkriminellen-Syndikate, das vor allem Malware-Familien, Trickbot und Bazar, getarnten Backdoor, die sie traditionell
für die Entwicklung des Banking-Trojaners aufgegeben und ihre Conti-Ransomware- gegen bedeutende Ziele einsetzt. Die von
Trickbot und der Ransomware Conti bekannt Operation eingestellt. Verschiedene X-Force entdeckte aktualisierte Version
ist. Anfang 2022 war die Gruppe von einer Berichte deuten darauf hin, dass es zu einer mit dem Namen AnchorMail verfügt
Reihe von Lecks betroffen, nachdem sie erheblichen personellen Umstrukturierung über einen neuartigen E-Mail-basierten
Russlands Krieg öffentlich befürwortet hatte. kommen könnte, bei der sich die Gruppe in Kommunikationsmechanismus für die
Sogenannte ContiLeaks und TrickLeaks mehrere Fraktionen aufspaltet und einige Befehls- und Kontrollfunktion (C2). Der
führten zur Veröffentlichung tausender Mitglieder ganz ausscheiden. C2-Server verwendet die Protokolle Simple Mail
Chatnachrichten und zur Enttarnung Transfer Protocol Secure (SMTPS) und Internet
zahlreicher Gruppenmitglieder. X-Force fand Mit dem Ende der Nutzung von Trickbot und Message Access Protocol Secure (IMAPS). Die
Beweise dafür, dass ITG23 von Mitte April bis Bazar, die im Jahr 2021 für eine beträchtliche Malware kommuniziert mit dem Server, indem
mindestens Mitte Juni 2022 systematische Anzahl von Infektionen verantwortlich sie speziell gestaltete E-Mail-Nachrichten
Angriffe durchführte – eine beispiellose waren, öffnete sich eine Lücke, die schnell sendet und empfängt.
Entwicklung, da die Gruppe zuvor nicht von Malware-Familien wie Emotet, IcedID,
gegen die Ukraine vorgegangen war. Qakbot und Bumblebee gefüllt wurde.
Vor seiner Einstellung verbreitete ITG23
weiterhin Conti-Ransomware und war für
ein Drittel aller Ransomware-Aktionen
verantwortlich, auf die X-Force im ersten
Quartal 2022 reagierte.
Vorheriges Kapitel Nächstes Kapitel 2608
Die Malware-Landschaft
Zunahme der sich über
USB verbreitenden Würmer
Nachdem X-Force Mitte Mai 2022 Die Verbreitung von USB-basierten
Infektionsversuche mit Raspberry Robin in Würmern wird durch Social Engineering
Unternehmen beobachtet hatte, verbreitete ermöglicht und erfordert für eine erfolgreiche
sich der mysteriöse Wurm schnell in Infizierung den physischen Zugriff auf
den Netzwerken der Opfer durch die ein Netzwerk oder einen Endpunkt, sei
gemeinsame Nutzung von USB-Geräten es durch einen berechtigten Benutzer
(Universal Serial Bus). Anfang Juni stieg oder auf andere Weise. X-Force empfiehlt
die Zahl der Infektionen sprunghaft an, sicherzustellen, dass Ihre Sicherheitstools
sodass Raspberry Robin Anfang August bekannte USB-basierte Malware blockieren,
mit 17 % der von X-Force beobachteten Sicherheitsschulungen durchzuführen und
Infektionsversuche seinen Höhepunkt Funktionen zur automatischen Ausführung
erreichte. Dieser Spitzenwert wurde in für alle Wechseldatenträger zu deaktivieren.
der Öl- und Gasindustrie, in der Fertigungs- In besonders sensiblen Umgebungen wie
und der Transportbranche verzeichnet. Die der Betriebstechnologie oder in Bereichen
Infektionsversuchsrate von 17 % in diesen mit Air Gaps ist es am sichersten, die
Branchen ist signifikant, da insgesamt Verwendung von USB-Laufwerken ganz
weniger als 1 % der Kunden von X-Force zu verbieten. Zusätzlich zu den oben
denselben Malware-Stamm feststellen genannten Vorschlägen sollte die Anzahl
konnten. Außerdem beobachtete X-Force der zugelassenen mobilen Geräte in Ihrer
von September bis November 2022 vermehrt Umgebung streng kontrolliert werden.
Aktivitäten von Raspberry Robin.
Vorheriges Kapitel Nächstes Kapitel 2708 Die Malware-Landschaft
Rust im Aufschwung InfoStealer Vidar
Die Programmiersprache Rust wurde 2022 X-Force stellte einen plötzlichen Anstieg von Diese Datenbank kann dann im Dark Web
bei Malware-Entwicklern immer beliebter, Vidar InfoStealer Malware fest, der im Juni oder über die private Messaging-App
da sie plattformübergreifend unterstützt 2022 begann und bis Anfang 2023 anhielt. Telegram verkauft werden. Für Kriminelle
wird und die Erkennungsraten von Vidar wurde erstmals 2018 beobachtet eröffnen sich mit diesen Informationen
Antivirenprogrammen im Vergleich zu und ist ein böswilliger Trojaner, der als Info verschiedenste Betrugsmöglichkeiten, wie
anderen gängigeren Sprachen niedrig sind. Stealer agiert und somit Informationen stiehlt. z. B. die Beantragung von Bankkrediten
Ähnlich wie bei der Programmiersprache Er wird als Malware-as-a-Service (MaaS) oder Kreditkarten, der Onlineeinkauf von
Go ist das Kompilieren komplizierter, was verbreitet. Dieser Trojaner wird in der Regel Waren oder die Geltendmachung von
die Analyse der Malware für das Reverse ausgeführt, wenn Benutzer auf schädliche Krankenversicherungsleistungen.
Engineering zeitaufwändiger machen kann. Spam Links (Malspam) oder -Anhänge klicken.
Mehrere Ransomware-Entwickler haben Mithilfe seiner umfangreichen Funktionen Bedrohungsakteure können kompromittierte
Rust-Versionen ihrer Malware veröffentlicht, kann Vidar eine Vielzahl von Gerätedaten wie Anmeldedaten verwenden, um auf
darunter BlackCat, Hive, Zeon und vor Kurzem Kreditkarteninformationen, Benutzernamen, Unternehmenskonten und Remotedienste
auch RansomExx. Darüber hinaus analysierte Kennwörter und Dateien abrufen und zuzugreifen. Die durchschnittlichen Kosten
X-Force einen in Rust geschriebenen ITG23 Screenshots vom Desktop des Benutzers für die Inanspruchnahme eines Info Stealers
Crypter sowie die CargoBay-Familie aus anfertigen. Vidar kann auch Bitcoin und liegen bei etwa 250 USD pro Monat, wobei
Backdoors und Downloadern. Die wachsende Ethereum Wallets stehlen. es den Benutzern überlassen bleibt, welche
Popularität von Rust verdeutlicht, dass das Malware sie einsetzen. X-Force stellt auf
Ransomware-Ökosystem weiterhin auf Angriffe durch einen Info Stealer sind in der Marktplätzen immer wieder fest, dass dort
Innovationen setzt, um unerkannt zu bleiben. Regel finanziell motiviert. Die gestohlenen durch Info-Stealer-Malware erbeutete
Daten werden analysiert und alle wertvollen Zugriffsberechtigungen für 10 bis 75 USD
Informationen in einer Datenbank gesammelt verkauft werden. Ist der Zugang erst einmal
und organisiert. hergestellt, können Bedrohungsakteure die
Berechtigungen des gehackten Kontos leicht
als Ausgangspunkt für weitere böswillige
Aktivitäten nutzen.
Vorheriges Kapitel Nächstes Kapitel 2808 Die Malware-Landschaft
Entwicklung von Mechanismen
zur Verbreitung von Malware
Immer häufiger wird Malware über schädliche Excel-Dokumente werden schon seit denen Makros aktiviert sind. Fortschrittlichere
Microsoft Office-Dokumente verbreitet, die langer Zeit eingesetzt. Die meisten Gruppen setzen jedoch eine kompliziertere
meist an Phishing-E-Mails angehängt sind. Sicherheitsmechanismen wurden für und komplexere Infektionskette ein. Diese
Malware-Entwickler haben diese Dokumente VBA-Makros in Excel entwickelt. Eine Zeitlang neuesten Taktiken umfassen eine Kombination
mit schädlichen Makros erstellt, die beim eigneten sich Makros von Excel 4.0 perfekt aus HTML-Dateien, in die eine Binärdatei
Öffnen des Dokuments Malware ausführen. Die dafür, unentdeckt zu bleiben. Etwa zur gleichen eingebettet ist, oder eine kennwortgeschützte
Verwendung von Makros zu diesem Zweck hat Zeit begannen einige Bedrohungsakteure komprimierte Datei. Diese Dateien enthalten
sich so weit verbreitet, dass Microsoft Office- damit, Links in E-Mails zu versenden, die auch ein ISO-Image, das eine LNK-Datei, eine
Produkte Sicherheitswarnungen beim Öffnen das Opfer auf eine Dropper Webseite führten, CMD-Datei oder andere Dateitypen enthalten
von Dokumenten, bei denen Makros aktiviert damit sie von dort die schädlichen Dokumente kann, bei denen es unwahrscheinlich ist, dass
sind, ausgeben. Seit Juli 2022 blockiert herunterluden. Auf diese Weise mussten keine sie an einen E-Mail-Empfänger gesendet oder
Microsoft standardmäßig die Ausführung von E-Mail-Anhänge mehr versendet werden. aus dem Internet heruntergeladen werden.
Makros in Dokumenten, die per E-Mail oder Als Microsoft Änderungen vornahm, sodass Andere umfassen die Einschleusung von
aus dem Internet empfangen werden. Administratoren 4.0-Makros deaktivieren Vorlagen per Fernzugriff oder die Ausnutzung
und die Ausführung von aus dem Internet von Schwachstellen. CVE-2021-40444,
Während die Sicherheitsexperten ihre heruntergeladenen Makros blockieren eine Sicherheitslücke bei der Ausführung
Erkennungs- und Präventionsfähigkeiten konnten, waren die Bedrohungsakteure von Code per Fernzugriff in Microsoft HTML
verbesserten, begannen die gezwungen, ihre Taktik erneut zu ändern. (MSHTML), ist ein Beispiel dafür, dass eine
Bedrohungsakteure, von Visual Basic Softwarekomponente zum Rendern von
Application (VBA) auf ein älteres Makroformat Auch nach den von Microsoft vorgenommenen Webseiten für die Ausführung von Malware
in Microsoft Excel umzusteigen, das Änderungen verwenden viele Malware-Autoren in Microsoft Windows verwendet wird, ohne
als 4.0-Makro bekannt ist. Schädliche immer noch Microsoft Office-Dokumente, bei dass Makros zum Einsatz kommen.
Vorheriges Kapitel Nächstes Kapitel 29Sie können auch lesen
