Was auf die IT Gerätelandschaft zukommt
Viele Entwickler von Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.
Endpunkthärtung und -absicherung in einer sich verändernden Bedrohungslandschaft
Es ist unmöglich, über die Cyber-Bedrohungslandschaft zu sprechen, ohne auf geopolitische Situationen einzugehen. Das bringt ein großes Maß an Ungewissheit mit sich, welche die aktuellen Ereignisse begleitet. Es ist unklar, wie lange die derzeitigen Umstände andauern werden oder welche dauerhaften Auswirkungen eine komplizierte geopolitische Situation haben kann. Klar ist aber: Es wird neue Gefahren geben. Und: Unternehmen sollten sich darauf vorbereiten.
Viele Entwickler von IT-Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.
Möglicher Anstieg von Ransomware-Angriffen inmitten wirtschaftlicher Instabilität:
Da die EU als primäre Reaktion auf Russlands Einmarsch schwere Sanktionen gegen russische Interessen verhängt haben, könnte die daraus resultierende wirtschaftliche Instabilität zu mehr Ransomware-Angriffen auf Organisationen innerhalb der EU führen. Das FBI hat Russland als „freizügiges Umfeld für Cyberkriminelle“ bezeichnet und davor gewarnt, dass es zu einer „möglichen Zunahme von Cyberbedrohungen“ durch Hacker kommen könnte, die mit Unterstützung Russlands operieren.
Aufkommen neuer zerstörerischer Malware:
In einem kürzlich erschienenen Artikel von Deep Instinct heißt es, dass die russischen Cyberaktivitäten in den Wochen vor der Invasion darauf abzielten, „Chaos zu stiften und die Kommunikation innerhalb der ukrainischen Regierung und der militärischen Institutionen zu stören“. Dazu gehörte auch der Einsatz einer neuen Malware namens HermeticWiper, die Festplatten löscht (zusammen mit weitverbreiteten DDoS-Angriffen und Webdefacements). In den darauffolgenden Wochen sind mindestens zwei neue zerstörerische Malware-Familien aus dem Konflikt hervorgegangen, die von neuartigen Infektionsvektoren und unterstützender Malware begleitet werden, welche die erfolgreiche Auslieferung der zerstörerischen Payloads sicherstellen sollen.
Phishing und andere Betrugsmaschen nutzen den Konflikt aus:
Wie bei allen öffentlichkeitswirksamen Ereignissen in der Welt (einschließlich Cyberangriffen) nutzen Bedrohungsakteure schnell die verfügbaren Informationen und die öffentliche Unsicherheit, um überzeugende Phishing-Köder und Social-Engineering-Kampagnen zu entwickeln. Die Motive solcher Kampagnen variieren zwischen Spionage, Diebstahl von Zugangsdaten und Finanzbetrug.
Potenzieller „Spillover“ von Cyberaktivitäten, die EU-Ziele betreffen:
Die Cybersecurity and Infrastructure Security Agency (CISA) und andere multinationale Cyberagenturen haben wiederholt ihre Besorgnis darüber geäußert, dass sich die in Russland und der Ukraine beobachteten Cyberaktivitäten über die Konfliktzone hinaus ausbreiten und Organisationen in den USA, der EU oder westlichen Gebieten beeinträchtigen könnten.
Die Beteiligung von Hacktivisten erhöht das Risiko:
Hacktivistische Handlungen in geopolitischen Konflikten laufen Gefahr, von beiden Seiten falsch zugeordnet zu werden, als staatlich geförderte, feindliche Aktivitäten interpretiert zu werden und die Spannungen ungewollt zu verschärfen. Hacktivismus (auch wenn er noch so gut gemeint ist) kann die kinetischen Aktivitäten auf dem Schlachtfeld eskalieren lassen und die Risiken im Cyberspace erhöhen – eine Tatsache, die Menschenleben fordern, kritische Infrastrukturen zerstören oder zu Vergeltungsmaßnahmen führen kann, die sich gegen diejenigen Nationen richten, von deren Staatsgebiet die Angriffe ausgehen. Ein aktuelles Beispiel, das dieses Phänomen verdeutlicht, ist das Bekanntwerden von Conti-Daten (einschließlich des Quellcodes). Diese wurden von einem ukrainischen Hacktivisten aus der Ransomware-Gruppe gestohlen – als Reaktion auf Contis öffentliches Versprechen, Russland in dem Konflikt zu unterstützen. Der Code von Ransomware ist schon früher durchgesickert, wie zum Beispiel bei der Babuk-Ransomware, und hat zur Wiederverwendung und Modifizierung der Ransomware durch neue Bedrohungsakteure geführt. Dies ist auch hier ein echtes Risiko.
Auch wenn vieles des bisher gesagten mit den Cyberauswirkungen eines bestimmten geopolitischen Konflikts zusammenhängt, prognostizieren Experten mehrere Gefahren, die sich schon bald auf die Cyberbedrohungslandschaft auswirken werden. Einige davon haben bereits begonnen, sich bemerkbar zu machen. Organisationen sollten sich auf Folgendes einstellen:
- anhaltende Beeinflussungskampagnen und Versuche von staatlich unterstützten Akteuren, sichere Kommunikationskanäle auszuschalten, auf die sich die Öffentlichkeit für eine zuverlässige Kommunikation verlässt
- kritische Infrastrukturen im Visier von Angriffen
- steigende Kraftstoff-/Energiepreise, wirtschaftliche Instabilität und Cyberversicherungen, die weniger abdecken und mehr verlangen
- vermehrte Angriffe auf Open-Source-Bibliotheken und -Pakete sowie andere Technologien, die in Lieferketten enthalten sind
- Ransomware:
– zunehmende Ransomware-Aktivitäten, wobei der Schwerpunkt wieder auf Verbrauchern, KMU und mittelständischen Unternehmen liegt
– zunehmende Konzentration von Cyberkriminellen (mit Ransomware und BEC an der Spitze) auf SaaS- und Cloud-Technologie
– Die Veröffentlichung des Conti-Quellcodes könnte zu neuen Varianten führen, die von neuen Akteuren genutzt werden, wie es bei der Veröffentlichung des Codes der Babuk-Ransomware der Fall war.
– Entstehen neuer, lose verbundener Hackergruppen, wie im Russland/Ukraine-Krieg beobachtet
- das wahrscheinliche „Durchsickern“ von Malware, die in Konflikten eingesetzt wird, in die Hände von Cyberkriminellen, die sie nach eigenem Gutdünken verändern und umfunktionieren können – und umgekehrt
- Zunahme von mehrgleisigen Cyberangriffen, wie zum Beispiel Ransomware-Angriffe in Kombination mit Beeinflussungskampagnen, DDoS, zerstörerische Malware, Operationen unter falscher Flagge etc.
In dieser sich schnell verändernden Landschaft ist das, was IT-Sicherheitsverantwortliche heute tun, entscheidend für die Bereitschaft und Reaktionsfähigkeit im Fall eines Cyberangriffs. Branchenunabhängig sollten alle Unternehmen ihre IT-Infrastruktur so ausstatten, dass das Risiko und die Angriffsfläche reduziert werden.
Warum Endpunkthärtung und -vorbereitung so wichtig sind
Der beste Zeitpunkt, um Asset-Management und Patching-Workflows einzurichten, war gestern. Der zweitbeste Zeitpunkt ist heute. Während sich viele Angreifer derzeit auf Systeme in Ländern konzentrieren, die in einen aktiven militärischen Konflikt verwickelt sind, haben Forscher und Spezialisten für Bedrohungsdaten auf einen wahrscheinlichen Anstieg der Cyberkriminalität hingewiesen, da die Auswirkungen von Sanktionen im Zusammenhang mit diesen Konflikten zu wirtschaftlicher Unsicherheit in verschiedenen Teilen der Welt führen. Unternehmen sollten diese Zeit unbedingt nutzen, um Lücken in der Patch-Verwaltung für Betriebssysteme und Tools von Drittanbietern zu schließen und ihre Richtlinien zu optimieren, um ihre Angriffsfläche zu verringern.
Höchste Priorität haben die Beseitigung von Abdeckungs- und Sichtbarkeitslücken, die Behebung von Patch-Fehlern und die Aktualisierung von Drittanbieter-Software. Die aktuelle Bedrohungslandschaft toleriert keine Endgeräte, die länger als 30 Tage nicht upgedatet wurden. IT-Sicherheitsverantwortliche sollten diese Gelegenheit nutzen, um alle Systeme, einschließlich Server und Workstations, auf den neuesten Stand der Betriebssystem-Patches und der Software von Drittanbietern zu bringen.
In der unmittelbaren Zukunft sollte den folgenden Maßnahmen Vorrang eingeräumt werden:
- Beantragung einer Notfall-Änderungsgenehmigung, um verpasste Patches schnellstmöglich aufzuspielen
- Einsatz einer Patch-Management-Lösung oder Behebung von Patch-Fehlern
- Patches für das Betriebssystem aufspielen
- Aktualisieren der Software von Drittanbietern
- Entfernung von nicht autorisierter, inaktiver oder nicht unterstützter Software
- Anwendung von Richtlinien zur Reduzierung der Angriffsfläche
- Sicherstellen, dass Pläne zur Reaktion auf Vorfälle von den genutzten Tools unterstützt werden
- Warnungen und Anweisungen des BSI beachten und unverzüglich umsetzen
Zac Warren, Senior Director Cybersecurity Advisory EMEA bei Tanium