Cyberkriminalität: Im Grunde geht es immer um Geld

Von John Shier

Ein Trend ist die Übernahme anfälliger signierter Treiber und die Anwendung von Taktiken staatlicher Gruppen. Es ist üblich, dass Cyberkriminelle bewährte Angriffstools und -techniken verwenden und dies solange fortsetzen, bis sie nicht mehr wirksam sind.

Einige passen ihre Tools und Techniken an, um neue Ziele anzusteuern oder Schwachstellen auf neue Weise auszunutzen. Mit der fortschreitenden Technologieentwicklung entstehen jedoch auch neue Angriffsmethoden, und Angreifer suchen kontinuierlich nach neuen Möglichkeiten, Sicherheitsmaßnahmen zu umgehen.

Obwohl bessere Schutzmechanismen verfügbar sind, beobachten wir, dass Cyberkriminelle gefährdete signierte Treiber übernehmen, um Endpoint Detection and Response (EDR)-Tools zu umgehen. Darüber hinaus imitieren einige Cyberkriminelle die Tools und Taktiken staatlicher Gruppen und integrieren sie in ihre eigenen Angriffspläne.

Unabhängig von der verwendeten Methode ist das Ziel der Cyberkriminellen immer finanzieller Natur. Der bevorzugte Angriff variiert je nach den Motiven, Fähigkeiten und Möglichkeiten der Kriminellen, ihre Angriffe zu monetarisieren. Initial Access Brokers (IABs) zum Beispiel konzentrieren sich darauf, in die Netzwerke von Unternehmen einzudringen und diesen Zugang an andere Cyberkriminelle zu verkaufen.

Ransomware-Banden haben sich darauf spezialisiert, hochwertige Ziele wie Server zu verschlüsseln und in einigen Fällen auch Daten zu stehlen. Andere Cyberkriminelle sind Experten in der Ausnutzung von Sicherheitslücken. Unabhängig von der bevorzugten Methode bleibt das Endziel immer klar: Geld.

Ransomware bleibt Top-Bedrohung

Die am häufigsten wiederholten Angriffe sind diejenigen, die den größten Erfolg versprechen. Bislang umfassen diese Angriffe die Ausnutzung von Schwachstellen und Phishing. Diese beiden Methoden führen zu den meisten Netzwerkverletzungen und oft zur bekanntesten Bedrohung: Ransomware.

Ransomware bleibt nach wie vor die weit verbreitetste Bedrohung für Unternehmen. Täglich werden viele große und kleine Unternehmen in verschiedenen Branchen Opfer von Ransomware-Angriffen. Im März wurden beispielsweise allein 459 Ransomware-Angriffe gemeldet. Fast ein Drittel dieser Angriffe wurde durch eine Zero-Day-Schwachstelle im GoAnywhere MFT-Tool für sichere Dateiübertragungen verursacht. Diese Schwachstelle wurde angeblich von der Cl0p-Ransomware-Bande ausgenutzt, um innerhalb von nur 10 Tagen Daten von vermeintlich 130 Opfern zu stehlen.

Derzeit wird eine weitere Zero-Day-Schwachstelle in einem ähnlichen Softwareprodukt, MOVEit Transfer, aktiv von Cyberkriminellen ausgenutzt, wobei viele bekannte Unternehmen betroffen sind. Es ist wichtig zu beachten, dass Ransomware immer die letzte Stufe eines erfolgreichen Angriffs darstellt, der auch Informationsdiebstahl, Downloader-Trojaner, Cryptominer und viele andere Bedrohungen umfasst.

Es ist zu erwarten, dass die Lieferkette in den kommenden Monaten vermehrt angegriffen wird. Angriffe auf die Lieferkette nehmen zu. Für Cyberkriminelle sind Kompromittierungen der Lieferkette äußerst attraktiv, da sie ihnen Zugang zu mehreren Zielen auf einmal verschaffen können. Solange die Täter dadurch Geld erbeuten können, werden diese Angriffe effektiv sein und weitergehen. Unternehmen sollten daher nicht nur sicherstellen, dass sie gegen direkte Angriffe geschützt sind, sondern auch in der Lage sein, Angriffe von vertrauenswürdigen Partnern abzuwehren.

Es ist von entscheidender Bedeutung, dass Einzelpersonen, Organisationen und Regierungen angesichts der ständig wachsenden Angriffsfläche wachsam bleiben, robuste Sicherheitspraktiken implementieren und in Bedrohungsdaten, proaktive Überwachung und Reaktionsfähigkeiten investieren. Regelmäßige Sicherheitsbewertungen, Patch-Management, Mitarbeiterschulungen und Partnerschaften mit Cybersecurity-Experten sind entscheidend, um den neuen Bedrohungen in der sich ständig verändernden Cyberwelt einen Schritt voraus zu sein.

John Shier ist Field CTO Commercial bei Sophos.