Report: Enthüllung der neuesten Taktiken der Cyberkriminellen
Die genaue Untersuchung realer Angriffe auf Unternehmen hat eine neue Strategie der Cyberkriminellen ans Licht gebracht: Sie manipulieren Telemetrie-Protokolle, um ihre Anwesenheitsdauer zu verbergen und eine schnelle Reaktion der Verteidigung zu erschweren. Dieser Beitrag erklärt die Ergebnisse genauer und bietet Empfehlungen zur Abwehr.
Der neueste Bericht von Sophos, der Active Adversary Report, bietet einen umfassenden Einblick in die aktuelle Bedrohungslandschaft für Unternehmen. Eine besonders auffällige Feststellung dieser Analyse ist, dass in 42 Prozent der untersuchten Angriffe auf Unternehmensnetzwerke die telemetrischen Protokolle fehlten. Noch besorgniserregender ist, dass in 82 Prozent dieser Fälle die Angreifer aktiv Telemetriedaten deaktivierten oder löschten, um ihre kriminellen Aktivitäten zu verschleiern. Diese Praxis, gepaart mit der stetigen Verringerung der Aufenthaltsdauer von Angreifern in kompromittierten Systemen im Vergleich zu früheren Berichten, deutet auf eine zunehmende Raffinesse der Angriffsmethoden hin.
Der Begriff „Active Adversary“ beschreibt hierbei Angriffsstrategien, bei denen Angreifer aktiv in die infiltrierte Systemumgebung eingreifen, im Gegensatz zu rein technischen oder automatisierten Angriffen. Diese aktiven Eingriffe werden durch die Ausnutzung von Schwachstellen in den Telemetrie-Protokollen noch effektiver, indem sie die Sichtbarkeit in Netzwerken und Systemen stark einschränken. Die Problematik wird durch die ständige Verringerung der Verweildauer von Angreifern im System von ihrem ersten Zugriff bis zur Entdeckung verschärft, was wiederum die Reaktionszeit der Verteidigung erheblich verkürzt.
John Shier, Field CTO bei Sophos, hebt die kritische Bedeutung der Reaktionszeit bei der Abwehr von Angriffen hervor. Er betont, dass eine verzögerte Erkennung und Behebung von Angriffen zu erheblichen Schwierigkeiten führen kann. Das Fehlen von Telemetriedaten verlängert diese Reaktionszeit zusätzlich, was für die meisten Organisationen nicht tragbar ist. Eine umfassende und präzise Protokollierung ist daher von entscheidender Bedeutung, allerdings fehlen vielen Organisationen häufig die erforderlichen Daten, um eine angemessene Reaktion zu gewährleisten.
Ransomware-Angriffe, die weniger als fünf Tage im System verweilen, werden als „schnelle Attacken“ betrachtet und machten 38 Prozent der untersuchten Fälle aus. Andererseits hatten „langsame Attacken“, die länger als fünf Tage dauern, einen Anteil von 62 Prozent. Obwohl die „schnellen“ Attacken seltener sind, zeigen sie eine zunehmende Tendenz. Diese Entwicklung resultiert aus verbesserten Erkennungsmethoden in Unternehmen und der wachsenden Erfahrenheit der Cyberkriminellen.
Shier unterstreicht weiterhin, dass die Werkzeuge und Techniken der Angreifer zwischen schnellen und langsamen Angriffen nur minimale Unterschiede aufweisen. „Cyberkriminelle sind faul, sie nehmen nur Veränderungen vor, wenn sie dadurch besser ihr Ziel erreichen. Was läuft, ändern Angreifer nicht, selbst wenn sie dadurch nach der Infiltration schneller entdeckt werden. Das sind gute Nachrichten für Organisationen, da sie ihre Defensivstrategie nicht radikal ändern müssen, nur weil die Angreifer den Turbo einlegen.“ Allerdings müssen Unternehmen berücksichtigen, dass schnelle Angriffe und das Fehlen von Telemetrie die Reaktionszeit behindern und dadurch zu erheblichen Betriebsstörungen führen können.
Dennoch betont Shier, dass der Schlüssel in der Erhöhung der Widerstandsfähigkeit liegt, um den Angreifern das Eindringen zu erschweren und dadurch mehr Zeit für eine effektive Reaktion zu gewinnen.
Der Sophos Active Adversary Report stützt sich auf die Analyse von 232 Incident-Response-Fällen, die zwischen Januar 2022 und Juni 2023 in 25 verschiedenen Branchen weltweit auftraten. Dieser Bericht bietet wertvolle Einblicke, um Defensivstrategien für Sicherheitsexperten und Organisationen zu optimieren.