Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Auf der Jagd nach den Übeltätern im Netz

Advertorial

 

Cyberbedrohungen sind für Unternehmen eine stetig größer werdende Gefahr. Neben den neuesten Technologien gegen die immer raffinierteren Angriffe spielt vor allem der Mensch und sein Know-how eine zentrale Rolle bei der erfolgreichen Cyberabwehr.

Die sogenannten Threat Hunter (Bedrohungsjäger) sind ausgebildete Spezialisten, die mit ihrem Expertenwissen unermüdlich nach neuartigen und anormalen Taktiken, Techniken und Verfahren (TTPs) von Angreifern suchen, die von anderen Erkennungstechniken unerkannt bleiben. Das Falcon OverWatch-Team setzt sich aus genau solchen Fachleuten zusammen und sucht als interdisziplinäres Spitzenteam kontinuierlich nach Bedrohungsaktivitäten in Kundenumgebungen. Dabei greift es auf die enorme Leistungsfähigkeit des CrowdStrikeThreat Graph sowie die hauseigenen Threat Intelligence Informationen zurück, um hochentwickelte Bedrohungsaktivitäten zu verfolgen, zu untersuchen und entsprechende Handlungsempfehlungen zu geben.

Noch nie dagewesener Ansturm ausgefeilter Angriffe

Allein im vergangenen Jahr identifizierten die Threat Hunter von OverWatch mehr als 65.000 Angriffsversuche und stoppten damit etwa alle acht Minuten einen potenziellen Angriff. Der diesjährige Threat Hunting Report vom OverWatch-Team enthüllt zudem, dass sich E-Crime-Angreifer dreimal schneller als bisher gezielt Zugang zu kritischen Netzwerken verschaffen. Die durchschnittliche Breakout-Zeit, also die Zeit, die ein Angreifer benötigt, um sich von seinem anfänglichen Angriffspunkt lateral zu anderen Systemen im Netzwerk zu bewegen, ist auf nur eine Stunde und 32 Minuten gesunken. Das entspricht einem Rückgang um den Faktor drei seit 2020. Diese alarmierenden Zahlen zeigen, dass Bedrohungsakteure ihre Taktiken, Techniken und Verfahren (TTPs) ständig anpassen, um ihre Ziele schneller zu erreichen. Schnelle und präzise Abwehrmechanismen werden also wichtiger denn je.

So aktiv wie nie zuvor: E-Crime-Akteure

E-Crime-Gruppen, also finanziell motivierte Akteure, dominieren den Cyberspace. 75 Prozent aller von OverWatch beobachteten Angriffsaktivitäten gehen auf ihr Konto. Die Experten verfolgten und überwachten im vergangenen Jahr 13 aktive E-Crime-Gruppierungen. Die aktivste Gruppe von ihnen war WIZARD SPIDER. Sie war an fast doppelt so vielen Hackerangriffen beteiligt wie jede andere E-Crime-Gruppe. WIZARD SPIDER steckt unter anderem hinter gezielten Operationen mit Ryuk und neuerdings auch hinter Angriffen mit der Conti-Ransomware.

Ein weiter anhaltender Trend aus dem E-Crime- und Ransomware-Kosmos ist die doppelte Erpressung. Die Akteure nutzen nicht mehr nur die Datenverschlüsselung als Druckmittel für ihr gefordertes Lösegeld, sondern drohen ihren Opfern vermehrt mit Datenleaks, um zuvor gestellte Lösegeldforderungen durchzusetzen. Diese relativ neue Technik beobachten die Experten immer häufiger im E-Crime-Ökosystem, und sie scheint unter den Ransomware-Betreibern zunehmend beliebter zu werden, um die geforderten Summen auch wirklich zu erhalten. Viele Akteursgruppen haben sogar spezielle Data Leak Sites (DLS) eingerichtet, um die gestohlenen Daten der Opfer öffentlichkeitswirksam zu enthüllen. INDRIK SPIDER ist nur einer der Akteure, der sich diese Vorgehensweise zu Nutze macht.

China, Nordkorea und Iran sind die aktivsten staatlichen Akteure

Auch staatlich geförderte Cyberaktivitäten, sogenannte „targeted intrusions“, beobachten die OverWatch-Experten regelmäßig. 24 Prozent aller verzeichneten Angriffe können eindeutig nationalstaatlich motivierten Akteuren zugeordnet werden. Die Bandbreite reicht von Cyberspionage über staatlich geförderte Zerstörungsangriffe bis hin zu Devisenbeschaffung zur Unterstützung eines Regimes. Der aktuelle Bericht zeigt zudem, dass die meisten gezielten Angriffe von Gruppen aus China, Nordkorea und dem Iran verübt wurden.

Insgesamt beobachteten die Threat Hunter im vergangenen Jahr 60 Prozent mehr Angriffsversuche als im Vorjahreszeitraum. Die stetig steigende Zahl der Cyberaktivitäten macht deutlich, wie wichtig die umfassende und proaktive Bedrohungsjagd für Unternehmen ist. Insbesondere, wenn man sich vor Augen führt, dass die OverWatch-Experten auch eine Reihe von Angriffsversuchen beobachteten, die keiner der von CrowdStrike Intelligence verfolgten gegnerischen Gruppen zugeordnet werden konnten. Das unterstreicht, wie vielfältig die Bedrohungslandschaft heutzutage ist, und dass es unerlässlich ist, so viel wie nur möglich über die eigene individuelle Bedrohungslandschaft zu erfahren, um Angreifer letztendlich zu stoppen.

Weitere Informationen zu dem Bericht finden Sie im Blog des OverWatch-Teams.

 

Jo-rg-Schauff_Threat-Intelligence-Advisor-bei-CrowdStrike

Autor: Jörg Schauff, Threat Intelligence Advisor bei CrowdStrike

 

 CS_Logos_2020_FullRedUgxnFp3xeoAgA

 

 

Teaserfoto: © Adobe Stock/pinkeyes