Bericht über Cyber-Attacken analysiert Sicherheitstrends

Trellix stützt seine Erkenntnisse auf ein weltweites Netzwerk erfahrener Beobachter, die täglich über 80 Mio. sicherheitsrelevante Vorfälle erfassen und analysieren. Um den CyberThreat Report zu erstellen, werden bei Trellix Telemetriedaten von einer Milliarde Sensoren mit Informationen aus offenen und geschlossenen Quellen kombiniert.

„Mehr als ein Jahr nach Beginn des Ukrainekriegs sind Cyber-Attacken zu einer strategischen Waffe geworden, die Staaten gezielt einsetzen, um Gegenspieler auszuspähen und die gesellschaftliche Spaltung voranzutreiben“, erklärt John Fokker, Head of Threat Intelligence, Trellix Advanced Research Center. „Sowohl in führenden Wirtschaftsnationen als auch in Schwellenländern sind bekannte APT-Gruppen eine reale Gefahr für kritische Infrastrukturen wie Telekommunikation, Energieversorgung und Produktion. Öffentliche und private Akteure müssen daher zwingend geeignete Abwehrmaßnahmen ergreifen, um sich gegen die immer raffinierter werdenden Attacken staatlich unterstützter Cyber-Krimineller zu schützen.”

Im aktuellen Bericht des Trellix Advanced Research Centers wird das erste Quartal 2023 analysiert und liefert Informationen über sicherheitsrelevante Vorgänge wie Ransomware, Nation-State-APT-Angriffe, Bedrohungen im E-Mail-Bereich, den Missbrauch von Sicherheits-Tools und mehr. Hier sind die wichtigsten Erkenntnisse auf einen Blick:

• Koordinierte Spionage im Cyber-Raum. APT-Gruppen, die wie Mustang Panda und UNC4191 mit China in Verbindung stehen, waren im ersten Quartal am auffälligsten. 79 % aller festgestellten Angriffe mit staatlichem Hintergrund entfielen auf diese Akteure. Es ist davon auszugehen, dass APT-Gruppen auch künftig Spionage und Disruption im Cyber-Raum mit herkömmlichen militärischen Aktivitäten koppeln werden.
• Bei Ransomware zählt nur das Geld. Im Ransomware-Bereich ist nach wie vor der finanzielle Gewinn entscheidend. Entsprechend häufig werden der Versicherungs- und Finanzsektor ins Visier genommen (20 % bzw. 17 %). Die Opfer von Leak-Sites sind größtenteils US-amerikanische (48 %) Unternehmen mittlerer Größe mit 51 bis 200 Beschäftigten (32 %) und einem Umsatz von 10 bis 50 Mio. USD (38 %).
• Cobalt Strike ist nach wie vor beliebt. Trotz der 2022 erfolgten Versuche, Cobalt Strike weniger attraktiv für die missbräuchliche Nutzung zu machen, erfreut es sich zunehmender Beliebtheit bei Cyber-Kriminellen und Ransomware-Akteuren. So war Cobalt Strike an 35 % der Nation-State-Aktivitäten und an 28 % der Ransomware-Bedrohungen beteiligt – fast doppelt so viel wie im vierten Quartal 2022.
• Ein Gruß aus der Vergangenheit. Viele kritische Schwachstellen entstehen durch die Umgehung von Patches für ältere CVEs, durch Lieferketten-Bugs, die obsolete Libraries nutzen, oder durch Sicherheitslücken, deren Behebung nicht konsequent umgesetzt wurde. Ein Beispiel dafür ist das im Februar 2023 aufgedeckte Apple-Problem, das letztlich auf den Forcedentry-Exploit aus dem Jahr 2021 zurückgeht.
• Unbefugter Zugriff auf die Cloud. Die Infrastruktur von Amazon, Microsoft und Google gerät immer mehr in den Fokus der Cyber-Kriminellen. Obwohl komplexere Angriffsstrategien mittels Mehrfaktorauthentifizierung, der Kompromittierung von Proxy-Servern und API-Ausführung weiterhin eine Rolle spielen, gelangen die meisten Eindringlinge über gültige Accounts in die Systeme. Konkret wird dieser Angriffsvektor doppelt so häufig genutzt wie andere Methoden. Der unbefugte Zugriff auf legitime Benutzerkonten im Zuge der Telearbeit ist und bleibt ein ernstes Problem.

„Security Operations Teams kämpfen Tag für Tag erbittert darum, die immer größer werdenden Angriffsflächen ihrer Unternehmen wirksam zu schützen“, konstatiert Joseph „Yossi“ Tal, SVP, Trellix Advanced Research Center. „Chronisch unterbesetzte Abteilungen müssen dabei Millionen von Datenpunkten in immer komplexeren Netzwerken im Blick behalten. Trellix unterstützt sie bei dieser Herkulesaufgabe, indem es umfassende Erkenntnisse und Analysen bereitstellt, die sich direkt in mehr Sicherheit umsetzen lassen.“

Für den CyberThreat Report werden proprietäre Daten des Trellix-Sensornetzwerks verwendet, zusammen mit Analysen des Trellix Advanced Research Center zu staatlich unterstützten und kriminellen Cyber-Aktivitäten. Zusätzlich fließen Informationen aus offenen und geschlossenen Quellen sowie von Bedrohungsakteuren auf Leak-Sites ein. Als Nachweis für Bedrohungen dienen telemetriebasierte Erkennung und Berichterstattung von Dateien, URLs, IP-Adressen, verdächtigen E-Mails, Netzwerkverhalten oder anderen Indikatoren über die Trellix XDR-Plattform.