WIEN. Das Cisco Talos Incident Response (CTIR) Team, das von der weltweit größten kommerziellen Threat-Intelligence-Organisation unterstützt wird, hat seinen vierteljährlichen Threat-Assessment-Report veröffentlicht und berichtet von einem Wechsel an der Spitze der Cyber-Bedrohungen.
Mit 20% aller Angriffe nehmen Commodity-Trojaner seit Neuestem die Spitzenposition bei den Bedrohungen ein. Im Vergleich zu den vorangegangenen Quartalen machte Ransomware einen geringeren Prozentsatz aus und liegt bei 15%, während es im letzten Quartal noch 25% waren. Mögliche Gründe könnten die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung sein, heißt es beim CTIR.
Unter dem Begriff Commodity Malware versteht man Schadsoftware, die in großem Umfang zum Kauf oder zum kostenlosen Download angeboten wird. Sie ist zudem nicht auf einzelne Opfer angepasst und wird von einer Vielzahl unterschiedlicher Angreifer verwendet. Beispiele aus dem
2. Quartal seien unter anderem Remcos RAT, Vidar Information Stealer, Redline Stealer und der Qakbot Banking-Trojaner. Nach Commodity-Malware und Ransomware gehörten Phishing, Business-E-Mail-Compromise (BEC) und Insider-Threats zu den Bedrohungen, die Talos häufig beobachtete.
Die am häufigsten angegriffene Branche war wie bereits im letzten Quartal die Telekommunikation, dicht gefolgt von Organisationen im Bildungs- und Gesundheitswesen.
Bedrohungstrends
Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hatten es auf Organisationen abgesehen, die allenfalls hohe Lösegelder bezahlen. Conti gab im Mai 2022 die Einstellung des Betriebs bekannt. Die Auswirkungen auf die Ransomware-Szene sind aber noch nicht abschätzbar. Eine neue RaaS-Variante namens „Black Basta“ ist eine mutmaßliche Umbenennung von Conti und dürfte in den kommenden Quartalen eine ernstzunehmende Bedrohung darstellen. LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet.
Wie schon im ersten Quartal konnten viele E-Mail-basierte Bedrohungen beobachtet werden, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzerinnen und Benutzer zum Klicken auf einen Link oder zum Öffnen einer Datei aufzufordern.
Schutz ist möglich
„Eine der größten Gefahren für die IT-Sicherheit ist das Fehlen einer Multi-Faktor-Authentifizierung (MFA)“, sagt Markus Sageder, Cybersecurity-Experte bei Cisco Österreich. „Ausgehend von den jüngsten Angriffen, empfehlen wir daher allen Organisationen, eine MFA für alle Dienste zu implementieren und auch sicherzustellen, dass alle Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien auch wirklich einhalten.“
Bei einer MFA wird die Zugangsberechtigung durch mehrere, unabhängige Merkmale (Faktoren) überprüft. Verbreitet sind zurzeit folgende:
• „Knowledge“ bzw. „Wissen“; etwas, das der Nutzer weiß, wie Passwörter oder andere Sicherheitsfragen.
• „Ownership“ bzw. „Besitz“; etwas, das nur der Nutzer besitzt, physisch etwa sein Mobiltelefon oder SmartCards, digital einen kryptographischen Schlüssel
• „Inherence“ bzw. „Inhärenz“; etwas, das der Nutzer ist. Dazu zählen insbesondere biometrische Authentisierungsmethoden wie der Fingerabdruck, Gesichtserkennung, Sprecherauthentifizierung oder Iris-Erkennung.
• „Location“ bzw. „Ort“; beispielsweise dürfen Benutzer nur dann auf eine Anwendung zugreifen, wenn sie sich in ihrem Unternehmensnetzwerk oder in einem bestimmten Land befinden.
• „Time“ bzw. „Zeit“ bezieht sich auf alle Einschränkungen, die hinzugefügt werden können, um die Authentifizierung innerhalb eines bestimmten Zeitraums zu gewährleisten. Zeitabhängige Faktoren sorgen für Sicherheit, wenn Benutzer in bestimmten Zeiträumen – z.B. außerhalb ihrer Dienstzeiten – keinen Grund zur Anmeldung haben.
Zeit- und ortsbezogene Faktoren werden gerne kombiniert, um restriktivere Bedingungen zu schaffen, etwa vor diesem Hintergrund: Drei Versuche, sich innerhalb eines zehnminütigen Zeitfensters bei Frau Mustermanns Benutzerkonto in z.B. Wien anzumelden, wären noch nicht verdächtig – Leute geben Anmeldeinformationen oft falsch ein. Es wäre jedoch sehr verdächtig, wenn diese Versuche innerhalb desselben Zeitraums aus etwa New York, Chicago und Los Angeles stammen würden. Dann sollte unverzüglich gehandelt werden. (hk)
