In der sich ständig weiterentwickelnden Cyber-Bedrohungslandschaft ist beim Einsatz von Ransomware ein besorgniserregender Anstieg zu verzeichnen. Laut den neuesten Ergebnissen des jährlichen State of the Threat Reports von Secureworks zum aktuellen Stand der Bedrohungen wird Ransomware in mehr als der Hälfte aller Fälle innerhalb eines Tages nach dem ersten Zugriff eingesetzt.
Der rasche Rückgang der Verweildauer
Eine besonders interessante Erkenntnis des Berichts ist der drastische Rückgang der durchschnittlichen Verweildauer, die innerhalb von 12 Monaten von 4,5 Tagen auf weniger als einen Tag gesunken ist. In 10 Prozent der Fälle wurde die Ransomsoftware sogar innerhalb von nur fünf Stunden nach dem ersten Zugriff aktiviert. Diese Beschleunigung ist auf die Bemühungen der Cyberkriminellen zurückzuführen, das Risiko der Entdeckung zu minimieren.
Don Smith, VP Threat Intelligence bei Secureworks CTU, stellt in einer Pressemitteilung fest, dass dieser Trend eine Verlagerung hin zu einfacheren und schnelleren Operationen widerspiegelt. Da die Cybersicherheitsbranche immer besser in der Lage ist, Vorläufer von Ransomware zu erkennen, entscheiden sich Bedrohungsakteure für schnellere und weniger komplexe Angriffe, um ihre Erfolgschancen zu erhöhen.
Top Ransomware-Gruppen
Während bekannte Bedrohungsgruppen wie GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV) und GOLD TAHOE (Cl0p) weiterhin die Ransomware-Landschaft dominieren, hebt der Bericht das Auftauchen neuer und hochaktiver Bedrohungsgruppen hervor. MalasLocker, 8BASE und Akira sind alle auf den Plan getreten und haben zu einem erheblichen Anstieg der Zahl der Opfer und Datenlecks beigetragen.
Vor allem LockBit ist nach wie vor die aktivste Gruppe, mit fast dreimal so vielen Opfern wie die nächste Gruppe, BlackCat. Der Bericht hebt hervor, dass in den letzten vier Monaten die höchste Opferzahl seit der Einführung von "Name-and-Shame"-Angriffen im Jahr 2019 verzeichnet wurde.
Erste Zugriffsvektoren und Schwachstellen
Der Bericht identifiziert drei primäre Erstzugriffsvektoren (IAV), die bei Ransomware-Angriffen beobachtet wurden: Scannen und Ausnutzen (32 Prozent) gestohlene Anmeldeinformationen (32 Prozent) und handelsübliche Malware über Phishing-E-Mails (14 Prozent). Bei Scan-and-Exploit werden anfällige Systeme identifiziert und versucht, sie mit speziellen Exploits zu kompromittieren.
Trotz des Hypes um KI-unterstützte Angriffe unterstreicht der Bericht, dass ungepatchte Infrastrukturen weiterhin ein wichtiger Faktor für erfolgreiche Angriffe bleiben. Cyberkriminelle nutzen weiterhin bekannte Schwachstellen aus dem Jahr 2022 und früher aus, die im Berichtszeitraum mehr als die Hälfte der am häufigsten ausgenutzten Schwachstellen ausmachten.
Staatlich unterstützte Bedrohungsgruppen
Der State of the Threat Report befasst sich mit den Aktivitäten von staatlich unterstützten Bedrohungsgruppen aus China, Russland, Iran und Nordkorea. Die Verfolgung geopolitischer Ziele scheint nach wie vor die treibende Kraft hinter ihren Aktionen zu sein:
- China: Verlagerung des Schwerpunkts nach Osteuropa mit zunehmender Konzentration auf verdeckten Cyberspionage-Angriffen.
- Iran: Zielt auf Aktivitäten von Dissidenten, behindert Fortschritte bei den Abraham-Abkommen und setzt Personas in verschiedenen Bedrohungsgruppen ein.
- Russland: Intensivierung der Cyberspionage und Störung, wobei patriotisch gesinnte Gruppen auf politische Gegner abzielen. Nutzt Telegram zur Rekrutierung und Kommunikation.
- Nordkorea: Betreibt Cyberspionage und generiert Einnahmen, wobei AppleJeus (Malware-Familie) ein wichtiges Instrument ist. Nordkoreanische Bedrohungsgruppen haben zwischen Mai 2017 und Mai 2023 2,3 Milliarden US-Dollar gestohlen.
Der State of the Threat Report 2023 unterstreicht, wie wichtig eine funktionierende Cybersicherheit für Unternehmen ist. Da Ransomware-Angriffe immer schneller und dynamischer werden, ist ein proaktiver und anpassungsfähiger Ansatz erforderlich, um den sich entwickelnden Bedrohungen einen Schritt voraus zu sein. Schulungen zum Sicherheitsbewusstsein können sicherstellen, dass die Benutzer über die neuesten Ransomware-Bedrohungen auf dem Laufenden sind und wachsam sind, wenn es darum geht, verdächtige Aktivitäten zu erkennen und zu melden.
KnowBe4 ermöglicht es, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen. Mehr als 65.000 Organisationen weltweit vertrauen auf die KnowBe4-Plattform, um ihre Sicherheitskultur zu stärken und menschliche Risiken zu reduzieren.
Demo anfragen: Security Awareness Training
New-school Security Awareness Training ist entscheidend, damit Sie und Ihr IT-Personal mit den Benutzern in Kontakt treten und ihnen helfen können, jederzeit die richtigen Sicherheitsentscheidungen zu treffen. Dies ist keine einmalige Angelegenheit. Kontinuierliche Schulungen und simuliertes Phishing sind notwendig, um die Mitarbeiter:innen als Ihre letzte Verteidigungslinie zu mobilisieren. Fordern Sie Ihre persönliche Demo der KnowBe4-Plattform für Sicherheitsschulungen und simuliertes Phishing an und sehen Sie, wie einfach es sein kann!
Demo anfragen
PS: Sie mögen es nicht, auf weitergeleitete Links zu klicken? Kopieren und fügen Sie den folgenden Link einfach in Ihren Browser ein:
https://www.knowbe4.com/kmsat-security-awareness-training-demo