Verweildauer von Ransomware erreicht historischen Tiefststand von 24 Stunden
Der Analyse des jährlichen „State of The Threat Report" von Secureworks zufolge ist die durchschnittliche Verweildauer von Ransomware innerhalb eines Jahres von 4,5 Tagen auf weniger als 24 Stunden gesunken
ATLANTA, 5. Oktober 2023 /PRNewswire/ -- In mehr als 50 % der Fälle wird Ransomware innerhalb eines Tages nach dem ersten Zugriff eingesetzt – dies ist das Ergebnis einer Untersuchung der Counter Threat Unit™ (CTU™) von Secureworks® (NASDAQ: SCWX). In nur 12 Monaten ist die durchschnittliche Verweildauer, die im jährlichen Secureworks State of the Threat Report ermittelt wurde, von 4,5 Tagen auf weniger als einen Tag gesunken. In 10 % der Fälle wurde die Ransomware sogar innerhalb von fünf Stunden nach dem ersten Zugriff eingesetzt.
„Der Grund für die Verkürzung der durchschnittlichen Verweildauer ist offenbar das Bestreben der Cyberkriminellen, die Wahrscheinlichkeit einer Entdeckung so gering wie möglich zu halten. Die Cybersicherheitsbranche hat ihre Fähigkeiten verbessert, Aktivitäten zu erkennen, die eine Vorstufe zur Ransomware darstellen. Infolgedessen konzentrieren sich die Bedrohungsakteure auf einfachere und schneller umzusetzende Operationen und vermeiden große, unternehmensweite Verschlüsselungsangriffe, die erheblich komplexer sind. Das Risiko solcher Angriffe ist jedoch weiterhin hoch", berichtet Don Smith, Vice President Threat Intelligence, Secureworks Counter Threat Unit.
„Wir stoßen zwar immer noch auf bekannte Namen unter den aktivsten Bedrohungsakteuren, doch das Auftauchen mehrerer neuer und sehr aktiver Bedrohungsgruppen führt zu einem signifikanten Anstieg der Opfer und Datenlecks. Trotz hochkarätiger Festnahmen und Sanktionen sind Cyberkriminelle Meister der Anpassung, und so nimmt die Bedrohung weiter an Fahrt auf", so Smith weiter.
Der jährliche State of the Threat Report untersucht die Cybersicherheits-Landschaft von Juni 2022 bis Juli 2023. Zu den wichtigsten Ergebnissen gehören:
- Während einige bekannte Namen wie GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV) und GOLD TAHOE (Cl0p) noch immer die Ransomware-Landschaft dominieren, tauchen neue Gruppen auf, die auf „Name-and-Shame"-Leak-Seiten eine beträchtliche Anzahl von Opfern verzeichnen. Die letzten vier Monate dieses Berichtszeitraums waren die bisher „produktivsten" – wenn man die Zahl der Opfer seit Beginn der Name-and-Shame-Angriffe im Jahr 2019 zugrunde legt.
- Die drei größten initialen Zugriffsvektoren (IAV) bei Ransomware-Angriffen, bei denen Kunden die Notfallhelfer von Secureworks beauftragten, waren Scan-and-Exploit, gestohlene Anmeldedaten und Standard-Malware über Phishing-E-Mails.
- Die Ausnutzung bekannter Schwachstellen aus dem Jahr 2022 und davor setzte sich fort und machte im Berichtszeitraum mehr als die Hälfte der am häufigsten ausgenutzten Schwachstellen aus.
Die aktivsten Ransomware-Gruppen
Im Jahr 2023 dominierten dieselben Bedrohungsgruppen wie im Jahr 2022. LockBit von GOLD MYSTIC bleibt Spitzenreiter mit fast dreimal so vielen Opfern wie BlackCat von GOLDBLAZER, Platz zwei unter den aktivsten Gruppen.
Es sind auch neue Programme aufgetaucht, die zahlreiche Opfer verzeichnen. MalasLocker, 8BASE und Akira (auf Platz 14) sind Newcomer, die ab dem zweiten Quartal 2023 in Erscheinung traten. Auf ihrer Leak-Seite listete 8BASE im Juni 2023 fast 40 Opfer auf, nur einige weniger als LockBit. Der Analyse zufolge datieren einige der Opfer bis Mitte 2022 zurück, obwohl der Angriff zur selben Zeit erfolgte. Für den Angriff von MalasLocker auf Zimbra-Server von Ende April 2023 wurden im Mai 171 Opfer auf der Leak-Seite erfasst. Der Bericht untersucht, was die Aktivitäten auf den Leak-Seiten tatsächlich über die Erfolgsquoten von Ransomware-Angriffen verraten – es ist nicht so einfach, wie es scheint.
Zwischen April und Juli 2023 erreichten die monatlichen Opferzahlen dem Bericht zufolge einen Höhepunkt seit dem Aufkommen von Name-and-Shame im Jahr 2019. Dabei wurde die höchste monatliche Opferzahl im Mai 2023 mit 600 Opfern beziffert – dreimal so viele wie im Mai 2022.
Die wichtigsten initialen Zugriffsvektoren für Ransomware
Die drei größten initialen Zugriffsvektoren (IAV) bei Ransomware-Angriffen, bei denen Kunden Secureworks-Notfallhelfer beauftragten, waren Scan-and-Exploit (32 %), gestohlene Anmeldedaten (32 %) und Standard-Malware über Phishing-E-Mails (14 %).
Bei Scan-and-Exploit-Verfahren werden anfällige Systeme identifiziert, möglicherweise über eine Suchmaschine wie Shodan oder einen Schwachstellen-Scanner, und dann versucht, diese durch einen bestimmten Exploit zu kompromittieren. Von den 12 am häufigsten ausgenutzten Schwachstellen haben 58 % ein CVE-Datum vor 2022. Eine Schwachstelle (CVE-2018-13379) schaffte es auch in die Liste der am 15 häufigsten ausgenutzten Schwachstellen in den Jahren 2021 und 2020.
„Trotz des Hypes um ChatGPT und KI-Angriffe waren die beiden bisher bekanntesten Angriffe des Jahres 2023 das Ergebnis einer ungepatchten Infrastruktur. Letztendlich profitierten Cyberkriminelle von bewährten Angriffsmethoden. Daher müssen sich Unternehmen auf den Schutz durch Cyberhygiene konzentrieren und sollten sich nicht von einem Hype blenden lassen", fuhr Smith fort.
Die Welt der staatlichen Angreifer
Der Bericht untersucht auch die signifikanten Aktivitäten und Trends im Verhalten von staatlich gesponserten Bedrohungsgruppen, die zu China, Russland, Iran und Nordkorea gehören. Die Geopolitik ist nach wie vor die wichtigste Triebfeder für staatlich gesponserte Bedrohungsgruppen in allen Bereichen.
China:
China hat einen Teil seiner Aufmerksamkeit nach Osteuropa verlagert, konzentriert sich aber weiterhin auch auf Taiwan und andere nahe gelegene Nachbarländer. Bei Cyberspionage-Angriffen setzt China zunehmend auf verdeckte Methoden – eine Abkehr von seinem früheren Ruf als „Smash-and-Grab"-Angreifer. Der Einsatz kommerzieller Tools wie Cobalt Strike sowie chinesischer Open-Source-Tools minimiert das Risiko der Zuordnung und vermischt sich mit Aktivitäten von Ransomware-Gruppen nach dem Eindringen.
Iran:
Der Iran konzentriert sich nach wie vor auf die Aktivitäten von Dissidenten, auf die Verhinderung von Fortschritten bei den Abraham Accords und auf die Absichten des Westens im Hinblick auf eine Neuverhandlung der Nuklearvereinbarungen. Irans wichtigste Nachrichtendienste – das Ministerium für Geheimdienste und Sicherheit (MOIS oder VAJA) und das Korps der Islamischen Revolutionsgarde (IRGC) – nutzen beide ein Netz von Auftragnehmern zur Unterstützung offensiver Cyberstrategien. Die Verwendung von Personas (Verkörperung echter Personen oder fingierter Personen) ist eine zentrale Taktik der iranischen Bedrohungsgruppen.
Russland:
Der Krieg in der Ukraine stand weiterhin im Mittelpunkt der russischen Aktivitäten. Diese lassen sich in zwei Lager einteilen: Cyberspionage und Störungen. In diesem Jahr hat die Zahl der patriotisch gesinnten Cyber-Gruppen zugenommen, die es auf Organisationen abgesehen haben, die als Gegner Russlands wahrgenommen werden. Für die Banden ist Telegramm die bevorzugte Social-Media-Nachrichtenplattform zur Rekrutierung, Zielauswahl und Verherrlichung von Erfolgen. Die böswillige Nutzung vertrauenswürdiger Cloud-Dienste von Drittanbietern ist eine gängige Komponente der Operationen russischer Bedrohungsgruppen.
Nordkorea:
Nordkoreanische Bedrohungsgruppen lassen sich zwei Kategorien zuordnen: Cyberspionage und Umsatzgenerierung für das isolierte Regime. AppleJeus ist ein grundlegendes Werkzeug für Nordkoreas Finanzdiebstahl-Initiativen. Laut Elliptic haben nordkoreanische Bedrohungsgruppen zwischen Mai 2017 und Mai 2023 Krypto-Vermögenswerte in Höhe von 2,3 Milliarden US-Dollar entwendet (30 % davon aus Japan).
State of the Threat Report 2023
Der aktuelle „State of the Threat Report" ist der siebte Jahresbericht von Secureworks, der eine prägnante Analyse der Entwicklung der globalen Cybersicherheitsbedrohungslandschaft in den letzten 12 Monaten präsentiert. Die Informationen in diesem Bericht basieren auf den Beobachtungen der Secureworks Counter Threat Unit (CTU) aus erster Hand zu den Tools und Verhaltensweisen von Bedrohungsakteuren und beziehen sich auf reale Vorfälle. Unsere jährliche Bedrohungsanalyse gewährt tiefe Einblicke in die Bedrohungen, die unser Team an der vordersten Front der Cybersicherheit beobachtet hat.
Den vollständigen Secureworks State of the Threat Report können Sie hier einsehen: https://www.secureworks.com/resources/rp-state-of-the-threat-2023
Informationen zu Secureworks
Secureworks (NASDAQ: SCWX) ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, das mit Secureworks® Taegis™ – einer SaaS-basierten, offenen XDR-Plattform, die auf mehr als 20 Jahren realer Bedrohungsdaten und -forschung aufbaut – den Fortschritt der Menschheit sichert und die Fähigkeit der Kunden verbessert, anspruchsvolle Bedrohungen zu erkennen, Untersuchungen zu rationalisieren, die Zusammenarbeit zu stärken und effektive Maßnahmen zu automatisieren. Bleiben Sie mit Secureworks über Twitter, LinkedIn und Facebook in Verbindung und lesen Sie den Secureworks-Blog
Logo – https://mma.prnewswire.com/media/1558509/Secureworks_V1_Logo.jpg
Artikel teilen