Im vergangenen Jahr wurden vor allem Identitäten über gestohlene Anmeldedaten, Sitzungs-IDs, API-Schlüssel, digitale Zertifikate und weitere Techniken angegriffen. Solche identitätsbasierten Angriffe waren gemäss dem Cisco Talos Report 2024 für 60 Prozent der Incident Response (IR)-Fälle verantwortlich. Auch Ransomware-Akteure nutzten demnach in fast 70 Prozent der Talos IR-Fälle gültige Konten für den Erstzugriff.
"Die aktuellen Zahlen unterstreichen die Notwendigkeit robuster Massnahmen zum Identitätsschutz", konstatiert Thorsten Rosendahl, Technical Leader bei Cisco Talos in Deutschland. "Ein weiteres wichtiges Thema ist die Ausnutzung älterer – teils Jahrzehnte alter – Schwachstellen, die sich oft in weit verbreiteter Software und Hardware befinden. Einige der am häufigsten angegriffenen Netzwerkschwachstellen betreffen ältere Geräte, für die keine Patches mehr entwickelt werden."
Der 2024 am häufigsten von Ransomware angegriffene Sektor waren gemäss dem Report Hochschulen, die aufgrund von Budgetbeschränkungen, Bürokratie und einer breiten Angriffsfläche oft wenig gut geschützt sind. Danach folgen öffentliche Verwaltung, Produktion und Gesundheitswesen. Die grundlegenden Sicherheitsmassnahmen seien ein zentrales Thema, weil Angreifer oft nach einfach zu nutzenden, da bekannten Schwachstellen suchen. Zudem seien in vielen der von Talos IR beobachteten Ransomware-Fälle Endpunktlösungen ausgenutzt worden, die kein Kennwort für einen Agenten oder Connector erforderten und/oder nicht ordnungsgemäss konfiguriert waren.
Die aktivste Ransomware-as-a-Service (RaaS)-Gruppe war laut der Untersuchung 2024 Lockbit, wenn man den Umfang der Beiträge zu Data Leak Sites als Massstab nimmt. Trotz der versuchten Zerschlagung im März 2024 war Lockbit damit zum dritten Mal in Folge die aktivste Gruppe. Platz zwei belegt die neue Gruppe Ransomhub, die grosse Unternehmen mit hohen Zahlungsaufforderungen angreift.
Der Cisco Talos Year in Review Report zeigt auch die aktuelle Rolle von Künstlicher Intelligenz (KI). Im Jahr 2024 nutzten Angreifer KI demnach eher zur Verbesserung bestehender Taktiken – wie Social Engineering und Aufgabenautomatisierung – statt für die Entwicklung grundlegend neuer Techniken. Anstelle eines Invests in neue KI-Angriffsmethoden, wurde die kostengünstige Verbesserung existierender Methoden genutzt.
Die wichtigsten Ergebnisse laut Cisco Talos:
- Bei den am häufigsten angegriffenen Schwachstellen im Jahr 2024 handelte es sich meist um ältere CVEs, die bereits seit mehreren Jahren bekannt sind.
- Die meisten dieser Schwachstellen befinden sich in weit verbreiteter Software und Hardware wie Apache Log4j und der Skriptsprache Bash, wodurch viele Branchen und Regionen betroffen sind.
- Auf identitätsbasierte Angriffe entfielen laut Report 60 Prozent aller Cisco Talos Incident Response-Fälle.
- 44 Prozent der Identitätsangriffe zielten auf das Active Directory ab.
- 20 Prozent der identitätsbasierten Angriffe betrafen Cloud-Anwendungen, wobei APIs aufgrund ihres Zugangs zu sensiblen Daten ein attraktives Ziel darstellten.
- Ransomware-Akteure nutzten in fast 70 Prozent der Fälle gültige Konten für den Erstzugang.
- Ransomware-Akteure griffen 2024 vor allem das Bildungswesen an, gefolgt von öffentlicher Verwaltung, Produktion und Gesundheitswesen.
- In den meisten der von Talos IR beobachteten Fälle versuchten Angreifer, Sicherheitslösungen der Opfer zu deaktivieren und waren fast immer erfolgreich.
Die fünf wichtigsten Empfehlungen von Cisco Talos zu Sicherheitsmassnahmen:
- Updates und Patches so schnell wie möglich aufspielen
- Robuste Authentifizierungsmethoden wie MFA und komplexe Passwörter durchsetzen
- Best Practices wie strenge Zugangskontrollen, Netzwerksegmentierung und Mitarbeiterschulungen umsetzen
- Sämtlichen Datenverkehr für Monitoring und Konfiguration verschlüsseln
- Alle Massnahmen auch für die Netzwerkinfrastruktur implementieren
