Symbolbild: Pixabay/Mohamed Hassan

Der Anteil von Ransomware-Attacken an den registrierten IT-Sicherheitsvorfällen ist im Jahr 2022 weltweit nur geringfügig (um vier Prozentpunkte) zurückgegangen. IT-Sicherheitsexperten waren jedoch erfolgreicher darin, Angriffe durch Ransomware zu erkennen und zu verhindern. Trotzdem waren Angreifer weiterhin innovativ, wie aus dem soeben veröffentlichten neuen jährlichen "X-Force Threat Intelligence Index" von IBM Security hervorgeht. Der Bericht zeigt, dass die durchschnittliche Zeit bis zum Abschluss eines Ransomware-Angriffs von zwei Monaten auf weniger als vier Tage gesunken ist.

Laut dem aktuellen Bericht 2023 haben sich Backdoors, die Fernzugriff auf Systeme ermöglichen, im letzten Jahr zur bevorzugten Angriffsmethode der Cyberkriminellen entwickelt. Ungefähr 67 Prozent dieser Backdoor-Fälle bezogen sich demnach auf Versuche Ransomware zu installieren, bei denen Sicherheitsteams in der Lage waren, die Backdoor rechtzeitig zu erkennen, bevor die Ransomware installiert wurde. Der Anstieg der Backdoor-Nutzung könne teilweise auf ihren hohen Marktwert zurückgeführt werden. X-Force beobachtete, dass die kriminellen Akteure bestehende Backdoor-Zugänge für bis zu 10.000 US-Dollar verkaufen können. Gestohlene Kreditkartendaten werden im Vergleich dazu heute für weniger als 10 US-Dollarpro Karte verkauft.

Das Ausnutzen von Backdoors war auch in Deutschland eine der drei häufigsten Angriffsmethoden. Die beiden anderen waren die Kompromittierung von geschäftlichen E-Mails (Business E-Mail Compromise) sowie das Kapern von E-Mail-Konversationen (E-Mail-Thread-Hijacking). Europaweit rangierten Backdoors mit 21 Prozent der registrierten Fälle, Verschlüsselungstrojaner (11 Prozent) und das Ausnutzen von Fernzugriffs-Tools (10 Prozent) an der Spitze. Nach dem Überfall Russlands auf die Ukraine stieg das Ausnutzen von Backdoors in Europa signifikant an. Insgesamt war das Vereinigte Königreich mit 43 Prozent aller beobachteten Fälle das am häufigsten angegriffene Land in Europa. Deutschland lag mit 14 Prozent auf dem zweiten Platz, Portugal mit 9 Prozent auf dem dritten.

"Die Verlagerung hin zur Erkennung von Cyberangriffen und zur rechtzeitigen Reaktion hat es den Verteidigern ermöglicht, Angreifer früher in der Angriffskette abzufangen. Damit konnten sie die weitere Verbreitung von Ransomware zumindest vorübergehend eindämmen", sagte Charles Henderson, Leiter der IBM Security X-Force. "Aber es ist nur eine Frage der Zeit, bevor das heutige Backdoor-Problem die Ransomware-Krise von morgen wird. Angreifer finden immer neue Wege, um der Erkennung zu entgehen. Gute Verteidigung ist nicht mehr genug. Um das endlose Wettrennen mit Angreifern zu beenden, müssen Unternehmen eine proaktive, bedrohungsbezogene Sicherheitsstrategie verfolgen."

Zu den wichtigsten Ergebnissen des X-Force Threat Intelligence Index 2023 gehören:

- Erpressung: Die häufigste Auswirkung von Cyberattacken im Jahr 2022 war Erpressung. Hierzu wurden in erster Linie Ransomware oder die Kompromittierung von geschäftlichen E-Mails genutzt. Europa war die wichtigste Zielregion für diese Art von Taten. 44 Prozent der beobachteten Erpressungsfälle fanden hier statt, da Bedrohungsakteure die aktuellen geopolitischen Spannungen ausnutzten.

- Cyberkriminelle nutzen E-Mail-Konversation als Angriffsmittel: Das sogenannte Thread-Hijacking verzeichnete im Jahr 2022 gemäss der Studie einen deutlichen Anstieg. Angreifer nutzten demnach kompromittierte E-Mail-Konten, um sich im laufenden Mailverkehr einzuklinken, dann als ursprüngliche Teilnehmer auszugeben und als diese zu antworten. X-Force verzeichnete einen Anstieg der monatlichen Versuche um 100 Prozent im Vergleich zu den Daten aus dem Jahr 2021.

- Altbekannte Exploits, die immer noch funktionieren: Der Anteil der bekannten Exploits im Vergleich zu den Schwachstellen sank von 2018 bis 2022 um 10 Prozentpunkte. Das liegt aber daran, dass die Anzahl der insgesamt bekannten Schwachstellen ein weiteres Allzeithoch erreichte. Die Zahlen des aktuellen Reports zeigen, dass ältere Schadprogramme wie WannaCry und Conficker weiterhin existieren und sich verbreiten konnten.

Erpressungsdruck auf Fertigungsindustrie steigt

Cyberkriminelle zielen häufig auf die anfälligsten Branchen, Unternehmen und Regionen mit Erpressungsmaschen ab. Sie wenden dann hohen psychologischen Druck an, um Opfer zur Zahlung zu zwingen. Die Fertigungsindustrie war die am meisten erpresste Branche im Jahr 2022, und das bereits das zweite Jahr in Folge. In Deutschland war sie mit ca. 25 Prozent der beobachteten Fälle die mit am stärksten betroffene Branche. Der Grund: Fertigungsunternehmen sind angesichts der extrem geringen Ausfalltoleranz in den laufenden Produktionsprozessen ein attraktives Ziel für Erpressung.

Ransomware ist eine bekannte Erpressungsmethode, aber die Angreifer suchen immer neue Wege, zum Ziel zu kommen, so die Untersuchung weiter. Eine ihrer neuesten Strategien bestehe darin, mitbetroffene Opfer wie zum Beispiel Kunden und Geschäftspartner über gestohlene Daten zu informieren. Durch die Einbindung dieser Mitgeschädigten erhöhten die Erpresser den Druck auf die betroffene Organisation. Die Kriminellen würden auch weiterhin mit solchen Taktiken experimentieren, um die potenziellen Kosten und psychologischen Auswirkungen eines Cyberangriffs zu erhöhen. Daher sei es wichtig, dass Unternehmen über vorbereitete Reaktionspläne verfügten, die auch die Auswirkungen eines Angriffs auf mitbetroffene, externe Opfer wie Kunden und Geschäftspartner berücksichtigten.

Thread-Hijacking im Aufwärtstrend

Die Zahl der registrierten Fälle von E-Mail-Thread-Hijacking ist im letzten Jahr dem Index zufolge stark angestiegen. Die monatlichen Hijacking-Versuche haben sich im Vergleich zu den Daten aus 2021 verdoppelt. Im Laufe des letzten Jahres stellte X-Force fest, dass Angreifer diese Taktik verwendet haben, um Emotet, Qakbot und IcedID zu verbreiten - Schadsoftware, die häufig zu Ransomware-Infektionen führt.

Da Phishing die Hauptursache für Cyberangriffe im letzten Jahr war und Thread-Hijacking stark anstieg, ist es klar, dass Angreifer das Vertrauen in E-Mails ausnutzen. Unternehmen sollten Mitarbeiter auf Thread-Hijacking aufmerksam machen, um das Risiko zu verringern, dass sie zu Opfern werden.

Mind the GAP: Exploit R&D (Forschung und Entwicklung) hinkt der Entwicklung von Schwachstellen hinterher

Das Verhältnis von bekannten Exploits zu Schwachstellen ist seit 2018 um zehn Prozentpunkte zurückgegangen. Cyberkriminelle haben mittlerweile Zugriff auf mehr als 78.000 bekannte Exploits. Ältere, noch nicht gepatchte Schwachstellen sind leicht auszunutzen und ein gefährliches Einfallstor in IT-Systeme: Selbst mehr als fünf Jahren stellen die Sicherheitslücken, die zu Infektionen mit Wannacry führten, immer noch eine erhebliche Bedrohung dar. X-Force hat seit April 2022 einen 800-prozentigen Anstieg des Wannacry-Ransomware-Datenverkehrs in Telemetriedaten festgestellt. Die fortlaufende Nutzung älterer Exploits mache deutlich, dass Unternehmen ihre Programme für das Schwachstellenmanagement optimieren und weiterentwickeln müssten. Dazu gehöre auch, dass sie ein besseres Verständnis ihrer Angreifbarkeit entwickeln und Patches risikobasiert priorisieren müssten.

Weitere Ergebnisse des Berichts 2023:
- Phisher verlieren Interesse an Kreditkartendaten. Die Anzahl der Cyberkriminellen, die auf Kreditkarteninformationen in Phishing-Kits abzielen, sank in einem Jahr um 52 Prozent. Das weist darauf hin, dass Angreifer personenbezogene Daten wie Namen, E-Mails und Privatadressen priorisieren, die zu einem höheren Preis im Dark Web verkauft oder für weitere Zwecke verwendet werden können.
- Nord-Amerika ist Hauptziel von Angriffen im Energiesektor. Die Energiebranche bleibt weiterhin die am vierthäufigsten attackierte Industrie im vergangenen Jahr. Die globale Sicherheitslage wirkte sich hier auf einen bereits turbulenten globalen Energiehandel aus. Auf die nordamerikanischen Energieunternehmen entfielen 46 Prozent aller im letzten Jahr insgesamt beobachteten Angriffe auf Energieunternehmen. Das entspricht einem Anstieg von 25 Prozent gegenüber 2021.
- Europa erlebt einen Anstieg der Angriffe. Europa war mit 28 Prozent aller erfassten Angriffe die weltweit am zweithäufigsten betroffene Region und verzeichnete einen Anstieg um 4 Prozentpunkte gegenüber den Zahlen von 2021. Unternehmen für professionelle, geschäftliche und Verbraucherdienstleistungen sowie Finanz- und Versicherungsunternehmen wurden hier am häufigsten angegriffen. An zweiter Stelle steht das verarbeitende Gewerbe mit 12 Prozent der Fälle, an dritter Stelle die Energie- und Gesundheitsbranche mit 10 Prozent.

Der Bericht enthält Daten, die IBM im Jahr 2022 global erfasste, um Informationen zur globalen IT-Bedrohungslage bereitzustellen. Er informiert die Sicherheitscommunity über die Bedrohungen, die für ihre Unternehmen am relevantesten sind.
Der "IBM Security X-Force Threat Intelligence Index" für 2023 zum Herunterladen: www.ibm.com/reports/threat-intelligence