Vor steigenden Gefahren durch Phishing über kompromittierte E-Mail-Konten von Kolleg:innen oder Geschäftspartnern warnt Cisco Talos, die Forschungsabteilung für Cybersicherheit des Netzwerkausrüsters Cisco, in ihrem aktuellen Report. 75 Prozent der beobachteten Phishing-Angriffe nutzen demnach bereits gestohlene Anmeldedaten. Gemäss dem Bericht für das zweite Quartal gingen zwar die Phishing-Aktivitäten im Vergleich zum Vorquartal um 40 Prozent zurück, bleiben aber die häufigste Methode für den ersten Zugriff.
Die Angreifer konzentrieren sich dabei laut Report auf den Diebstahl von Anmeldedaten, um E-Mail-Konten des Unternehmens oder von Geschäftspartnern zu übernehmen. Mit den scheinbar vertrauenswürdigen Adressen versenden sie überzeugende Nachrichten, um Sicherheitsmassnahmen zu umgehen und das Vertrauen der Opfer zu gewinnen. Viele Anwender werden demnach dazu verleitet, ihre Anmeldedaten und MFA-Token auf gefälschten Anmeldeseiten einzugeben. Dadurch erhalten Angreifer wertvolle Informationen, die sie für weitere Attacken nutzen oder im Darknet verkaufen.
Trotz der geringeren Aktivität ist Ransomware für 50 Prozent aller Vorfälle im zweiten Quartal verantwortlich. Talos IR beobachtete dabei erstmals die Familien Qilin und Medusa.
Die Qilin-Ransomware verwendet demnach bisher unbekannte Tools und Taktiken. Der Angriff beginne mit gestohlenen Anmeldedaten, gefolgt von einer lateralen Bewegung unter Verwendung von Fernzugriffstools, ist der Untersuchung von Cisco Talos zu entnehmen. Die Angreifer setzten einen einzigartigen Verschlüsseler und neue Exfiltrationstechniken ein, darunter Cyberduck für den Datendiebstahl und Backblaze für Befehls- und Kontrollfunktionen, heisst es. Sie stellten Persistenz sicher, indem sie automatisierte Prozesse zum Neustart der Ransomware nach Reboots und Anmeldungen einrichten. Dies verursachten grosse Systemschäden und erforderten eine vollständige Neuinstallation sowie die Zurücksetzung aller Passwörter im Unternehmen, so die Cisco-Talos-Experten.
Ein besorgniserregender Trend sei auch die Verwendung der veralteten Skriptsprache Powershell v1.0 bei einem Drittel der Ransomware-Angriffe. Denn hier fehlten Sicherheitsfunktionen wie Skriptprotokollierung und Antiviren-Integration. Cisco Talos rät Unternehmen, Powershell 5.0 oder höher vorzuschreiben, um diese Risiken für ihr digitales Netzwerk zu reduzieren.
Der Bildungssektor war im zweiten Quartal dem Report zufolge weltweit die am stärksten betroffene Branche. Aber auch in der Fertigung, im Bauwesen und in der öffentlichen Verwaltung habe man hohe Ransomware-Aktivitäten beobachtet.
Über 40 Prozent der Vorfälle im zweiten Quartal betreffen Probleme mit der Multi-Faktor-Authentifizierung (MFA), wie Fehlkonfigurationen, fehlende oder umgangene Authentifizierung. Cisco Talos empfiehlt, MFA zu aktivieren und zu überwachen, um die Sicherheit des Unternehmensnetzwerks, auch angesichts KI-basierter Angriffe, zu verbessern.
