Cyberkriminelle sind sehr flexibel und passen ihre Angriffsstrategien schnell an veränderte Rahmenbedingungen an – das haben die vergangenen zwei Jahre bewiesen. Welche Technologien, Tools und Taktiken im letzten Jahr am häufigsten zum Einsatz kamen, zeigt dieser Report.
Inhalt:
Pandemie und die darauffolgende Homeoffice-Welle haben die Bedrohungslandschaft deutlich verändert. Cyberkriminelle passten sich an die neue Situation sehr schnell an und intensivierten zum Beispiel ihre Phishing-Attacken. Auch der Fernzugriff über VPN-Verbindungen (Virtual Private Network) und das für die Fernwartung wichtige Remote Desktop Protocol (RDP) wurden zum vorrangigen Ziel der Cyberangriffe. Zusätzlich sorgten kritische Schwachstellen in der Java-Bibliothek Log4J sowie die Sicherheitslücken ProxyLogon und ProxyShell auf Microsoft- Exchange-Servern für neue Risiken.
Wie die Cyberkriminellen bei ihren Angriffen vorgehen, welche Technologien, Tools und Taktiken sie einsetzen, und welche typischen Muster dabei auftreten, hat Sophos anhand von Incident-Response-Daten untersucht. Die Ergebnisse lesen Sie in diesem Report.
Sie erfahren unter anderem:
- Was die häufigsten Ursachen für erfolgreiche Angriffe sind.
- Wie lange Unternehmen im Durchschnitt brauchen, um einen erfolgreichen Angriff zu entdecken.
- Welche Angriffswerkzeuge am häufigsten eingesetzt werden.
Originalauszug aus dem Dokument:
Hierbei kommt eine weitere wichtige Entwicklung zum Tragen, von der die Cyberbedrohungs-Landschaft 2021 geprägt war: dem wachsenden Einfluss und der zunehmenden Macht von Initial Access Brokern (IABs).
Das Geschäftsmodell von IABs besteht darin, neu geschaffene Zugänge zu Opfersystemen zu verkaufen. Somit hängt ihr Erfolg davon ab, ob es ihnen gelingt, als erstes die Abwehr eines anfälligen Ziels zu durchbrechen. Demzufolge werden IABs häufig am Schauplatz neu gemeldeter Bugs beobachtet, wo sie versuchen, noch ungepatchte Ziele zu kompromittieren. Ihr Ziel ist es, auf einem Opfersystem Fuß zu fassen und möglicherweise erste Erkundungsschritte vorzunehmen, um den Wert des verschafften Zugangs zu bemessen. Diesen Zugang verkaufen die IABs anschließend an andere Angreifer (z. B. Ransomware-Betreiber), die manchmal erst Monate nach der ersten Kompromittierung weitere Angriffe auf das Ziel starten.
Wie im Sophos 2022 Threat Report beschrieben, spiegelt die wachsende Verbreitung von IABs die zunehmende „Professionalisierung“ von Angriffen in einem Cyberbedrohungs-Markt wider, in dem immer mehr spezialisierte Dienstleister agieren. Ein weiteres Beispiel für diesen Trend ist das florierende RaaS-Geschäft („Ransomware as a Service“).