Das Jahr 2020 wird ohne Zweifel wegen der COVID-19 (Coronavirus)-Pandemie in Erinnerung bleiben. Während einige Hackergruppen COVID-19 als Thema verwendeten, um Benutzer anzulocken und zu infizieren, waren diese Vorgänge laut der Microsoft Studie „Microsoft Digital Defense Report“ nur ein Bruchteil des allgemeinen Malware-Ökosystems. Die Pandemie scheint bei den diesjährigen Malware-Angriffen nur eine minimale Rolle gespielt zu haben.
Das E-Mail-Phishing im Unternehmenssektor hat weiter zugenommen und ist zu einem dominierenden Vektor geworden. Die meisten Phishing-Köder konzentrieren sich auf Microsoft und andere SaaS-Anbieter, und zu den Top 5 der am häufigsten gefälschten Marken gehören Microsoft, UPS, Amazon, Apple und Zoom.
Microsoft gab an, im Jahr 2019 mehr als 13 Milliarden bösartige und verdächtige E-Mails blockiert zu haben. Dazu zählen mehr als eine Milliarde URLs, die ausdrücklich zu dem Zweck eingerichtet wurden, einen Phishing-Angriff auf Referenzen zu starten.
Erfolgreiche Phishing-Operationen werden häufig auch als erster Schritt bei Betrügereien im Rahmen des Business Email Compromise (BEC) eingesetzt. Laut Microsoft haben Betrüger Zugriff auf den E-Mail-Posteingang einer Führungskraft, überwachen die E-Mail-Kommunikation und springen dann ein, um die Geschäftspartner der gehackten Benutzer dazu zu bringen, Rechnungen an falsche Bankkonten zu zahlen. Laut Microsoft waren die am häufigsten angegriffenen Konten bei BEC-Betrügereien diejenigen für Vorstände sowie Mitarbeiter der Buchhaltung und Lohnbuchhaltung.
Aber Microsoft sagt auch, dass Phishing nicht der einzige Weg in diese Konten ist. Hacker beginnen damit, Passwort-Wiederverwendung und Passwortspray-Angriffe gegen alte E-Mail-Protokolle wie IMAP und SMTP einzusetzen. Diese Angriffe waren in den letzten Monaten besonders beliebt, da sie es den Angreifern ermöglichen, auch Multi-Faktor-Authentifizierungslösungen (MFA) zu umgehen, da die Anmeldung über IMAP und SMTP diese Funktion nicht unterstützt.
Darüber hinaus gibt Microsoft an, dass es auch Cyberkriminalitätsgruppen gibt, die zunehmend öffentliche cloudbasierte Dienste missbrauchen, um Artefakte zu speichern, die bei ihren Angriffen verwendet werden, anstatt ihre eigenen Server zu benutzen. Außerdem wechseln die Gruppen heutzutage viel schneller die Domäne und die Server, vor allem um nicht entdeckt zu werden und unter dem Radar zu bleiben.
Die bei weitem größte Bedrohung der Cyberkriminalität im letzten Jahr waren jedoch die Ransomware-Banden. Microsoft sagte, dass Infektionen mit Lösegelderpressungen der häufigste Grund für die von Oktober 2019 bis Juli 2020 unternommenen Maßnahmen zur Reaktion auf Vorfälle (IR) gewesen seien.
Und unter diese Lösegeld-Banden sind es die Gruppen, die als „Großwildjäger“ und „von Menschen betriebene Lösegeldforderungen“ bekannt sind, die Microsoft am meisten Kopfzerbrechen bereitet haben. Es sind Gruppen, die sich gezielt an ausgewählte Netzwerke wenden, die zu großen Unternehmen oder Regierungsorganisationen gehören, weil sie wissen, dass sie höhere Lösegeldzahlungen erhalten werden.
Die meisten dieser Gruppen operieren entweder unter Nutzung der Malware-Infrastruktur, die von anderen Cyberkriminalitätsgruppen zur Verfügung gestellt wird, oder indem sie das Internet massenhaft nach neu entdeckten Schwachstellen absuchen. In den meisten Fällen erhalten die Gruppen Zugang zu einem System und bleiben unentdeckt, bis sie bereit sind, ihre Angriffe zu starten..
„Die Angreifer haben die COVID-19-Krise ausgenutzt, um ihre Verweildauer im System eines Opfers zu verkürzen – indem sie Daten kompromittierten, ausfiltrierten und in einigen Fällen schnell Lösegeld forderten – offenbar in dem Glauben, dass die Zahlungsbereitschaft durch den Ausbruch erhöht würde“, so Microsoft.
„In einigen Fällen gelang es Cyberkriminellen, in weniger als 45 Minuten vom ersten Eindringen bis zum Lösegeld für das gesamte Netzwerk zu kommen.“
Ein weiterer wichtiger Trend war die Tatsache, dass in den letzten Monaten verstärkt Lieferketten ins Visier genommen wurden, anstatt ein Ziel direkt anzugreifen.
Dies ermöglicht es einem Bedrohungsakteur, ein Ziel zu hacken und dann die eigene Infrastruktur des Ziels zu nutzen, um alle seine Kunden anzugreifen, entweder einen nach dem anderen oder alle zur gleichen Zeit.
„Durch sein Engagement bei der Unterstützung von Kunden, die Opfer von Einbrüchen in die Cybersicherheit geworden sind, hat das Microsoft Detection and Response Team einen Anstieg der Angriffe auf die Lieferkette zwischen Juli 2019 und März 2020 beobachtet“, sagte Microsoft.
Microsoft stellte jedoch fest, dass es zwar „einen Anstieg gab, die Angriffe auf die Lieferkette jedoch nur einen relativ kleinen Prozentsatz der DART-Einsätze insgesamt ausmachten“.
Dies schmälert jedoch nicht die Bedeutung des Schutzes der Lieferkette vor möglichen Gefahren, insbesondere von den Netzwerken von Managed Service Providern (MSPs, Drittanbieter, die einen ganz bestimmten Dienst anbieten und auf das Netzwerk eines Unternehmens zugreifen dürfen), IoT-Geräten (die oft im Netzwerk eines Unternehmens installiert und vergessen werden) und Open-Source-Softwarebibliotheken (die heutzutage den Großteil der Software eines Unternehmens ausmachen) ausgehen.
Hacker-Gruppen fremder Geheimdienste (auch bekannt als APTs oder Advanced Persistent Threats) werden immer aktiver. Microsoft gab an, zwischen Juli 2019 und Juni 2020 mehr als 13.000 Nachrichten über Geheimdienstaktivitäten (NSN) per E-Mail an seine Kunden verschickt zu haben.
Alles in allem kommt Microsoft zu dem Schluss, dass kriminelle Gruppen ihre Techniken im vergangenen Jahr weiterentwickelt haben, um die Erfolgsraten ihrer Kampagnen zu erhöhen, da die Verteidigung ihre früheren Angriffe besser abwehren konnte.
Vor COVID-19 war Remote-Work für viele Unternehmen fast undenkbar. Heute haben sie erkannt, dass es sehr gut funktionieren kann, wenn die Rahmenbedingungen stimmen. Erfahren Sie in diesem Webinar, wie Sie mit der Kollaborationslösung Slack auf die veränderten Arbeitsbedingungen optimal reagieren können.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…