Deepfake-Angriffe und Cyber-Erpressung

VMware hat seinen achten jährlichen Global Incident Response Threat Report veröffentlicht, der einen tiefen Einblick in die Herausforderungen gibt, denen sich Sicherheitsteams in Zeiten von Pandemien, Burnout und geopolitisch motivierten Cyberangriffen stellen müssen. Fünfundsechzig Prozent der Verteidiger geben an, dass die Cyberangriffe seit dem Einmarsch Russlands in die Ukraine zugenommen haben, so die Ergebnisse des Berichts. Der Bericht beleuchtet auch neu auftretende Bedrohungen wie Deepfakes, Angriffe auf APIs und Cyberkriminelle, die es auf Incident Responder selbst abgesehen haben.

„Cyberkriminelle integrieren jetzt Deepfakes in ihre Angriffsmethoden, um Sicherheitskontrollen zu umgehen“, sagt Rick McElroy, Principal Cybersecurity Strategist bei VMware. „Zwei von drei Befragten in unserem Bericht sahen, dass bösartige Deepfakes als Teil eines Angriffs verwendet wurden, ein Anstieg von 13 % im Vergleich zum letzten Jahr, wobei E-Mail die häufigste Übertragungsmethode war. Cyberkriminelle nutzen synthetische Video- und Audiodaten nicht mehr nur für Beeinflussungs- oder Desinformationskampagnen. Ihr neues Ziel ist es, die Deepfake-Technologie zu nutzen, um Unternehmen zu kompromittieren und sich Zugang zu deren Umgebung zu verschaffen.“

Weitere wichtige Ergebnisse

Cyber-Profi-Burnout bleibt ein kritisches Problem. Siebenundvierzig Prozent der Notfallhelfer gaben an, dass sie in den letzten zwölf Monaten unter Burnout oder extremem Stress gelitten haben, ein leichter Rückgang gegenüber 51 % im letzten Jahr. Von dieser Gruppe haben 69 % (gegenüber 65 % im Jahr 2021) der Befragten in Erwägung gezogen, ihren Job deshalb aufzugeben. Mehr als zwei Drittel der Befragten gaben an, dass ihr Unternehmen Wellness-Programme eingeführt hat, um Burnout zu bekämpfen.

Ransomware-Akteure setzen auf Cyber-Erpressungsstrategien. Die Vorherrschaft von Ransomware-Angriffen, die oft durch die Zusammenarbeit von E-Kriminalitätsgruppen im Dark Web unterstützt werden, hat noch nicht nachgelassen. Siebenundfünfzig Prozent der Befragten waren in den letzten zwölf Monaten mit solchen Angriffen konfrontiert, und zwei Drittel (66 %) sind auf Partnerprogramme und/oder Partnerschaften zwischen Ransomware-Gruppen gestoßen, da prominente Cyber-Kartelle weiterhin Unternehmen durch doppelte Erpressungstechniken, Datenauktionen und Erpressung erpressen.

APIs sind der neue Endpunkt und stellen die nächste Grenze für Angreifer dar. Mit der zunehmenden Verbreitung von Workloads und Anwendungen sind 23 % der Angriffe auf die API-Sicherheit gerichtet. Zu den wichtigsten Arten von API-Angriffen gehören das Ausspionieren von Daten (42 % der Befragten im letzten Jahr), SQL- und API-Injection-Angriffe (37 % bzw. 34 %) und verteilte Denial-of-Service-Angriffe (33 %).

Seitwärtsbewegungen sind das neue Schlachtfeld. Seitliche Bewegungen wurden bei 25 % aller Angriffe beobachtet, wobei Cyberkriminelle alles von Skript-Hosts (49 %) und Dateispeichern (46 %) bis hin zu PowerShell (45 %), Geschäftskommunikationsplattformen (41 %) und .NET (39 %) nutzten, um sich in Netzwerken umzusehen. Eine Analyse der Telemetrie in VMware Contexa, einer in die VMware-Sicherheitsprodukte integrierten Full-Fidelity-Threat-Intelligence-Cloud, ergab, dass allein in den Monaten April und Mai 2022 fast die Hälfte der Einbrüche ein Lateral Movement-Ereignis enthielt.

„Um sich gegen die wachsende Angriffsfläche zu verteidigen, benötigen Sicherheitsteams ein angemessenes Maß an Transparenz über Arbeitslasten, Geräte, Anwender und Netzwerke, um Cyber-Bedrohungen zu erkennen, zu schützen und auf sie zu reagieren“, sagt Chad Skipper, Global Security Technologist bei VMware. „Wenn Sicherheitsteams Entscheidungen auf der Grundlage unvollständiger und ungenauer Daten treffen, ist es ihnen nicht möglich, eine granulare Sicherheitsstrategie zu implementieren, während ihre Bemühungen, laterale Bewegungen von Angriffen zu erkennen und zu stoppen, durch den begrenzten Kontext ihrer Systeme behindert werden.“

Trotz der turbulenten Bedrohungslandschaft und der zunehmenden Bedrohungen, die in dem Bericht detailliert beschrieben werden, schlagen Incident Responder zurück: 87 % geben an, dass sie die Aktivitäten von Cyberkriminellen manchmal (50 %) oder sehr oft (37 %) unterbrechen können. Dabei setzen sie auch neue Techniken ein. Drei Viertel der Befragten (75 %) geben an, dass sie jetzt virtuelle Patches als Notfallmechanismus einsetzen. In jedem Fall gilt: Je mehr Einblicke die Verteidiger in die immer größer werdende Angriffsfläche haben, desto besser sind sie gerüstet, um dem Sturm zu trotzen.