Jahresrückblick: LockBit erneut fleißigste Ransomware-Gruppe

Cisco Talos hat einen Jahresrückblick auf das Cybercrime-Jahr 2023 veröffentlicht. Die größte Gefahr ging im abgelaufenen Jahr erneut von Ransomware aus. Zudem war im zweiten Jahr in Folge LockBit die fleißigste Cybererpresser-Gruppe. Gemessen an der Zahl der Einträge auf Data-Leak-Websites hatte LockBit im Jahr 2023 einen Anteil von 25,3 Prozent.

Zu den bevorzugten Zielen gehörten Organisationen, denen nur begrenzte Mittel für die Cybersicherheit zur Verfügung stehen oder die dafür bekannt sind, nur geringe Ausfallszeiten zu tolerieren – was laut Cisco Talos vor allem für das Gesundheitswesen gilt.

Neu war demnach ein Trend hin zu Zero-Day-Exploits, die zuvor ein typisches Werkzeug von APT-Gruppen waren. „Leider beschränkten sich im Jahr 2023 Angriffe mit Zero-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagte Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit Zero-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“

Die Sicherheitsforscher fanden noch zwei weitere Trends im Bereich Ransomware. Einerseits nutzten die Hintermänner immer öfter durchgesickerten Quellcode anderer Cybererpresser-Gruppen, was vor allem Neulingen den Einstieg in die Erpressung per Ransomware erleichterte. Andererseits kehrten einige Akteure zuletzt dem eigentlich weit verbreiteten Double-Extortion-Modell den Rücken und konzentrierten sich auf die Erpressung mit gestohlenen Daten – ohne die Systeme ihrer Opfer zu verschlüsseln.

Außerdem stellte Cisco Talos fest, dass APTs und auch Ransomware-Akteure regionsübergreifend vermehrt Netzwerkgeräte ins Visier nahmen. „Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten“, teilte Cisco Talos mit.

Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt.