- Commodity-Malware war die größte Bedrohung im zweiten Quartal 2022
- Ransomware-Gruppen versuchen, hohe Lösegelder zu erpressen
- Die Angreifer setzen auf Social-Engineering-Techniken
Das Cisco Talos Incident Response (CTIR) Team sieht im zweiten Quartal 2022 zum ersten Mal seit über einem Jahr nicht mehr Ransomware als größte Bedrohung. Neu an der Spitze sind Commodity-Trojaner, die nun am häufigsten entdeckt werden. Die am häufigsten angegriffene Branche war wie bereits im letzten Quartal die Telekommunikation, dicht gefolgt von Organisationen im Bildungs- und Gesundheitswesen.
Das CTIR Team, das von der weltweit größten kommerziellen Threat Intelligence Organisation unterstützt wird, hat seinen vierteljährlichen Threat Assessment Report veröffentlicht.
Mit 20 Prozent aller Angriffe nehmen Commodity-Trojaner neu die Spitzenposition bei den entdeckten Bedrohungen ein. Im Vergleich zu den vorangegangenen Quartalen machte Ransomware einen geringeren Prozentsatz aus und liegt bei 15 Prozent, während es im letzten Quartal noch 25 Prozent waren. Mögliche Faktoren sind die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung.
Commodity-Malware ist weit verbreitet und kann gekauft oder kostenlos heruntergeladen werden. Sie ist in der Regel nicht angepasst und wird von einer Vielzahl von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten verwendet. Beispiele aus dem 2. Quartal sind unter anderem Remcos RAT, Vidar Information Stealer, Redline Stealer und der Qakbot Banking-Trojaner. Nach Commodity-Malware und Ransomware gehörten Phishing, Business-Email-Compromise (BEC) und Insider-Threats zu den Bedrohungen, die Talos häufig beobachtete.
Bedrohungstrends
Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hatten es auf Organisationen abgesehen, die hohe Lösegelder bezahlen. Conti gab im Mai bekannt, dass sie ihren Betrieb einstellt. Die Auswirkungen auf die Ransomware-Szene sind aber noch nicht abschätzbar. Eine neue RaaS-Variante namens „Black Basta“ ist eine mutmaßliche Umbenennung von Conti und dürfte in den kommenden Quartalen eine ernstzunehmende Bedrohung sein. LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet.
Wie schon in im ersten Quartal konnten viele E-Mail-basierte Bedrohungen beobachtet werden, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzer zum Klicken auf einen Link oder zum Öffnen einer Datei aufzufordern.
Schutz ist möglich
„Standard-Malware ist inzwischen zur größten Gefahr geworden, da viele Unternehmen nur Standard-Sicherheitsmechanismen wie Passwörter oder Antivirus nutzen“, sagt Holger Unterbrink, Security Researcher und Technical Leader von Cisco Talos. „Neben anderen Maßnahmen sollte heutzutage durchgängig Multi-Faktor-Authentifizierung (MFA) zum Einsatz kommen, um eine ausreichende IT-Sicherheit zu gewährleisten. Auf Basis der Erkenntnisse empfehlen wir, dass MFA für alle Dienste implementiert wird und sämtliche Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien einhalten.“
