- Erpressung war im zweiten Quartal 2023 mit 30 % die häufigste Bedrohung
- Anstieg um 25 % bei Datenexfiltration ohne Ransomware
- 75 % der Ransomware-Angriffe erfolgten über Zugang durch gültige Konten
- Neue Ransomware-Familien beobachtet: 8base und MoneyMessage
- Gesundheitswesen weiterhin Top-Ziel von Cyberkriminellen
- Fehlende oder falsch implementierte MFA bei 40 % der Cybervorfälle
Garching, 01. August 2023 – Im zweiten Quartal 2023 registrierte Cisco Talos einen ungewöhnlich hohen Anstieg von Vorfällen bei Erpressung durch Datendiebstahl. Mit einem Wachstum um 25 Prozent im Vergleich zum Vorquartal rückt diese Angriffsart mit insgesamt 30 Prozent auf Platz eins aller Bedrohungen. Besonderheit dabei: Bei diesen Attacken wurden keine Daten verschlüsselt. Ransomware ist jedoch die zweitgrößte Gefahr, wobei ihr Anteil an den registrierten Angriffen von 10 auf 17 Prozent gestiegen ist. Cisco Talos beobachtete mehrere Ransomware-Familien zum ersten Mal, darunter 8base und MoneyMessage.
Talos, eine der weltweit vertrauenswürdigsten kommerziellen Threat-Intelligence-Organisationen, hat seine vierteljährliche Analyse zur Bedrohungslage für das zweite Quartal 2023 vorgelegt. Die beobachtete Zunahme der Erpressung durch Datendiebstahl steht im Einklang mit der öffentlichen Berichterstattung. Allerdings mit einem neuen Trend: Immer mehr Ransomware-Gruppen verzichten darauf, ihre Ransomware einzusetzen und Dateien zu verschlüsseln. Stattdessen stehlen sie die Daten und erpressen ihre Opfer.
„Auch Cyberkriminelle trimmen ihr Geschäft auf Effizienz“, sagt Thorsten Rosendahl, Technical Leader Cisco Talos Deutschland. „Die Verschlüsselung wird immer häufiger als unnötiger und zeitintensiver Arbeitsschritt angesehen. Das macht es schwieriger, diese Angriffe zu erkennen und zu stoppen.“
Die Ergebnisse des Reports deuten darauf hin, dass Kriminelle mit finanzieller Motivation diese Verschlankung der Operation zunehmend als beste Möglichkeit ansehen, an das Geld ihrer Opfer zu gelangen.
Die Ursache, so die Einschätzung des Reports, liegt an den weltweiten Aktionen von Strafverfolgungsbehörden sowie verbesserten Schutzmaßnahmen der Unternehmen. Dazu gehören etwa die verhaltensbasierte Erkennung von Angriffen und EDR-Lösungen (Endpoint Detection and Response). Damit wird die Durchführung von klassischen Ransomware-Angriffen mit Verschlüsselungen immer schwieriger – und auch gefährlicher für die Angreifer selbst.
Verzicht auf Verschlüsselung
Auch bisherige Ransomware-Gruppen wie BianLian und Clop wenden sich von der Verschlüsselung ab und wechseln zur direkten Erpressung durch Datendiebstahl. Zu diesem veränderten Verhalten hat die Tatsache beigetragen, dass seit Januar 2023 ein kostenloses Entschlüsselungsprogramm für die BianLian-Ransomware öffentlich ist.
Clop wiederum hat sich in der Vergangenheit auf die Ausnutzung von Zero-Day-Schwachstellen auf breiter Basis fokussiert, die Hunderte von Unternehmen weltweit betrafen. Es ist höchst ungewöhnlich, dass Angreifer konsequent Zero-Day-Lücken nutzen, da erhebliche Ressourcen für die Entwicklung solcher Exploits nötig sind. Daher verfügt Clop mutmaßlich über ähnlich viel Know-how und finanzielle Mittel wie APT-Gruppen (Advanced Persistent Threats).
Ransomware bleibt gefährlich
Obwohl einige Gruppen vermehrt auf Verschlüsselung verzichten, haben die Ransomware-Fälle dennoch zugenommen. Zusätzlich zu den bekannten Vertretern LockBit und Royal, beobachteten die Cisco-Experten zum ersten Mal die Ransomware-Varianten 8base und MoneyMessage.
8base wurde im März 2022 entdeckt, doch erst im Juni 2023 stiegen ihre Aktivitäten deutlich an. Die Gruppe verwendet eine angepasste Version der Ransomware Phobos und stiehlt Daten vor ihrer Verschlüsselung.
MoneyMessage ist eine relativ neue Ransomware-Gruppe, die erst im März 2023 auftauchte. Ähnlich wie 8base arbeitet sie nach dem Modell der doppelten Erpressung. In einem Fall wurde die Malware im Netlogon-Verzeichnis abgelegt. Dies ermöglicht die Verbreitung der Ransomware auf mehreren Hosts. Vor der Ausführung der Ransomware deinstallierten die Angreifer außerdem verschiedene Sicherheitstools wie EDR-Lösungen über PowerShell-Skripte, um die Schutzvorkehrungen auszuhebeln.
Gesundheitsbranche im Visier
Mit Blick auf die betroffenen Wirtschaftssektoren wurde das Gesundheitswesen wie schon im letzten Quartal am häufigsten angegriffen. Auf dieses entfielen 22 Prozent der beobachteten Vorfälle. Es folgen der Finanzsektor und die Versorgungsbranche.
Initiale Vektoren und Multifaktor-Authentifizierung
Bei den initialen Angriffsvektoren kamen meist gestohlene Anmeldedaten zum Einsatz, um auf gültige Konten zuzugreifen. Diese Zugangsmethode wurde bei fast 40 Prozent aller Fälle beobachtet, ein Anstieg um 22 Prozent gegenüber dem ersten Quartal 2023. Ransomware-Angriffe erfolgten sogar zu 75 Prozent über den Zugang durch gültige Konten.
Es gibt verschiedene Möglichkeiten, um Anmeldedaten zu stehlen. Dazu zählen das Ausnutzen ungenügender Sicherheitsvorkehrungen von Drittanbietern, Malware zum Diebstahl von Informationen (wie z.B. „Redline“) sowie Phishing-Kampagnen. Die Gefahr steigt exponentiell, wenn User gleiche Anmeldedaten für mehrere Konten verwenden. Daher müssen Unternehmen strenge Kennwortrichtlinien durchsetzen und MFA (Multi-Faktor-Authentifizierung) für wichtige Server aktivieren.
Eine fehlende oder unsachgemäße Implementierung von MFA bei kritischen Diensten spielte bei über 40 Prozent der Fälle eine Rolle, so die Analyse von Cisco Talos. MFA war sogar bei 90 Prozent der gültigen Konten nicht aktiviert. In einigen Fällen konnte beobachtet werden, dass Bedrohungsakteure mit sogenannten „MFA exhaustion/fatigue“-Angriffen erfolgreich waren. Hierbei werden die potenziellen Opfer beispielsweise mit Push Nachrichten überschwemmt, in der Hoffnung, dass aus Unachtsamkeit eine der Aufforderungen akzeptiert wird. Die Identifizierung solcher Angriffe und die Aufklärung der BenutzerInnen sind die wichtigsten Elemente bei der Bekämpfung von Umgehungstechniken für MFA.
Cisco Talos empfiehlt, den VPN-Zugang für alle Konten zu deaktivieren, bei denen MFA nicht aktiviert ist. Grundsätzlich wird allerdings empfohlen, MFA für alle User Konten zu aktivieren, auch für solche, die zu Wartungszwecken von Herstellern oder Dienstleistern benutzt werden. Es wurde wiederholt beobachtet, dass solche „VCA“ (Vendor and Contractor Accounts) Ziel eines Angriffs waren, da diese üblicherweise über erweiterte Rechte verfügen und häufig während eines Audits übersehen werden. Wenn möglich, sollten diese Konten deaktiviert sein, solange sie nicht benötigt werden.
„MFA ist einer der besten Wege, um mit wenig Aufwand und Budget ein vergleichsweise hohes Maß an Cybersicherheit zu erlangen – solange es sauber implementiert wird“, sagt Thorsten Rosendahl.
Weitere Details zu den Erkenntnissen von Cisco Talos aus dem zweiten Quartal 2023 gibt es in diesem Blogbeitrag (englisch)
Weiterführende Informationen:
- Infografiken zum Report
- One-Pager zu den Ergebnissen
- Foto von Thorsten Rosendahl