Ein neuer Report zeigt einen Zuwachs der von China ausgehenden Cyber-Bedrohungen, der Angriffe auf kritische Infrastrukturen und des CEO-Phishing-Betrugs im Internet.
Inhaltsverzeichnis: Das erwartet Sie in diesem Artikel
Attacken aus China auf kritische Infrastruktur nehmen zu
Der Bedrohungsbericht für den Cyber-Raum vom Februar 2023 wurde von Trellix veröffentlicht. Trellix ist ein führendes Unternehmen auf dem Gebiet der Cyber-Sicherheit und ein Vorreiter in der Entwicklung innovativer XDR-Technologien. Der Bericht dokumentiert den Stand der Cyber-Sicherheit im vierten Quartal 2022 und basiert auf einer Kombination von Telemetriedaten aus dem weltweit größten Netzwerk von Endpoint-Sicherheitslösungen sowie aus der XDR-Produktfamilie von Trellix und Daten aus Open- und Closed-Source-Berichten.
John Fokker, Leiter der Bedrohungsanalyse beim Trellix Advanced Research Center, warnt davor, dass Angriffsvektoren im vierten Quartal 2022 eine völlig neue Intensität erreicht haben. Grauzonen-Konflikte und Hacktivismus haben sowohl staatlich sanktionierte Angriffe als auch die Verwendung von kriminellen Leak-Sites stark erhöht. Angesichts eines zunehmend fragilen Wirtschaftsumfelds müssen Unternehmen ihre begrenzten Sicherheitsressourcen möglichst effektiv nutzen.
Der neue Bericht von Trellix gibt einen Überblick über Bedrohungen wie Ransomware und APT-Akteure, analysiert E-Mail-Gefahren und den Missbrauch von legitimen Sicherheitstools. Die wichtigsten Erkenntnisse sind somit: eine steigende Bedrohung durch Cyberangriffe, die sich gezielt gegen Unternehmen richten; die Notwendigkeit, sich gegen diese Bedrohungen zu schützen, indem man effektive Sicherheitsmaßnahmen ergreift; und die Bedeutung einer kontinuierlichen Überwachung und Analyse von Bedrohungsinformationen.
Die LockBit 3.0-Gruppe ist nicht mehr die aktivste Ransomware-Gruppe, aber sie hat den zweifelhaften Ruf, die Opfer am aggressivsten unter Druck zu setzen, um Lösegeldzahlungen zu erpressen. Obwohl andere Gruppen im vierten Quartal 2022 aktiver waren, behaupten die LockBit-Drahtzieher immer noch, die meisten Opfer geschädigt zu haben. Sie nutzen verschiedene Methoden, darunter auch bekannte Schwachstellen aus dem Jahr 2018.
China führt die Liste der Staaten an, die staatlich unterstützte Angriffe durchführen: Im vierten Quartal 2022 wurden die meisten Aktivitäten von APT-Angreifern registriert, die mit China in Verbindung gebracht werden, wie beispielsweise Mustang Panda und UNC4191. Etwa 71 Prozent aller festgestellten Angriffe mit staatlichem Hintergrund wurden von diesen Akteuren ausgeführt. Nordkorea, Russland und der Iran folgten auf den Plätzen. Öffentliche Berichte nennen diese vier Länder ebenfalls als primäre Quelle von APT-Angriffen.
Kritische Infrastruktur ist ein bevorzugtes Ziel von Cyberattacken
Bereich der kritischen Infrastruktur konzentrieren sich vor allem auf bestimmte Sektoren. Etwa 69 Prozent der beobachteten Angriffe gehen auf das Konto von APT-Angreifern aus bestimmten Staaten. Besonders betroffen waren dabei der Transport- und Logistiksektor sowie die Energie-, Öl- und Gasindustrie. Laut Trellix-Telemetriedaten waren Ransomware-Gruppen vor allem auf den Finanz- und Healthcare-Sektor spezialisiert, während gefälschte E-Mails in erster Linie in der Telekommunikationsindustrie, bei staatlichen Stellen und in der Finanzbranche zum Einsatz kamen.
Großteil von Business E-Mail Compromise: CEO-Mail-Fälschungen machen 78 Prozent der Fälle aus
CEO-Mails werden oft gefälscht, um BEC-Betrug zu ermöglichen. Laut Trellix enthalten 78% der Fälle gefälschte Nachrichten mit gängigen Formulierungen. Die Zahl hat im Vergleich zum Vorjahr um 64% zugenommen.
Verschiedene Quellen werden vom Trellix-Sensornetzwerk genutzt
Im Threat Report Februar 2023 werden proprietäre Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Center sowie Daten aus Open- und Closed-Source-Quellen und Leak-Webseiten von Bedrohungsakteuren genutzt, um staatlich unterstützte und kriminelle Cyber-Aktivitäten zu identifizieren. Dabei dienen telemetriebasierte Erkennung und Meldung von Indikatoren über die Trellix XDR-Plattform als Bedrohungsnachweis.
