Trellix-Bedrohungsprognosen für 2022

Ransomware, Angriffe durch staatliche Stellen, Angriffe in sozialen Medien und die zunehmende Abhängigkeit von Mitarbeitern im Home Office sorgten 2021 für Schlagzeilen und zeigen, dass sich böswillige Akteure den Herausforderungen stellen. Hartnäckig konterkarieren sie Lösungsstrategien und entwickeln sich mit jedem erfolgreichen Angriff weiter – und werden immer mutiger und erfolgreicher.

Wir konnten beobachten, wie sich ihre Entschlossenheit auswirkt und wie sie dadurch noch mehr Schaden anrichten. Die durchschnittliche Ransomware-Forderung stieg von 5.000 US-Dollar im Jahr 2018 auf etwa 200.000 US-Dollar im Jahr 2020. Dieser enorme Anstieg um 3.900 % in nur zwei Jahren zeigt, wie viel Macht böswillige Akteure mit jedem erfolgreichen Angriff gewinnen. Da ist es nur verständlich, dass sie die reiche Ernte, die ihnen ihre Entschlossenheit und Willenskraft bescheren, weiter einfahren möchten.

Ermöglicht wurde dieser Erfolg durch Anpassungsfähigkeit und die Überzeugung, dass man sich von einem ersten erfolglosen Versuch nicht entmutigen lassen, sondern es erneut versuchen sollte. Die Akteure verhalten sich wie ein lebendiges, atmendes Wesen, das genau weiß, wie verzweifelt Unternehmen versuchen, den normalen Geschäftsbetrieb aufrechterhalten zu können.

"Im vergangen Jahr konnten wir beobachten, dass Cyber-Kriminelle immer intelligenter werden, ihre Strategien immer schneller anpassen und ständig neue Ideen entwickeln – von Ransomware bis zu Angriffen durch staatliche Stellen – und wir gehen nicht davon aus, dass sich das 2022 ändern wird", so Raj Samani, Fellow und Chief Scientist bei Trellix. "Angesichts der ständig neuen Bedrohungen und der anhaltenden Auswirkungen der weltweiten Pandemie ist es von entscheidender Bedeutung, dass Unternehmen Cyber-Sicherheitstrends im Blick behalten, damit sie ihre Informationen proaktiv und gezielt schützen können."

Zur Bekämpfung böswilliger Akteure und um den Trend der jährlich zunehmenden Angriffe und Kompromittierungen zu stoppen, müssen die Strategien der Angreifer in die Sicherheitsmaßnahmen übernommen werden. Mit anderen Worten heißt das, dass Sicherheitslösungen immer aktiv sein und sich kontinuierlich anpassen müssen, um Angreifern immer einen Schritt voraus zu sein. Im Folgenden erläutern qualifizierte Techniker und Sicherheitsarchitekten von Trellix, wie wichtig diese veränderte Denkweise und dieser neue Ansatz für das Jahr 2022 sind.

Lazarus möchte Sie als Freund hinzufügen

Bei Angriffen durch staatliche Stellen werden soziale Medien vermehrt als Waffen gegen Experten in Unternehmen eingesetzt
Von Raj Samani

Wir lieben unsere sozialen Medien. Wir lieben sie für die Sticheleien zwischen Popstars und Branchenkennern ebenso wie für den offenen Zugang zu den besten Jobs in der Branche.

Aber eines steht fest:

Bedrohungsakteure wissen das. Sie wissen auch, dass wir Kontaktanfragen von wildfremden Menschen akzeptieren, nur um unseren Hunger nach den nächsten 1.000 Followern zu stillen.

Daher haben bestimmte Bedrohungsgruppen Führungskräfte mit Stellenangeboten ins Visier genommen. Schließlich ist dies die effizienteste Methode, herkömmliche Sicherheitskontrollen zu umgehen und mit den für Bedrohungsgruppen interessanten Personen in Unternehmen direkt zu kommunizieren. Darüber hinaus nutzen Bedrohungsgruppen Direktnachrichten, um die Kontrolle über Influencer-Konten zu übernehmen und eigene Nachrichten zu verbreiten.

Dieser Ansatz ist zwar nicht neu, aber nicht ganz so häufig wie andere Methoden. Schließlich ist ein gewisser Aufwand erforderlich, um die Zielperson zu Interaktionen zu verleiten, und die Erstellung gefälschter Profile ist aufwendiger als die Suche nach einem offenen Relais im Internet. Dennoch hat es sich der Angriff auf Einzelpersonen als sehr erfolgreich erwiesen und wir gehen davon aus, dass nicht nur Spionagegruppen diesen Vektor verstärkt nutzen werden, sondern auch andere Bedrohungsakteure, die Unternehmen zum eigenen kriminellen Vorteil infiltrieren.

Hilfe gesucht: Kriminelle mit gewissen Extras

Staatliche Stellen arbeiten bei Angriffen immer häufiger mit Cyber-Kriminellen zusammen
Von Christiaan Beek

Unser Team setzt nicht nur bei der Überwachung von Aktivitäten, sondern auch bei der Untersuchung und Überwachung von Open-Source-Bedrohungsdaten von unterschiedlichsten Quellen auf die strategischen Datenanalyse, um sich einen umfassenden Überblick über Bedrohungsaktivitäten weltweit zu verschaffen. Dazu gehört auch eine zunehmende Verquickung zwischen Cyber-Kriminalität und Angriffen durch staatliche Stellen.

In vielen Fällen wird ein Startup-Unternehmen gegründet und ein Netz aus Scheinfirmen oder bestehenden "Technologie"-Unternehmen ist an Operationen beteiligt, die von den Geheimdienstministerien der Länder geleitet und kontrolliert werden.

Im Mai 2021 erhob die US-Regierung beispielsweise Anklage gegen vier chinesische Staatsbürger, die für staatliche Scheinfirmen gearbeitet haben. Über die Scheinfirmen konnten die Hacker Malware erstellen und damit entsprechende Ziele angreifen, um an Unternehmensdaten, Geschäftsgeheimnisse und Informationen über sensible Technologien zu gelangen.

Nicht nur China, sondern auch andere Länder wie Russland, Nordkorea und Iran nutzen diese Strategien. Sie heuern Hacker für Angriffe an, und wenn sie nicht gegen die Interessen des "einstellenden" Landes verstoßen, stellen sie keine Fragen zu deren sonstigen Aktivitäten.

Während in der Vergangenheit bestimmte Malware-Familien mit Gruppen staatlicher Akteure verbunden waren, verschwimmen heute die Grenzen, wenn Hacker mit dem Schreiben von Code und der Durchführung der entsprechenden Angriffe beauftragt werden.

Die anfängliche Kompromittierung mit entsprechenden Strategien und Tools kann mit einem "normalen" Cyber-Angriff vergleichbar sein. Es ist jedoch wichtig zu beobachten, was als Nächstes geschieht, und schnell zu handeln. Angesichts der für 2022 prognostizierten zunehmenden Verquickung von Cyber-Kriminalität und Angriffen durch staatliche Stellen sollten Unternehmen die eigene Transparenz überprüfen und aus den auf ihre Branche zielenden Strategien und Angriffen der Akteure lernen.

Game of Thrones – Ransomware-Edition

Durch unabhängige Cyber-kriminelle Gruppen verschieben sich die Machtverhältnisse im RaaS-Ökosystem
Von John Fokker

Seit Jahren sorgen Ransomware-Angriffe als die wohl wirkungsvollsten Cyber-Bedrohungen für Schlagzeilen. Über das damalige RaaS-Modell (Ransomware-as-a-Service) fanden unerfahrenere Täter zur Cyber-Kriminalität, was schließlich zu mehr Kompromittierungen und höheren Gewinnen für die Kriminellen führte.

Lange Zeit galten RaaS-Administratoren und -Entwickler als vorrangige Zielgruppe, wobei Beteiligte vernachlässigt wurden, da sie als weniger versiert wahrgenommen wurden. Das und ein stabiles RaaS-Ökosystem waren die Grundlage dafür, dass sich diese weniger versierten Beteiligten zu sehr kompetenten Cyber-Kriminellen mit ganz eigenen Vorstellungen entwickeln konnten.

Als Reaktion auf den Angriff auf Colonial Pipeline haben beliebte Cybercrime-Foren die Werbung von Ransomware-Akteuren blockiert. Damit haben RaaS-Gruppen keine unabhängige Plattform mehr, auf der sie aktiv Mitstreiter anwerben, ihre Position zur Schau stellen, treuhänderische Dienste anbieten, die eigenen Binärdateien von Moderatoren testen lassen oder Streit schlichten können. Durch die fehlende Sichtbarkeit ist es für RaaS-Gruppen schwieriger geworden, sich einen Ruf aufzubauen, und für RaaS-Entwickler ist es schwieriger geworden, ihre derzeitige Spitzenposition im Untergrund zu behaupten.

Diese Entwicklungen schwächen ihre vertraute Position. Ransomware hat in den letzten Jahren mehrere Milliarden US-Dollar eingebracht, und es ist nur eine Frage der Zeit, bis der eine oder andere glaubt, dass er nicht seinen gerechten Anteil bekommt, und unzufrieden wird.

Wie in unserem Blog-Beitrag über die Groove Gang nachzulesen, sind erste Anzeichen dafür bereits sichtbar. Bei der Groove Gang handelt es sich um eine Gruppe Cyber-Krimineller, die sich vom klassischen RaaS verabschiedet hat und darauf spezialisiert ist, Computernetzwerke auszunutzen, vertrauliche Daten zu exfiltrieren, und – sofern es sich lohnt – in einem Ransomware-Team die Netzwerke von Unternehmen zu verschlüsseln.

Für 2022 wird erwartet, dass sich weitere unabhängige Cyber-kriminelle Gruppen bilden und die Machtverhältnisse innerhalb des RaaS-Ökosystems verschieben: weg von der Kontrolle der Ransomware, hin zur Kontrolle der Netzwerke von Opfern.

Ransomware für Dummies

Weniger versierte Akteure müssen angesichts der Verschiebung der Machtverhältnisse nicht kapitulieren
Von Raj Samani

Das RaaS-Ökosystem hat sich dank der Beteiligten, also dank der Mittelsmänner und -frauen, die für einen Anteil am Gewinn mit den Entwicklern zusammenarbeiten, weiterentwickelt. Während diese Struktur im Zuge der Entwicklung von GandCrab noch optimiert wurde, sind wir nun Zeuge der potenziellen Abgründe einer nicht ganz so perfekten Verbindung.

Bisher hatten die Ransomware-Entwickler das Heft in der Hand, da sie die Mitstreiter für ihre Operationen auswählen und zur Ermittlung der technischen Versiertheit sogar Bewerbungsgespräche führen konnten. Da immer mehr Akteure auf den Ransomware-Markt drängen, können die talentiertesten Mitstreiter inzwischen vermutlich ihre Dienste für einen größeren Anteil am Gewinn anbieten und womöglich ein größeres Mitspracherecht bei den Operationen verlangen.

So könnte beispielsweise durch die Einführung der Active Directory-Enumeration in DarkSide-Ransomware die Abhängigkeit vom technischen Fachwissen der Mitstreiter verringert werden. Diese Veränderungen deuten auf eine mögliche Rückkehr zu den Anfängen der Ransomware hin, bei der weniger versierte Akteure immer gefragter werden und das von Ransomware-Entwicklern kodierte Fachwissen nutzen.

Aber funktioniert das? Es ist natürlich eine Herausforderung, das technische Fachwissen eines versierten Penetrationstesters zu reproduzieren, und vielleicht – aber nur vielleicht – werden die Auswirkungen nicht ganz so verheerend sein wie bei den letzten Fällen.

APIs im Auge behalten

API-Services und Apps werden durch den 5G- und IoT-Datenverkehr immer lukrativere Ziele
Von Arnab Roy

Bedrohungsakteure ermitteln anhand von Unternehmensstatistiken und -trends Services und Anwendungen mit einem erhöhten Risikopotenzial. Cloud-Anwendungen haben unabhängig von ihrer Art (SaaS, PaaS oder IaaS) die Entwicklung und Nutzung von APIs durch Software-Entwickler sowohl in B2B-Szenarien als auch in B2C-Szenarien verändert. Einige Cloud-Anwendungen sind aufgrund ihrer Reichweite und Popularität und aufgrund der Fülle an geschäftskritischen Daten und Funktionen, die diese APIs in der Regel bergen, lukrative Ziele für Bedrohungsakteure. Zudem stellen APIs aufgrund ihrer Vernetzung ein zusätzliches Risiko für Unternehmen dar, da sie als Eindringungsvektor für groß angelegte Angriffe auf die Lieferkette genutzt werden.

Im Folgenden sind einige wichtige Risiken aufgeführt, die in Zukunft entstehen: 1. Konfigurationsfehler bei APIs, 2. Ausnutzung moderner Authentifizierungsmechanismen, 3. Weiterentwicklung herkömmlicher Malware-Angriffe zur besseren Nutzung von Cloud-APIs, 4. Potenzieller Missbrauch von APIs für Angriffe auf Unternehmensdaten und 5. Potenzial für Missbrauch durch die Nutzung von APIs für Software-definierte Infrastrukturen.

Die Entwicklung eines leistungsfähigen Bedrohungsmodells für die eigenen APIs und der Einsatz eines Zero-Trust-Zugriffskontrollmechanismus sollten neben entsprechenden Sicherheitsprotokollen und Telemetriedaten zur besseren Reaktion auf Zwischenfälle und zur Erkennung von Missbrauch für Entwickler an erster Stelle stehen.

Hijacker haben es auf Ihre Anwendungscontainer abgesehen

Eine verstärkte Ausnutzung von Containern führt zur Übernahme von Endgeräteressourcen
Von Mo Cashman

Container haben sich zur De-facto-Plattform für moderne Cloud-Anwendungen entwickelt. Für Unternehmen bieten sie Vorteile wie Portierbarkeit, Effizienz und Schnelligkeit, sodass Anwendungen zur Förderung von Innovationen im Unternehmen schneller bereitgestellt und verwaltet werden können. Durch den zunehmenden Einsatz von Containern vergrößert sich jedoch die Angriffsfläche eines Unternehmens. Nach welchen Techniken sollten Sie Ausschau halten, und welche Container-Risikogruppen werden ins Visier genommen? Die Ausnutzung öffentlicher Anwendungen (MITRE T1190) ist eine Technik, die häufig von APT- und Ransomware-Gruppen eingesetzt wird. Von der Cloud Security Alliance (CSA) wurden mehrere Container-Risikogruppen wie Images, Orchestratoren, Registrierung, Container, Host-Betriebssystem und Hardware ausgemacht.

Im Folgenden sind einige wichtige Risikogruppen aufgeführt, die in Zukunft voraussichtlich verstärkt ausgenutzt werden: 1. Risiken für Orchestratoren: Zunehmend Angriffe auf Orchestrator-Ebenen wie Kubernetes und entsprechende APIs in erster Linie aufgrund von Konfigurationsfehlern. 2. Risiko für Images oder die Registrierung: Zunehmende Nutzung von schädlichen Images oder Images mit installierter Backdoor aufgrund unzureichender Schwachstellenprüfungen. 3. Risiken für Container: Zunehmend Angriffe auf anfällige Anwendungen. Eine verstärkte Ausnutzung der aufgeführten Schwachstellen im Jahr 2022 könnte dazu führen, dass Endgeräteressourcen durch Crypto-Mining-Malware gekapert werden, andere Ressourcen ins Visier geraten, Daten gestohlen werden, Angreifer permanent aktiv sind und Container-Escapes an Host-Systeme erfolgen.

Keiner interessiert sich für Zero-Days

Die Zeit, die benötigt wird, um Schwachstellen in funktionierende Exploits umzufunktionieren, wird in Stunden gemessen, und Sie können nichts dagegen tun … außer patchen
Von Fred House

Das Jahr 2021 wird bereits als eines der schlimmsten Jahre in Bezug auf die Anzahl der ausgenutzten Zero-Day-Schwachstellen in freier Wildbahn bezeichnet. Das Ausmaß dieser Angriffe, die Vielfalt der angegriffenen Anwendungen und die Folgen für Unternehmen waren beachtlich. Mit Blick auf 2022 erwarten wir, dass diese Faktoren zu verkürzten Reaktionszeiten von Unternehmen führen.

Als wir 2020 erfuhren, dass etwa 17.000 SolarWinds-Kunden kompromittiert wurden und schätzungsweise 40 weitere betroffen waren, reagierten viele schockiert über das reine Ausmaß der Kompromittierung. Leider brachte das Jahr 2021 einen deutlichen Anstieg des Datenvolumens mit sich, und die Reaktionszeiten der Unternehmen waren nicht gerade berauschend. Ein Beispiel: Zwei Wochen nachdem Microsoft ProxyLogon gepatcht hatte, meldete das Unternehmen, dass noch immer 30.000 Exchange-Server gefährdet seien (weniger konservative Schätzungen gingen von 60.000 aus).

ProxyShell wurde später zum zweiten großen Ereignis des Jahres für Exchange. Im August folgte auf der Black Hat eine Präsentation, in der Schwachstellen in Exchange Server ausführlich beschrieben wurden, am nächsten Tag die Veröffentlichung eines Exploit-PoCs, das Microsoft bereits Monate zuvor im April/Mai gepatcht hatte. Die Analyse der von Shodan eine Woche nach der Veröffentlichung des Exploit-PoC erfassten Daten ergab, dass über 30.000 Exchange-Server immer noch gefährdet waren, wobei darauf hingewiesen wurde, dass die Daten möglicherweise nicht den gesamten Umfang abdeckten (Shodan hatte nicht die Zeit, das gesamte Internet zu scannen). Zusammenfassend lässt sich sagen: im Frühjahr gepatcht, im Herbst ausgenutzt.

Was können wir daraus lernen? Nun, sowohl Angreifer als auch Sicherheitsforscher werden ihre Kunst weiter optimieren, bis innerhalb weniger Stunden nach der Veröffentlichung einer Schwachstelle gezielte Exploits und PoCs zur Verfügung stehen. Im Gegenzug und vor allem wegen der immer schwerwiegenderen Folgen einer Kompromittierung ist beim Ressourcen- und Patch-Management mehr Sorgfalt zu erwarten. Unternehmen werden sich verstärkt darauf konzentrieren, die Zeit von der Identifizierung öffentlicher Ressourcen bis zur Bereitstellung und Installation von Patches trotz potenzieller Unterbrechungen der Geschäftsabläufe zu verkürzen. Auch wenn es unweigerlich weiterhin zu folgenschweren Ausnutzungen kommen wird, wird sich deren Ausmaß verringern, da immer mehr Unternehmen erkennen, dass sie besser geschützt sind, wenn sie auf eine Sicherheitstechnologie setzen, die schneller und effizienter lernt und sich schneller anpasst als Unternehmen von böswilligen Akteuren infiltriert werden können.