• Ransomware wird zunehmend von Hand gemacht und gezielt eingesetzt.
• Cyberkriminelle nutzen einfach verfügbare Tools, um Angriffe erfolgreich zu beenden.
• Die Bedrohung durch IOT- und mobile Malware ist unvermindert hoch.

„Die Bedrohungslandschaft entwickelt sich zweifellos weiter. Weniger qualifizierte Cyber-Kriminelle werden aus dem Geschäft gedrängt während die Stärksten unter ihnen ihr Spiel fortsetzen. Wir werden daher in der Zukunft weniger, aber intelligentere und stärkere Gegner haben. Den künftigen Internetkriminellen geht es nicht mehr um Spionage oder Sabotage, sondern um größtmöglichen Profit. “ sagt Joe Levy, CTO von Sophos.

Der Sophos 2019 Threat Report konzentriert sich auf die wichtigsten Erkenntnisse hinsichtlich des veränderten Verhaltens der Cyberkriminellen sowie auf künftige Herausforderungen für die Cybersicherheit. Einige Erkenntnisse im Einzelnen:

Lukrative, handgemachte Ransomware-Angriffe werden Nachahmer finden

2018 erlebten wir die Entwicklung von gezielten Ransomware-Angriffen, bei denen Cyberkriminelle Millionen von Dollar erbeuteten. Diese gezielten Angriffe unterscheiden sich deutlich von den üblichen Angriffen nach dem Gießkannenprinzip, bei denen die Erpressungssoftware automatisch durch Millionen von E-Mail-Bots verteilt wird. Gezielte Ransomware ist schädlicher, denn hier sind keine Bots mehr am Werk, sondern Menschen, die eine Strategie entwickelt haben, wie sie vorgehen und gegen wen. Im System des Opfers angekommen, sind sie in der Lage, Schutzfunktionen zu umgehen, Backups zu löschen und teilweise sogar eigene Spuren zu verwischen. So werden hohe Summen an Lösegeldern von den Opfern erpresst. Dieser "interaktive Angriffsstil", bei dem Gegner Schritt für Schritt manuell durch ein Netzwerk manövrieren, erfreut sich zunehmender Beliebtheit. Die Experten von Sophos glauben, dass der finanzielle Erfolg von SamSam, BitPaymer und Dharma Anreize für Nachahmerattacken schafft und für 2019 weitere Angriffe zu erwarten sind.

Cyberkriminelle setzen unsere eigenen Tools gegen uns ein

Der Report deckt eine weitere wegweisende Veränderung auf: Immer mehr Mainstream-Angreifer setzen APT-Techniken (Advanced Persistent Threat) ein, um leicht verfügbare IT-Tools zu nutzen, um in ein System vorzudringen und dort den Angriff abzuschließen – sei es um vertrauliche Informationen vom Server zu stehlen oder Ransomware zu platzieren.

• Eine Variante ist die Veränderung von Admin-Tools hin zu Cyber-Angriffstools. Cyberkriminelle verwenden integrierte Windows-IT-Verwaltungstools, einschließlich Powershell-Dateien und ausführbare Dateien von Windows Scripting, um Malware-Angriffe auszuführen.
• Cyberkriminelle spielen digitales Domino. Durch die Verkettung einer Reihe von verschiedenen Skripttypen, die am Ende der Ereignisserie einen Angriff ausführen, können Hacker eine Kettenreaktion auslösen, bevor IT-Manager erkennen, dass eine Bedrohung im Netzwerk aktiv ist. Sobald der Einbruch gelungen ist, wird es schwierig, die Ausführung der Schadware zu stoppen.
• Cyberkriminelle nutzen neuere Office-Angriffe, um Opfer anzulocken. Office-Exploits sind seit langem ein Angriffsvektor. Doch in letzter Zeit haben Cyberkriminelle alte Office-Dokumenten-Exploits zugunsten neuerer ausgetauscht.
• EternalBlue wird zu einem Schlüsselwerkzeug für Cryptojacking-Angriffe. Die Windows-Patches für diese erstmals von WannaCry genutzte Sicherheitslücke stehen seit anderthalb Jahren zur Verfügung. Dennoch ist der EternalBlue-Exploit immer noch ein Favorit der Internetkriminellen. Die Kopplung von EternalBlue an Cryptomining-Software ist ebenfalls ein Erfolgsmodell für Cyberkriminelle. Durch die Verteilung in den Unternehmensnetzwerken konnte der Cryptojacker schnell mehrere Maschinen infizieren, was die Zahlungen an Hacker und die Kosten für Benutzer dramatisch erhöhte.

Fortwährende Bedrohung durch mobile und IoT-Malware

Malware wirkt sich nicht nur auf die Infrastruktur des Unternehmens aus, da die Bedrohung durch mobile Malware zunimmt. Angesichts der Zunahme bösartiger Android-Apps hat 2018 ein verstärkter Fokus auf Malware gelegen, die auf Telefone, Tablets und andere IoT-Geräte übertragen wurde. Da Privathaushalte und Unternehmen immer mehr internetgebundene Geräte verwenden, haben Kriminelle neue Wege gefunden, um diese Geräte als Knotenpunkte bei großen Botnetzangriffen zu verwenden. Im Jahr 2018 demonstrierte VPNFilter die zerstörerische Wirkung von Malware-Waffen, die eingebettete Systeme und Netzwerkgeräte betrafen, die keine offensichtliche Benutzeroberfläche haben. Mirai Aidra, Wifatch und Gafgyt lieferten außerdem eine Reihe automatisierter Angriffe, die vernetzte Geräte als Knoten in Botnetzen für verteilte Denial-of-Service-Angriffe, Mining-Kryptowährung und Infiltrationsnetzwerke nutzten.

Weitere und detaillierte Informationen zu Bedrohungstrends und zum Verhalten von Cyberkriminellen finden Sie im vollständigen Threat-Bericht der SophosLabs 2019 unter www.sophos.de/threatreport

„Bei der Abwehr von Cyber-Angriffen wird man auch in Zukunft immer wieder vor Überraschungen stehen. Cyber-Kriminalität ist heute nicht nur ein lukratives Geschäft, sondern besticht auch zunehmend durch sehr gutes Design und hohe Intelligenz. Doch auch die Security-Branche entwickelt sich schnell. Beispielsweise durch Machine Learning, verhaltensbasierte Erkennung und die intelligente Vernetzung der Security, kann Sophos eine Vielzahl an modernen und hoch entwickelten Angriffen erkennen und abwehren. Die Security entwickelt sich rasch und ist in vielen Fällen bereits den Cyber-Kriminellen mindestens einen Schritt voraus“, erklärt Michael Veit, Security Experte bei Sophos.