[datensicherheit.de, 26.03.2025] Ontinue hat seinen aktuellen Threat Intelligence Report für das zweite Halbjahr 2024 veröffentlicht. Während die Zahl der Ransomware-Attacken in der zweiten Jahreshälfte erwartungsgemäß weiter stieg, sanken die Lösegeldzahlungen. Die Vishing-Angriffe hingegen „explodierten“ regelrecht.​

Aktuelle Trends und Entwicklungen im Cybersecurity-Bereich

Das ATO (Advanced Threat Operations)-Team von Ontinue hat seinen Halbjahresbericht vorgelegt, in dem es die aktuellen Trends und Entwicklungen im Cybersecurity-Bereich analysiert. Wie zu erwarten war, sind Ransomware-Attacken nach wie vor eines der beliebtesten Mittel von Hacker-Kollektiven und Cyberkriminellen. Ein beunruhigender Trend ist, dass die Hacker-Gruppen immer weniger auf reine Programmierkenntnisse setzen, sondern neuerdings vermehrt auf allgemeine IT-Skills. Potenzielle Hacker werden zunehmend nach ihren Fähigkeiten im Hinblick auf das Navigieren in Unternehmensnetzwerken, die Bewertung und Deaktivierung von Backups sowie das Hacken von Datenbanken und virtualisierten Umgebungen rekrutiert.

Anstieg von Ransomware-Attacken um 132% im letzten Halbjahr

Insgesamt sind Ransomware-Attacken im letzten Halbjahr um 132 % gestiegen, allerdings sind die Lösegeldzahlungen im Jahr 2024 um 35 % gefallen. Während 2023 noch 1,25 Milliarden US-Dollar in die Taschen von Cyberkriminellen flossen, um verschlüsselte Daten wieder freizukaufen, waren es im vergangenen Jahr nur noch rund 814 Millionen US-Dollar. Der Grund dafür liegt in besseren Backup-Strategien und Incident-Response-Plänen, allerdings auch in neuen Regularien, die Zahlungen zunehmend verbieten. Das alles führt zu einem Umdenken bei Hacker-Gruppen, die ihre Taktik nun anpassen: Anstatt die Daten lediglich zu verschlüsseln, stehlen sie diese und drohen, sie öffentlich zu machen, um Unternehmen zur Zahlung zu zwingen.

Vishing auf dem Vormarsch​

Der aktuelle Threat Intelligence Report von Ontinue enthüllt auch eine zunehmende Raffinesse beim Voice Phishing. Das sogenannte Vishing hat durch die immer leistungsfähigeren GenAI-Modelle, die Stimmen täuschend echt klonen können, ein neues Bedrohungslevel erreicht. Hacker verwenden die KI-Modelle, um realistische, aber eben gefälschte Deepfakes von Stimmen vertrauenswürdiger Personen zu erstellen. Damit ausgestattet, rufen sie ausgewählte Opfer an, fragen nach Anmeldedaten und bringen sie dazu, betrügerische Transaktionen zu genehmigen oder unautorisierten Zugriff zu Systemen zu gewähren.

Allein im ersten Quartal 2024 verzeichnete das ATO-Team von Ontinue einen Anstieg der Vorfälle, die im Zusammenhang mit Vishing stehen, um enorme 1.633 % im Vergleich zum vorherigen Quartal. Viele dieser Angriffe leiteten die Opfer auf gefälschte Microsoft-Support-Seiten, die häufig auf .shop-Domains gehostet wurden. Dort wurden die Benutzer aufgefordert, betrügerische Support-Nummern anzurufen.

Die aktuellen Vishing-Kampagnen verdeutlichen, wie Social Engineering in Kombination mit KI-basierten Deepfakes zu einer immer effektiveren Methode für Cyberkriminelle wird, um an sensible Daten zu kommen oder Zugang zu geschützten Systemen zu erhalten. Ontinue prognostiziert, dass Vishing auch im Jahr 2025 und darüber hinaus eine zunehmende Bedrohung darstellen wird.

Vorsicht ist auch bei legitimen Tools geboten​

Cyberkriminelle nutzen zunehmend legitime Tools wie Microsoft Quick Assist, eine Remote-Support-Software, und den Anmeldeassistenten Windows Hello für ihre Vishing-Angriffe. Durch den Einsatz von Social-Engineering-Taktiken geben sich Hacker als legitime Support-Mitarbeiter oder Kollegen aus und verwenden das fest im Betriebssystem integrierte Microsoft Quick Assist, um herkömmliche Sicherheitsvorkehrungen zu umgehen. In Angriffskampagnen haben Cyberkriminelle verstärkt Windows-Hello-Authentifizierungsschlüssel gestohlen, um Zugang zu PCs zu erhalten und darüber Zutritt zu Unternehmensnetzwerken zu erlangen.

Vorsicht beim Surfen im Internet

Auch beim Surfen im Internet bleibt Vorsicht geboten, wie die Untersuchungen des ATO-Teams von Ontinue zeigen. So kursieren immer mehr bösartige Browser-Erweiterungen, insbesondere für Google Chrome, die Malware zum Datenklau enthalten. Diese Bedrohungen sind besonders gefährlich, da sie selbst nach einer Neuinstallation des Systems bestehen bleiben können. Sie nisten sich in die von Google gespeicherten Browser-Profile der Nutzer ein. Wenn Nutzer ihren Browser neu installieren und die Voreinstellungen importieren, gelangt die Schadsoftware erneut auf den Rechner. Überdies sind Malvertising-Kampagnen, die User anweisen, bösartige PowerShell-Befehle zu kopieren und auszuführen, nach wie vor akut. Wer im Internet surft, sollte daher niemals Coding-Befehle einfach im „Ausführen“-Fenster eintragen und durchführen – auch wenn die Seite, von der sie stammen, noch so legitim aussieht.

Thierry Aubry, Head of Sales DACH & Nordics bei Ontinue, Bild: privat

„Cyberkriminelle beweisen einmal mehr ihre Innovationskraft und Anpassungsfähigkeit – von KI-basierten Täuschungsmanövern über neuartige Taktiken, Malware zu verbreiten, bis hin zu einfallsreichen Social-Engineering-Methoden“, warnt Thierry Aubry, Head of Sales DACH & Nordics bei Ontinue. „Unser aktueller Threat Intelligence Report unterstreicht die dringende Notwendigkeit für Unternehmen, ihre Cyberverteidigung gegen ausgeklügelte Phishing-, Vishing- und Malware-Attacken auszubauen. Auch ihre Schutzmaßnahmen gegen Ransomware und Datendiebstahl müssen sie erweitern. Wichtig bleibt allerdings die Sensibilisierung der Angestellten und Mitarbeitenden.“

[datensicherheit.de, 23.03.2025] Mimecast hat seinen „State of Human Risk“-Bericht veröffentlicht. Aus diesem geht demnach hervor, dass zwar über die Hälfte der deutschen Unternehmen (51%) erfolgreich eine Cyber-Sicherheitsstrategie verfolgt und sich die Sicherheit im Unternehmen dadurch verbessert hat. Dennoch befürchte die große Mehrheit der befragten Sicherheitsexperten (75%) KI-basierte Cyber-Angriffe auf ihr Unternehmen. Dieser Bericht basiere auf einer Umfrage unter 1.100 IT-Sicherheitsexperten und IT-Entscheidungsträgern in Unternehmen in Großbritannien, Frankreich, Deutschland, Südafrika und Australien. Er soll Unternehmen wichtige Einblicke in den Bereich Human Risk Management (HRM) bieten und ihnen konkrete Handlungsempfehlungen geben, wie sie ihre finanziellen Mittel einsetzen können, um ihre Cyber-Sicherheit weiter zu verbessern. Der Report zeige eine zunehmend komplexe Bedrohungslage für Unternehmen auf: „Die größten Gefahren gehen von Insider-Angriffen, Angriffen via Kollaborationstools sowie KI-basierten Angriffen aus. Durch die unzureichende Umsetzung von Cyber-Sicherheitsstrategien bleiben viele der Sicherheitsrisiken weiter bestehen.“

Weitere Erkenntnisse aus dem Reports zum deutschen Markt:

• Unternehmen priorisierten bei ihren Ausgaben für Cyber-Sicherheit Kollaborationstools, IT-Personal sowie sogenannte Governance und Compliance
  86 Prozent der Unternehmen hätten im letzten Jahr, 2024, ihr Budget für Cyber-Sicherheit erhöht. 56 Prozent der Unternehmen priorisierten dabei die Sicherung von Kollaborationstools wie „Teams“ und „Slack“.
  Für 95 Prozent der Befragten seien diese Tools für die Arbeit in ihrem Unternehmen zwar unverzichtbar, 76 Prozent gäben jedoch an, dass sie auch Sicherheitslücken verursachten. 67 Prozent berichteten, dass Mitarbeiter in ihren Unternehmen auch nicht-autorisierte Kollaborationstools verwendeten.
  Unternehmen priorisierten bei ihren Ausgaben zudem E-Mail-Sicherheit (43%) sowie „Governance und Compliance“ (37 Prozent). Großunternehmen beschäftigten meist über 30 IT-Sicherheitsmitarbeiter, die Mehrheit der kleineren Unternehmen im Durchschnitt einen bis zehn.
• Phishing-, Insider- und KI-gestützte Angriffe stellten Unternehmen vor große Probleme
  75 Prozent der Befragten befürchteten KI-gestützte Cyber-Angriffe auf ihr Unternehmen. 65 Prozent glaubten, dass ein solcher Angriff innerhalb der nächsten zwölf Monate erfolgen werde.
  Darüber hinaus erwarteten 66 Prozent, dass es in den nächsten zwölf Monaten zu einem Anstieg des Datenverlusts in ihrer Organisation kommen werde – mit einem durchschnittlichen finanziellen Schaden in Höhe von 13,9 Millionen US-Dollar (entsprechend 12,8 Millionen Euro).
• Menschliches Fehlverhalten sei weiterhin das größte Sicherheitsrisiko
  83 Prozent der Befragten gäben an, dass Mitarbeiter mindestens vierteljährlich in der Erkennung von Cyber-Angriffen geschult würden. Dennoch bestünden große Compliance-Hürden: 39 Prozent bemängelten eine unzureichende Sensibilisierung für Bedrohungen.
  Hauptsächliche Risiken seien die Nutzung privater E-Mails während der Arbeit (89%), versehentlicher Datenverlust (91%), schlechte Passwortverwaltung (85%) und ungesicherte Netzwerke (88%).
• KI-gesteuerte Sicherheitslösungen auf dem Vormarsch
  Unternehmen setzten zunehmend auf vernetzte HRM-Plattformen und KI-Abwehrmaßnahmen.
  Zu den wichtigsten KI-gesteuerten Abwehrmaßnahmen zählten KI-gestützte Überwachungstools (46%), Mitarbeiterschulungen zu KI-Bedrohungen (45%) und simulierte KI-gesteuerte Phishing-Angriffe (42%).

Schlussfolgerung aus Report-Ergebnissen: Implementierung einer umfassenden HRM-Strategie muss oberste Priorität haben

„Wenn man berücksichtigt, dass 80 Prozent aller Sicherheitsvorfälle von gerade einmal acht Prozent der Nutzer verursacht werden, dann ist klar, dass die Implementierung einer umfassenden ,Human Risk Management’-(HRM)-Strategie oberste Priorität für Sicherheitsverantwortliche hat in diesem Jahr“, betont Masha Sedova, VP, „Human Risk Strategist“ bei Mimecast.

Sedova führt weiter aus: „Trotz der komplexen Herausforderungen, mit denen Unternehmen konfrontiert sind, wie zum Beispiel ein erhöhtes Risiko für Insider-Angriffe, für Angriffe via Kollaborationstools und für komplexe KI-Angriffe, gibt es Maßnahmen, die Sicherheitsexperten ergreifen können, um diese Risiken zu mindern und ihre Unternehmen zu schützen: HRM-Tools und maßgeschneiderte Mitarbeiterschulungen, verbesserte KI-Fähigkeiten und Schutzmaßnahmen gegen ,Business Email Compromise’-Betrugsfälle sind nur einige Beispiele.“

Mimecasts KI-gestützte, API-fähige und vernetzte HRM-Plattform sei beispielswiese speziell dafür entwickelt worden, um Unternehmen vor einer Vielzahl von aktuellen sowie zukünftigen Angriffen zu schützen.

Weitere Informationen zum Thema:

mimecast
The State of Human Risk 2025 / Sicherheitsverantwortliche haben sich weiterentwickelt

mimecast
Die vernetzte Risiko-Management-Plattform / Sichern Sie Ihr Unternehmen effektiver, indem Sie die Punkte zwischen Mensch und Technologie verbinden

[datensicherheit.de, 15.03.2025] In den meisten deutschen Unternehmen gibt es deutlich mehr maschinelle als menschliche Identitäten, und diese Schere wird in den kommenden Monaten noch weiter auseinandergehen. Beim Schutz der maschinellen Identitäten tun sich die Unternehmen jedoch schwer – mehr als ein Drittel hat bereits Probleme damit, einen Überblick über sie zu erhalten. Das führt unter anderem zu Verzögerungen bei der Bereitstellung neuer Anwendungen, zu Compliance-Verstößen und zu IT-Störungen, die die Kundenbeziehung negativ beeinflussen, wie aus dem 2025 State of Machine Identity Security Report von CyberArk hervorgeht.

Starke Zunahme unter anderem durch Verbreitung von Künstlicher Intelligenz

Maschinenidentitäten inklusive Zertifikate, Schlüssel, Secrets und Zugriffstoken nehmen durch die Verbreitung von Künstlicher Intelligenz (KI), cloudbasierte Innovationen und kürzere Lebenszyklen der Identitäten rasant zu. Unternehmen können mit dieser Entwicklung nur schwer Schritt halten. Zusätzlich bergen isolierte Ansätze zur Sicherung von Maschinenidentitäten ihre eigenen Risiken. Der Report zeigt die geschäftlichen Auswirkungen auf, die entstehen, wenn Maschinenidentitäten nicht effektiv gesichert werden, sodass Unternehmen anfällig für kostspielige Ausfälle und Sicherheitsverletzungen sind. CyberArk befragte mehr als 1.200 Sicherheitsverantwortliche in Deutschland, Frankreich, Großbritannien, den USA, Australien und Singapur.

Die wichtigsten Erkenntnisse im Überblick

Die Häufigkeit von Ausfällen steigt dramatisch an: Fast drei Viertel (73 %) der Befragten hatten im vergangenen Jahr mindestens einen zertifikatsbedingten Ausfall zu verzeichnen. Bei 66 Prozent kommt es zu monatlichen und bei 38 Prozent sogar zu wöchentlichen Ausfällen.

• Kompromittierte Maschinenidentitäten haben erhebliche Auswirkungen auf die Geschäftsabläufe: Fast die Hälfte (48 %) der deutschen Security-Entscheider berichtet von Sicherheitsvorfällen im Zusammenhang mit kompromittierten Maschinenidentitäten im vergangenen Jahr. Die Auswirkungen reichten von Verzögerungen bei der Bereitstellung neuer Anwendungen (48 %) über Ausfälle und Störungen, die die Kundenbeziehung beeinträchtigten (41 %), bis hin zu nicht autorisiertem Zugriff auf sensible Daten und Netzwerke (26 %).
• Die Zahl maschineller Identitäten wächst rasant: In drei Viertel der deutschen Unternehmen gibt es bereits mindestens doppelt so viele maschinelle wie menschliche Identitäten. Bei einem Viertel sind es sogar mindestens zehnmal so viele. Und ein Ende des Wachstums ist nicht in Sicht: Mehr als drei Viertel (77 %) der Security-Entscheider erwarten, dass die Zahl der maschinellen Identitäten in den nächsten zwölf Monaten um bis zu 150 Prozent steigen wird.
• KI sorgt für Herausforderungen beim Schutz maschineller Identitäten: Zwei Drittel der Security-Entscheider stimmen der Aussage zu, dass die schnelle Einführung von KI und Cloud-nativen Technologien die Komplexität und Risiken, die maschinelle Identitäten mit sich bringen, erhöhen. 73 Prozent glauben zudem, dass Maschinenidentitäten eine entscheidende Rolle dabei spielen werden, zukünftige KI-Anwendungen sicher zu betreiben – nicht zuletzt angesichts der wachsenden Bedeutung von KI-Agenten. 72 Prozent geben an, dass der Schutz vo n KI-Modellen vor Manipulation und Diebstahl bedeutet, dass die Authentifizierung und Autorisierung von Maschinenidentitäten stärker berücksichtigt werden müssen.
• Die Programme für Machine Identity Security sind noch nicht ausgereift: Zwar haben 89 Prozent der deutschen Unternehmen bereits irgendeine Form von Identity-Security-Programm für Maschinenidentitäten implementiert, doch meist sind diese noch nicht ausgereift – die Mehrzahl der Unternehmen hat Schwierigkeiten, maschinelle Identitäten zu verwalten. 36 Prozent tun sich schwer damit, ein korrektes Inventar aller Maschinenidentitäten anzulegen. 31 Prozent haben keinen Überblick, wie die Identitäten genutzt werden. Und 29 Prozent sind nicht in der Lage, Maschinenidentitäten schnell zu widerrufen und zu ersetzen.
• Große Sorgen um die Sicherheit von Maschinenidentitäten: Fast die Hälfte (45 %) der deutschen Security-Entscheider fürchtet, dass Angreifer gestohlene Maschinenidentitäten nutzen könnten, um manipulierte Updates zu verbreiten, sich zusätzliche Berechtigungen zu sichern oder Man-in-the-Middle-Angriffe durchzuführen. 42 Prozent der Befragten sorgen sich, dass das Fehlen einer kohärenten Sicherheitsstrategie für maschinelle Identitäten zu Lücken im Schutz führen könnte. Und 31 Prozent stehen vor Herausforderungen aufgrund der immer kürzeren Lebenszyklen von maschinellen Identitäten – unter anderem durch das Bestreben von Anbietern wie Google und Apple, die Gültigkeitsdauer von Zertifikaten zu verkürzen.
• Silo-Ansatz zur Absicherung von Maschinenidentitäten verursacht Risiken: Wo mehrere Tools zur Sicherung von Maschinenidentitäten in Unternehmen eingesetzt werden, entstehen Ineffizienzen, Risiken und Verwaltungsprobleme. So wurde im Report festgestellt, dass die Zuständigkeiten für die Prävention von Kompromittierungen im Zusammenhang mit Maschinenidentitäten auf die Teams für Sicherheit (51 %), Development (26 %) und Plattformen (18 %) verteilt sind.

„Die Zahl maschineller Identitäten wird weiter schnell wachsen, was nicht nur die Komplexität erhöht, sondern auch das Risiko“, betont Michael Kleist, Area Vice President CEE bei CyberArk. „Cyberkriminelle haben es zunehmend auf Maschinenidentitäten abgesehen – von API-Schlüsseln bis hin zu Code-Signatur-Zertifikaten – um Schwachstellen auszunutzen, Systeme zu kompromittieren und kritische Infrastrukturen zu stören. Diese Studie unterstreicht die Dringlichkeit für Sicherheitsverantwortliche, eine umfassende, durchgängige Sicherheitsstrategie für Maschinenidentitäten zu entwickeln, die sich mit den wichtigsten nicht-menschlichen Identitäten befasst, um potenzielle Angriffe und Ausfälle zu verhindern – insbesondere, da die Zahl der KI-Agenten weiter steigt.“

Weitere Informationen zum Thema:

CyberArk
2025 State of Machine Identity Security Report

datensicherheit.de, 04.04.2024
Bedeutung des Identitätsmanagements: Identity Management Day 2024 soll Authentizität und Sicherheit betonen

datensicherheit.de, 12.03.2025
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten

[datensicherheit.de, 13.03.2025] Check Point® Software Technologies Ltd. hat seinen Global Threat Index für Februar 2025 veröffentlicht. Abermals zeigt sich eine drastische Veränderung in der deutschen Malware-Landschaft. War im Januar noch Formbook mit 16,5 Prozent der dominierende Schädling, ist nun nicht nur der Infostealer aus der Top 3 verschwunden – auch die nachfolgenden Plätze wurden durch FakeUpdates und AsyncRat neu besetzt. Bei letzterem handelt es sich um einem Remote Access Trojaner, der auch international zunehmend Systeme kompromittiert. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann.

Sicherheitsforscher von Check Point Research (CPR) haben beobachtet, dass der aufstrebende Trojaner AsyncRAT in professionellen Kampagnen eingesetzt wird, die Plattformen wie TryCloudflare und Dropbox zur Verbreitung von Malware nutzen. Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien.

Maya Horowitz, VP of Research bei Check Point Software, kommentiert: „Cyberkriminelle nutzen legitime Plattformen, um Malware zu verbreiten und einer Entdeckung zu entgehen. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen implementieren, um die Risiken solcher sich entwickelnden Bedrohungen zu mindern.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.

1. ↑ Androxgh0st (2,07 %) – AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.
2. ↑ FakeUpdates (2,04 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.
3. ↑ AsyncRat (1,83 %) – AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Meist angegriffene Branchen und Sektoren in Deutschland:

1. Bildung
2. ↑ Gesundheitswesen und Medizintechnik
3. Biotechnologie und Pharmazeutik

Top Mobile Malware

1. Anubis – Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.
2. ↑ Necro – Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.
3. ↓ AhMyth – AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Wichtigste Ransomware-Gruppen

Clop bleibt die am weitesten verbreitete Ransomware-Gruppe und ist für 35 Prozent der identifizierten Angriffe verantwortlich. Es folgen RansomHub und Akira auf den Plätzen 2 und 3.

1. Clop – Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.
2. ↑ RansomHub – RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.
3. ↑ Akira – Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.

Weitere Information zum Thema:

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Check Point Blog
February 2025’s Malware Spotlight: AsyncRAT Emerges, Targeting Trusted Platforms

[datensicherheit.de, 12.03.2025] Sysdig hat heute seinen jährlichen 2025 Cloud-Native Security and Usage Report veröffentlicht. Die Analyse bietet tiefgehende Einblicke in aktuelle Trends zur Cloud-Sicherheit und -Nutzung und zeigt sowohl signifikante Fortschritte als auch dringende Handlungsfelder für Unternehmen auf, z.B. bei Identitäten

Unternehmen machen messbare Fortschritte in den Bereichen Identitäts- und Schwachstellenmanagement

Laut dem Bericht machen Unternehmen jeder Größe und Branche in Nordamerika, EMEA und APJ messbare Fortschritte in den Bereichen Identitäts- und Schwachstellenmanagement, KI-Sicherheit sowie Threat Detection and Response. Gleichzeitig führen die zunehmende Nutzung von KI und die wachsende Cloud-Infrastruktur zu neuen Herausforderungen, darunter die steigende Komplexität von Maschinenidentitäten, überladene Container-Images und automatisierte Angriffe.

Fortschritte in der Cloud-Sicherheit: Verteidiger gewinnen an Boden

• KI-Nutzung wächst – Sicherheit bleibt Priorität: Der Einsatz von KI- und Machine-Learning-Workloads ist im vergangenen Jahr um 500 Prozent gestiegen. Gleichzeitig hat sich der Anteil an generativen KI-Paketen mehr als verdoppelt. Trotz dieses schnellen Wachstums sank die öffentliche Angriffsfläche um 38 Prozent, was auf eine verstärkte Absicherung von KI-Anwendungen hinweist.
• Schnellere Bedrohungserkennung und Reaktion: Erfahrene Sicherheitsteams erkennen Bedrohungen mittlerweile in weniger als fünf Sekunden und leiten innerhalb von durchschnittlich 3,5 Minuten Gegenmaßnahmen ein – schneller als das historische Zehn-Minuten-Fenster, das Angreifern bislang einen Vorteil verschaffte. Die „555 Cloud Detection and Response Benchmark“ zu erreichen ist damit nicht nur möglich, sondern unabdinglich.
• Schwachstellenmanagement wird gezielter: Der Anteil aktiv ausgenutzter Schwachstellen ist auf unter 6 Prozent gesunken – ein Rückgang um 64 Prozent in den letzten zwei Jahren. Unternehmen konzentrieren sich zunehmend darauf, tatsächlich ausnutzbare Schwachstellen in produktiven Umgebungen zu schließen und ihre Sicherheitsstrategie zu optimieren.
• Open-Source-Sicherheit etabliert sich als Standard: Unternehmen weltweit setzen verstärkt auf Open-Source-Sicherheitstools wie Kubernetes, Prometheus und Falco. Mehr als 60 Prozent der Fortune-500-Unternehmen nutzen Falco zur Absicherung ihrer Cloud-Infrastrukturen, was das wachsende Vertrauen in Open-Source-Sicherheitsstandards unterstreicht.

Herausforderungen für das kommende Jahr

• Maschinenidentitäten sind eine wachsende Schwachstelle: Mit 40.000-mal mehr Maschinen- als menschlichen Identitäten vergrößert sich die Angriffsfläche erheblich. Zudem sind Maschinenidentitäten 7,5-mal anfälliger – eine alarmierende Entwicklung, da fast 40 Prozent aller Sicherheitsverletzungen mit kompromittierten Zugangsdaten beginnen.
• Container-Lebenszyklen verkürzen sich, Angreifer sind trotzdem schnell genug: Erstmals haben 60 Prozent aller Container eine Lebensdauer von weniger als 60 Sekunden. Während diese kurzlebigen Workloads die Agilität erhöhen, nutzen Angreifer automatisierte Erkundungstechniken, um Schwachstellen in Echtzeit auszunutzen. Eine sofortige Bedrohungserkennung ist daher wichtiger denn je.
• Überladene Container-Images erhöhen das Risiko: Die durchschnittliche Größe von Container-Images hat sich verfünffacht, was unnötige Sicherheitsrisiken und ineffiziente Betriebsprozesse mit sich bringt. Größere Images erweitern die Angriffsfläche und erhöhen die Betriebskosten, was die Notwendigkeit schlankerer, effizienter Container-Lösungen betont.
• Angreifer setzen ebenfalls auf Open Source: Während Open-Source-Sicherheitstools für Unternehmen unverzichtbar geworden sind, nutzen Cyberkriminelle weiterhin Open-Source-Malware und setzen Open-Source-Software gezielt als Angriffsvektor ein – eine Entwicklung, die bereits im „2024 Global Threat Year-in-Review“ von Sysdig beobachtet wurde.

„Cybersecurity war schon immer ein Wettrüsten zwischen Angreifern und Verteidigern – doch das Schlachtfeld verändert sich“, erklärt Crystal Morin, Cybersecurity Strategist bei Sysdig. „Unternehmen haben enorme Fortschritte gemacht, insbesondere durch die verkürzten Reaktionszeiten auf Bedrohungen. Doch mit der wachsenden Zahl von Maschinenidentitäten und der sich dynamisch entwickelnden Cloud-Umgebung sind Automatisierung und schnelles Reaktionsvermögen wichtiger denn je. Die Daten dieses Berichts stimmen mich jedoch optimistisch für die Zukunft der Cyberabwehr.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2024
Cloud-Sicherheit unter sich verändernden Rahmenbedingungen

Sysdig
2025 Cloud-Native Security and Usage Report

Sysdig
2025 is Cloud Security’s Breakthrough Year

[datensicherheit.de, 13.01.2025] Bei 57 Prozent der erfolgreichen Angriffe haben Cyber-Kriminelle nach aktuellen Erkenntnissen der Varonis Systems Inc. ein kompromittiertes Nutzerkonto missbraucht, um Zugang auf die Systeme zu erhalten. Dies habe die Analyse von 35 der US-amerikanischen Börsenaufsicht gemeldeten Cyber-Vorfälle zwischen Januar und August 2024 ergeben, welche von Varonis nach eigenen Angaben in dem Report „The Identity Crisis: An in-depth report of cyberattacks in 2024“ vorgestellt wird. Das Ziel der meisten Vorfälle seien dabei die wertvollen Unternehmensdaten gewesen – allen voran personenbezogene Daten (54%) gefolgt von Gesundheitsinformationen (23%).

Abbildung: Varonis Systems Inc.

„The Identity Crisis: An in-depth report of cyberattacks in 2024“ steht zum Download bereit (s.u.)

Untersuchungen der Cyber-Angriffe dauern oft Wochen und Monate an

Die Analyse habe zudem ergeben, dass auch Wochen und Monate nach dem Vorfall 85 Prozent der Angriffe noch untersucht würden. Dies deute zum einen auf die Komplexität der Untersuchungen gepaart mit mangelnden Forensik-Möglichkeiten hin, zum anderen bedeute dies auch, dass weitaus mehr als jeder zweite Angriff über ein kompromittiertes Konto erfolgt sein könnte.

Cyber-Kriminelle verschaffen sich mittels ergaunerter Anmeldeinformationen Zugang

„Die Zahlen unterstrichen einen Trend, den unser ,Incident Response Team’ schon seit geraumer Zeit beobachtet: Cyber-Kriminelle brechen immer seltener ein, stattdessen nutzen sie ergaunerte Anmeldeinformationen, um sich in die Systeme ihrer Opfer einzuloggen“, berichtet Volker Sommer, „Regional Sales Director DACH“ von Varonis.

Ohne intelligente Analyse des Nutzerverhaltens kaum eine Chance, sich cyber-krimineller Angriffe zu erwehren

Dies mache ihre Entdeckung prinzipiell schwieriger, da es sich ja um scheinbar legitime Insider handele, welche sich mit gewissen Rechten ausgestattet in der Infrastruktur bewegten. Sommer warnt abschließend: „Ohne eine intelligente Analyse des Nutzerverhaltens hat man kaum eine Chance, diesen Kriminellen schnell auf die Schliche zu kommen.“

Weitere Informationen zum Thema:

VARONIS
THE IDENTITY CRISIS / An in-depth report of cyberattacks in 2024

[datensicherheit.de, 23.08.2024] Der aktuelle WithSecure-Report soll einen „detaillierten Einblick in die neuesten Entwicklungen der Welt der Ransomware“ bieten. Als eines der zentralen Ergebnisse aus der ersten Hälfte des Jahres 2024 kann demnach festgehalten werden, „dass die Produktivität der Ransomware-Branche nach ihrem Höhepunkt Ende 2023 nicht mehr ansteigt“. Außerdem zeigten sich interessante Entwicklungen bei Angriffszielen und Branchendynamik. Der Bericht geht auch auf das anhaltende Problem der Reinfektion ein – eine Erkenntnis sei: „Die Daten zeigen, dass ein erheblicher Prozentsatz der Unternehmen, die Lösegeld gezahlt haben, später erneut von denselben oder anderen Ransomware-Gruppen angegriffen wurden.“

Deutliche Verlagerung der Ransomware-Angriffe auf KMU

Während die Produktivität von Ransomware 2024 offenbar eher nachlässt, seien die Häufigkeit der Angriffe und die Höhe der eingenommenen Lösegeldzahlungen in der ersten Hälfte des Jahres 2024 im Vergleich zu den gleichen Zeiträumen der beiden Vorjahre weiter gestiegen. „Es gibt eine deutliche Verlagerung hin zu kleinen und mittleren Unternehmen, die nun einen größeren Anteil der Ransomware-Opfer ausmachen“, erläutert Tim West, „Director of Threat Intelligence and Outreach“ bei WithSecure.

Klar sei: Strafverfolgungsmaßnahmen, insbesondere die Zerschlagung der „LockBit“-Ransomware-Gruppe im Februar 2024, hätten eine entscheidende Rolle bei der Unterbrechung großer Ransomware-Operationen gespielt. Diese Bemühungen hätten zur Beschlagnahmung bedeutender Vermögenswerte und zur Zerstörung kritischer Infrastrukturen auf Seiten der Ransomware-Gruppen geführt.

Langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem indes noch ungewiss

Trotz dieser Unterbrechungen blieben langfristige Auswirkungen der Strafverfolgung auf das Ransomware-Ökosystem ungewiss, da sich die Gruppen meist anpassten und weiterentwickelten. Der Report zeige insbesondere für die Zeit seit Juni 2024 vermehrt Hinweise auf eine Umbauphase bei „LockBit“ auf. Im Ergebnis ziehen die Autoren den Schluss, dass „LockBit“ mit großer Sicherheit beabsichtige, mit einem robusteren Betriebsmodell in die Branche zurückzukehren.

Der Bericht untersuche die Architektur von RaaS-Kollektiven (Ransomware-as-a-Service) und hebe den zunehmenden Wettbewerb zwischen Ransomware-Franchises hervor, um Partner anzuziehen. Nach dem Niedergang prominenter Gruppen wie „LockBit“ und „ALPHV“ hätten sich viele neue „nomadische“ Ransomware-Affiliates mit etablierteren RaaS-Marken zusammengeschlossen.

Häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure

„Das Vertrauen innerhalb der cyber-kriminellen Gemeinschaft ist wahrscheinlich aufgrund von Vorfällen wie dem mutmaßlichen Exit-Scam von ,ALPHV’, bei dem Partner um ihre Einnahmen betrogen wurden, erheblich geschwächt worden. Das verkompliziert die Dynamik innerhalb des Ransomware-Ökosystems weiter“, so West.

Ein bemerkenswerter festgestellter Trend sei die zunehmende Nutzung des Erstzugriffs über die Ausnutzung sogenannter Edge-Dienste, wie in früheren WithSecure-Untersuchungen beschrieben, sowie die häufige Verwendung von Fernverwaltungs-Tools durch Ransomware-Akteure.

Weitere Informationen zum Thema:

WithSecure Intelligence, Stephen Robinson, 12.06.2024
Mass exploitation: The vulnerable edge of enterprise security

WithSecure Intelligence, Tim West, 22.08.2024
Ransomware Landscape H1/2024

datensicherheit.de, 08.04.2024
Lockbit-Ransomware-Gruppe: Zerschlagung wohl nur kurzfristiger Erfolg / Bereits Anfang März 2024 hat sich die gefährliche Hacker-Gruppe Lockbit zurückgemeldet

datensicherheit.de, 22.02.2024
LockBit-Zerschlagung: Strafverfolgungsbehörden senden klare Botschaft an andere Malware-Betreiber / Ransomware-Gruppierung LockBit hatte auch Krankenhäuser bzw. Kritische Infrastrukturen attackiert

datensicherheit.de, 22.02.2024
LockBit versuchte durch Innovation die Oberhand zu behalten / Reihe von logistischen, technischen und rufschädigenden Problemen forderte LockBit-Ransomware-Gruppierung heraus

datensicherheit.de, 21.02.2024
LockBit zerschlagen – Phönix aus der Asche als Ransomware-Bedrohungsszenario / Richard Cassidy kommentiert Ransomware-Gruppen im Zyklus von Zerschlagung und Auferstehung

[datensicherheit.de, 26.06.2024] Laut einer umfassende Analyse von BlackBerry nehmen Cyber-Angriffe mit neuartiger Malware demnach pro Minute um 40 Prozent zu: Zwischen Januar und März 2024 seien pro Minute 5,2 solcher Angriffe registriert worden. BlackBerry hat am 26. Juni 2024 seinen neuesten „Global Threat Intelligence Report“ veröffentlicht – dieser zeige auf, dass die Cybersecurity-Lösungen von Blackberry im ersten Quartal 2024 rund 3,1 Millionen Cyber-Angriffe (37.000 pro Tag) erkannt und abgewehrt hätten. Zwischen Januar und März 2024 habe BlackBerry 630.000 Malware-Hashes entdeckt – eine Steigerung von 40 Prozent gegenüber dem vorherigen Berichtszeitraum. Mehr als die Hälfte der erfassten Cyber-Angriffe (60%) habe Kritische Infrastrukturen (KRITIS), darunter Behörden, das Gesundheitswesen, den Finanzsektor und die Telekommunikation getroffen – von diesen Angriffen seien 40 Prozent allein auf den Finanzsektor entfallen.

Abbildung: BlackBerry

BlackBerry hat „Global Threat Intelligence Report“ für den Berichtszeitraum September bis Dezember 2023 herausgegeben

Laut interner Daten von BlackBerry 82 Prozent der Angriffe auf USA gerichtet

Weltweit seien die USA am stärksten von Cyber-Angriffen betroffen gewesen: „Laut den internen Daten von BlackBerry waren im aktuellen Berichtszeitraum 82 Prozent der Angriffe auf das Land USA gerichtet. Zudem enthielten 54 Prozent dieser Angriffe einzigartige (neue) Malware.“ Die eingesetzte Schadsoftware sei zuvor also noch nicht entdeckt worden.

Die Rate der Cyber-Angriffe mit neuartiger Malware pro Minute sei um 40 Prozent gestiegen: „Im Vergleich zum vorherigen Berichtszeitraum verzeichnet BlackBerry bei der Zahl der neuartigen Hashes (einzigartige Malware) pro Minute einen Anstieg von 40 Prozent.“ Das entspreche durchschnittlich 7.500 einzigartigen Malware-Samples pro Tag beziehungsweise 5,2 pro Minute, welche sich gegen Kunden von BlackBerry gerichtet hätten.

BlackBerry sieht Zunahme der Bedrohungen für Privatunternehmen

Bedrohungen für Privatunternehmen nähmen langsam, aber sicher zu: „36 Prozent aller erfassten Cyber-Angriffe zielten auf Unternehmen (einschließlich Einzelhandel, Fertigung, Automobilindustrie und professionelle Dienstleistungen) – eine Steigerung von drei Prozent gegenüber dem vorherigen Berichtszeitraum.“ Dieser Sektor habe jedoch einen Anstieg von zehn Prozent bei Fällen mit neuer Malware gesehen. Unternehmen blieben ein Ziel für Bedrohungsakteure, welche immer raffinierter vorgingen und häufig „Social Engineering“ einsetzten, um an Zugangsdaten von Accounts zu gelangen und Malware zu verbreiten.

Common Vulnerabilities and Exposures (CVE) seien schnell in allen Formen von Malware ausgenutzt worden – besonders bei Ransomware und Infostealern (CVE ist ein standardisiertes System zur Identifizierung, Katalogisierung und Bekanntmachung von Sicherheitslücken und -risiken). Von den im aktuellen Berichtszeitraum gemeldeten 8.900 CVE hätten 56 Prozent bei einem Höchstwert von zehn einen Schweregrad von sieben erhalten. „Gegenüber dem vorherigen Berichtszeitraum entspricht das einer Steigerung von drei Prozent.“ Trotz „Takedowns“ richteten Ransomware-Gruppen weiterhin Chaos an: „Weltweit waren im aktuellen Berichtszeitraum die drei aktivsten Ransomware-Gruppen ,LockBit’, ,Hunters International’ und ,8Base’.“

BlackBerry Threat Intelligence and Research Team warnt: Bedrohungsakteure werden weiter umfangreiche Maßnahmen ergreifen, um Opfer zu finden

All diese Bedrohungen seien durch das weltweit politisch aufgeladene Jahr verstärkt worden, in dem Desinformations- und Deepfake-Kampagnen in den Sozialen Medien weiterhin allgegenwärtig sein würden. „Die russische Invasion in der Ukraine, die andauernden Konflikte im Nahen Osten und die Wahlen in vielen Ländern der Welt werden die dominierenden Faktoren dafür sein, wie Bedrohungsakteure ihre Ziele und Methoden anpassen.“

Basierend auf seiner Datenanalyse sagt das „BlackBerry Threat Intelligence and Research Team“ nach eigenen Angaben voraus, dass Bedrohungsakteure weiterhin umfangreiche Maßnahmen ergreifen würden, um potenzielle Opfer gezielt ins Visier zu nehmen. Die Zunahme neuer Ransomware und Infostealer zeige außerdem: „Private Daten bleiben bei Bedrohungsakteuren auch in Zukunft sehr begehrt, wobei Sektoren wie das Gesundheitswesen und die Finanzdienstleistungsbranche zu den Top-Zielen gehören werden.“

Ismael Valenzuela, „Vice President of Threat Research and Intelligence“ bei BlackBerry, kommentiert: „Jede Ausgabe unseres Reports bringt neue, erschreckende Trends ans Licht: Die Zahl neuartiger Malware nimmt weiter zu, ohne Anzeichen dafür, dass das aufhört. Zudem sind Bedrohungsakteure sehr motiviert, sei es aus finanziellen Gründen oder um Chaos zu stiften.“ Er führt abschließend aus: „In einem Jahr, in dem über 50 Länder einzelne Wahlen abhalten, geopolitische Spannungen auf einem Höchststand sind und jede Nation bald auf die Olympischen Spiele fixiert sein wird, kann die Bedrohungslage überwältigend erscheinen.“ Ihr Report gebe einen Überblick darüber, „worauf Bedrohungsakteure abzielen, wie sie vorgehen und was wir in den kommenden Monaten erwarten können“. So könnten Verteidiger einen Schritt voraus sein.

Weitere Informationen zum Thema:

BlackBerry
Global Threat Intelligence Report / Laden Sie die März 2024 Edition herunter / Berichtszeitraum: September – Dezember 2023

BlackBerry Cybersecurity
GLOBAL THREAT INTELLIGENCE REPORT / MARCH 2024

BlaclBerry Blog
About The BlackBerry Research and Intelligence Team

[datensicherheit.de, 24.05.2024] LexisNexis® Risk Solutions hat am 22. Mai 2024 den aktuellen Cybercrime-Report herausgegeben. Darin wird berichtet, dass Cyber-Kriminelle abgelegene Betrugszentren in Südostasien nutzen, um Verbraucher weltweit anzugreifen. Die Übernahme von Konten durch Dritte sei die häufigste von Kunden gemeldete Betrugskategorie (29% aller Kategorien).

Wachsendes Ausmaß der Aktivitäten Cyber-Krimineller spiegelt sich in zunehmender Angriffsrate wider

LexisNexis® Risk Solutions hat die Ergebnisse seines jährlichen Cybercrime-Reports, „einer Datenanalyse von 92 Milliarden Transaktionen, die im Jahr 2023 über das LexisNexis® Digital Identity Network® abgewickelt wurden“, publiziert. Der Report mit dem Titel „Confidence Amid Chaos“ („Zuversicht inmitten des Chaos“) zeige, dass die Angriffsrate der von Menschen initiierten digitalen Angriffe im Vergleich zum Vorjahr weltweit um 19 Prozent zugenommen habe. Das wachsende Ausmaß der Aktivitäten von Cyber-Kriminellen spiegele sich in der zunehmenden Angriffsrate wider, „insbesondere im E-Commerce und in Nordamerika“.

Der „LexisNexis® Identity Abuse Index“, welcher den prozentualen Anteil der Angriffe pro Tag erfassen soll, zeige, „dass die Angriffsraten sowohl zu Beginn als auch zum Ende des Jahres 2023 in die Höhe geschnellt sind“. Ein wichtiger Faktor war dabei laut LexisNexis, „dass die Angriffsrate in Nordamerika im Laufe des Jahres mit der in Lateinamerika gleichzog und diese dann übertraf“.

Auswirkungen der digitalen Aktivitäten Cyber-Krimineller minimieren

Die Zahl der E-Commerce-Transaktionen sei 2023 moderat um sieben Prozent gestiegen, da steigende Zinsen und die weltweite Inflation die Verbraucherausgaben gedämpft hätten. „Während sich die Verbraucher zurückhaltend verhielten, wurden die Betrüger jedoch aktiver.“ Eine entscheidende Komponente dieses Anstiegs der Angriffe sei die Fokussierung der Betrüger auf die Übernahme von E-Commerce-Konten gewesen, wobei die Angriffsrate bei der Anmeldung 3,3 Prozent erreicht habe (ein Anstieg von 119% im Jahresvergleich).

„Die zunehmende weltweite Einführung von ,3D Secure’ zur Verringerung des Betrugsrisikos bei Card-Not-Present-Transaktionen (CNP) ist nur eine der Methoden, mit denen Unternehmen der wachsenden Bedrohung durch Cyber-Kriminelle begegnen.“ Regulatorische Entwicklungen in einigen Märkten, wie z.B. die Einführung klarerer Haftungsgrundlagen, dienten als Vorbild für eine verstärkte globale Zusammenarbeit, um die Auswirkungen der digitalen Aktivitäten von Cyber-Kriminellen zu minimieren.

Cyber-Kriminelle weiten Umfang und Komplexität ihrer illegalen Aktivitäten immer weiter aus

„Cyber-Kriminelle weiten den Umfang und die Komplexität ihrer illegalen Aktivitäten immer weiter aus – und speziellen Betrugszentren werden zu einem integralen Bestandteil ihrer digitalen Angriffe auf Verbraucher weltweit“, berichtet Stephen Topliss, „Vice President Fraud and Identity“, LexisNexis Risk Solutions.

Er stellt klar: „Während diese Betrugszentren die Bedrohung durch von Menschen initiierte Angriffe weiter erhöhen werden, können Unternehmen nicht in ihrer Komfortzone verharren, angesichts immer ausgefeilterer Bots, die ein menschenähnliches Verhalten annehmen können, um herkömmliche Präventionslösungen zu umgehen.“ Indem sich Unternehmen darauf konzentrierten, hochentwickelte Bots in Echtzeit zu identifizieren, könnten sie deren Fähigkeit einschränken, betrügerische Konten zu erstellen oder gestohlene Anmeldedaten für zukünftige Kontoübernahmeangriffe zu testen.

Die wichtigsten vier Gefahren für die Cyber-Sicherheit laut „Confidence Amid Chaos“-Report:

1. Kontoübernahme durch Dritte
Die Übernahme von Konten durch Dritte sei im Jahr 2023 mit 29 Prozent die häufigste der gemeldeten Betrugskategorien, was mit dem starken Anstieg der Angriffsrate bei der Kontoanmeldung im Jahr 2023 (+18% gegenüber dem Vorjahr) im Einklang stehe.

2. Rasantes Wachstum der von Menschen initiierten Angriffe
Während die von Bots initiierten Angriffe im Jahresvergleich konstant um zwei Prozent auf 3,6 Milliarden zugenommen hätten, sei die von Menschen initiierten Angriffe um 40 Prozent auf 1,3 Milliarden gestiegen.

3. Abgelegene Betrugszentren treiben den Betrug voran
Device-Data, einschließlich hoch gelegener verhaltensbiometrischer Telemetriedaten, zeigten, dass Teile Südostasiens sich als Standort für spezielle, abgelegene Betrugszentren etabliert hätten. Cyber-Kriminelle bevorzugten laut Daten des „Digital Identity Network“ Grenzgebiete in Kambodscha, Myanmar und abgelegene Teile Thailands.

4. Neue Herausforderungen durch Bot-Angriffe
Die Zahl der automatisierten Bot-Angriffe sei im Jahr 2023 konstant geblieben. Dies sei zum Teil auf die Bedrohung durch fortschrittliche Bot-Erkennungsfunktionen für diesen Angriffsvektor zurückzuführen. Diese Funktionen umfassten die Erkennung von Bot-Verkehr, welcher die Standorte legitimer Kunden über IP-Proxys imitiere, sowie die Identifizierung abnormaler Zeitpunkte von Ereignissen und ungewöhnlichen Verhaltensweisen auf Seiten oder in Apps. Unternehmen setzten zunehmend Proxy-Piercing-Technologien ein, um die Anonymität von Cyber-Kriminellen zu durchbrechen, welche versuchten, ihr Verhalten durch den Einsatz „Virtueller Privater Netzwerke“ (VPNs) zu verschleiern.

Weitere Informationen zum Thema:

LexisNexis® RISK SOLUTIONS
LexisNexis® Risk Solutions Cybercrime Report

[datensicherheit.de, 01.12.2023] Laut dem „Mimecast Global Threat Intelligence Report Q3 / 2023“ wurden bereits 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken – weiterhin beginnen demnach die meisten Angriffe mit einer E-Mail. Die Phishing-Angriffe im dritten Quartal 2023 hätten ich auf signifikante Zero-Day-Schwachstellen konzentriert, „gleichzeitig nahmen Impersonationsangriffe zu“ (Nachahmung). Am stärksten betroffen seien IT-Branche, Finanzdienstleister (insbesondere Banken) und Personalwesen. Ein gleichbleibend hohes Maß an Bedrohungsaktivitäten wurde laut Mimecast in den Sektoren Produktion, Logistik sowie Einzel- und Großhandel registriert.

Mimecast identifiziert viele neue Bedrohungen, bevor sie einer breiteren Öffentlichkeit bekanntwerden

Die Mimecast Ltd. hat nach eigenen Angaben am 30. November 2023 den „Mimecast Global Threat Intelligence Report“ für das 3. Quartal 2023 vorgestellt. Laut dieser Studie wurden zwei Drittel aller Unternehmen im vergangenen Jahr Opfer eines Ransomware-Angriffs und nahezu alle (97%) waren von Phishing-Angriffen per E-Mail betroffen. „Eine Mehrheit (76%) der Sicherheitsteams in Unternehmen weltweit rechnet mit schweren Angriffen, bei denen E-Mails als Angriffsvektor genutzt werden.“ Nahezu ebenso viele (72%) rechneten mit Attacken – „die ihren Ausgangspunkt in ,cloud’-basierter Kollaborationssoftware wie ,Teams’ oder ,Slack’ haben“.

Mimecast als Anbieter moderner E-Mail- und Collaboration-Sicherheitslösungen identifiziert viele neue Bedrohungen, „bevor sie einer breiteren Öffentlichkeit bekanntwerden“. Für die eigenen vierteljährlich erscheinenden „Threat Intelligence Reports“ werte man mehr als eine Milliarde E-Mails pro Tag aus. Die vorliegende Studie zeige die wichtigsten Erkenntnisse aus dem dritten Quartal 2023 und gebe Empfehlungen für den Schutz von Unternehmen aller Größen.

Mimecast meldet starken Anstieg bei Zero-Day-Angriffen und Infiltration von Clouds

Das dritte Quartal 2023 habe einen deutlichen Anstieg sogenannter Zero-Day-Bedrohungen gezeigt, wobei die Angreifer verstärkt auf „Cloud“-Plattformen und -Anwendungen abgezielt hätten. „Bekannte Schwachstellen betrafen Plattformen wie die verwaltete Datei-Übertragungsplattform ,MOVEit’. Neu hinzu kamen kritische Sicherheitslücken in den Open-Source-Grafikbibliotheken ,libvpx’ und ,libwebp’, die ,Google Chrome’, ,Mozilla Firefox’ und weitere Anwendungen gefährden könnten.“

Sogenanntes Credential-Phishing stehe im Fokus von E-Mail-Angriffen, wobei Angreifer neue Wege wie SQL-basiertes „Lateral Movement und Consent“-Phishing fänden, um die Sicherheitsmechanismen der drei großen Hyperscaler „Amazon Web Services“, „Google Cloud“ und „Microsoft Azure“ zu umgehen. Auch Versuche, Anmeldedaten über „cloud“-basierte Kollaborationssoftware zu stehlen, seien im dritten Quartal deutlich angestiegen. Auch bei „altmodischen“ Methoden in Form etwa schädlicher Dateianhänge, vor allem im pdf-Format und zunehmend auch in „Excel“ sei ein starker Anstieg verzeichnet worden.

Weitere Informationen zum Thema:

mimecast
Global Threat Intelligence Report / July-September 2023