Symbolbild: Shutterstock

Cyberkriminelle gehen immer intensiver und ausgefeilter gegen Unternehmen vor. Die Verteidigung wird angesichts der vielschichtigen Cyberbedrohungen immer aufwändiger, denn die Bedrohungslandschaft unterliegt einem ständigen Wandel. Blueliv, spezialisiert auf Threat-Intelligence-Lösungen, liefert in seinem jüngsten Jahresbericht 2018/2019 eine Analyse der Cyberbedrohungslandschaft der letzten zwölf Monate.

Gastbeitrag von Victor Acin, Threat intelligence Analyst bei Blueliv

In diesem Bericht kommt Blueliv zum Schluss, dass sich die Bedrohungslandschaft als zunehmend komplex erweist und die potenzielle Angriffsfläche schneller wächst als je zuvor. Unternehmen und Verbraucher nutzen immer mehr Mobilgeräte, wodurch das Risiko, einem Cybervorfall zum Opfer zu fallen, exponentiell ansteigt. In Form einer wachsenden Anzahl neuer Malware-Kategorien kommen innovative Angriffstaktiken zum Einsatz, wodurch die Daten, die Infrastruktur und der Ruf von Unternehmen gefährdet werden.

Strategisch ausgeklügelte Cyberangriffe können monatelang unentdeckt bleiben. Die Cyberbösewichte machen sich meist das schwächste Glied der Verteidigungsmassnahmen zunutze, oft durch Malspam-Angriffe auf bestimmte einzelne Mitarbeiter. Deswegen ist es überaus ratsam, die Mitarbeiter gezielt zu schulen, wie sie solche Angriffe erkennen und vermeiden können.

Neue Malware und zunehmender Diebstahl von Zugangsdaten

Im vergangenen Jahr verzeichnete Blueliv eine Verbreitung neuer Malware-Stämme wie Mirai Sora oder Torii. Diese wiesen Funktionen auf, um IoT-Geräte wie Android-Smartphones, IP-Kameras oder Router zu infizieren. Einen regelrechten Boom – mit einem Anstieg von 50 Prozent gegenüber dem Vorjahr – verzeichnete Blueliv beim Diebstahl von Zugangsdaten mittels Botnets. Im Visier stand insbesondere die Technologie- und Telekommunikationsbranche, gefolgt von Medienunternehmen und Social-Network-Betreibern. Das am häufigsten eingesetzte Tool für den Datendiebstahl war zuletzt Pony, gefolgt von Emotet, Azorult, LokiPWS und Arkei.

Bei Emotet beispielsweise handelte es sich ursprünglich um einen Banking-Trojaner. Die neueste Version, die seit Dezember 2016 in Umlauf ist und sich selbst verbreitet, verteilt offensichtlich als Spambot weitere Malware mittels in E-Mails angehängter manipulierter PDF- und DOC-Dateien, die als Dropper dienen. Ein ebenfalls enthaltenes Stealer-Modul sammelt Zugangsdaten und E-Mail-Adressen. Die Sicherheitsforscher von Blueliv stellten fest, dass Emotet im November 2018 täglich 185.000 Spam-Nachrichten mit über 50.000 verschiedenen Absenderadressen überwiegend an Unternehmen versendete. Jede zehnte Spam-Nachricht war dabei an Unternehmen in Deutschland adressiert, wobei rund sechs Prozent der 15.000 Absender-Domains aus Deutschland stammten.

Ransomware rückläufig, Cryptojacking und Skimming im Aufwind

Bei Ransomware-Kampagnen zeigte sich gegenüber dem Vorjahr ein rückläufiger Trend. Dennoch stellt Ransomware nach wie vor eine Bedrohung dar. Allein mit Samsam, der am weitesten verbreiteten Ransomware, konnten die Cybererpresser bereits rund sechs Millionen Euro einsammeln.

Weniger versierte Angreifer bevorzugen dennoch andere cyberkriminelle Methoden. Als bequemes "Geschäftsmodell" setzen sie verstärkt auf Cryptojacking, um mit fremder Rechenleistung zuvor gehackter Hardware Krypto-Währungen zu "schürfen". Für die Hacking-Opfer kann sich dies in reduzierter Rechenleistung, höheren Stromkosten oder sogar Hitzeschäden durch Überlastung äussern. Wird Rechenleistung nur moderat abgezapft, kann es ebenso sein, dass der Benutzer längere Zeit nichts davon mitbekommt, dass auf seinem Rechner Cryptojacking stattfindet. Die Attraktivität dieser Art von Cyberkriminalität steht und fällt mit den schwankenden Kursen der Kryptowährungen.

Profitabilität verspricht offensichtlich auch das digitale Skimming. Dabei haben es die Angreifer auf Daten abgesehen, die Opfer in Online-Zahlungsformulare eintippen. Hierzu werden sogenannte Skimmer auf zuvor kompromittierten Websites von Online-Händlern oder Drittanbietern platziert. Die Angreifer nutzen hierbei Schwachstellen in den Websites oder im Content-Management-System. Ebenso kommt es vor, dass sie die Hosting-Konten kapern. Namhafte Unternehmen wie British Airways sind derartigen Angriffen im Jahr 2018 zum Opfer gefallen.

Bequemer Einstieg in die Cyberkriminalität, Verteidigung immer aufwändiger Besorgniserregend ist die Tatsache, dass der Einstieg in die Cyberkriminalität noch nie so einfach war wie heute. Anfänger finden im Darkweb ein umfassendes Sortiment an Malware und Ressourcen, um im cyberkriminellen Geschäft aktiv zu werden. Professionell und kundenfreundlich wie im legalen Online-Handel werden Exploit-Kits, Hosting-Services, Daten-Stealer, Listen von kompromittierten Konten und Malware-Tools aller Art angeboten. Communitys liefern bei Bedarf Hilfestellung. So können auch Cyberkriminelle ohne besonderes Programmiertalent Erfolgserlebnisse verbuchen.

Es sind jedoch nicht nur Anfänger und Trittbrettfahrer am Werk. Insgesamt wird die Bedrohungslandschaft zunehmend komplexer, denn Profi-Hacker arbeiten an ausgefeilten Methoden, um Erkennungsmassnahmen zu umgehen und immer wieder neue Schwachstellen zu finden. Sie kombinieren Angriffsmethoden, setzen auf Automatisierung oder verlagern sich auf neue Angriffsvektoren wie das Internet der Dinge. Dies hat für viele Unternehmen zur Folge, dass sie ihre bestehende Sicherheitsstrategie überdenken müssen. Insbesondere gilt es heute, die unternehmensweite Umgebung und die Vernetzung zu Partnern und Lieferanten zu betrachten. Sicherheitsverantwortliche müssen geeignete Sicherheitspraktiken evaluieren und unternehmensweit konsequent umsetzen. Dies bedeutet auch, eine gewissenhafte Cybersicherheitskultur unternehmensweit zu etablieren.

Entscheidend ist heute, die immer komplexeren Cyberbedrohungen zu verstehen und zuverlässig zu erkennen. Sicherheitsteams arbeiten jedoch oftmals am Rande ihrer Kapazität. Sie müssen eine Vielzahl von Warnmeldungen abarbeiten und versuchen, Bedrohungen rechtzeitig zu stoppen, was nicht immer gelingt. Als effektiv erweist sich eine mehrschichtige Verteidigungsstrategie, die modernste Erkennungstechnologie ("Cyber Intelligence"), die Nutzung von global geteilten Bedrohungsdaten und die Schulung der Mitarbeiter umfasst. Der Vorstoss der Cyberkriminellen erfordert als effektive Gegenreaktion eine gemeinsame Anstrengung der Sicherheitsbranche und der täglich betroffenen Unternehmen. Nur so lässt sich verhindern, dass die dunkle Seite die Oberhand gewinnt.



Der Online-Stellenmarkt für ICT Professionals