Ransomware-Angreifer kooperieren stärker
sar Frankfurt
Der Angriff Russlands auf die Ukraine hat die Bedrohungslage im Cyber-Raum verändert. Das zeigt der Report „2022 Year In Review“ des Dienstleisters für Cybersicherheit Cisco Talos. Demnach rückten mit Beginn des Kriegs russische und ukrainische Ziele ins Visier, die Bedrohung gegenüber Unternehmen und Einrichtungen in anderen Regionen sei vorübergehend gesunken. Auch Konflikte und Machtkämpfe innerhalb verschiedener Gruppen von Angreifern machten die Experten aus. „Mit dem Krieg in der Ukraine wurde die globale Bedrohungslandschaft neu sortiert“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. Doch die Pause war kurz: „Nach einer kurzen Verschnaufpause kam die organisierte Cyberkriminalität in der zweiten Jahreshälfte stärker zurück als zuvor.“ Als besonders dynamisch bezeichnen die Experten die Entwicklung bei Ransomware. Die Schadsoftware, durch die Angreifer den Zugriff auf Daten verschlüsseln, um Lösegeld zu erpressen, war 2022 mit einem Anteil von gut 20% eine der größten Cybergefahren.
Im Jahresverlauf tauchten laut Cisco Talos immer wieder neue Anbieter von Ransomware-as-a-Service (RaaS) auf, während andere sich umbenannten oder das Feld räumten. Bei RaaS entwickeln Kriminelle Ransomware-Varianten, die für Einsätze von Dritten lizenziert werden können. RaaS-Entwickler arbeiten dem Report zufolge immer häufiger gleich mit mehreren Ransomware-Gruppen zusammen. Zudem nutzten Cyberkriminelle verstärkt plattformübergreifende Programmiersprachen. Cisco Talos spricht von einer „Demokratisierung“ im Bereich Ransomware. Hätten bislang einige wenige Ransomware-Gruppen die Landschaft beherrscht, gebe es inzwischen eine Vielzahl. Deren Mitglieder sind nicht mehr in Silos organisiert, sondern arbeiten stärker gruppenübergreifend zusammen.
Auch staatlich gelenkte APT-Gruppen haben ihre Tätigkeit dem Report zufolge ausgedehnt. APT steht für „Advanced Persistent Threat“, eine Angriffsmethode, bei der über einen längeren Zeitraum gezielt ein System oder Netz angegriffen wird, etwa um es zu sabotieren oder Informationen abzuziehen. Häufig sind APT-Gruppen staatlich gesteuert. 2022 kam es bei APT-Angriffen häufig zu Spionage, dem Diebstahl von geistigem Eigentum und Finanzdaten sowie zur Störung von Netzwerken, analysiert Cisco Talos. Dabei blieben staatlich gelenkte Akteure selbst dann aktiv, wenn ihre Methoden öffentlich bekannt werden.
Die Ende 2021 öffentlich gewordene Log4j-Schwachstelle blieb 2022 ein häufig getestetes Einfallstor. Der Software-Code in der Programmiersprache Java ist weit verbreitet. Angriffe gab es laut Cisco Talos sowohl von Einzeltätern wie auch von professionell organisierten Gruppen.
Auch 2023 dürften Angriffe auf die Log4j-Schwachstelle „eine zentrale Herausforderung für Unternehmen darstellen“, schreiben die Autoren. Wegen der starken Verbreitung stünden Angreifern „eine Vielzahl potenziell anfälliger Systeme zur Verfügung“. Cyberkriminelle müssten keine neuen Angriffsmethoden entwickeln, da die „Schatztruhe“ Log4j bei weitem noch nicht leergeräumt sei.
Neben neuen Schwachstellen erlebte im vergangenen Jahr aber auch eine altbekannte Angriffsmethode eine Renaissance: Die Zahl der Fälle, in denen Malware über einen externen USB-Stick in das System geraten ist, hat laut Cisco Talos wieder zugenommen. Unternehmen sollten darauf achten, die Nutzung von USB-Slots möglichst zu limitieren, raten die Experten.