Cisco Talos Report 2023: Von Wiedergängern und alten Hüten

Januar 4, 2024

Wenn die Cyberwelt etwas aus dem Jahr 2023 mitgenommen hat, dann die Erkenntnis, dass Angriffsvektoren niemals einfach so verschwinden: Botnets kehren von den Toten zurück, Ransomware-Akteure finden kreative Wege, um mit Diebstahl Geld zu verdienen, und Bedrohungsakteure, die schon seit einem Jahrzehnt ihr Unwesen treiben, erfinden sich neu, um relevant zu bleiben. Die Threat-Intelligence-Experten von Cisco Talos haben die zentralen Entwicklungen aus 2023 analysiert und in einem lesenswerten Jahresrückblickzusammengefasst.

Das Standardwerk für das Cybercrime-Jahr 2023 beleuchtet die wichtigsten Trends, die die Bedrohungslandschaft in den letzten 12 Monaten geprägt haben.

Angriffsvektor Ransomware

Die größte Gefahr für Unternehmen ging auch im Jahr 2023 von Ransomware aus. Schon im zweiten Jahr in Folge nahm LockBit in diesem Bereich eine unrühmliche Spitzenposition ein. Und wie gehabt konzentrierten sich die Angreifer auf Einrichtungen, die nur begrenzte Mittel für die Cybersicherheit zur Verfügung haben oder nur geringe Ausfallzeiten tolerieren – vor allem im Gesundheitswesen. 2023 war jedoch nicht alles wie gehabt: Akteure wie Clop setzten auf Zero-Day-Exploits. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen (Advanced Persistent Threats) in Verbindung gebracht. Neu war auch, dass Ransomware-Akteure zu reiner Erpressung übergingen und sich den Verschlüsselung-Part sparten. 

„Leider beschränkten sich im Jahr 2023 Angriffe mit 0-Days nicht mehr nur auf Angreifer aus dem Nation State Bereich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Wenn das Ziel lukrativ ist, greifen auch Crimeware Gangs wieder mit 0-Days an. Firmen sollten das in ihrer Security Architektur und in ihrem Risk Management berücksichtigen.“

Die Telemetriedaten von Cisco Talos zeigen, dass für die Verbreitung von Ransomware weiterhin Commodity-Loader bekannter Familien wie Qakbot und IcedID Verwendung fanden. Allerdings streiften diese Loader alle Überbleibsel ihrer Vergangenheit als Bankentrojaner ab und präsentieren sich nun als elegante Tools, um Nutzdaten zu übermitteln. Die Entwickler und Betreiber konnten sich an verbesserte Verteidigungsmaßnahmen anpassen und haben neue Wege gefunden, um die häufigeren  Sicherheitsupdates zu umgehen. Die Geschwindigkeit, mit der Ransomware-Gruppen sich von Ermittlungserfolgen erholen konnten, war ebenfalls überraschend. So war die Zerschlagung des Quakbot-Netzes im August 2023 nur kurzfristig wirksam. Die Analyse von Talos deutet darauf hin, dass die Strafverfolgungsmaßnahmen möglicherweise nicht die Spam-Versandinfrastruktur der Qakbot-Betreiber, sondern nur ihre Command-and-Control-Server (C2) beeinträchtigt haben.

Netzwerkgeräte und alte Schwachstellen im Visier

Ein neuer und regionsübergreifender Trend ist die Zunahme von Angriffen auf Netzwerkgeräte durch APTs und Ransomware-Akteure. Beide Gruppen fokussierten sich auf Verwundbarkeiten in den Geräten sowie schwache beziehungsweise fehlerhafte Anmeldeinformationen. Dies zeigt, dass Netzwerksysteme extrem wertvoll für die Angreifer sind – unabhängig von ihren spezifischen Absichten.  

Im Bereich der Ausnutzung von Anwendungsschwachstellen zeigt die Talos-Analyse, dass es Angreifer 2023 vor allem auf alte Verwundbarkeiten abgesehen hatten – Schwachstellen, die bereits seit zehn und mehr Jahren bekannt sind, vielfach aber immer noch nicht gepatcht wurden. Das Gros der am häufigsten angegriffenen Schwachstellen wird von Cisco Kenna und dem Common Vulnerability Scoring System (CVSS) als maximal oder hochgradig schwerwiegend eingestuft und ist auch im Katalog der CISA für bekannte Sicherheitslücken aufgeführt.

Der Einsatz von Social Engineering für Operationen wie Phishing und Business Email Compromise (BEC) war 2023 ebenfalls ungebrochen. Als Resultat der standardmäßigen Deaktivierung von Makros durch Microsoft im Jahr 2022 nutzen Angreifer jedoch zunehmend andere Dateitypen, um ihre Malware zu verstecken. So stellten PDFs, die in diesem Jahr am häufigsten blockierte Dateierweiterung dar.

APT-Aktivitäten zeigen geopolitische Instabilität

Einen breiten Raum nimmt im Cisco Talos Report 2023 die Analyse von APT-Gruppen aus China, Russland und dem Nahem Osten ein. Dabei spiegeln die Telemetriedaten deutlich einen Anstieg von verdächtigem Datenverkehr parallel zu geopolitischen Ereignissen wider. Die zunehmend angespannten Beziehungen des Westens gegenüber Staaten aus dem asiatisch-pazifischen Raum führte bei APT-Gruppen aus China zu einer verstärkten Bereitschaft, Schäden zu verursachen – vor allem im Bereich der kritischen Infrastruktur in Ländern wie Taiwan. Bei den russischen APTs zielten Gamaredon und Turla erwartungsgemäß auf die Ukraine ab. Interessanterweise zeigten die russischen Aktivitäten jedoch nicht die ganze Bandbreite ihrer zerstörerischen Cyberfähigkeiten. Gamaredon zielte vor allem auf Einrichtungen in Nordamerika und Europa ab, wobei die Zahl der Opfer in Westeuropa überproportional hoch war. Der vom iranischen Staat gesponserte APT-Akteur MuddyWater blieb auch 2023 ein wesentlicher Bedrohungsakteur aus dem Nahen Osten. Gegenmaßnahmen der Industrie haben jedoch die Fähigkeit der Gruppe beeinflusst, ihre Standard-Tools zu nutzen, darunter die Syncro-Plattform für Fernverwaltung und -überwachung (RMM). Die Ereignisse Anfang Oktober 2023 zwischen der Hamas und Israel trugen dazu bei, dass mehrere politisch motivierte Hacktivistengruppen unkoordinierte und meist wenig ausgefeilte Angriffe gegen beide Seiten starteten. Eine ähnliche Entwicklung konnte schon zu Beginn des Russland-Ukraine-Kriegs beobachtet werden. Cisco Talos geht davon aus, dass sich das komplizierte und dynamische geopolitische Umfeld im Nahen Osten auch auf den Cyberbereich auswirken wird.

Weitere Erkenntnisse aus dem Talos Report:  

  • Die Verwendung gültiger Konten war eine der am häufigsten beobachteten MITRE ATT&CK-Techniken, was unterstreicht, dass die Angreifer in verschiedenen Phasen ihrer Angriffe auf kompromittierte Anmeldedaten zurückgreifen.
  • Neue Ransomware-Varianten nutzten durchgesickerten Quellcode anderer RaaS-Gruppen. Das ermöglichte auch weniger erfahrenen Akteuren den Einstieg in die Ransomware-Erpressung.
  • Der verdächtige Netzwerkverkehr zeigte einen starken Anstieg von Aktivitäten, der mit großen geopolitischen Ereignissen und globalen Cyberangriffen zusammenfiel – beispielsweise den großangelegten DDoS-Angriff auf Microsoft Outlook.

Weiterführende Informationen:

Related Articles

Alle News im Überblick

Alle News im Überblick

15.07.2024 Hessen: „Ein friedliches und sicheres Fußballfest im Herzen von Europa.“ 15.07.2024 Bucher Automation AG setzt ein starkes Zeichen 15.07.2024 41 Prozent mehr Ransomware-Angriffe seit 2020 14.07.2024 Metaverse: Jedes zehnte Unternehmen sieht sein...

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

Innenminister Roman Poseck (Foto), Frankfurts Polizeipräsident Stefan Müller und der Leiter der Abteilung Einsatz Thomas Schmidl ziehen positive Bilanz zur Fußball-Europameisterschaft 2024 Die Fußballeuropameisterschaft hat zwischen dem 14. Juni und 14. Juli 2024 in...

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Durch die Proteste der Polizisten für eine bessere Frühpension verliert die niederländische Staatskasse jede Woche mindestens 1,5 Millionen Euro, schreibt De Telegraaf. Seit dem 7. Mai behalten die Beamten ihre Strafzettel für kleinere Vergehen in der Tasche. Eine...

Share This