Trellix beobachtet deutlichen Anstieg von Cyber-Attacken gegen kritische Infrastruktur angesichts zunehmender geopolitischer Spannungen
Laut dem aktuellen Bericht kam es im 4. Quartal 2021 zu Angriffen mit Wiper-Malware gegen die Ukraine, gleichzeitig häuften sich Cyber-Bedrohungen vermutlich russischen Ursprungs
Auf einen Blick
- Der Transport- und Frachtsektor war im 4. Quartal 2021 die am stärksten von Advanced Persistent Threats (APT) betroffene Branche.
- Die vermutlich für die russische Regierung tätige Gruppe APT29 war im 4. Quartal 2021 die aktivste unter den staatlich gesteuerten Gruppierungen.
- Nach Festnahmen im REvil-Ransomware-Milieu war Lockbit Ransomware im 4. Quartal 2021 die am häufigsten entdeckte Erpressersoftware.
- Hochrangige Politiker und Wirtschaftsvertreter waren Ziel erfolgreicher Angriffe mit Living-off-the-Land-(LotL)-Attacken über Microsoft Excel und andere native Tools.
- Die meisten Cyber-Attacken wurden im 4. Quartal 2021 mit Malware verübt (46%).
- Im Visier der Angreifer waren meist Einzelpersonen; die Anzahl solcher aufgedeckten Attacken stieg im 4. Quartal 2021 um 73%.
München, 27. April 2022 – Trellix, Experte für Cyber-Sicherheit und Vorreiter auf dem Gebiet innovativer XDR-Technologien, veröffentlicht seinen „Threat Labs Report: April 2022“ über die Aktivitäten von Cyber-Kriminellen in den letzten sechs Monaten. Daraus geht deutlich hervor, dass sich Cyber-Angriffe vermehrt gegen einzelne Verbraucher richten. Aber auch das Gesundheitswesen sowie die Transport-, Fracht-, Fertigungs- und IT-Branchen verzeichnen einen starken Anstieg der Bedrohungen.
„Wir befinden uns in einer kritischen Phase der Cyber-Sicherheit und beobachten zunehmend feindlich gesinntes Verhalten auf einer immer größeren Angriffsoberfläche“, erklärt Christiaan Beek, Lead Scientist und Principal Engineer bei Trellix Threat Labs. „Unsere Welt hat sich fundamental verändert. Im 4. Quartal zeichnete sich zunächst eine Wende nach der zweijährigen Pandemie ab, die Cyber-Kriminelle für ihre Zwecke genutzt hatten. Die Log4Shell-Schwachstelle betraf zum Beispiel Hunderte Millionen Geräte. Doch wir mussten feststellen, dass sich die Dynamik im neuen Jahr fortsetzte und internationale Cyber-Aktivitäten sprunghaft zunahmen.“
Bedrohungen gegen die kritische Infrastruktur
Im 4. Quartal 2021 richteten sich die Cyber-Aktivitäten verstärkt gegen systemrelevante Sektoren:
- Transport und Fracht waren das Ziel von 27% aller aufgedeckten Fälle von Advanced Persistent Threat (APT) (Aktivitäten feindlicher und heimlich agierender Akteure).
- Das Gesundheitswesen wurde am zweithäufigsten attackiert; 12% aller aufgedeckten Angriffe entfielen auf diesen Sektor.
- Im Vergleich zum 3. Quartal stieg die Anzahl der Bedrohungen gegen die Fertigungsindustrie im 4. Quartal um 100% und gegen die IT-Branche um 36%.
- Unter den Kunden von Trellix entfielen 62% aller beobachteten Detektionen im 4. Quartal 2021 auf den Transportsektor.
Anfang April veröffentlichte Trellix den globalen Cyber Readiness Report. Der Bericht untersucht, wie sich Anbieter kritischer Infrastrukturen auf Cyber-Angriffe vorbereiten. Dabei wird deutlich, dass viele Anbieter in diesem Bereich trotz eklatanter Sicherheitsverstöße keine Best-Practices für Cyber-Sicherheit implementiert haben.
Bedrohungen gegen die Ukraine
Trellix Threat Labs befasste sich eingehend mit Cyber-Bedrohungen gegen die Ukraine, zum Beispiel mit Wiper-Malware, einer Schadsoftware, die infizierte Geräte durch Zerstörung wichtiger Speicherinformationen unbrauchbar macht. Untersucht wurden Whispergate und HermeticWiper – zwei Malware-Varianten, die vor und während der Invasion der Ukraine zum Einsatz kamen – im Hinblick auf Ähnlichkeiten und Unterschiede. Diese Schadsoftware wurde eingesetzt, um die Kommunikationsmöglichkeiten in der Ukraine lahmzulegen und somit die ukrainischen IT-Systeme zu destabilisieren.
Der heutige Bericht listet die Akteure hinter den Bedrohungen gegen die Ukraine auf, darunter Actinium APT, Gamaredon APT, Nobelium APT (auch APT29 genannt), UAC-0056 und Shuckworm APT. APT29 machte 30% der Detektionen aller im 4. Quartal 2021 von Trellix festgestellten APT-Aktivitäten aus.
Der Bericht beinhaltet auch Empfehlungen für Organisationen, die ihre Umgebung proaktiv vor den Taktiken solcher Akteure schützen möchten. Weitere Hintergrundinformationen über die Cyber-Aktivitäten gegen die Ukraine erfahren Sie im Trellix Threat Center und Threat Labs Blog.
Taktiken, Techniken & Verfahren
Trellix beobachtete den fortgesetzten Einsatz von Living-off-the-Land (LoTL)-Methoden. Kriminelle Angriffe erfolgen dabei über bestehende Software und die native Steuerung eines Geräts. Die Windows Command Shell (CMD) (53%) und PowerShell (44%) zählten im 4. Quartal 2021 zu den am häufigsten verwendeten NativeOS Binärdateien. Remote Services (36%) waren die am häufigsten verwendeten administrativen Tools.
Trellix Threat Labs hat kürzlich LoTL-Methoden entdeckt, mit deren Hilfe die vermutlich südkoreanische APT-Gruppe DarkHotel Malware in Luxushotels infiltriert. Über Excel-Dateien werden erfolgreich Informationen über prominente Gäste auf Dienst- oder Konferenzreise gesammelt.
Anfang des Jahres identifizierte Trellix Threat Labs auch einen mehrstufigen Spionageangriff auf das Büro eines Premierministers. Hochrangige Regierungsmitglieder und Vertreter des Verteidigungssektors sollten auf diese Weise überwacht werden. Dabei verschafften sich die Angreifer über Microsoft OneDrive als Command-and-Control-(C2)-Server sowie Excel Zugriff auf die Umgebung des infizierten Geräts.
Weitere Methoden und Techniken, die in den letzten Monaten verstärkt zum Einsatz kamen:
- Das Tool, das APT-Gruppen im 4. Quartal 2021 am häufigsten einsetzten, war Cobalt Strike – mit einem Zuwachs von 95% gegenüber dem 3. Quartal.
- Verschleierte Dateien bzw. Informationen waren die Techniken, die im 4. Quartal 2021 am häufigsten beobachtet wurden, gefolgt von Referenzen aus Internetbrowsern sowie File and Directory Discovery.
- Bei den berichteten Vorfällen wurde Malware im 4. Quartal 2021 am häufigsten verwendet (in 46% aller Vorfälle), das entspricht einem Anstieg um 15% gegenüber dem 3. Quartal.
Bedrohungen gegen Einzelpersonen
Bemerkenswert ist der erhebliche Anstieg um 73% der gegen Einzelpersonen und Personen des öffentlichen Lebens gerichteten Cyber-Vorfälle, den der Bericht dokumentiert. Dieser Bereich rückte im 4. Quartal 2021 am stärksten ins Visier der Angreifer. Er umfasst Bedrohungen über soziale Medien, Mobilgeräte und andere Dienste, bei denen Verbraucher Daten und Anmeldeinformationen speichern. So entdeckte Facebook im 4. Quartal 2021 Spyware-Kampagnen gegen Nutzer auf der ganzen Welt. Android-Nutzer weltweit wurden von einer anderen kriminellen Gruppierung mit Joker Malware attackiert. Solche Angriffe sind meist politisch motiviert und sollen die Interaktionen und Kontakte einzelner Personen nachverfolgen.
Zuvor hatte Trellix gemeinsam mit dem Center for Strategic and International Studies den Bericht In the Crosshairs: Organizations and Nation-State Cyber Threats veröffentlicht, aus dem hervorgeht, dass der Zugriff auf Konsumentendaten das Motiv für knapp die Hälfte der staatlich gestützten Cyber-Attacken war und wahrscheinlich auch weiterhin sein wird.
Bedrohungsaktivitäten im 4. Quartal 2021
- Ransomware-Familien. Lockbit (21%) war die verbreitetste Ransomware-Familie, die im 4. Quartal 2021 entdeckt wurde – mit einem Anstieg von 21% gegenüber dem 3. Quartal – gefolgt von Cuba (18%) und Conti (16%).
- Ransomware-Festnahmen. Dank des Einschreitens von Strafverfolgungsbehörden weltweit rangierte REvil/Sodinokibi, die gängigste Ransomware-Familie im 3. Quartal 2021, im 4. Quartal nicht mehr unter den häufigsten Detektionen.
- Ransomware-Zunahme. Ein massiver Anstieg von Ransomware-Aktivitäten wurde im 4. Quartal 2021 in Italien (793%), in den Niederlanden (318%) und in der Schweiz (173%) verzeichnet. Indien (70%) und das Vereinigte Königreich (47%) erlebten ebenfalls starke Zuwächse gegenüber dem 3. Quartal.
- Malware-Familien. Auf RedLine Stealer (20%), Raccoon Stealer (17%), Remcos RAT (12%), LokiBot (12%) und Formbook (12%) entfielen knapp 75% der im 4. Quartal 2021 beobachteten Malware-Familien.
Methodik
Der Bericht „Threat Labs Report: April 2022“ stützt sich auf eigene Daten aus dem Trellix-Netzwerk, das über 1 Milliarde Sensoren umfasst, sowie auf Open-Source Intelligence und von Trellix Threat Labs durchgeführte Untersuchungen vorherrschender Bedrohungen wie Ransomware und staatliche Aktivitäten. Dabei wurde mit Telemetriedaten im Zusammenhang mit der Erkennung von Bedrohungen gearbeitet. Von Erkennung spricht man, wenn eine Datei, URL, IP-Adresse oder ein anderer Indikator entdeckt und über das Trellix-XDR-Ökosystem kommuniziert wird.
Mehr zum Thema finden Sie unter
- Bericht: Threat Labs Report: April 2022
- Blog: Trellix Threat Labs Report: Cyberattacks Targeting Critical Infrastructure Rise Along with Geopolitical Tensions
- Website: Trellix Threat Center
Quelle: Trellix
###
Über Tellix
Trellix ist ein globales Unternehmen, das die Zukunft der Cyber-Sicherheit neu definiert. Die offene und native Extended Detection and Response (XDR)-Plattform verhilft Unternehmen, die sich modernen, fortschrittlichen Cyber-Bedrohungen gegenübersehen, zu einem höheren Vertrauen in den Schutz und der Resilienz ihres Geschäftsbetriebs. In Kombination mit dem umfangreichen Partner-Ökosystem sind Sicherheitsexperten von Trellix in der Lage, die technologischen Innovationsprozesse seiner über 40.000 Geschäfts- und Regierungskunden mithilfe von Datenwissenschaft (Data Science) und Automatisierung zu beschleunigen. Weitere Informationen finden Sie unter www.trellix.com.
Pressekontakt
Ina Rohe/ Tobias Petermichl
Emil Riedel Str. 18
80538 München
ina.rohe@eloquenza.de