Anzeige
STUDIEN & UMFRAGEN2. Februar 2022

Trellix sieht Finanzbranche im Fokus von Cyberkriminellen

Der jüngste Sicherheitsreport von Trellix belegt den hohen Angriffsdruck auf die Finanzbranche. <Q>Trellix
Der jüngste Sicherheitsreport von Trellix belegt den hohen Angriffsdruck auf die Finanzbranche. Trellix

Banken und Finanzdienstleister waren im vergangenen Sommer das beliebteste Ziel von Ransomware- und APT-Angriffen. Für das dritte Quartal weist der jüngste Advanced Threat Research Report von Trellix sowohl nach absoluten Zahlen als auch nach Zuwachs eine Spitzenposition der Finanzbranche aus. Die Sicherheitsexperten haben auch neue Angriffstaktiken ausgemacht.

Mit einem Anstieg von 21 Prozent im dritten Quartal 2021 steht der Finanzdienstleistersektor an der Spitze aller Branchen, die Cyber-Vorfälle öffentlich gemeldet haben. Das ist eines der Ergebnisse des „Advanced Threat Research Report: January 2022“ von Trellix (Download). Dieser kritische Wirtschaftssektor war zudem über alle Branchen hinweg führend bei der Anzahl der entdeckten Ransomware-Samples. Auf Finanzbranche, Versorgungsunternehmen und Einzelhändler entfielen insgesamt fast 60 Prozent der entdeckten Ransomware-Angriffe. Ähnliches gilt für APT-Gruppen-Aktivitäten: Annähernd 40 Prozent wurden allein im Finanzsektor registriert, gefolgt von Versorgungsunternehmen, Einzelhändlern und Behörden.

Hacker nutzen Tools „vor Ort“

Chief Scientist Raj Samani verwies darauf, dass man sich beim Security-Dienstleister Tellix zum Ende des Jahres auf den wieder erstarkenden Pandemieverlauf und die Enthüllungen rund um die Log4j-Schwachstelle konzentriert habe. Dabei seien jedoch auch bemerkenswerte neue Tools sowie Taktiken von Ransomware-Gruppen und versierten globalen Bedrohungsakteuren aufgefallen. Diese fanden Eingang in den jüngsten Sicherheitsbericht, der auf Zahlen zum Q3/2021 beruht.

<Q>Trellix
Trellix

Dieser Report bietet einen besseren Einblick in die Verwendung und den Missbrauch von Personas durch Ransomware-Gruppen. Er zeigt außerdem, wie staatliche APT-Akteure versuchen, tiefer in den Finanzsektor und andere kritische Branchen einzudringen und für neue ‚Living off the Land‘-Angriffe die systemeigenen Microsoft-Tools auf neue Art und Weise ausnutzen.“

Raj Samani, Chief Scientist und Fellow bei Trellix

Das Ausnutzen von Software und Funktionen, die bereits auf dem Zielsystem installiert sind – „Living off the Land“ (LotL) – nimmt schnell zu. Laut Tellix wird diese Strategie häufig von staatlichen Akteuren und großen kriminellen Organisationen verwendet, um die Entwicklung eigener fortschrittlicher Tools zu vermeiden. 46 Prozent aller beobachteten APT-Aktivitäten schreibt Tellix russischen und chinesischen Gruppen mit staatlicher Unterstützung zu.

Versteckspiel der Ransomware-Gruppen

Seit den Angriffen auf Colonial Pipeline, der die Treibstoffversorgung an weiten Teilen der US-Ostküste lahmlegte, und auf Kaseya, der hunderte von Supermärkten für mehrere Tage lahmlegte, ist die US-Regierung mit der Initiative StopRansomware.org aktiv, um Akteure zu identifizieren und zu lokalisieren, die an Cyber-Aktivitäten auf kritische US-Infrastrukturen beteiligt sind.

Möglicherweise unter diesem erhöhten Fahndungsdruck hatte die DarkSide-Gruppe, die mit dem Colonial-Pipe-Hack in Verbindung gebracht wird, ihre Auflösung angekündigt. Wie Trellix feststellte, ist jedoch mit BlackMatter eine neue Gruppe aktiv, die viele der Methoden von DarkSide nutzt, inklusive der Taktik der doppelten Erpressung: Die Gruppe droht, die Daten der Opfer zu veröffentlichen, wenn kein Lösegeld gezahlt wird.

Die Ransomware-Gruppe REvil/Sodinokibi, verantwortlich für den Kaseya-Hack, zeigte – wie bereits im zweiten Quartal 2021 – eine starke Verbreitung. Sie machte fast die Hälfte der von Trellix entdeckten Ransomware-Angriffe aus. Auf ihr Konto geht die Infizierung von mehr als einer Million Systeme – und auch die bisher höchste öffentlich bekannte Lösegeldforderung von 70 Millionen US-Dollar.

Banken und Finanzdienstleister stehen bei Ransomware-Angriffen an der Spitze. <Q>Trellix
Banken und Finanzdienstleister stehen bei Ransomware-Angriffen an der Spitze. Trellix

Die beliebtesten Angriffswerkzeuge

In 40 Prozent der entdeckten LotL-Fälle griffen die Hacker auf PowerShell und Windows Command Shell (CMD) zurück, um Befehle auszuführen und sich Zugang zu verschaffen. Zu den anderen häufig genutzten nativen Betriebssystem-Tools gehören Rundll32, WMIC und Excel sowie administrative Remote-Service-Tools wie AnyDesk, ConnectWise Control, RDP und WinSCP.

Daneben wurden Sicherheits-Tools wie Cobalt Strike von staatlichen Akteuren missbraucht, um sich Zugang zum Netzwerk ihrer Opfer zu verschaffen. Cobalt Strike ist ein Simulationswerkzeug für Angreifer, das häufig von ethischen Hackern verwendet wird, um Angriffsmethoden zu studieren und die Reaktion auf Vorfälle zu verbessern. Es wurde in mehr als einem Drittel der untersuchten APT-Kampagnen entdeckt.

Ein weiteres bekanntes Werkzeug ist Mimikatz, ein Post-Exploitation-Tool, das in über einem Viertel der Kampagnen zum Einsatz kam. Hiermit verschaffen sich Angreifer tieferen Zugang zum Netzwerk eines Opfers oder erhöhen die Nutzerrechte, um Aufgaben auszuführen, nachdem sie Zugriff auf das Gerät des Opfers erhalten haben.

Unter den registrierten Angriffswerkzeugen machten Formbook, Remcos RAT und LokiBot fast 80 Prozent der entdeckten Malware aus. Allein Formbook wurde in mehr als einem Drittel der Fälle gefunden. Die Anzahl der gemeldeten Malware-Vorfälle ist im Vergleich zum zweiten Quartal um 24 Prozent zurückgegangen. Spear-Phishing-Anhänge, verschleierte Dateien oder Informationen sowie PowerShell waren die am weitesten verbreiteten APT MITRE ATT&CK-Techniken und machten fast die Hälfte der entdeckten Angriffe aus.

Auffällige Veränderungen gab es auch bei der Betrachtung nach Regionen: Die USA meldeten im dritten Quartal die meisten Angriffe, jedoch weniger als im Vorquartal. Den größten Rückgang verzeichnete Russland (-79 Prozent), den stärksten Zuwachs gab es in Frankreich (+400 Prozent). hj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert