Analyse aus dem jährlichen Secureworks State of The Threat Report zeigt, dass die mittlere Verweildauer von Ransomware innerhalb eines Jahres von 4,5 Tagen auf weniger als 24 Stunden gesunken ist
ATLANTA, 5. Okt. 2023 – Laut Secureworks® (NASDAQ: SCWX) Counter Threat Unit
(CTU) wird Ransomware in mehr als 50% der Angriffe innerhalb eines Tages nach dem ersten Zugriff eingesetzt. In nur 12 Monaten ist die im jährlichen Secureworks State of the Threat Report identifizierte mittlere Verweildauer von 4,5 Tagen auf weniger als einen Tag gefallen. In 10% der Fälle wurde Ransomware sogar innerhalb von fünf Stunden nach dem ersten Zugriff eingesetzt.
„Der Grund für die Verkürzung der mittleren Verweildauer ist wahrscheinlich das Bestreben der Cyberkriminellen, die Entdeckungswahrscheinlichkeit zu verringern. Die Cybersicherheitsbranche ist viel besser darin geworden, Aktivitäten zu erkennen, die einem Ransomware-Angriff vorausgehen. Infolgedessen konzentrieren sich die Bedrohungsakteure auf einfachere und schneller umzusetzende Operationen, anstatt auf große, unternehmensweite Verschlüsselungsereignisse, die wesentlich komplexer sind. Das Risiko dieser Angriffe ist jedoch immer noch hoch“, sagte Don Smith, VP Threat Intelligence, Secureworks Counter Threat Unit.
„Obwohl wir immer noch bekannte Namen als die aktivsten Bedrohungsakteure sehen, befeuert das Auftauchen mehrerer neuer und sehr aktiver Bedrohungsgruppen einen deutlichen Anstieg bei Opfern und Datenlecks. Trotz hochkarätiger Zerschlagungen und Sanktionen sind Cyberkriminelle Meister der Anpassung, so dass die Bedrohung weiter an Fahrt gewinnt“, fuhr Smith fort.
Der jährliche State of the Threat Report untersucht die Cybersicherheitslandschaft von Juni 2022 bis Juli 2023. Zu den wichtigsten Erkenntnissen gehören:
- Während einige bekannte Namen wie GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV) und GOLD TAHOE (Cl0p) die Ransomware-Landschaft immer noch dominieren, tauchen neue Gruppen auf und listen auf „Name and Shame“-Leak-Sites beachtliche Opferzahlen auf. Die letzten vier Monate dieses Berichtszeitraums waren seit dem Auftauchen von Name-and-Shame-Angriffen im Jahr 2019 die ergiebigsten in Bezug auf Opferzahlen.
- Die drei größten anfänglichen Zugriffsvektoren (IAV), die bei Ransomware-Vorfällen beobachtet wurden, bei denen Kunden Secureworks-Notfallhelfer engagierten, waren: Scannen und Ausnutzen, gestohlene Anmeldedaten und Standard-Malware über Phishing-E-Mails.
- Die Ausnutzung bekannter Schwachstellen aus 2022 und früher setzte sich fort und machte mehr als die Hälfte der am häufigsten ausgenutzten Schwachstellen während des Berichtszeitraums aus.
Aktivste Ransomware-Gruppen
Die gleichen Bedrohungsgruppen dominierten 2023 wie 2022. Mit fast dreimal so vielen Opfern wie die nächstaktivste Gruppe BlackCat, betrieben von GOLD BLAZER, bleibt GOLD MYSTIC’s LockBit an der Spitze.
Neue Schemata sind ebenfalls aufgetaucht und haben zahlreiche Opfer gepostet. MalasLocker, 8BASE und Akira (das auf Platz 14 rangierte) sind alles Neulinge, die ab Q2 2023 Eindruck hinterließen. 8BASE listete im Juni 2023 fast 40 Opfer auf seiner Leak-Site auf, nur geringfügig weniger als LockBit. Analysen zeigen, dass einige der Opfer bis Mitte 2022 zurückgehen, obwohl sie gleichzeitig veröffentlicht wurden. Der Angriff von MalasLocker auf Zimbra-Server vom Ende April 2023 machte im Mai 171 Opfer auf seiner Leak-Site aus. Der Bericht untersucht, was die Aktivität auf Leak-Sites tatsächlich über die Erfolgsquoten von Ransomware-Angriffen verrät – es ist nicht so einfach, wie es scheint.
Der Bericht zeigt auch, dass die Opferzahlen pro Monat von April bis Juli 2023 die höchsten waren, seit das Namens-und-Schämen 2019 aufkam. Die höchste Anzahl monatlicher Opfer aller Zeiten wurde im Mai 2023 auf Leak-Sites veröffentlicht, mit 600 Opfern, dreimal so viel wie im Mai 2022.
Top Initial Access Vectors für Ransomware
Die drei größten anfänglichen Zugriffsvektoren (IAV), die bei Ransomware-Vorfällen beobachtet wurden, bei denen Kunden Secureworks-Notfallhelfer engagierten, waren: Scannen und Ausnutzen (32%), gestohlene Anmeldedaten (32%) und Standard-Malware über Phishing-E-Mails (14%).
Beim Scannen und Ausnutzen werden verwundbare Systeme möglicherweise über eine Suchmaschine wie Shodan oder einen Schwachstellenscanner identifiziert und dann versucht, sie mit einem bestimmten Exploit zu kompromittieren. Unter den Top 12 am häufigsten ausgenutzten Schwachstellen haben 58% CVE-Daten von vor 2022. Eine (CVE-2018-13379) schaffte es auch auf die Top 15 der am häufigsten ausgenutzten Liste in 2021 und 2020.
„Trotz viel Hype um ChatGPT und AI-ähnliche Angriffe ergeben sich die beiden bisher prominentesten Angriffe von 2023 aus ungepatchter Infrastruktur. Letztendlich ernten Cyberkriminelle die Früchte bewährter Angriffsmethoden, so dass sich Organisationen auf grundlegende Cyber-Hygiene konzentrieren und sich nicht von Hype einwickeln lassen sollten“, fuhr Smith fort.
Die Welt der staatlich geförderten Angreifer
Der Bericht untersucht auch die bedeutenden Aktivitäten und Trends im Verhalten staatlich geförderter Bedrohungsgruppen aus China, Russland, Iran und Nordkorea. Die Geopolitik bleibt der Haupttreiber für staatlich geförderte Bedrohungsgruppen insgesamt.
China:
China hat einen Teil seiner Aufmerksamkeit auf Osteuropa verlagert, während es auch einen Fokus auf Taiwan und andere Nachbarn beibehält. Es zeigt eine wachsende Betonung heimlicher Vorgehensweisen bei Cyber-Spionageangriffen – ein Wandel gegenüber seinem früheren Ruf des „Zuschlagens und Greifens“. Die Verwendung kommerzieller Tools wie Cobalt Strike sowie chinesischer Open-Source-Tools minimiert das Risiko der Zuordnung und verschmilzt mit der Aktivität nach dem Eindringen von Ransomware-Akteuren.