In 2022 stieg die Zahl der Angriffe auf deutsche IT-Infrastrukturen stark an. Das Resultat ist ein enormer Kostenanstieg für deutsche Unternehmen und Organisationen – verursacht durch Cyberangriffe sowie entstandene Datenschutzverletzungen. Bislang zeigt dieser Trend keine Anzeichen einer Stagnation. Dennoch bietet dieser risikobehaftete Zustand die Chance, Muster zu identifizieren, um anhand dieser schwerwiegende Cyberangriffe in 2023 mit einer gewissen Wahrscheinlichkeit vorhersagen zu können.
IBM hat in seinem Cost of Data Breaches Report 2022 durchschnittliche Gesamtkosten von 4,5 Millionen US-Dollar angegeben. (Entstandene Kosten durch Ransomware wurden nicht gesondert erfasst.) Diese Kosten beziehen sich auf die Beseitigung und den Wiederaufbau nach Cyberangriffen. Dabei ist der Diebstahl von Anmeldeinformationen immer noch der häufigste Angriffsvektor (19 %), gefolgt von Phishing (16 %), falsch konfigurierten Clouds (15 %) und Schwachstellen in der Software von Drittanbietern (13 %).
Im gleichen Report wird die zur Identifikation und Eindämmung jeglicher Kompromittierungen benötigte Zeit im Mittel mit 327 Tagen angegeben.
Die Angriffsserie der Lapsus$-Gruppe
Die Gruppe Lapsus$ begann das Jahr 2022 mit einer Reihe hochkarätiger Angriffsziele, darunter Nvidia, Ubisoft, Samsung und Microsoft. In jedem einzelnen Fall wurden Daten gestohlen und in vielen Fällen online zur Verfügung gestellt. Das Betriebsmodell beruht auf der Erpressung der Unternehmen, die zuvor angegriffen wurden. Der Zugriff auf die Infrastruktur erfolgt meistens durch Phishing. Ransomware ist in der Regel kein Teil des Angriffs.
Mehr Datendiebstahl bei Gesundheitsdienstleistern
Im März wurde die Shields Health Care Group angegriffen, wobei rund 2 Millionen Patientendaten offengelegt wurden. Dabei wird angenommen, dass 53 verschiedene Einrichtungen und ihre Patient/-innen betroffen waren.
Im August erlitt ein Managed Service Provider (MSP) des UK National Health Service einen Ransomware-Angriff. Dabei wurde ein größerer Ausfall der Notdienste in ganz Großbritannien verursacht. Zur schnellen Beseitigung wurden Microsoft selbst als auch Mandiant zur Hilfe geholt. In der Vergangenheit war die Gruppe REvil dafür bekannt, solche MSP ins Visier zu nehmen und anzugreifen.
Kryptowährungen sind sicher, oder?
Der Boom und damit das Marktwachstum im Kryptobereich hat in den vergangenen Jahren einen großen Fokus auf diesen Bereich gelegt. Dieses schnelle Wachstum führt in der Regel zu unsicherer Software. So hat die Lazarus Gruppe 540 Millionen Dollar in Ethereum und USDC-Stablecoins von der Ronin-Blockchain-Bridge gestohlen (eine Blockchain Bridge ist ein Tool, das es Nutzenden ermöglicht, Krypto von einer Blockchain in eine andere zu verschieben.)
Im Februar wurden 321 Millionen Dollar der Wormhole Ethereum-Variante gestohlen und im April konnten Angreifende das Stablecoin-Protokoll „Beanstalk“ ausnutzen und so Krypto im Wert von 182 Millionen Dollar ergaunern.
Drohnenbasierte Angriffe
Der Einsatz von Drohnen zur Ausführung von Cyberangriffen ist seit einiger Zeit ein Gesprächsthema. Im Oktober hat der Sicherheitsforscher Greg Linares solch einen Angriff selbst miterlebt. Das betroffene Unternehmen bemerkte ungewöhnliche Aktivitäten im internen Confluence (eine Unternehmenssoftware, die zur Dokumentation genutzt wird). Sie stellten fest, dass sich in ihrem WLAN-Netzwerk ein Rogue-Gerät befand. Mit Hilfe von Signaltrackern wurden sie auf das Dach des Gebäudes geführt und entdeckten zwei Drohnen. Eine trug ein Pineapple Wifi und die andere trug ein RaspberryPi, ein 4G Modem, einen WLAN-Router und Batterien. Hiermit wurden dann mittels WLAN-Spoofing-Angriffen interne Anmeldeinformationen gesammelt, die den Zugriff auf das interne Netzwerk ermöglichten.
Ransomware: Gute Nachrichten
In der Regel handelt es sich in Berichten über Ransomware-Angriffe um Unternehmen oder Einzelpersonen, die zur Zahlung von Geldforderungen erpresst werden. Doch der niederländischen Polizei gelang es, die Ransomware-Gang DeadBolt dazu zu bringen, 155 Schlüssel zu übergeben. Diese Schlüssel dienten dann den Opfern von Ransomware der DeadBolt Gruppe. Sie konnten ihre Daten entschlüsseln und so Zeit und Geld sparen.
Das erwartet uns in 2023
Aufgrund der sich in diesem Jahr wiederholt geänderten Bedrohungen lässt sich nur bedingt eine Tendenz für 2023 prognostizieren. Allerdings sehen Expert/-innen folgende Entwicklungen als realistisch:
- Phishing-Angriffe werden weiterhin als eine der häufigsten Sicherheitsrisiken erwartet. Hierbei zielen die Angreifenden darauf ab, dass die Opfer sensible Informationen bekanntgeben. Es ist davon auszugehen, dass die Tätergruppen in Zukunft neue Tricks und Taktiken entwickeln, um erfolgreiche Phishing-Angriffe durchzuführen.
- Ransomware gilt ebenfalls weiterhin als eine der größten Bedrohungen. Hier werden wiederum neu entwickelte Herangehensweisen erwartet, mit denen die Security-Vorrichtungen von Unternehmen und auch Organisationen überlistet werden sollen.
- Es wird eine Steigerung der Bedeutung von Cloud-Sicherheit erwartet. Die steigende Datenhaltung in Clouds hat die Sicherheit von Cloud-Umgebunden bereits in den letzten Jahren wachsen lassen. Der Trend der sogenannten Cloudifizierung setzt sich fort und zieht entsprechend auch das Interesse von Hackern auf sich. Somit werden sich Unternehmen und Organisationen mit dem Ausbau der Sicherheit von Cloud-Umgebungen beschäftigen müssen, während Angreifendende an der Durchdringung dieser Sicherheitsmaßnahmen feilen werden.
- Künstliche Intelligenz (KI) sorgt für eine wachsende Bedrohung. Es wird angenommen, dass Tätergruppen sich diese bei ihren Angriffen vermehrt zunutze machen, um Sicherheitsmaßnahmen auszutricksen.
Unternehmen und Organisationen stehen diesen künftigen Bedrohungen allerdings nicht hilflos gegenüber. Es gibt diverse Maßnahmen – auch präventiv –, um die eigene Sicherheit zu erhöhen, Angriffe zu verhindern oder wenn es bereits zu einem Sicherheitsvorfall gekommen ist, diese frühzeitig zu identifizieren und zu beheben.
Kontakt: security-experts@oediv.de