DER
CYBERTHREATS-REPORT
DER
CYBERTHREATS-REPORT
November 2023
Einblicke aus einem weltweiten Netzwerk von Experten, Sensoren, Telemetrie und Bedrohungsdaten
Ein Spionageakteur mit Verbindung zu China (UNC4841) kompromittiert mit dem Exploit CVE-2023-2868 das globale Netzwerk eines Branchenpartners.
Als CISO weisen Sie Ihr SecOps-Team an, sofort Patches zu installieren – und vermeiden auf diese Weise ernsthafte Auswirkungen auf Ihre Systeme.
Doch die Mitglieder Ihres Vorstands sind besorgt und möchten Sie persönlich sehen. Sie benötigen Gewissheit, kennen sich aber nicht mit Cyber-Sicherheit aus. Daher können Sie nicht einfach hereinspazieren und erklären: „Alles in Ordnung, wir haben 500 Schwachstellen gepatcht.“
Am Anfang der Geschichte stehen Cyber-Bedrohungen. Ihr Anteil daran beginnt mit Informationen zu Bedrohungen, die aus Millionen von Sensoren gewonnen wurden.
Willkommen beim Cyberthreats-Report vom November 2023.
Der Cyberthreats-Report von Trellix
Dieser vom Trellix Advanced Research Center verfasste Bericht (1) stellt Einblicke, Bedrohungsdaten und Empfehlungen vor, die aus verschiedenen Datenquellen für Cyber-Sicherheitsbedrohungen gewonnen wurden, und (2) entwickelt daraus nützliche Experten-Interpretationen sowie empfohlene Vorgehensweisen für die Cyber-Abwehr. Diese Ausgabe konzentriert sich auf Daten und Erkenntnisse, die wir zwischen dem 1. April 2023 und dem 30. September 2023 erfasst haben.
Eine wichtige Partnerschaft
Welche Bedrohungen sind im Umlauf? Mit welchen Angriffen müssen wir rechnen? Wie können wir ihnen einen Schritt voraus bleiben?
Diesen Fragen stellen wir alle uns jeden Tag aufs Neue – Sie als CISO, Ihre SecOps-Teams, unsere Advanced Research Center-Experten und auch ich. Bei der Suche nach Ransomware-Gruppen oder Schaddaten in unseren Umgebungen hetzen wir genau wie Sie ständig zwischen dringenden War-Room-Gesprächen mit CEOs und Vorständen außerhalb der Geschäftszeiten sowie intensiven Such- und Abwehraktionen an Wochenenden hin und her.
Unsere Ziele sind eng miteinander verbunden.
- Sie überwachen alle Informationen, die Technologie und die Cyber-Sicherheit in Ihrem Unternehmen. Wir halten dabei für Sie unsere Augen und Ohren offen, um Cyber-Risiken am Edge Ihrer verwalteten Umgebung aufzuspüren.
- Unsere Experten haben ähnliche Hintergründe – von Bundessicherheitsbehörden, Militär oder Justiz über Spezialoperationen, Antiterror und Spionage bis hin zu Fachleuten für Bereiche wie Netzwerkarchitektur-Design und Systemadministration.
Ihre und unsere Teams arbeiten unabhängig und dennoch zusammen und bilden die erste Verteidigungslinie für praktisch alle Unternehmen und Organisationen auf der ganzen Welt.
Die Auswirkungen von Cyber-Angriffen verändern sich kontinuierlich.
Um diese Vorfälle und deren Auswirkungen zu verhindern, benötigen Sie zunächst einmal Informationen. Sie müssen die Bedrohungsumgebung verstehen. Die rohen Telemetriedaten müssen in entscheidungsrelevante Erkenntnisse über Bedrohungsakteure, Schwachstellen und Angriffe umgewandelt werden.
Wir veröffentlichen den Trellix Cyberthreats-Report für Sie. In dieser Ausgabe zum 4. Quartal 2023
erhalten Sie wertvolle Einblicke zu den vier wichtigsten Bereichen der Bedrohungsumgebung: (1) Aktivitäten staatlicher Akteure und APTs, (2) die kontinuierliche Weiterentwicklung von Ransomware, (3) verändertes Verhalten von Bedrohungsakteuren und (4) die neue Bedrohung durch generative KI.
Informationen entscheiden über den Sieg auf dem Schlachtfeld – und über erfolgreiche Cyber-Sicherheit.
Trellix Head of Threat Intelligence
Einführung
Eine Zeit der geopolitischen Rezession mit Kriegen, Unruhen und Instabilität
Bei der Cyber-Sicherheit spielt der globale Kontext immer eine Rolle. Kriege und Konflikte lassen die Emotionen hochkochen. Fragile Beziehungen zwischen Staaten schüren Argwohn und Aggression. Und wirtschaftliche Instabilität eröffnet einigen Akteuren die Möglichkeit, andere auszunutzen. Die folgenden Faktoren sind in unsere Bedrohungsdaten und -analysen für das 4. Quartal 2023 eingeflossen:
- Der Krieg zwischen Russland und der Ukraine und die unsichere Lage in Nachkriegs-Russland: Pro-russische Hacker verstärken weiterhin ihre Angriffe auf die Ukraine und konzentrieren sich dabei hauptsächlich auf die kritische Infrastruktur, Regierungseinrichtungen sowie auf militärische Befehlsstellen. Hacker-Angriffe wurden bereits auf die UN, die NATO und westliche Länder ausgeweitet und richten sich unter anderem auch gegen kritische Infrastrukturen und Finanzsysteme in den USA und Europa. Wir erwarten, dass diese Angriffe nach dem Krieg noch raffinierter werden, da sich das geschwächte Land gegen die Isolation wehren wird.
- China und die chinesischen Fähigkeiten im Bereich Cyber-Spionage sowie Diebstahl von geistigem Eigentum: Chinas hoch organisierter Ansatz beim Diebstahl von geistigem Eigentum hat sich nach Angaben des FBI-Direktors Christopher Ray mittlerweile zum „nachhaltigsten, umfangreichsten und raffiniertesten je dagewesenen Diebstahl von geistigem Eigentum“ entwickelt. Einige weltweit führende Unternehmen befürchten außerdem, dass die chinesische Plattform TikTok zur massiven Datenerfassung und Beeinflussung verwendet werden könnte. Gleichzeitig verstärkt das Land die Cyber-Angriffe gegen Taiwan.
- Die autokratischen Länder Iran und Nordkorea und die Raffinesse ihrer Cyber-Angriffe: Diese beiden Länder haben sich zum Ziel gesetzt, die Demokratie weltweit zu untergraben. Im letzten Monat wies Anne Neuberger, Deputy National Security Advisor for Cyber and Emerging Technologies des National Security Council, darauf hin, dass Nordkorea bereits mit KI-gestützten Cyber-Angriffen experimentiert. Gleichzeitig greifen staatlich unterstützte Gruppierungen im Iran aggressiv Unternehmen in den Bereichen Verteidigung, Satellitentechnik und Pharmazie an.
- Der Krieg zwischen Israel und der Hamas und die verstärkten Spannungen im gesamten Nahen Osten: Obwohl dieser Krieg erst Anfang Oktober und damit kurz nach dem 30. September (dem Ende unserer Datenanalyse für den aktuellen Bericht) ausgebrochen ist, muss seine Bedeutung für die Cyber-Sicherheit hervorgehoben werden. Der immer noch anhaltende Krieg hat die Spannungen zwischen Unterstützern auf beiden Seiten des langjährigen israelisch-palästinensischen Konflikts im Nahen Osten und in Europa dramatisch verschärft und droht, auf andere Länder der Region überzugreifen.
- Künstliche Intelligenz als Cyber-Waffe: In den letzten Monaten haben böswillige Akteure damit begonnen, künstliche Intelligenz (KI) in ihre Angriffstaktiken einzubinden. Dazu gehören die Identifizierung bereits infizierter Systeme, die Generierung überzeugenderer E-Mails, die Formulierung von Antworten auf komplexe Fragen bei gekaperten Chat-Bots, die Lösung von Problemen sowie die Generierung von neuem Code. Da hochentwickelte generative KI-Tools immer leichter zugänglich sind, können Cyber-Kriminelle ihre Angriffe viel einfacher und kostengünstiger durchführen – und benötigen dazu noch nicht einmal technische Kenntnisse.
- Politische Spannungen, Hacktivismus und Falschinformationen: Wie bereits Ende 2022 vorhergesagt, nimmt politischer Hacktivismus (d. h. politisch oder sozial motiviertes Hacking durch Aktivisten) zu. Dies wurde stark von der zunehmenden politischen Polarisierung in den USA im Vorfeld der Präsidentschaftswahlen 2024 wie sowie in anderen Ländern wie Kanada, der Schweiz, Brasilien und Neuseeland vorangetrieben. Einige dieser Gruppen wenden Cyber-Taktiken und -Tools an, um die Reichweite ihrer Nachrichten zu vergrößern, Falschinformationen zu verbreiten und Störungen zu verursachen.
Methoden: So erfassen und analysieren wir Daten
Die erstklassigen Trellix-Experten unseres Advanced Research Center-Teams erfassen die Statistiken, Trends und Einblicke, die in diesen Bericht einfließen, aus verschiedensten weltweiten – offenen sowie geschlossenen – Quellen. Die aggregierten Daten werden in unseren Plattformen Trellix Insights und Trellix ATLAS verarbeitet. Dabei setzt das Team auf intensive, integrierte und iterative Prozesse, die Machine Learning, Automatisierung und menschliche Intuition nutzen, um Daten zu normalisieren, Informationen zu analysieren und Einblicke zu gewinnen, die für Cyber-Sicherheitsverantwortliche und SecOps-Teams auf der ganzen Welt nützlich sind. Eine detaillierte Beschreibung unserer Methodik finden Sie am Ende dieses Berichts.
Verwendung dieser Informationen
Alle professionellen Analyseteams und Prozesse müssen die Effekte von Verzerrungen verstehen, erkennen und – sofern möglich – beseitigen. Als Verzerrung (engl. bias) wird die natürliche, tief sitzende oder unsichtbare Neigung bezeichnet, Fakten und ihre Bedeutung zu akzeptieren, abzulehnen oder zu manipulieren. Diese Grundeigenschaft betrifft alle Konsumenten von Inhalten.
Im Gegensatz zu stark strukturierten und kontrollierten mathematischen Tests oder Experimenten basiert dieser Bericht auf einer willkürlichen Stichprobe. Diese Ermessensgrundlage findet sich häufig in medizinischen, gesundheitsbezogenen, psychologischen und soziologischen Tests, die verfügbare und nutzbare Daten nutzen.
- Kurz gesagt: Unsere Erkenntnisse basieren auf unseren Beobachtungen und umfassen explizit keine Nachweise für Bedrohungen, Angriffe oder Taktiken, die der Erkennung, Protokollierung und Erfassung entgehen konnten.
- Obwohl weder vollständige Informationen noch perfekte Transparenz zur Verfügung stehen, ist diese Art von Untersuchung hervorragend für den Zweck dieses Berichts geeignet: die Identifizierung wichtiger Datenquellen zu Cyber-Sicherheitsbedrohungen und die Entwicklung rationaler, fachkundiger und ethischer Interpretationen dieser Daten, die in empfohlene Vorgehensweisen für die Cyber-Abwehr einfließen.
Erläuterungen zur Analyse in diesem Bericht
Machen Sie mit den folgenden Grundsätzen vertraut, um die Einblicke und Daten in diesem Bericht zu verstehen:
- Eine Momentaufnahme: Niemand hat Zugang zu allen Protokollen aller mit dem Internet verbundenen Systeme, nicht alle Sicherheitszwischenfälle werden gemeldet und nicht alle Opfer werden erpresst oder auf Leak-Websites gelistet. Die möglichst umfangreiche Beobachtung kann jedoch das Verständnis der zahlreichen Bedrohungen verbessern und gleichzeitig blinde Flecken bei der Analyse und Untersuchung minimieren.
- False-Positives und False-Negatives: Zu den hochleistungsfähigen Trellix-Funktionen zur Überwachung und Telemetrieerfassung gehören Mechanismen, Filter und Taktiken, mit denen sich False-Positives und False-Negatives erheblich reduzieren oder sogar vollständig vermeiden lassen. Dadurch werden die Analyse und die Qualität der Ergebnisse deutlich verbessert.
- Erkennungen, nicht Infektionen: Bei Telemetrie geht es um Erkennungen, nicht um Infektionen. Eine Erkennung wird erfasst, wenn eines unserer Produkte eine Datei, URL, IP-Adresse oder einen anderen Indikator erkennt und dies an uns meldet.
- Uneinheitliche Datenerfassung: Einige Datensätze müssen sorgfältig interpretiert werden. So enthalten Telekommunikationsdaten zum Beispiel Telemetriedaten von ISP-Kunden, die in zahlreichen anderen Branchen und Sektoren tätig sind.
- Attribution staatlicher Akteure: Die Zuordnung staatlicher Verantwortlichkeiten bei verschiedenen Cyber-Angriffen und Bedrohungen kann ebenfalls sehr schwierig sein, da staatlich unterstützte Hacker und Cyber-Kriminelle häufig ihre Identität fälschen oder sich als vertrauenswürdige Quelle tarnen.
Highlights im 4. Quartal 2023 auf einen Blick
- Sozioökonomie, staatliche Akteure und APTs
- Geopolitik als Treiber von Bedrohungsaktivitäten: Während in Ländern wie Russland, der Ukraine, China, Taiwan und Israel geopolitische Konflikte eskalieren, nehmen die Aktivitäten von APT-Gruppen und Hacktivisten weltweit zu. Aktivitäten von Gruppierungen mit staatlichen Verbindungen haben in den letzten sechs Monaten um mehr als 50 % zugenommen.
- Angegriffene Länder und Regionen: Staatliche Akteure betreiben zunehmend Cyber-Spionage, Desinformationskampagnen und Cyber-Kriegsführung. Ziel der neueren Angriffswellen sind neben China und den USA inzwischen auch Länder wie Indien, die Türkei und Vietnam.
- Rückkehr der Angriffe auf Edge-Geräte: Herkömmliche Bedrohungen für Edge-Netzwerkgeräte nehmen wieder zu, da Bedrohungsakteure (einschließlich APT-Gruppen) zu dieser Taktik zurückkehren. Zu den schwerwiegenden Zwischenfällen gehören aktuelle Angriffe über Ivanti, MOVEit und Barracuda Networks.
- Subtile Veränderungen der Ransomware-Landschaft
- Kleinere Familien starten große Kampagnen: Ransomware ist nach wie vor die „Malware-Königin“, aber kleinere digitale Angreifer wie Agrius, Bl00dy und FusionCore rücken zunehmend in den Vordergrund.
- Ransomware-Aktivitäten folgen den APT-Trends: Indien, die Türkei, Israel und die Ukraine erleben ein hohes Angriffsaufkommen. Das deutet darauf hin, dass Ransomware und APT-Praktiken konvergieren.
- Entwicklung des Cybercrime-Untergrunds
- Zusammenarbeit der Akteure: Die großen Bedrohungsakteure beginnen zusammenzuarbeiten. Sie verfolgen dabei praktische Ziele (z. B. die gemeinsame Nutzung oder den Verkauf von Zero-Day-Schwachstellen und Exploits), aber auch politische Ziele.
- Koordination und gemeinsame Nutzung von Zero-Day-Schwachstellen: Cyber-Kriminelle ändern ihre Taktiken. Statt ihre erfolgversprechendsten Schwachstellen zu verbergen, verkaufen sie sie auf dem freien Markt. Dadurch stehen böswilligen Akteuren mehr Zero-Day-Exploits zur Verfügung denn je.
- Neuere Malware-Sprachen auf der Bühne: Neue Programmiersprachen wie Nim, Rust und Golang bieten attraktive Funktionen für Cyber-Kriminelle. Insbesondere Golang-basierte Malware wird immer beliebter, vor allem für Ransomware (32 %), Backdoors (26 %) und Trojaner (20 %).
- Das Auftreten böswilliger KI
- Skript-Kiddies sind zurück: Generative KI-Tools wie ChatGPT helfen kleinen und großen Bedrohungsakteuren, erhebliche Herausforderungen zu bewältigen und dank der größeren Effizienz dabei schneller zu skalieren und das Targeting zu verbessern.
- Entwicklung großer Sprachmodelle (LLMs) für kriminelle Zwecke: Es gibt bereits ChatGPT-Ableger, die für Cyber-Kriminelle entwickelt wurden. Die zunehmende Geschwindigkeit und Raffinesse von Phishing-Angriffen in den letzten Jahren deutet darauf hin, dass einige dieser Tools bereits eingesetzt werden.
Analysen, Einblicke und Daten in diesem Bericht
Staatliche Akteure und Advanced Persistent Threats (APT)
Staatliche Akteure betreiben zunehmend Cyber-Spionage, Desinformationskampagnen und Cyber-Kriegsführung. Tatsächlich haben sich die weltweiten Bedrohungsaktivitäten durch APT-Gruppen und Hacktivisten im Zuge der eskalierten Auseinandersetzungen zwischen Russland und der Ukraine, China und Taiwan, Israel und der Hamas sowie vielen anderen erheblich deutlicher verstärkt als im Jahr 2022 und davor. Allein in den letzten sechs Monaten haben die Aktivitäten von Gruppierungen mit staatlichen Verbindungen um mehr als 50 % zugenommen.
Aktive staatliche Akteure und APT-Gruppen
Betrachtet man ausschließlich die Telemetriedaten, so waren China, Russland und Nordkorea die aktivsten staatlichen Akteure. Bei ausschließlicher Betrachtung der öffentlichen Meldungen ist Nordkorea der am häufigsten genannte staatliche Bedrohungsakteur: Es gab 36 Berichte über Gruppen, die mit Nordkorea verbunden sind, darunter Lazarus, Kimsuky, APT37 und BlueNoroff. Am zweithäufigsten genannt wird China – mit 33 gemeldeten Ereignissen, von denen viele Mustang Panda betrafen. Mit Russland in Verbindung stehende Bedrohungsakteure stellten mit 29 gemeldeten Ereignissen (darunter Gamaredon, APT28, APT29 und andere) die dritthäufigste Gruppe staatlicher Akteure dar.
Nennenswerte Bedrohungsakteure nach Land, 2. bis 3. Quartal*
* Anteil bei allen APT-Erkennungen, die von Trellix-Telemetriedaten erkannt oder von der Branche gemeldet wurden.Häufigste Bedrohungsakteure nach Branchenereignissen, 2. bis 3. Quartal*
Häufigste Länder von Bedrohungsakteuren nach Erkennungen durch Telemetriedaten, 2. bis 3. Quartal*
1.
China
75,46 %
2.
Russland
9,38 %
3.
Nordkorea
7,37 %
4.
Iran
4,28 %
5.
Vietnam
1,17 %
Zu den APT-Gruppen, die bei den im 2. und 3. Quartal gemeldeten Ereignissen am häufigsten identifiziert wurden, gehörten die von China unterstützte Gruppe Mustang Panda, die von Nordkorea unterstützte Gruppe Lazarus und die mit Russland verbundene Gruppe Gamaredon. Wie die globalen Telemetriedaten zeigen, waren diese Gruppen nicht unbedingt die aktivsten Bedrohungsakteure. Sie stehen jedoch mit äußerst schwerwiegenden Angriffen und Sicherheitsverletzungen in Zusammenhang.
Ebenso wie andere von China unterstützte APT-Akteure sammelt auch Mustang Panda vor allem strategische Informationen in anderen Regionen. Diese Gruppe geht daher methodisch vor. Sie priorisiert benutzerdefinierte Tools und Malware und konzentriert sich auf bestimmte Branchen und Ziele, sodass Mustang Panda vergleichsweise zuverlässig identifiziert und gemeldet wird.
Im Gegensatz dazu ist Lazarus, wie viele andere APT-Gruppen mit Verbindung zu Nordkorea, auf beiden Seiten stark vertreten. Das liegt daran, dass die Gruppe (der wahrscheinliche Initiator der Cyber-Spionagekampagne Operation Dream Job) stärker finanziell motiviert ist, eine größere Palette an Tools nutzt und zusätzlich zu ihren strategischen Prioritäten eine größere Bandbreite an Unternehmen und Organisationen angreift. Dazu gehören auch militärische Infrastrukturen, von Verteidigungsindustrien bis zu hochrangigen Kerntechnikern in den USA, Israel, Australien und Russland.
Häufigste Gruppen von Bedrohungsakteuren nach Erkennungen durch Telemetriedaten, 2. bis 3. Quartal*
1.
APT40
42,28 %
2.
Mustang Panda
15,93 %
3.
Lazarus
5,12 %
4.
APT1O
2,82 %
5.
Gamaredon Group
2,66 %
Häufigste Gruppen von Bedrohungsakteuren nach Branchenereignissen, 2. bis 3. Quartal*
Angegriffene Länder und Regionen
Ein Vergleich der globalen Telemetriedaten und Branchenberichte macht Trends deutlich, die einige der weltweiten militärischen Konflikte und sozioökonomischen Spannungen des Jahres 2023 widerspiegeln. Von Russland unterstützte APT-Gruppen führen weiterhin koordinierte Cyber-Angriffe gegen ukrainische Organisationen und Behörden durch. Und während China in der Taiwanstraße mit den Säbeln rasselt, starten Akteure mit Verbindung zu China Cyber-Angriffe gegen Taiwan. Nordkoreanische APT-Gruppen gehen auf ähnliche Weise gegen Südkorea vor.
Die Bedrohungsdaten zu anderen Ländern spiegeln ebenfalls globale Ereignisse wider. Es scheint, dass große, etablierte Akteure ihre Aktivitäten neu ausrichten oder ausweiten, um ihre Aktivitäten auf bestimmte Regionen auszuweiten. Allerdings gibt es noch keine Beweise für solche Verbindungen mit größeren geopolitischen Konflikten oder Entwicklungen.
- Der Krieg zwischen Israel und der Hamas: Auch wenn die Kampfhandlungen erst im Oktober begannen und daher nicht in den Daten dieses Berichts enthalten sind, hatte die Zahl der Branchenmeldungen und Erkennungen in dieser Region in den Monaten zuvor deutlich zugenommen. Es ist nicht bekannt, ob diese Aktivitäten eine Vorstufe der nachfolgenden Ereignisse waren. Wir können jedoch sagen, dass die Aktivitäten pakistanischer, iranischer und saudi-arabischer APT-Gruppen sicherlich dazu beigetragen haben, die Region weiter zu destabilisieren.
- Die indisch-pakistanische Achse: Die Bedrohungsgruppe APT36 mit Verbindung zu Pakistan greift beispielsweise seit langem indische Verteidigungs- und Regierungsbehörden an. In den letzten beiden Quartalen konzentrierten sich die Aktivitäten der Gruppe zunehmend auf den Bildungssektor. Eventuell ist dies ein strategischer Versuch, Einblick in Indiens Fortschritte bei Forschung und Technologie zu erhalten und sie möglicherweise zu kompromittieren. Auch mehrere andere APT-Gruppen greifen Indien an. Mögliches Motiv könnte die Tatsache sein, dass Indien ab Dezember 2022 den G20-Vorsitz innehatte und den Gipfel im September 2022 ausgerichtet hat.
- Türkei und der Nahe Osten: Die APT-Aktivitäten gegen die Türkei, ein weiteres G20-Mitglied, haben ebenfalls zugenommen. Der Fokus von GoldenJackal scheint mit dem zunehmenden Interesse der Gruppe an Angriffen auf Länder im Nahen Osten zusammenzuhängen. Auch die APT-Gruppe SideWinder, die sich in der Vergangenheit hauptsächlich auf Pakistan und Sri Lanka konzentrierte, richtet ihren Fokus jetzt auf die Türkei aus. Der Grund dafür ist allerdings noch nicht bekannt.
Wir werden diese neuen Muster in den kommenden Monaten genau beobachten.
Nennenswerte angegriffene Länder, 2. bis 3. Quartal*
* Anteil bei allen Ransomware-Erkennungen, die von Trellix-Telemetriedaten erkannt oder von der Branche gemeldet wurden.Entwicklung der Ransomware-Bedrohungslandschaft
Ransomware ist nach wie vor die weltweit häufigste Art von Cyber-Angriffen. Globale Erkennungen und von der Branche gemeldete Vorfälle spiegeln besonders im 2. Quartal ungewöhnliche Unterschiede bei den Ransomware-Familien sowie bei den betroffenen Ländern und Branchen wider. Die Daten für das 1. Quartal dienen als Kontext.
Ransomware-Erkennungen 2023*
* Gesamtanzahl der Ransomware-Erkennungen, die von Trellix-Telemetriedaten erkannt wurden.Ransomware-Ereignisse 2023*
* Gesamtanzahl der Ransomware-Vorfälle, die von der Branche gemeldet wurden.Aktive staatliche Akteure und APT-Gruppen
Eine Analyse der Aktivitäten im 2. und 3. Quartal zeigt, dass die „üblichen Verdächtigen“ die Liste anführen. LockBit wurde deutlich häufiger (54 %) erkannt als andere Varianten, gefolgt von BlackCat (22 %) und Cuba (20 %). Von der Branche wurden jedoch am häufigsten BlackCat und Trigona gemeldet (je 6 %).
Häufigste Ransomware-Varianten, 2. bis 3. Quartal*
* Anteil bei allen Ransomware-Vorfällen, die von Trellix-Telemetriedaten erkannt oder von der Branche gemeldet wurden.Die große Schlagzeile: Cl0p und MOVEit
Der größte Ransomware-Zwischenfall in diesem Zeitraum war der MOVEit-Angriff von Cl0P. Von diesem Exploit zur Daten-Exfiltration waren mehr als 2.500 Unternehmen und Organisationen betroffen. Cl0P nutzte dabei eine bestimmte CVE, die die verwaltete Dateiübertragungs-Software MOVEit ausnutzt und die Exfiltration großer Datenmengen ermöglicht.
Trotz der Komplexität des Angriffs schien Cl0P mit der Handhabung des Datenvolumens und der Kommunikation mit den Opfern Schwierigkeiten zu haben. Angesichts dieses Umstands sowie der Ressourcen und des Zeitaufwands, mit denen Cl0p minimale Ergebnisse erreichte, muss das Ziel des Angreifers hinterfragt werden.
Zu Beginn des Jahres bestimmten bereits im Jahr 2022 bekannte Bedrohungsakteure wie LockBit und Royal weiterhin das Bild.
Im 2. Quartal betraten jedoch weniger bekannte Akteure die Bühne. BlackCat war die am häufigsten erkannte Variante (51 %), gefolgt von Black Basta, Trigona, Rorschach und Cyclance. Rorschach (6 %) und Black Basta (4 %) waren gleichzeitig die am häufigsten gemeldeten Varianten. Für Trigona (9 %) galt das für kurze Zeit ebenfalls, bis eine als Ukrainian Cyber Alliance bekannte Gruppe anscheinend die Trigon-Server löschte.
Im 3. Quartal beobachteten wir, dass die wichtigsten Akteure in Bezug auf globale Telemetriedaten und Branchenereignisse wieder zu ihrer alten Form zurückfanden. Die häufigsten waren LockBit (60 % der Erkennungen, 9 % der Berichte), BlackCat (22 % der Erkennungen, 9 % der Berichte) und Cuba (19 % der Erkennungen, 6 % der Berichte).
Betreten kleinere Akteure die Bühne?
Ransomware-Akteure und -Gruppen nutzen immer häufiger die Vorteile von Partnerbeziehungen, verbesserter Zusammenarbeit und einer intensiveren Kommunikation innerhalb des Cybercrime-Untergrunds. Dadurch können sie jetzt raffinierte, breit angelegte Angriffe viel einfacher ausführen als in der Vergangenheit.
Konvergenz?
Ein neuer Trend, der im Blick behalten werden muss
Die Länder mit den höchsten Ransomware-Aktivitäten korrelieren auffällig stark mit Trends bei staatlichen APT-Akteuren.
Das ist vielleicht einfach Zufall –
oder ein frühes Zeichen dafür, dass die Ziele und Angriffsmethoden von Ransomware-Akteuren und APT-Gruppen allmählich konvergieren.
Angegriffene Länder und Regionen
In Bezug auf Länder und Regionen haben wir im 2. und 3. Quartal einige überraschende Aktivitäten beobachtet. Die überwiegende Mehrheit (77 %) der Ransomware-Erkennungen entfiel auf Indien. Zudem rangiert das Land bei den gemeldeten Branchenereignissen (7 %) weit oben. In der Liste
der Länder mit den meisten Erkennungen und Ereignissen folgen die USA und die Türkei. Israel, die Ukraine und Russland erreichten bei Ransomware-Aktivitäten in diesem Beobachtungszeitraum ebenfalls hohe Platzierungen.
Geografische Verteilung der Ransomware, 2. bis 3. Quartal*
* Anteil bei allen Ransomware-Vorfällen, die von Trellix-Telemetriedaten erkannt oder von der Branche gemeldet wurden.Von Ransomware betroffene Branchen und Sektoren, 2. bis 3. Quartal*
* Gesamtanzahl der Ransomware-Vorfälle, die von Trellix-Telemetriedaten erkannt oder von der Branche gemeldet wurden.Verhaltensänderungen bei Bedrohungsakteuren
Über die „fünf Familien”
Eine bekannt gewordene neue Zusammenarbeit – über ein erweitertes Netzwerk, das als die „fünf Familien“ bezeichnet wird – ist ein gutes Beispiel dafür, wie Bedrohungsakteure ihre Kräfte bündeln, um die Geschwindigkeit, operative Effizienz und die Auswirkungen ihrer Cyber-Angriffe zu erhöhen.
Der locker organisierte Zusammenschluss mit mehr als 2.000 Mitgliedern besteht aus der Ransomware-Gruppe Stormous sowie der Untergrund-Forengruppe Blackforums.
Zusammenarbeit der Akteure
Im 2. Halbjahr 2023 zeichnete sich ein besorgniserregender Trend ab, mit dem wir schon seit einiger Zeit gerechnet hatten: Bedrohungsakteure haben begonnen zusammenzuarbeiten. Dieses neue Verhalten ist sowohl von praktischen Vorteilen (z. B. die gemeinsame Nutzung oder den Verkauf von Zero-Day-Schwachstellen) als auch auch von politischen Zielen motiviert. Abhängig von den gemeinsamen Interessen, Motiven und der politischen Überzeugung der Gruppen kann diese Zusammenarbeit viele Formen annehmen.
Da die Akteure sich ergänzende Fähigkeiten anderer Gruppen nutzen, können sie ihre Vorteile maximieren. Anstatt sich ausschließlich auf politisch motivierte Angriffe mit Distributed Denial of Service (DDoS), Verfälschung von Websites und Datenlecks zu konzentrieren, haben sie ihren Fokus auf Ransomware-Aktivitäten mit doppelter Erpressung verlagert.
Andere Kooperationen verfolgen politische Ziele. Wir haben eine deutliche Zunahme von Hacktivisten-Kollektiven beobachtet, die auf der digitalen Bühne des Russland-Ukraine-Konflikts operieren. Akteure wie die folgenden bündeln ihre Ressourcen und Aktivitäten. Das gilt insbesondere für diejenigen, die pro-russisch sind.
- Darknet Parliament: Diese Gruppe nimmt mit Angriffen auf die SWIFT-Zahlungsinfrastruktur gezielt das Bankensystem in westlichen Ländern ins Visier.
- Net Worker Alliance: Dieses Kollektiv umfasst mehrere pro-russische Gruppen, die eine Allianz gebildet haben, um ihre gemeinsamen Gegner – die NATO-Staaten und den Westen im Allgemeinen – effektiver anzugreifen.
Am Rande des Israel-Hamas-Konflikts zeichnet sich eine ähnliche verstärkte Zusammenarbeit zwischen Bedrohungsakteuren ab. Unmittelbar nach Ausbruch des Krieges im Oktober beobachtete unser Team eine massive Zunahme der Cyber-Aktivitäten. Seit Beginn des Konflikts haben wir fast 80 pro-palästinensische Gruppen identifiziert, die israelische Organisationen mit Cyber-Angriffen attackieren, sowie mehr als zwei Dutzend pro-israelische Akteure, die sich an gegensätzlichen Aktivitäten beteiligen. Zu den bisher beobachteten hunderten Angriffen zwischen diesen Parteien gehörten die Kompromittierung personenbezogener Daten von Soldaten der Israelischen Verteidigungsstreitkräfte und deren Verkauf im Darknet, die Offenlegung gestohlener Anmeldedaten von mehreren wichtigen Büros der palästinensischen Regierung sowie Cyber-Angriffe und Kompromittierungen, die von beiden Seiten für Attacken gegen kritische Infrastruktur des jeweils anderen genutzt wurden.
Verbreitung von Zero-Day-Exploits
Auch im 2. Halbjahr 2023 haben wir Untergrund-Bedrohungsakteure beobachtet, die aktiv Zero-Day-Exploits bewerben, mit denen Schwachstellen in Windows- und Linux-Systemen ausgenutzt werden können. Zu den wichtigsten Schwachstellen, die im Darknet intensiv diskutiert werden, gehören die folgenden:
- Lokale Berechtigungseskalation (LPE): In Untergrund-Foren werden häufig Zero-Day-LPE-Schwachstellen für Windows-Betriebssysteme beworben.
- Funktionsweise und Auswirkungen: Mit diesen Schwachstellen können Bedrohungsakteure durch Berechtigungseskalation die Rechte von System- oder Domänenadministratoren erlangen. Sie werden oft mit Umgehungen der Benutzerkontensteuerung und der Funktion zur Deaktivierung von Virenschutz-Software kombiniert.
- Beispiele für verkaufte Exploits: Dazu gehören unter anderem Zero-Day-Exploits für CVE-2023-36874, CVE-2023-29336 und CVE-2023-36874.
- Remote-Ausführung von-Code (RCE): Im Darknet haben wir den Verkauf von Zero-Day-RCE-Exploits beobachtet, die verschiedene Software-Anwendungen und Systeme betreffen.
- Funktionsweise und Auswirkungen: Diese Schwachstellen betreffen Citrix-Produkte, die Anwendung Discord, die Software Veeam sowie Netzwerk-Appliances von Anbietern wie Draytek, TP-Link und SonicWall.
- Beispiele für verkaufte Exploits: Eine besonders nennenswerte Zero-Day-RCE-Schwachstelle betraf den qTox-Client, der von Bedrohungsakteuren häufig für verschlüsseltes Instant Messaging genutzt wird. Die Aufdeckung dieser Schwachstelle löste in der Cybercrime-Community Besorgnis aus, weil dadurch die Gefahr bestand, dass die tatsächlichen Identitäten der Bedrohungsakteure feststellbar werden. Dies motivierte viele, völlig auf die TOX-Messaging-Plattform zu verzichten oder zu alternativen TOX-Clients zu wechseln.
Schwachstellen, die RCE und LPE ermöglichen, gehören für Bedrohungsakteure zu den attraktivsten Schwachstellen. Auch wenn der Verkauf solcher Exploits nicht neu ist – und mehrere spezialisierte Akteure ihr gesamtes Geschäftsmodell auf ihre Entwicklung und den Verkauf ausgerichtet haben –, hat die Verbreitung dieser Zero-Day-Exploits im Untergrund deutlich zugenommen.
Tatsächlich werden heute erkannte Zero-Day-Schwachstellen über das Untergrund-Netzwerk von Bedrohungsakteuren zügig verbreitet und gelangen auf diese Weise schnell in die Hände äußerst raffinierter und gefährlicher Gruppen. Zero-Day-Schwachstellen sind eine gefährlichere Bedrohung als je zuvor, da die wichtigsten Bedrohungsakteure bereit sind und auf die nächste große Schwachstelle warten, die sie ausnutzen können (z. B. das nächste Log4j, MOVEit oder BlueKeep), um immensen Schaden anzurichten und enorme finanzielle Gewinne einzustreichen.
Mehrsprachige Malware
In den letzten Jahren entdeckten Bedrohungsakteure neue Programmiersprachen wie Golang (ehemals Go), Nim und Rust für die Entwicklung ihrer Schadsoftware. Auch wenn sie im Vergleich zu älteren Sprachen wie Python oder C++ weiterhin eher selten verwendet werden, nehmen Bedrohungsakteure die Möglichkeiten diese neuen Sprachen gern an.
Diese Sprachen sind für Cyber-Kriminelle aus zahlreichen Gründen interessant. Durch den Fokus auf Leistung und Ausdrucksstärke lässt sich mit Nim relativ einfach komplexe Malware erstellen. Die Speicherverwaltungsfunktionen von Rust sind für Ransomware-Gruppen interessant, die großen Wert auf effiziente Verschlüsselung legen. Die Einfachheit und die Unterstützung von Nebenläufigkeit haben Go zu einem bevorzugten Tool für die Erstellung schlanker und schneller Malware gemacht. Im Jahr 2023 haben wir beobachtet, dass Golang-basierte Malware bei böswilligen Akteuren immer beliebter wird. Zudem haben wir mehrere neue Muster entdeckt, die wir in den kommenden Monaten genau verfolgen werden.
Prozentanteil der Malware Golang
Anfangs wurde Golang von Cyber-Kriminellen hauptsächlich für die Erstellung von Infostealern verwendet, mit denen vertrauliche Daten von Opfern abgegriffen werden konnten. Heute kommt diese Taktik nur noch bei 3,66 % aller Erkennungen zum Einsatz. In diesem Jahr entfiel fast ein Drittel (32 %) der Erkennungen auf Cyber-Kriminelle, die Golang für Ransomware nutzten. Die Tatsache, dass Malware-Autoren mithilfe von Golang in diesem Umfang Ransomware entwickeln, zeigt einen beunruhigenden Wandel in Bezug auf Komplexität und Reifegrad. Backdoor- und Trojaner-Malware machen bei Golang-Varianten etwa 25 % bzw. 20 % aus. Diese Malware-Formen werden typischerweise mit gefälschter Software verbreitet, die Benutzer beim Herunterladen infiziert.
Besonders erwähnenswert sind jedoch Vorfälle, bei denen APT-Akteure Malware unter Verwendung von Golang entwickelt haben. Beispielsweise haben Sicherheitsforscher Anfang des Jahres einen neuen Angriff in der Ukraine mit Sandworm aufgedeckt. Der SwiftSlicer-Wiper der APT-Gruppe wurde mit Golang entwickelt. Es wurden noch weitere Vorfälle beobachtet, zum Beispiel die Verbreitung einer Go-basierten Version der Malware Zebrocy durch die Gruppe APT28, die von Russland unterstützt wird. Die APT-Gruppe Mustang Panda, die Verbindungen zu China hat, setzte einen neuen Go-basierten Loader bei mehreren aktuellen Angriffen ein. Diese Beobachtungen verdeutlichen, wie sich Cyber-Kriminelle mit neuen Technologien an die Bedrohungslandschaft anpassen.
Edge-Geräte
Es gibt derzeit eine grundlegende und gleichzeitig unauffällige Veränderung in der Bedrohungslandschaft mit einem Fokus auf die oft übersehenen Edge-Geräte. Es ist nichts Neues, dass dank der Anzahl und Vielfalt der in Unternehmen vernetzten Geräte die Angriffsfläche in erheblichem Tempo wächst. Unabhängig von der jeweiligen Branche sind es jedoch mittlerweile Edge-Geräte wie Router und Zugriffspunkte, die zu neuen primären Zielen für Bedrohungsakteure und APT-Gruppen geworden sind.
Immer häufiger wird Malware entdeckt, die solche Edge-Geräte angreifen kann. Davon sind alle Anbieter von Zugriffspunktgeräten betroffen. Bedrohungsakteure nutzen Schwachstellen auf diesen Geräten für viele Zwecke aus, zum Beispiel als Einfallstor für Netzwerkuntersuchungen, zum Einrichten von Webshells oder Backdoors im Netzwerk, zum Eskalieren von Berechtigungen, zum Missbrauchen der Geräte für DDoS-Botnets und sogar zur strategischen staatlich gestützten Cyber-Spionage.
Im Unterschied zu „normalen“ Bedrohungen gehen Angriffe auf Edge-Geräte subtil vor. Dabei geht es nicht um leicht vorhersehbare IoT-Schwachstellen, sondern um weniger augenfällige Probleme, die durch die Geräte selbst entstehen. Edge-Geräte bringen eine eigene Komplexität mit sich und bieten gleichzeitig keine Möglichkeit, Eindringungsversuche zu erkennen. Im Gegensatz zu herkömmlichen Netzwerkkomponenten können sie nicht einfach mit dem nächsten IDS- oder IPS-System verbunden werden. Die Tore zu unserer digitalen Welt sind naturgemäß die erste und letzte Verteidigungslinie und werden damit gleichermaßen zum Ziel und zum blinden Fleck. Die weiterentwickelten Taktiken der Bedrohungsakteure und die Fülle von Edge-Gerätearchitekturen führen zu großen Herausforderungen.
Im Jahr 2023 gab es mehrere Vorfälle, bei denen APTs und hochentwickelte Ransomware-Familien Schwachstellen von Edge-Geräten für schwerwiegende Angriffe nutzten:
- Ivanti Endpoint Manager Mobile
Die Fehler CVE-2023-35081 und CVE-2023-35078 wurden in Ivanti Endpoint Manager Mobile gefunden, wobei es sich beim ersterem eine Path Traversal-Schwachstelle und bei dem letzteren um eine Umgehung der Authentifizierung handelte. Die Schwachstellen wurden zwar seitdem gepatcht, allerdings wurden sie im Juli 2023 bei mehreren Angriffen gegen Norwegen und den dortigen staatlichen Sektor ausgenutzt. Die genaue Identität des Bedrohungsakteurs ist weiterhin unbekannt, aufgrund der Ziele gehen viele Experten, einschließlich unserer Teams, von einer APT-Gruppe aus. - Barracuda Email Security Gateway
In Barracuda Email Security Gateway wurde die Zero-Day-Schwachstelle CVE-2023-2868 gefunden, die Befehlseinschleusung per Remote-Zugriff ermöglicht. Diese Schwachstelle wurde bereits im Oktober 2022 von vielen Malware-Varianten ausgenutzt, bevor sie im Mai 2023 mit dem Patch BNSF-36456 behoben wurde. UNC4841, ein Spionageakteur mit Verbindung zur Volksrepublik China, wurde dabei beobachtet, wie er mit diesem Exploit Bildungseinrichtungen, Regierungsbehörden und Forschungseinrichtungen in China, Hongkong und Taiwan angriff. - MOVEit Transfer
In der Web-Anwendung MOVEit Transfer wurde die Schwachstelle CVE-2023-34362 gefunden, die die Einschleusung von SQL-Code ermöglicht. Diese Schwachstelle wurde im Mai und Juni 2023 von der Ransomware-Familie Cl0p ausgenutzt, die in Ländern wie Belgien, Kanada, Frankreich, Deutschland, Luxemburg, der Schweiz, Großbritannien und den USA auf Unternehmen und Organisationen in den Bereichen Finanzen, Bildung, Energie, Gesundheitswesen, Technologie sowie auf Behörden abzielte. Die Aktionen der Gruppe nach der Daten-Exfiltration weisen jedoch darauf hin, dass sie sich primär für APT-Aktivitäten statt für die Lösegelder interessierte.
Die Bedrohung durch generative KI
Vorteile für Cyber-Kriminelle
Mit dem Fortschritt und der Weiterentwicklung von Technologien für künstliche Intelligenz (KI) und neuen großen Sprachmodellen (Large Language Models, LLMs) beobachten wir neue Lösungen und Anwendungen, die diese Innovationen zur Verbesserung der Cyber-Sicherheit nutzen. LLMs verfügen zwar über ein bemerkenswertes technisches Potenzial für positive Anwendungszwecke, können jedoch auch leicht durch Bedrohungsakteure zu böswilligen Zwecken eingesetzt werden. Führende generative KI-Anwendungen wie GPT-3.5, GPT-4, Claude und PaLM2 haben einzigartige Möglichkeiten bei der Generierung von zusammenhängenden Texten, Beantwortung komplexer Fragen, Lösung von Problemen, Erstellung von Code und anderen Aufgaben in natürlicher Sprache erreicht.
Unser Team hegt jedoch erhebliche und begründete Sicherheitsbedenken in Bezug auf die Möglichkeiten, mit denen Cyber-Kriminelle diese Funktionen für einen groß angelegten Angriff missbrauchen können. Im Gegensatz zu früheren, weniger hochentwickelten KI-Systemen sind die heute verfügbaren KI-Anwendungen ein potentes und kostengünstiges Hilfsmittel für Hacker, für das weder umfangreiches Fachwissen noch viel Zeit und Ressourcen erforderlich sind. Diese KI-Anwendungen sind in der Lage, die erheblichen Herausforderungen für Cyber-Kriminelle zu verringern. Das gilt sowohl kleinere Akteure, die ihre Aktivitäten ausweiten möchten, als auch größere Gruppen, die ihr Targeting oder die Effizienz verbessern möchten. Bei Phishing-Angriffen wird generative KI zum Beispiel häufig wie folgt eingesetzt:
- Erforderliche Kompetenzen: Cyber-Kriminelle mit begrenzten Kenntnissen und bescheidenen technischen Kenntnissen können mithilfe von KI-Tools Malware für ihre Angriffe schreiben, sodass die Angreifer sich auf komplexere Strategien und ihre Ausführung konzentrieren können. Durch diesen optimierten Ansatz werden ihre böswilligen Aktivitäten noch effektiver.
- Qualität vor Quantität: Das Erstellen personalisierter Phishing-E-Mails ist eine arbeitsintensive Aufgabe, insbesondere beim Spearphishing. Mithilfe von generativer KI lassen sich jedoch E-Mails generieren, die von Menschen erstellte Nachrichten gekonnt nachahmen und gleichzeitig nur minimales Eingreifen des Angreifers erfordern. Dadurch können Angreifer in kurzer Zeit große Mengen an überzeugenden Phishing-E-Mails generieren, die praktisch keine Rechtschreibfehler enthalten.
- Operativer Aufwand: Diese Tools verwalten in der ersten Phase der Datenerfassung enorme Mengen an unstrukturierten Daten und können anschließend auch im kontinuierlichen Betrieb weiterarbeiten. Dadurch reduzieren sie die Kosten pro angegriffenem Benutzer erheblich, sodass es sich für Cyber-Kriminelle rechnet, die Zielgruppe zu erweitern. Da die Kosten für kognitive Ressourcen weiter sinken, werden diese Ausgaben noch unbedeutender.
- Automatisiertes Social Engineering: Cyber-Kriminelle setzen zunehmend auf Technologien, mit denen sich Social-Engineering-Taktiken automatisieren lassen. Mithilfe von Bots werden Daten erfasst und Opfer dazu verleitet, vertrauliche Informationen wie Einmalkennwörter (One Time Passwords, OTPs) weiterzugeben. Dieser Ansatz reduziert den Bedarf des Angreifers, selbst aktiv einzugreifen, und minimiert die nach einem Angriff hinterlassenen Spuren. Infolgedessen sind Untergrund-Märkte entstanden, die automatisierte Social-Engineering-Tools wie OTP/SMS-Bots und LLM-basierte Web-Crawler anbieten.
Social-Engineering-Betrug nutzt häufiger KI-generierte Stimmen
Da KI inzwischen menschliche Sprachmuster und -nuancen genau nachahmen kann, wird die Unterscheidung zwischen echten und gefälschten Stimmen immer schwieriger.
KI-generierte Stimmen können auch so programmiert werden, dass sie mehrere Sprachen sprechen. Das bietet Betrügern die Möglichkeit, ihre Opfer gezielt in verschiedenen Regionen und mit unterschiedlichen Sprachen anzusprechen, um die Reichweite und Effektivität ihrer betrügerischen Aktivitäten zu automatisieren und zu verstärken.
Aktiv genutzte Blackhat-LLMs
Die Verfügbarkeit kostenloser Open-Source-Software hatte ursprünglich zum Aufkommen sogenannter „Skript-Kiddies“ geführt, die mit wenig oder gar keinen technischen Kenntnissen automatisierte Tools oder Skripte nutzten, um Angriffe auf Computersysteme oder Netzwerke durchzuführen. Obwohl sie manchmal als unerfahrene Laien oder Möchtegern-Blackhat-Akteure abgetan werden, bedeutet die zunehmende Verfügbarkeit hochentwickelter generativer KI-Tools und deren Einsatzmöglichkeiten für Malware, dass fast jeder Akteur eine erhebliche und wachsende Gefahr für den Markt darstellen kann.
Cyber-Kriminelle können mit LLM-Tools die für erfolgreiche Phishing-Kampagnen wichtigsten Phasen verbessern, indem sie Hintergrundinformationen sammeln, mithilfe extrahierter Daten maßgeschneiderte Inhalte erstellen und im großen Maßstab bei geringen Grenzkosten Phishing-E-Mails generieren. Es gibt noch keine schlüssigen Beweise dafür, dass böswillige LLMs bereits aktiv für Angriffe eingesetzt werden, bestimmte Aktivitätstrends deuten jedoch darauf hin, dass dies durchaus möglich ist. Die enorme und schnelle Zunahme der Phishing-Angriffe mit hunderten Millionen neuen Angriffen pro Quartal sind ein Indiz dafür, dass Angreifer ihre Aktivitäten bereits mit LLM-Tools optimieren.
Die Nutzung von generativer KI für böswillige Zwecke ist jedoch erst der Anfang. Es kommen neue, noch modernere Tools auf den Markt, die mithilfe generativer KI die Endgerätesicherheit überlisten, Malware ohne Signatur erstellen und eine dauerhafte strategische Cyber-Sicherheitsbedrohung darstellen. Zukünftige böswillige generative KI-Anwendungen werden Möglichkeiten bieten, Schutzmaßnahmen umfassend zu umgehen, nahezu vollständig anonym zu agieren und die Attribution zu erschweren. Dadurch wird die Untersuchung von Angriffen für Sicherheitsteams zu einer enormen Herausforderung, zumal sich dadurch auch die Verweildauer von Bedrohungen verlängert, wovon unauffällig und langsam vorgehende APT-Angriffe profitieren. Dank generativer KI stehen diese Möglichkeiten unweigerlich für alle Angreifer offen. Daher sind Verhaltensanalysen, Anomalie-Erkennung und umfassende Endgeräteüberwachung unverzichtbar.
Nachwort
Erkenntnisse und Informationen zu Bedrohungen – von Trellix: Die Geschichte beginnt hier
Wir teilen unsere Erkenntnisse zu Cyber-Bedrohungen, um Ihnen eine solide faktenbasierte Plattform bereitstellen zu können, die im kommenden Jahr einige Ihrer wichtigsten Entscheidungen unterstützt. Ganz gleich, wie Sie die Informationen aus diesem Bericht nutzen, möchten wir unseren Beitrag dazu leisten, Ihre Möglichkeiten zur Cyber-Abwehr und Reaktion im Jahr 2024 und darüber hinaus erheblich zu verbessern.
Verwendung dieser Informationen
- Strategische Planung: Nutzen Sie die Informationen in diesem Bericht, um Ihren CEO und Ihren Vorstand darüber aufzuklären, wie stark die Komplexität, Gefährlichkeit und Anonymität von Cyber-Bedrohungen in diesem Jahr gestiegen ist. Trellix unterstützt viele CISOs und andere führende Sicherheitsverantwortliche bei der Entwicklung von unternehmensspezifischen Anwendungsfällen.
- Finanzielle Validierung: Geben Sie die Informationen weiter, um im Jahr 2023 durchgeführte Projekte und getätigte Ausgaben zur Cyber-Abwehr unabhängig und objektiv zu begründen.
- Budget-Begründung: Beziehen Sie die Informationen ein, um ein Upgrade Ihrer bestehenden Technologien zur Bedrohungserkennung und Reaktion zu begründen.
- Operative Unterstützung: Fordern Sie Ihre SecOps-Mitarbeiter auf, diesen Bericht als wichtige Informationsquelle und als Perspektive im breiteren, strategischen Kontext ihrer Arbeit zu lesen.
Jede dieser Anwendungsmöglichkeiten beginnt mit Informationen über Cyber-Sicherheitsbedrohungen. Informationen helfen, das Schlachtfeld zu formen. Sie helfen, Ihrem CEO und Ihrem Vorstand die Lage näher zu bringen. Was tun Sie und aus welchen Gründen? Was müssen Sie tun und was kostet es? Warum ist die Unterstützung der Unternehmensführung für Ihre Aufgabe so wichtig?
Die Erklärung der Lage beginnt hier.
Methoden
Erfassung: Trellix und unsere erstklassigen Advanced Research Center-Experten erfassen die Statistiken, Trends und Einblicke, die in diesen Bericht einfließen, aus verschiedensten weltweiten Quellen.
- Geschlossene Quellen: In einigen Fällen werden die Telemetriedaten von Trellix-Sicherheitslösungen in kundeneigenen Cyber-Sicherheitsnetzwerken und Schutz-Frameworks öffentlicher und privater Sektoren auf der ganzen Welt generiert. Besonders zu nennen wären hier Technologieanbieter, Infrastrukturbetreiber oder Datendienstleister. Diese Millionen Systeme generieren Daten aus einer Milliarde Sensoren.
- Offene Quellen: In anderen Fällen nutzt Trellix eine Kombination aus patentierten, proprietären und Open-Source-Tools, um Websites, Protokolle und Daten-Repositorys im Internet nach Informationen abzugrasen. Wir suchen auch im Darknet nach so genannten Leak-Websites, auf denen Bedrohungsakteure Daten ihrer Ransomware-Opfer veröffentlichen.
Normalisierung: Die aggregierten Daten werden in unseren Plattformen Trellix Insights und Trellix ATLAS verarbeitet. Dabei setzt das Team auf intensive, integrierte und iterative Prozesse, die Machine Learning, Automatisierung und menschliche Intuition nutzen, um die Daten zu normalisieren, die Ergebnisse anzureichern, persönliche Informationen zu entfernen und Korrelationen zu finden, wobei verschiedene Angriffsmethoden, Agenten, Sektoren, Regionen, Strategien und Ereignisse berücksichtigt werden.
Analyse: Als Nächstes analysiert Trellix dieses gewaltige Informationsreservoir anhand (1) der eigenen umfassenden Bedrohungsdaten-Knowledge Base, (2) Cyber-Sicherheitsberichten angesehener und anerkannter Branchenquellen sowie (3) den Erfahrungen und Erkenntnissen von Trellix-Cyber-Sicherheitsanalysten, Ermittlern, Reverse-Engineering-Spezialisten, Forensikern und Schwachstellenexperten.
Interpretation: Daraus gewinnt, überprüft und validiert das Trellix-Team wichtige Erkenntnisse, mit denen Cyber-Sicherheitsverantwortliche und SecOps-Teams (1) die neuesten Trends bei Cyber-Bedrohungen verstehen und (2) mit diesen Einblicken zukünftige Cyber-Angriffe auf ihr Unternehmen vorhersehen, verhindern und abwehren können.
Trellix Advanced Research Center
TwitterÜber das Trellix Advanced Research Center
Das Trellix Advanced Research Center hat die umfassendste Richtlinie der Cyber-Sicherheitsbranche und ist Vorreiter bei neuen Methoden, Trends und Akteuren der weltweiten Bedrohungslandschaft. Als führender Partner von CISOs, hochrangigen Sicherheitsverantwortlichen und deren Sicherheitsteams in aller Welt liefert das Trellix Advanced Research Center Informationen und neueste Inhalte für Sicherheitsanalysten und stärkt gleichzeitig unsere führende XDR-Plattform. Außerdem bietet die Threat Intelligence-Gruppe des Trellix Advanced Research Center unseren weltweiten Kunden Bedrohungsdaten-Produkte und -Services an.
Über Trellix
Trellix ist ein globales Unternehmen, das die Zukunft der Cyber-Sicherheit und verantwortungsvolle Arbeit neu definiert. Seine offene und native eXtended Detection and Response-Plattform (XDR) hilft Unternehmen, die mit den raffiniertesten Bedrohungen von heute konfrontiert werden, das Vertrauen in den Schutz und die Resilienz ihrer Abläufe zu stärken. Zusammen mit einem umfassenden Partnerökosystem fördert Trellix die technologische Innovationsfähigkeit durch Machine Learning und Automatisierung, um über 40.000 Geschäfts- und Behördenkunden durch Living Security zu stärken.
Abonnieren Sie unsere Informationen zu Bedrohungen.
Die in diesem Dokument enthaltenen Informationen beschreiben die Forschungsergebnisse zum Thema Computersicherheit. Sie werden Trellix-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Trellix führt die Untersuchungen entsprechend der Trellix-Richtlinie für die verantwortungsvolle Offenlegung von Schwachstellen durch. Jeglicher Versuch, die hierin beschriebenen Aktivitäten teilweise oder vollständig nachzuvollziehen, erfolgt ausschließlich auf Risiko des Benutzers, und weder Trellix noch die Tochterunternehmen können dafür verantwortlich oder haftbar gemacht werden.
Trellix ist eine eingetragene Marke von Musarubra US LLC oder der Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer.