Wichtigste Vorfälle analysiert
Der Bericht nimmt einige der wichtigsten Vorfälle unter die Lupe. Mit Informationen zu spezifischen Angreifern und deren Taktiken, Methoden und Verfahren will er Firmen ein Referenzdokument für die Verbesserung ihrer eigenen Sicherheitskonzepte an die Hand geben.
Eine wichtige Erkenntnis: Der Diebstahl von Anmeldedaten mit Botnets boomt. Blueliv verzeichnete hier einen Anstieg von 50 Prozent zum Vorjahr. Betroffen waren vor allem Technologie- und Telekommunikationsunternehmen, gefolgt von Medien und sozialen Netzwerken. Pony, Keybase und LokiPWS waren die erfolgreichsten Tools zum Datenklau, aber Emotet4 und Azorult zählen ebenfalls zu den häufig gefundenen Malware-Exemplaren.
Emotet war ursprünglich ein Banking-Trojaner und tauchte im Dezember 2016 mit erheblichen Änderungen wieder auf. Hauptziel dieser neuen Version scheint das Verteilen zusätzlicher Malware als Spambot zu sein, mit PDF- und Doc-Dateien im E-Mail-Anhang als Dropper. In vielen Fällen ist die Malware selbstvermehrend.
Emotet: 185.000 Spam-Nachrichten täglich
Das Stealer-Modul von Emotet sammelt Anmeldeinformationen und E-Mail-Adressen. Im November 2018 versendete Emotet 185.000 Spam-Nachrichten pro Tag mit über 50.000 verschiedenen Absenderadressen. Von den 15.000 Absenderdomänen stammten etwa sechs Prozent aus Deutschland. Empfänger der Kampagne waren meist Unternehmens-E-Mail-Adressen, jede zehnte davon ebenfalls in Deutschland.
Auch neue Malware-Stämme wie Mirai Sora oder Torii verbreiteten sich im vergangenen Jahr, mit Funktionen, die Geräte im Internet der Dinge infizieren können – etwa Router, IP-Kameras und Android-Geräte.
Obwohl Malspam-Kampagnen per E-Mail nichts Neues sind, können gut geplante Angriffe monatelang unerkannt bleiben. Sie nutzen das schwächste Glied in der Abwehr eines Unternehmens aus, oft einen einzelnen Mitarbeiter. Angreifer können Kampagnen relativ einfach auf bestimmte Opfer ausrichten. Der beste Schutz: Mitarbeiter mit entsprechender Schulung gegen solche Attacken zu wappnen.
Ein weiterer Trend ist das Cryptojacking. Der Wertanstieg bei Kryptowährungen Ende 2017 weckte das Interesse von Cyberkriminellen, die Rechenleistung gehackter Geräte zum Krypto-Mining zu verwenden. Die primären Auswirkungen für betroffene Nutzer sind Leistungseinbußen, eine Verlangsamung des Rechners, ein Überhitzen der Batterien sowie höhere Energiekosten. Ein Befall kann ebenfalls längere Zeit unbemerkt bleiben.
Ransomware-Kampagnen waren im Vergleich zum Vorjahr weniger verbreitet. Das dürfte zumindest teilweise daran liegen, dass weniger kompetente Angreifer sich jetzt anderen kriminellen Aktivitäten zuwenden. So kommen sie beispielsweise mit Krypto-Mining schneller und einfacher zu Geld. Trotzdem ist die Gefahr bei Weitem nicht gebannt: Eines der häufigsten Ransomware-Programme, Sam Sam, hat bereits fast sechs Millionen US-Dollar einkassiert.
Digitales Skimming weit verbreitet
Auch das digitale Skimming scheint für Angreifer zunehmend profitabel zu sein – der Diebstahl von Daten, die Opfer in Online-Zahlungsformulare eingeben. Angreifer platzieren diese Skimmer auf kompromittierten Seiten von E-Commerce Firmen oder Drittanbietern, indem sie Schwachstellen in der Website oder im Content-Management-System ausnutzen oder die Hosting-Konten kapern. Prominente Opfer solcher Angriffe im Jahr 2018 waren Ticketmaster und British Airways.
Was besondere Sorge bereiten dürfte: Die Zugangsschwelle für Cyberkriminelle ist niedriger als je zuvor. Im Darknet wimmelt es von Angreifern, die Hosting-Dienste, Exploit-Kits, Stealers, kompromittierte Konten und andere Werkzeuge feilbieten, sodass auch unerfahrene Hacker schnell zum Ziel kommen. Untergrund-Communitys vereinfachen den Austausch von Waren und Dienstleistungen, so dass Cyberkriminelle sich auf die Bereitstellung bestimmter illegaler Produkte spezialisieren können.
Fazit
Für Unternehmen bedeutet die immer komplexere Bedrohungslandschaft, dass sie ihr Sicherheitskonzept ernsthaft in Frage stellen sollten. Weil Cybersicherheit und Geschäftsstrategie sich zunehmend überschneiden, sind Führungskräfte gefordert, abteilungsübergreifend zu handeln, um angemessene Praktiken zu entwickeln und zu implementieren.
Ein umfassendes und detailliertes Verständnis der für sie relevanten Bedrohungen ist dabei unerlässlich. Cyberkriminelle finden immer neue Wege, Angriffsmethoden zu kombinieren oder Angriffsvektoren maximal auszunutzen; IT-Sicherheitsteams haben häufig nicht die Kapazität, darauf angemessen zu reagieren. Firmen müssen deshalb auf eine mehrschichtige Verteidigung durch Zusammenarbeit, Technologie und Training setzen, um besser gegen Risiken gerüstet zu sein. Die Cybersicherheitskultur sollte sich über das gesamte Unternehmen erstrecken.
Aber auch der Austausch von Informationen und die Kooperation mit anderen Organisationen ist wichtig. Letztlich wird sich die Bedrohung aus dem Netz nur durch firmen- und branchenübergreifende Zusammenarbeit wirksam eindämmen lassen.
