Im Global Threat Report 2020 präsentieren das Team von CrowdStrike Intelligence, die Threat Hunter vom Falcon OverWatch™-Team sowie das Incident-Response-Team von CrowdStrike Services die wichtigsten Ereignisse und Trends aus dem vergangenen Jahr in Bezug auf Cyberthreat-Aktivitäten.

Eine Eskalation konnte beim sogenannten „Big Game Hunting“ (BGH) beobachtet werden. Darunter fallen kriminell motivierte Lösegeldforderungen, die sich vornehmlich gegen große Unternehmen richten. BGH entwickelte sich
für eCrime-Akteure zur lukrativsten Aktivität; die Lösegeldforderungen gingen in die Millionen und verursachten beispiellose Störungen.

Gegenwärtig weist nichts darauf hin, dass die Akteure ihre Aktivitäten zurückfahren werden. Cyberkriminelle nutzen sensible Daten dazu, den Druck auf die Opfer von Lösegeldforderungen zu erhöhen.

Angreifer drohen damit, sensible Daten offenzulegen, wenn Opfer von Ransomware-Angriffen nicht auf die Forderungen eingehen, sondern ihre Daten mithilfe von Sicherungskopien wiederherzustellen versuchen.

Die eCrime-Landschaft entwickelt sich weiter und erlebt eine zunehmende Spezialisierung. Etablierte kriminelle Organisationen stützen sich nicht mehr allein auf Banken-Trojaner, sondern entwickeln sich in Richtung:

• RaaS-Entwickler (Ransomware-as-a-Service), die BGH-Angriffe übernehmen
• MaaS-Entwickler (Malware-as-a-Service), die Ransomware-Module einführen
• (DaaS)-Operationen (Download-as-a-Service) zur Verbreitung von Malware von Dritten

Diese Anstrengungen zur Unterstützung von BGH-Kampagnen unterstreichen die gewaltige Wirkung, die gezielte Lösegeldforderungen im kriminellen Milieu ausgelöst haben. Außerhalb des „Big Game Hunting“ wurde ein Anstieg von eCrime-Aktivitäten beobachtet, die Finanzinstitute mithilfe betrügerischer Überweisung oder Bargeldauszahlungen an Geldautomaten schädigen. Diese Aktivitäten betreffen mittlerweile nicht nur die USA, Kanada und Europa, sondern auch Süd- und Mittelamerika sowie Afrika.

Die Zahl der malwarefreien Angriffe übersteigt mittlerweile die Zahl der Malware-Angriffe. 2019 wurden bei 51% der Angriffe malwarefreie Techniken eingesetzt, im Vergleich zu 40% malwarefreien Angriffen im Jahr 2018, was die Notwendigkeit unterstreicht, über herkömmliche Antiviren-Lösungen hinauszugehen.

Die Angreifer entwickeln ihre Taktiken, Techniken und Verfahren (TTPs) mit ausgeklügelten Aktivitäten weiter, wie beispielsweise Abschalten von Sicherheitsprogrammen, DNS-Tunneling, Nutzung kompromittierter Websites für das Content-Management-System (CMS) WordPress, E-Mail-Thread-Hijacking, Umgehung der Zwei-Faktor-Authentifizierung sowie Ersteller- und Verteilerdienste für Dropper-Dokumente.

Staatlich unterstützte gezielte Angriffe

CrowdStrike verfolgt zahlreiche staatlich unterstützte Angreifer weltweit, darunter auch Angreifergruppen, die Nordkorea, China, Russland und dem Iran zugeschrieben werden. Wie in den vergangenen Jahren schien die Mehrheit der gezielten Eindringversuche dieser Akteure durch traditionelle Spionageziele motiviert gewesen zu sein. CrowdStrike Intelligence untersucht auch die mögliche Zusammenarbeit zwischen versierten eCrime-Angreifern und staatlich unterstützten Eindringversuchen, wobei erste Hinweise auf Überschneidungen bei der Verwendung krimineller Werkzeuge bzw. bei der Zusammenarbeit mit Geheimdiensten in Nordkorea und Russland vorliegen.

Nordkorea: The Chollima

Gezielte Eindringversuche aus Nordkorea zählen zu den aktivsten Operationen im Jahr 2019. Personen und Einrichtungen in Südkoreas waren für die Nordkorea zugeschriebenen Gruppen weiterhin von strategischem Interesse. Darüber hinaus zielten mehrere Störfälle auf Indien ab. Eine Angreifergruppe richtete sich gegen die USA und Japan und konzentrierte sich dabei vornehmlich auf die Sammlung von Informationen zu den Themen Nuklearenergie und Sanktionen.

China: The Panda

Die China zugeschriebenen kriminellen Aktivitäten waren während des gesamten Jahres 2019 konstant, wobei der Schwerpunkt auf dem Telekommunikationssektor lag. Die Angriffe auf den Telekommunikationssektor – insbesondere in Zentralund Südostasien – flankieren Chinas Plan zur Entwicklung einer „digitalen Seidenstraße“, einschließlich der Entwicklung von 5G-Mobilfunknetzen. Mehrere Regierungen haben dies zur Kenntnis genommen und lehnen eine Zusammenarbeit mit dem chinesischen Telekommunikationsunternehmen Huawei unter Hinweis auf mögliche Verbindungen des Unternehmens zu Militär- und Geheimdiensten in China, Russland und Nordkorea ab.

Russia: The Bear

Während des gesamten Jahres 2019 beobachtete das Team von CrowdStrike Intelligence gezielte Angriffe aus Russland gegen die Ukraine. Die überwiegende Mehrheit dieser Operationen scheint sich gegen ukrainische Diplomaten und Angehörige der nationalen Sicherheitsdienste zu richten. Diese Operationen dienen offenbar dazu, politische und militärische Informationen im Zusammenhang mit dem Ukrainekonflikt zu sammeln. Russische Angreifer haben möglicherweise versucht, den Ausgang der ukrainischen Präsidentschaftswahlen im März 2019 durch Desinformationskampagnen, DDoS-Angriffe (Distributed Denial-of-Service Attacks) und Fake News in den sozialen Medien zu beeinflussen. Da der Konflikt zwischen der Ukraine und Russland weiter andauert, ist es wahrscheinlich, dass die Russland zugeordneten geheimdienstlichen Operationen auch in Zukunft fortgesetzt werden – möglicherweise noch intensiver als bisher.

Iran: The Kitten

Angesichts der zunehmenden Spannungen zwischen dem Iran und den USA scheinen sich die Aktivitäten der iranischen Angreifer stärker auf Ziele in Regierung und Verteidigung zu konzentrieren. Während sich die Aktivitäten zu Beginn des Jahres auf die Länder des Nahen Ostens und Nordafrikas konzentrierten, kam es in der zweiten Hälfte des Jahres 2019 zu einer deutlichen Verschiebung hin zu Zielpersonen in den USA, wahrscheinlich als Reaktion auf die seit Mai 2019 offen ausgetragenen Spannungen zwischen dem Iran und den USA. CrowdStrike Intelligence geht davon aus, dass die iranischen Angreifer weiterhin Cyberspionage zur Unterstützung der herkömmlichen Spionagetätigkeiten einsetzen werden, mit besonderem Schwerpunkt auf den Nahen Osten, Nordafrika und Nordamerika.

EMPFEHLUNGEN VON CROWDSTRIKE

Um Ihre Organisation zu schützen und sich gegen heutige und künftige Angreifer besser verteidigen zu können, empfiehlt CrowdStrike Folgendes:

Nutzen Sie Ihren bereits vorhandenen Schutz vollständig. Unternehmen und Institutionen, die sich nicht angemessen schützen, sind heute einer viel höheren Gefahr ausgesetzt. Weitsichtige Unternehmen investieren die Zeit, die notwendig ist, um ihre bestehenden Sicherheitsvorrichtungen zu maximieren.

Schützen Sie Identitäten. Im vergangenen Jahr gab es einen verstärkten Trend zu malwarefreien Angriffstechniken. Grundsätzlich sollte für alle Benutzer eine Zwei-Faktor-Authentifizierung (2FA) eingerichtet werden, denn heutige Angreifer sind sehr versiert darin, den einfachen Kennwortschutz zu überwinden, was sehr schnell weitreichende Folgen haben kann. Ein belastbares Verfahren für die Verwaltung der Zugriffsrechte kann zudem den Schaden begrenzen, den Angreifer anrichten können, wenn sie sich erst einmal Zugang verschafft haben.

Beziehen Sie Ihre Benutzer in die Abwehr mit ein. Im Kampf gegen Angreifer spielt die Technologie zwar eine entscheidende Rolle, aber der Endbenutzer bleibt ein entscheidendes Glied in der Kette. Sensibilisieren Sie Ihre Benutzer für den Kampf gegen die ständigen Phishing-Angriffe und die damit verbundenen Social-
Engineering-Techniken.

Beachten Sie die Regel "1-10-60"

Zur Abwehr und Bekämpfung ausgefeilter Cyberbedrohungen empfiehlt CrowdStrike allen Unternehmen dringend die Einhaltung der "1-10-60-Regel": In weniger als 1 Minute Einbrüche erkennen – in weniger als 10 Minuten Bedrohungen untersuchen und nachvollziehen – und in weniger als 60 Minuten den Angreifer einkreisen und aus der Umgebung entfernen.

Suchen Sie nach Partnern, die Ihnen helfen, den Fachkräftemangel zu kompensieren. Die Umsetzung der Regel "1-10-60-Regel" erfordert mehr als nur Technologie. Die Verteidigung gegen ausgeklügelte Bedrohungen erfordert ausgereifte Prozesse und effektive, engagierte Security-Experten rund um die Uhr.

Erfolgreichen Unternehmen arbeiten häufig mit erstklassigen Lösungsanbietern zusammen, um den kritischen Fachkräftemangel auf kosteneffiziente Weise zu kompensieren.