Das Team der Zscaler-ThreatLabz-Experten hat aufbauend auf seinen Beobachtungen aus der globalen Security-Cloud aufgestellt, was hinsichtlich der Cyberkriminalität für 2023 zu erwarten ist. Die Erkenntnisse aus der Analyse von 300 Billionen täglicher Transaktionen der Zscaler-Zero-Trust-Exchange-Plattform und Erfahrungswerte in Malware-Reverse-Engineering, Verhaltensanalysen und Data-Science wurden dazu herangezogen.
Zunehmende Nutzung von Cybercrime-as-a-Service-Angeboten
Ransomware-as-a-Service (RaaS)-Angebote traten 2016 auf den Plan und sind seither sehr populär geworden. Diese Malware macht mittlerweile den Großteil der modernen Ransomware-Angriffe aus: 8 der 11 größten Ransomware-Familien des vergangenen Jahres nutzten RaaS-Ökosysteme. Da Bedrohungsakteure bestrebt sind ihre Gewinne zu maximieren, werden sie die angebotenen Service nutzen, die zur Skalierung ihres Geschäftsbetriebs beitragen.
Verlagerung auf leichtere Ziele
Aufgrund der Gewinnmaximierung werden Ransomware-Modelle ständig aktualisiert, um eine Entdeckung zu vermeiden und die Wirksamkeit zu verbessern. Zusätzlich setzen die Angreifer auf die Ausbeutung von Unternehmensprofilen mit Angriffsvektoren, die an die Öffentlichkeit gelangt sind oder im Dark Web zum Verkauf angeboten werden. Zu diesen vermeintlich leichteren Zielen zählen kleinere Unternehmen, deren Schutzmaßnahmen nicht für die Abwehr moderner Angriffsmethoden geeignet sind und sie deshalb zu leichteren Zielen werden lassen.
Angriffe auf die Lieferkette werden zunehmen
Bei Angriffen auf die Lieferkette kompromittieren die Angreifer das Ökosystem an Partnern und Zulieferern, um sich in das Endziel einzuschleichen. Dabei stehen die weniger gut abgesicherten Lieferanten im Visier, die dennoch strategischen Zugriff auf Unternehmensnetzwerke- und Informationen haben. Zu diesem Erfolgsmodell trägt bei, dass solche Angriffe auf die Lieferkette aufgrund der Multiplikatorfunktion ein lukratives Ziel sind, deren Schwachstellen selbst für gut abgesicherte Organisationen gefährlich werden können.
Mehr Malware wird über Phishing-Angriffe verbreitet
Bedrohungsakteure, die Phishing-Kits verwenden, wollen ebenfalls hohe Gewinne erzielen und investieren in der Regel viel Zeit und Mühe in die Auswahl idealer Ziele. Dazu werden beispielsweise Informationen über Zahlungsfähigkeit von Unternehmen herangezogen. Die Nutzung von CaaS-Angeboten macht es opportunistischen Bedrohungsakteuren auf jedem technischen Kenntnisstand einfach auf Phishing, Stealer oder die Verbreitung von Malware und Ransomware zu setzen. Geschäftliche E-Mails sind dabei eine ideale Methode für die Verbreitung von Malware und Cloud-Dienste tragen zur Verbreitung bei, da User solchen Plattformen mehr Vertrauen schenken und ihre Aufmerksamkeit zur Erkennung von Angriffsmustern herunterfahren.
Die Verweildauer eines Ransomware-Angriffs wird weiter sinken
Die Verweildauer ist die Zeitspanne zwischen der ersten Kompromittierung und der Endphase des Cyberangriffs, in der die endgültige Payload in der Umgebung des Opfers bereitgestellt wird. Diese Zeitspanne ist für Unternehmen entscheidend, um auf den ersten Angriff zu reagieren und Schlimmeres zu verhindern. Allerdings ist zu erwarten, dass Angreifer diese Verweildauer im Unternehmensnetz reduzieren und es damit den Verteidigern erschweren, einen Angriff zu stoppen.
Angreifer werden sich weiterhin umbenennen
Malware-Familien, Ransomware-Banden und andere cyberkriminelle Vereinigungen organisieren sich häufig neu und entscheiden sich öfter für eine Umfirmierung, um strafrechtliche Anklagen zu vermeiden sowie sicherzustellen, dass sie von Cyber-Versicherungen ausgezahlt werden. Denn einerseits werden Strafverfolgungsbehörden immer effizienter in der Verfolgung von Ransomware-Zahlungen und der Identifizierung von Bedrohungsakteuren. Gleichzeitig erklären immer mehr Cyber-Versicherungsanbieter, dass sie für dieselbe Art von Cyber-Angriff nicht mehr als einmal pro Opfer zahlen, was letztlich zur Namensänderung führt.
Sicherheitslücken werden weiterhin Schaden anrichten
Im vergangenen Jahr wurden einige große Sicherheitslücken entdeckt (z. B. Log4j, PrintNightmare, ProxyShell/ProxyLogon), mit denen sich Unternehmen noch jahrelang zu beschäftigen haben. Das führt dazu, dass Angreifer weiterhin nach ungepatchter und veralteter Software und Servern suchen werden, um diese Lücken auszunutzen. Gleichzeitig werden Bedrohungsakteure auf neue „Zero-Days“ setzen, um groß angelegte Angriffe zu starten, während Organisationen noch mit dem patchen beschäftigt sind.
Wiper werden in politischen Konflikten eingesetzt
Wiper sind ein effektives Mittel zur Unterbrechung kritischer Dienste und werden in der Regel auf Behörden-Webseiten, -systemen, -infrastrukturen und andere wichtige Ressourcen eingesetzt, um dem Land oder der Regierung operativen Schaden zuzufügen. Dabei verschleiern die Angreifer ihre Attacken gerne als Ransomware-Angriff, um ein finanzielles Motiv in den Vordergrund zu rücken und die politische Motivation zu verbergen.
Endpunktschutz reicht nicht aus
Bedrohungsakteure werden verstärkt Taktiken anwenden, um Virenschutz und andere Endpunktsicherheitskontrollen auszuhebeln. Die Angriffe werden sich zunehmend auf Kerntechnologien für Unternehmensdienste konzentrieren. Um Firewalls und andere ältere Sicherheitstechnologien zu umgehen, verschlüsseln Ransomware-Angreifer Datenbestände, bevor sie diese aus der Umgebung des Opfers exfiltrieren.
Datenerpressung wird zunehmen
Multi-Erpressungstaktiken sind seit 2019 auf dem Vormarsch. Dementsprechend wird der Diebstahl sensibler Daten weiter zunehmen und in diesem Zuge auch die Seiten, die veruntreute Daten veröffentlichen. Wenn Opfer bereit sind, für gestohlene Daten zu zahlen, damit diese nicht publik gemacht werden, müssen Ransomware-Angreifer die Systeme nicht einmal mehr verschlüsseln.
Durchgesickerter Quellcode wird zu Varianten führen und die Erkennung erschweren
Die verschiedenen Seiten haben unterschiedliche Interessen, den Quellcode von Malware zu veröffentlichen. Während die Verteidiger zur Erkennung auf bekannte Signaturen setzen, erschweren neue Varianten auf Basis von durchgesickertem Code die Erkennung. Durch die Entstehung immer neuer Varianten und Verästelungen mit individuellen Techniken für denselben Angriff wird es schwieriger, diese sich in unterschiedlichem Tempo weiterentwickelnden Versionen nachzuverfolgen. Zusätzlich sorgt die Verschleierung dafür, Reverse-Engineering zu erkennen.
Ransomware im Wandel
Ransomware wird sich kontinuierlich weiterentwickeln, so wie es in den letzten Jahren bereits rund um Multiple- Erpressungsmethoden der Fall war, die als Reaktion der Wiederherstellung von Daten vom Back-Up verstanden werden konnten. Ebenso sind Dienste für Lösegeldzahlungen für Bedrohungsakteure von entscheidender Bedeutung, um Zahlungen zu erhalten. Dementsprechend besteht ein Interesse daran, diese Bezahlservices stetig zu verbessern. Es ist zu erwarten, dass die Verwendung von Bitcoin als Zahlungsmittel auf andere Kryptowährungen verlagert wird, da Strafverfolgungsbehörden gelernt haben Bitcoin-Lösegelder aufzuspüren und zurückholen.
#Zscaler