Security-Operations-Spezialist Arctic Wolf veröffentlicht seinen ersten jährlichen „Arctic Wolf Labs Threat Report“. Der Bericht liefert Erkenntnisse zu einem turbulenten Jahr für die Cybersicherheit: Der Einmarsch Russlands in die Ukraine hat die Operationen führender Ransomware-Gruppen gestört, fehlende Multi-Faktor-Authentifizierung (MFA) hat die Zahl der Angriffe auf Geschäfts-E-Mails in die Höhe getrieben, und die Log4Shell- und Proxyshell-Schwachstellen werden auch mehr als ein Jahr nach ihrer ersten Veröffentlichung weiterhin massenhaft ausgenutzt.
Der Arctic-Wolf-Labs-Threat-Report basiert auf globalen Bedrohungs-, Malware-, digitalen Forensik- und Incident-Response-Falldaten, die Arctic Wolf im Rahmen seiner Security-Operations sammelt. Arctic Wolf verfügt über eines der größten Security-Operations-Center weltweit und gewährt mit seinem Threat-Report Einblicke in die tiefen und differenzierten Erkenntnisse und Forschungsergebnisse des Arctic Wolf Labs zum Ökosystem der Cyberkriminalität, zeigt wichtige Bedrohungstrends und leitet daraus Vorhersagen und strategische Cybersicherheitsempfehlungen für das kommende Jahr ab.
Die wichtigsten Erkenntnisse des Arctic-Wolf-Labs-Threat-Reports
Business-E-Mail-Compromise (BEC) auf dem Vormarsch: Einer der auffälligsten Trends in der Bedrohungslandschaft war ein deutlicher Anstieg der Anzahl erfolgreicher BEC-Angriffe im Jahr 2022 im Vergleich zu 2021. Die Kompromittierung von Geschäfts-E-Mails – auch bekannt als E-Mail-Account-Compromise (EAC) – ist eine Art von E-Mail-Cyberbetrug, bei dem sich Angreifer als vertrauenswürdige Kontakte ausgeben, wie Führungskräfte oder Anwälte, und die Opfer dann dazu verleiten, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Business-E-Mail-Compromise (BEC)-Angriffe machten dabei im letzten Jahr mehr als ein Viertel (29 %) der Incident-Response-Vorfälle aus, wobei die Mehrheit (58 %) der Opferorganisationen keine Multi-Faktor-Authentifizierung (MFA) aktiviert hatte.
Rückgang der Ransomware-Attacken, Zunahme von Ransomware as a Service: Der Einmarsch Russlands in die Ukraine hat die Aktivitäten von Bedrohungsakteuren in diesen beiden Ländern erheblich gestört, was zu einem Rückgang der weltweit beobachteten Ransomware-Fälle um 26 % im Vergleich zum Vorjahr geführt hat. Gleichzeitig hat die Nutzung von Ransomware as a Services (RaaS) zugenommen, was es auch technisch weniger versierten Cyberkriminellen ermöglicht, Ransomware-Angriffe auszuführen und die Identitäten der Bedrohungsakteure zu verschleiern.
Lockbit ist dominierende Ransomware-Gruppe: Die höchste Anzahl an Ransomware-Opfern entfiel im Jahr 2022 auf fünf Ransomware-Varianten, die alle unter das RaaS-Paradigma fallen. Erschwerend kommt hinzu, dass nachweislich teilweise mehrere Ransomware-Varianten gleichzeitig eingesetzt werden bzw. dass Angreifer zwischen den Varianten hin- und herspringen und unterschiedliche Optionen erproben. Lockbit hat sich dabei als dominierende Ransomware-Gruppe etabliert, wobei die E-Kriminalitätsorganisation mit 822 gelisteten Opferorganisationen 248 % mehr Betroffene als Blackcat (ALPHV), die zweitaktivste Gruppe, hatte. Weitere Gruppen waren Conti, Blackbasta und Hive.
Log4Shell und Proxyshell: ungepatchte Schwachstellen weiterhin Top-Root-Point-of-Compromise: Bedrohungsakteure nutzen unterschiedliche Methoden, um sich Zugang zu den Systemen ihrer Opfer zu verschaffen: Knapp zwei Drittel (72 %) entfielen im letzten Jahr auf externe Angriffe, wobei 3 % der Sicherheitsvorfälle durch Fehlkonfigurationen der IT-Systeme, 24 % durch Remote Access Hijacking und 45 % durch bekannte Schwachstellen verursacht wurden, für die bereits Sicherheits-Patches und -Updates verfügbar waren. Dabei sind die Schwachstellen in Microsoft Exchange (Proxyshell) und Log4j (Log4Shell), die bereits im Jahr 2021 bekannt wurden, nach wie vor die beiden häufigsten Angriffspunkte (Root Points of Compromise, RPOC) unter den Incident-Reponse-Fällen bei Arctic Wolf.
Neben externen Angriffen, bei denen eine technische Schwachstelle ausgenutzt wird, gibt es Methoden, bei denen die angegriffenen Nutzer selbst (unwissend) aktiv werden und z. B. eine maliziöse Website oder Datei öffnen. Dabei entfielen im letzten Jahr 12 % auf Phishing E-Mails, 7 % auf schlechte Passworthygiene und vormals geleakte Zugangsdaten, 4 % auf weitere Social-Engineering-Methoden und 5 % auf weitere RPOCs.
„Aufgrund der globalen Präsenz von Arctic Wolf und dem umfangreichen Lösungsportfolio des Unternehmens hat Arctic Wolf Labs jede Woche Zugang zu Billionen von Sicherheitsereignissen. Diese Einblicke ermöglichen es uns nicht nur, positive Sicherheitsergebnisse für unsere Kunden zu liefern, sondern auch, neue und aktuelle Bedrohungsinformationen und Datenbeobachtungen mit der Cybersicherheits-Community zu teilen“, so Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf. „Die Erkenntnisse und Empfehlungen des Arctic Wolf Labs Threat Reports sind eine wichtige Lektüre für IT-Entscheider und Cybersecurity-Experten, die die komplexe Bedrohungslandschaft besser verstehen wollen, um sich und ihre Organisationen bestmöglich vor Cyberangriffen zu schützen. Viele der neu aufkommenden Angriffstechniken zeigen ein höheres Maß an Raffinesse. Sie sind darauf ausgerichtet, traditionelle Verteidigungsmaßnahmen zu umgehen, was für Unternehmen bedeutet, dass sie ihren Schutz über die reinen Grundlagen hinaus verbessern müssen, um ihre Daten effektiv zu schützen.“
Arctic Wolf Labs bringt hochqualifizierte Sicherheitsforscher, Datenwissenschaftler und Security Development Engineers mit dem gemeinsamen Ziel zusammen, Cyberrisiken für Unternehmen auf der ganzen Welt zu beenden. Arctic Wolf Labs nutzt die mehr als drei Billionen Sicherheitsereignisse, die die Arctic-Wolf-Security-Operations-Cloud jede Woche verarbeitet, auswertet, anreichert und analysiert und ist verantwortlich für die Bereitstellung modernster Threat-Research zu neuen Bedrohungsakteuren und Angriffsmustern. Die Abteilung nutzt maschinelles Lernen und künstliche Intelligenz für die Entwicklung von Modellen zur Erkennung neuer Bedrohungen und arbeitet an der kontinuierlichen Verbesserung von Geschwindigkeit, Umfang und Detection-Leistung der Arctic-Wolf-Lösungsangebote.
Weitere Ergebnisse und den kompletten Arctic Wolf Labs Threat Report 2023 zum Download findet sich unter arcticwolf.com.
#ArcticWolf
