Crowdstrike hat den Threat-Hunting-Report 2024 veröffentlicht. Er beleuchtet die neuesten Trends, Kampagnen und Taktiken von Angreifern, basierend auf den Erkenntnissen von Crowdstrikes-Elite-Threat Huntern und Intelligence-Analysten. Der Report enthüllt eine wachsende Anzahl von nationalstaatlichen und E-Crime-Akteuren, die legitime Anmeldeinformationen und Identitäten ausnutzen, um sich der Erkennung zu entziehen und bestehende Sicherheitskontrollen zu umgehen. Außerdem zeigt er eine Zunahme von Hands-On-Keyboard-Angriffen sowie von domänenübergreifenden Angriffen und der Ausnutzung von Cloud-Kontrollebenen.
Zu den wichtigsten Erkenntnissen gehören:
- Angreifer mit nordkoreanischen Verbindungen geben sich als legitime US-Angestellte aus: FAMOUS CHOLLIMA infiltrierte über 100 hauptsächlich US-amerikanische Technologieunternehmen. Unter Ausnutzung gefälschter oder gestohlener Identitätsdokumente verschafften sich bösartige Insider eine Anstellung als IT-Mitarbeiter, um Daten zu exfiltrieren und bösartige Aktivitäten auszuführen.
- Hands-on-Keyboard-Angriffe sind um 55 % gestiegen: Immer mehr Bedrohungsakteure greifen auf Hands-on-Keyboard-Aktivitäten zurück, um sich als legitime Benutzer auszugeben und bestehende Sicherheitskontrollen zu umgehen. 86 % aller Hands-on-Keyboard-Angriffe werden von E-Crime-Angreifern durchgeführt, um finanziellen Gewinn zu erzielen. Diese Art von Angriffen hat sich im Gesundheitswesen um 75 % und im Technologiesektor um 60 % erhöht, der damit im siebten Jahr in Folge der am häufigsten angegriffene Sektor ist.
- Missbrauch von RMM-Tools wächst um 70%: Angreifer wie CHEF SPIDER (eCrime) und STATIC KITTEN (Iran-nexus) missbrauchen legitime Remote-Monitoring and Management (RMM)-Tools wie Connectwise Screenconnect für die Ausnutzung von Endpunkten. 27 % aller Hands-on-Keyboard- Angriffe beruhen auf der Ausnutzung von RMM-Tools.
- Domänenübergreifende Angriffe halten an: Bedrohungsakteure nutzen zunehmend gültige Anmeldeinformationen aus, um in Cloud-Umgebungen einzudringen und diesen Zugang letztendlich für den Zugriff auf Endgeräte zu nutzen. Diese Angriffe hinterlassen in jeder dieser Domänen nur minimale Spuren, wie einzelne Puzzleteile, wodurch sie schwerer zu erkennen sind.
- Cloud-Angreifer nehmen die Steuerungsebene ins Visier: Cloud-bewusste Angreifer wie SCATTERED SPIDER (eCrime) nutzen Social Engineering, Richtlinienänderungen und Passwort-Manager, um Cloud-Umgebungen zu infiltrieren. Dabei machen sie sich die Verbindungen zwischen der Cloud-Kontrollebene und den Endpunkten zunutze, um sich lateral zu bewegen, die Persistenz zu wahren und Daten zu exfiltrieren.
„Seit über zehn Jahren verfolgen wir mit großer Wachsamkeit die erfolgreichsten Hacktivisten, E-Crime- und nationalstaatlichen Akteure“, erklärt Adam Meyers, Head of Counter Adversary Operations bei Crowdstrike. „Bei der Beobachtung von fast 250 Angreifern im vergangenen Jahr hat sich ein zentrales Thema herauskristallisiert: Bedrohungsakteure greifen zunehmend auf interaktive Angriffe zurück und setzen domänenübergreifende Techniken ein, um der Entdeckung zu entgehen und ihre Ziele zu erreichen. Unsere umfassende, von Menschen geleitete Threat-Hunting-Expertise fließt direkt in die Algorithmen ein, die die KI-native Falcon-Plattform antreiben. So stellen wir sicher, dass wir den sich ständig weiterentwickelnden Bedrohungen immer einen Schritt voraus sind und weiterhin die effektivsten Cybersicherheitslösungen der Branche anbieten können.“
#Crowdstrike
