Site icon Sophos News

Cyberkriminelle immer länger unbemerkt im Unternehmensnetzwerk

Sophos hat sein „Active Adversary Playbook 2022“ veröffentlicht. Es beschreibt detailliert das Verhalten von Cyberkriminellen, die das Rapid Response Team von Sophos im Jahr 2021 beobachtet hat. Die Untersuchungen zeigen einen Anstieg der Verweildauer der Cyberkriminillen in Unternehmensnetzwerken um 36 Prozent. Der durchschnittliche, unentdeckte Aufenthalt im Netzwerk ohne größere Attacke wie etwa Ransomware liegt bei 34 Tagen.  Der Report zeigt auch die Auswirkungen der ProxyShell-Schwachstellen in Microsoft Exchange auf, die Sophos zufolge von einigen Initial Access Brokern (IABs) ausgenutzt wurden, um in Netzwerke einzudringen und den Zugang dann an andere Cybergangster zu verkaufen.

„Die Welt der Cyberkriminalität ist unglaublich vielfältig und spezialisiert geworden“, sagt John Shier, Senior Security Advisor bei Sophos. „Initial Access Broker (IAB) haben eine eigene Cybercrime-Industrie entwickelt, indem sie in ein Ziel eindringen, es auskundschaften oder eine Backdoor installieren und dann den schlüsselfertigen Zugang an Ransomware-Banden für deren eigene Angriffe verkaufen. In dieser zunehmend dynamischen und spezialisierten Cyber-Bedrohungslandschaft kann es für Unternehmen schwierig sein, mit den sich ständig ändernden Tools und Methoden der Angreifenden Schritt zu halten. Es ist wichtig, dass sie wissen, worauf sie in jeder Phase der Angriffskette achten müssen, damit sie Angriffe so schnell wie möglich erkennen und neutralisieren können.“

Verweildauer in kleineren Unternehmen und im Bildungssektor länger
Die Untersuchungen von Sophos zeigen auch, dass die Verweildauer von Angreifenden in kleineren Unternehmen länger war als in größeren Unternehmen. Die Cyberkriminellen hielten sich in Unternehmen mit bis zu 250 Mitarbeitern etwa 51 Tage auf. Im Vergleich dazu verbrachten sie in Unternehmen mit 3.000 bis 5.000 Mitarbeitern in der Regel „nur“ 20 Tage. Einen Sonderfall stellen Ransomware-Attacken dar. Hier agieren die Kriminellen insgesamt „schneller“, jedoch stieg auch hier der unbemerkte Aufenthalt im Netzwerk von 11 Tagen in 2020 auf 15 Tage in 2021.

Größere Firmen für Cyberkriminelle „wertvoller“, Drängelei im Netzwerk
„Angreifer halten größere Organisationen für wertvoller und sind daher stärker motiviert, schnell einzudringen und auch schnell wieder zu verschwinden. Kleinere Unternehmen haben einen geringeren `Wert´, so dass es sich die Eindringlinge leisten können, sich länger im Hintergrund im Netzwerk aufzuhalten. Es ist allerdings auch möglich, dass diese Angreifenden über weniger Erfahrung verfügen und deshalb mehr Zeit im Netzwerk mit Auskundschaften verbringen. Auch haben kleinere Unternehmen in der Regel weniger Einblick in die Angriffskette, um Attacken zu erkennen und zu vertreiben. Dies verlängert ebenfalls die Präsenz der Angreifenden“, so Shier. „Mit den Möglichkeiten, die sich durch ungepatchte ProxyLogon- und ProxyShell-Schwachstellen ergeben, und dem Aufkommen von IABs sehen wir verstärkt, dass sich mehrere Angreifer in ein und demselben Ziel-Netzwerk befinden. Wenn es dort eng wird, wollen sie schnell handeln, um ihren Konkurrenten hervorzukommen.“

Weitere Ergebnisse des Active Adversary Playbook 2022 

 

Das Sophos Active Adversary Playbook 2022 basiert auf 144 Vorfällen aus dem Jahr 2021, die auf Unternehmen aller Größen und Branchen in den USA, Kanada, Großbritannien, Deutschland, Italien, Spanien, Frankreich, der Schweiz, Belgien, den Niederlanden, Österreich, den Vereinigten Arabischen Emiraten, Saudi-Arabien, den Philippinen, den Bahamas, Angola und Japan abzielten. Die am stärksten vertretenen Sektoren sind das verarbeitende Gewerbe (17 Prozent), gefolgt vom Einzelhandel (14 Prozent), dem Gesundheitswesen (13 Prozent), der IT (9 Prozent), dem Baugewerbe (8 Prozent) und dem Bildungswesen (6 Prozent).

Konkreter Nutzen für die IT-Security-Industrie
Ziel des Sophos-Reports ist es, dass Sicherheitsteams verstehen, wie Cyber-Kriminelle bei Angriffen vorgehen und wie sie schädliche Aktivitäten im Netzwerk erkennen und abwehren können. Ein Ergebnis dieser Untersuchungen ist die zunehmende Etablierung von sogenannten IT-Sicherheit-Ökosystemen – eine Strategie die auch Sophos mit seinem Adaptive Cybersecurity Ecosystem (ACE) realisiert. Es basiert auf den gesammelten Bedrohungsdaten der SophosLabs, Sophos Security Operations (menschliche Analysten, die über das Sophos Managed Threat Response-Programm in Tausenden von Kundenumgebungen eingebunden sind) und der Künstlichen Intelligenz (KI) von Sophos. Ein einziger, integrierter Data Lake fasst Informationen aus allen Lösungen und Threat Intelligence-Quellen zusammen. Echtzeit-Analysen ermöglichen es Verteidigern, Einbrüche zu verhindern, indem sie verdächtige Signale finden. Parallel dazu ermöglichen offene APIs Kunden, Partnern und Entwickler, Tools und Lösungen zu entwickeln, die mit dem System interagieren. Alles wird zentral verwaltet über die Sophos Central Management-Plattform.

Exit mobile version