Laut dem Bericht „Rethinking Tactics: 2022 Annual Cybersecurity Report“ von Trend Micro hat sich die Sicherheitslage im vergangenen Jahr dramatisch verschärft.

According to Trend Micro’s „Rethinking Tactics: 2022 Annual Cybersecurity Report,“ the security situation worsened dramatically last year.

Das Jahr 2022 war geprägt von brisanten politischen Konflikten und wirtschaftlicher Instabilität. Der Krieg in der Ukraine und die sich zuspitzenden Ereignisse im Umfeld des Konflikts erschütterten die ganze Welt. Für viele Regierungen, Großunternehmen und sogar kleinere Organisationen kam es zu Unterbrechungen der Lieferketten, Rückschlägen in wichtigen multinationalen Branchen und wirtschaftlichen Auswirkungen.

Auch cyberkriminelle Gruppen haben sich an die Situation angepasst und sich auf lukrativere Unternehmensziele verlegt sowie auf neue Wege zum Zugriff auf die Netzwerke ihrer Opfer konzentriert.

Laut dem Bericht „Rethinking Tactics: 2022 Annual Cybersecurity Report“ von Trend Micro ist 2022 ist die Gesamtzahl der erkannten Bedrohungen im Jahr 2022 um 55 Prozent im Vergleich zum Vorjahr gestiegen. Die Zahl der blockierten bösartigen Dateien wuchs um 242 Prozent.

„Die große Bandbreite der Threat Intelligence von Trend Micro zeigt wieder einmal, dass 2022 ein Jahr war, in dem die Bedrohungsakteure alles daransetzten, ihre Gewinne zu steigern“, erklärt Richard Werner, Business Consultant bei Trend Micro. „Besonders besorgniserregend ist, dass die Backdoor-Erkennungen zunehmen. Das beweist, dass Cyberkriminelle erfolgreich in immer mehr Netzwerke eindringen. Sicherheitsteams benötigen einen modernen plattformbasierten Ansatz, um ein umfassendes Risikomanagement angesichts der stetig wachsenden Angriffsfläche sicherzustellen.“

Hacker haben angesichts der rückläufigen Erträge ihre Angriffsmöglichkeiten schnell ausgeweitet. Die Ransomware-Einnahmen aus den Auszahlungen der Opfer sanken von 2021 bis 2022 um 38 Prozent. Florierende Ransomware-Banden haben darauf reagiert und Taktiken aus demselben Firmenhandbuch übernommen, das auch legitime multinationale Unternehmen verwenden.

Rebranding und Imagepflege

Viele dieser Banden haben ihre Organisationen so strukturiert, dass sie wie seriöse Unternehmen arbeiten, einschließlich der Nutzung etablierter Netzwerke und bieten den Opfern technische Unterstützung an. Trend Micro hat eine zunehmende Professionalität dieser Gruppen und die Anwendung ausgefeilter Geschäftstaktiken festgestellt. Besonders deutlich wurde dies im Jahr 2022, als einer der größten Akteure unter den Ransomware-Gruppen nach einer Imagekrise seinen Namen änderte.

Conti war in den letzten Jahren eine der aktivsten und bekanntesten Ransomware-Familien , doch nach einer Reihe von öffentlichkeitswirksamen Angriffen im Jahr 2022 und einer auffälligen Verbindung zu Russland wurde die Marke als „toxisch“ eingestuft. Contis Aktivitäten wurden Mitte 2022 effektiv eingestellt, doch ehemalige Mitglieder der früheren Gruppe tauchten unter neuem Namen als mehrere neue Gruppen auf: Black Basta, BlackByte, Karakurt und Royal. Diese Umbenennung war ein gut geplanter Schachzug, und Berichten zufolge plante Conti eine Reihe von öffentlichen Anschlägen als Werbung für ihre Wiedergeburt in kleinerer Gestalt.

Diversifizierung des Portfolios

Im Jahr 2022 haben Ransomware-Banden wie Agenda, BlackCat, Hive und RansomExx Versionen ihrer Ransomware in der Programmiersprache Rust entwickelt.  Diese plattformübergreifende Sprache ermöglicht es den Gruppen, Malware für Betriebssysteme wie Windows und Linux anzupassen, die in Unternehmen weit verbreitet sind.

Ransomware-Akteure gehen jetzt über Windows und MacOS hinaus und nehmen Linux ins Visier. Die Umstellung auf Rust ist eine weitere Technik, die von Ransomware-Kriminellen eingesetzt wird, um es ihnen zu erleichtern, Linux-Rechner anzugreifen. Rust ist schwieriger zu analysieren und hat eine niedrigere Erkennungsrate bei Antivirenprogrammen, was es für die Bedrohungsakteure noch attraktiver macht.

  • Die drei wichtigsten MITRE ATT&CK-Techniken zeigen, dass Bedrohungsakteure sich zunächst über Remote-Dienste Zugang verschaffen. Schließlich weiten sie die Infiltrierung der IT-Umgebung durch Credential Dumping (Diebstahl von Zugangsdaten) aus, um Zugang über gültige Konten zu erlangen.
  • Die Erkennung von Backdoor-Malware ist um 86 Prozent gestiegen. Bedrohungsakteure versuchen, ihren Zugang zu Netzwerken für zukünftige Angriffe aufrechtzuerhalten. Die meisten Backdoors zielten auf Schwachstellen in Webserver-Plattformen ab.
  • Zum dritten Mal in Folge hat die Zero Day Initiative (ZDI) eine Rekordzahl von 1.706 Warnungen vor Schwachstellen veröffentlicht. Dies ist das Ergebnis einer schnell wachsenden Angriffsfläche für Unternehmen und der Nutzung von automatisierten Analysetools, die immer mehr Bugs finden, durch Schwachstellenforscher. Die Zahl der kritischen Schwachstellen hat sich im letzten Jahr verdoppelt. Zwei der drei wichtigsten im Jahr 2022 gemeldeten CVEs (Common Vulnerabilities and Exposures) betrafen Log4j.
  • Die ZDI beobachtete außerdem, dass unzureichende Patches und verwirrende Advisories zunehmen.Dies kostet die Unternehmen zusätzlich Zeit und Geld, um die Fehler zu beheben und setzt sie einem unnötigen Cyberrisiko aus.
  • Webshells waren 2022 die am häufigsten entdeckte Malware und stiegen im Vergleich zu den Zahlen von 2021 um 103 Prozent an. Emotet-Erkennungen standen an zweiter Stelle, nachdem sie wieder in den Fokus rückten. LockBit und BlackCat waren die führenden Ransomware-Familien im Jahr 2022.
  • Um sinkenden Gewinnen entgegenzuwirken, strukturieren sich Ransomware-Gruppierungen um und suchen nach neuen Geschäftsmöglichkeiten. Wir gehen davon aus, dass diese Gruppierungen in Zukunft in eng verwandte Geschäftsfelder vordringen, die es ihnen ermöglichen, ihre Zugänge zu Unternehmensnetzwerken zu Geld zu machen. Dazu gehören beispielsweise Aktienbetrug, Business E-Mail Compromise (BEC), Geldwäsche und der Diebstahl von Kryptowährungen.

Trend Micro empfiehlt Unternehmen einen plattformbasierten Sicherheitsansatz. Auf diese Weise können sie die Cyberangriffsfläche verwalten, dem Fachkräftemangel entgegenwirken, Sicherheitslücken reduzieren und die Kosten für Einzellösungen minimieren. Dieser Ansatz sollte folgende Bestandteile umfassen:

  • Asset-Management: Ermöglicht Unternehmen einen Überblick über ihre Assets und deren Relevanz, mögliche Schwachstellen, den Grad der Bedrohungsaktivität sowie die Menge an Threat Intelligence, welche sie über die Assets sammeln.
  • Cloud-Security: Stellt sicher, dass die Cloud-Infrastruktur sicher konfiguriert ist, so dass Angreifer keine bekannten Lücken und Schwachstellen ausnutzen können.
  • Korrekte Sicherheitsprotokolle: Zeitnah durchgeführte Software-Updates beugen dem Ausnutzen von Sicherheitslücken vor. Bis die Hersteller offizielle Sicherheitsupdates zur Verfügung stellen, unterstützen Lösungen wie Virtual Patching.
  • Transparenz über die gesamte Angriffsfläche: Technologien und Netzwerke innerhalb eines Unternehmens sowie alle Sicherheitssysteme, die sie schützen, sollten einheitlich überwacht werden. Schwierig hingegen ist die Verknüpfung verschiedener Datenpunkte aus isolierten Quellen.
The year 2022 was marked by volatile political conflicts and economic instability. The war in Ukraine and the escalating events surrounding the conflict shook the entire world. Many governments, large corporations, and even smaller organizations experienced supply chain disruptions, setbacks in key multinational industries, and economic impact. Cybercriminal groups also adapted to the situation, shifting their focus to more lucrative corporate targets and new ways to access their victims‘ networks.

According to Trend Micro’s „Rethinking Tactics: 2022 Annual Cybersecurity Report,“ the total number of threats detected in 2022 increased 55 percent year-over-year. The number of malicious files blocked grew 242 percent.

„Trend Micro’s wide range of threat intelligence once again shows that 2022 was a year in which threat actors went all out to increase their profits,“ said Richard Werner, business consultant at Trend Micro. „Of particular concern is that backdoor detections are on the rise. This proves that cybercriminals are successfully penetrating more and more networks. Security teams need a modern platform-based approach to ensure comprehensive risk management in the face of an ever-growing attack surface.“

Hackers have rapidly expanded their attack capabilities in the face of diminishing returns. Ransomware revenue from victim payouts dropped 38 percent from 2021 to 2022. Thriving ransomware gangs have responded by adopting tactics from the same corporate handbook that legitimate multinationals use.

Rebranding and image building

Many of these gangs have structured their organizations to operate like legitimate businesses, including using established networks and offering technical support to victims. Trend Micro has seen an increase in the professionalism of these groups and the use of sophisticated business tactics. This was particularly evident in 2022, when one of the biggest players among ransomware groups changed its name following an image crisis.

Conti had been one of the most active and well-known ransomware families in recent years , but after a series of high-profile attacks in 2022 and a noticeable connection to Russia, the brand was deemed „toxic.“ Conti’s activities effectively ceased in mid-2022, but former members of the former group emerged under new names as several new groups: Black Basta, BlackByte, Karakurt, and Royal. This rebranding was a well-planned move, and Conti reportedly planned a series of public attacks as publicity for their rebirth in a smaller form.

Portfolio diversification

In 2022, ransomware gangs such as Agenda, BlackCat, Hive, and RansomExx have developed versions of their ransomware in the Rust programming language.  This cross-platform language allows the groups to customize malware for operating systems such as Windows and Linux, which are widely used in enterprises.

Ransomware actors are now moving beyond Windows and macOS to target Linux. The shift to Rust is another technique used by ransomware criminals to make it easier for them to attack Linux machines. Rust is more difficult to analyze and has a lower detection rate by antivirus programs, making it even more attractive to threat actors.

– The top three MITRE ATT&CK techniques show that threat actors first gain access through remote services. Finally, they extend infiltration of the IT environment through credential dumping (stealing credentials) to gain access through valid accounts.

– Detection of backdoor malware is up 86 percent. Threat actors seek to maintain their access to networks for future attacks. Most backdoors targeted vulnerabilities in web server platforms.

– For the third year in a row, the Zero Day Initiative (ZDI) has published a record 1,706 vulnerability warnings. This is the result of a rapidly growing attack surface for enterprises and the use by vulnerability researchers of automated analysis tools that find more and more bugs. The number of critical vulnerabilities has doubled in the past year. Two of the top three Common Vulnerabilities and Exposures (CVEs) reported in 2022 involved Log4j.

– ZDI also observed that insufficient patches and confusing advisories are on the rise. This costs organizations additional time and money to fix and exposes them to unnecessary cyber risk.

– Webshells were the most commonly detected malware in 2022, increasing 103 percent over 2021 numbers. Emotet detections were second after coming back into focus. LockBit and BlackCat were the leading ransomware families in 2022.

– To counter declining profits, ransomware groups are restructuring and looking for new business opportunities. In the future, we expect these groups to move into closely related business areas that allow them to monetize their access to corporate networks. Examples include stock fraud, business email compromise (BEC), money laundering, and cryptocurrency theft.

Trend Micro recommends companies take a platform-based approach to security. That way, they can manage the cyberattack surface, address the skills shortage, reduce security breaches and minimize the cost of standalone solutions. This approach should include the following components:

– Asset management: enables organizations to gain visibility into their assets and their relevance, potential vulnerabilities, the level of threat activity, and the amount of threat intelligence they collect about the assets.

– Cloud security: ensures that cloud infrastructure is securely configured so that attackers cannot exploit known gaps and vulnerabilities.

– Proper security protocols: timely software updates prevent exploitation of security vulnerabilities. Until manufacturers provide official security updates, solutions such as Virtual Patching provide support.

– Transparency across the entire attack surface: Technologies and networks within a company, as well as all security systems that protect them, should be monitored uniformly. Linking disparate data points from isolated sources is difficult.

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Cookie Consent mit Real Cookie Banner