Der IBM Security X-Force Threat Intelligence Index gibt detaillierte Einblicke in die Gefahrenlage 2023. Deutschland lag in Europa auf Platz 2 der Bedrohungsliste.

The IBM Security X-Force Threat Intelligence Index provides detailed insights into the threat situation in 2023. Germany ranked second in Europe on the threat list.

Im IBM Security X-Force Threat Intelligence Index für das Jahr 2023 haben die Sicherheitsexperten von IBM festgestellt, dass der Anteil von Vorfällen mit Ransomware an den registrierten IT-Sicherheitsvorfällen im Jahr 2022 weltweit nur geringfügig (um vier Prozentpunkte) zurückgegangen ist. IT-Sicherheitsexperten waren jedoch erfolgreicher darin, Attacken durch Ransomware zu erkennen und zu verhindern. Trotzdem waren Angreifer weiterhin innovativ: Der Bericht zeigt, dass die durchschnittliche Zeit bis zum Abschluss eines Ransomware-Angriffs von zwei Monaten auf weniger als vier Tage gesunken ist.

Laut dem Bericht von 2023 haben sich Backdoors, die Fernzugriff auf Systeme ermöglichen, im letzten Jahr zur bevorzugten Angriffsmethode der Cyberkriminellen entwickelt. Ungefähr 67 Prozent dieser Backdoor-Fälle bezogen sich auf Versuche Ransomware zu installieren, bei denen Sicherheitsteams in der Lage waren, die Backdoor rechtzeitig zu erkennen, bevor die Ransomware installiert wurde. Der Anstieg der Backdoor-Nutzung kann teilweise auf ihren hohen Marktwert zurückgeführt werden. X-Force beobachtete, dass die kriminellen Akteure bestehende Backdoor-Zugänge für bis zu 10.000 US-Dollar verkaufen können. Gestohlene Kreditkartendaten werden im Vergleich dazu heute für weniger als 10 US-Dollar pro Karte verkauft.

Das Ausnutzen von Backdoors war auch in Deutschland eine der drei häufigsten Angriffsmethoden. Die beiden anderen waren die Kompromittierung von geschäftlichen E-Mails (Business E-Mail Compromise) sowie das Kapern von E-Mail-Konversationen (E-Mail-Thread-Hijacking). Europaweit rangierten Backdoors mit 21 Prozent der registrierten Fälle, Verschlüsselungstrojaner (11 Prozent) und das Ausnutzen von Fernzugriffs-Tools (10 Prozent) an der Spitze. Nach dem Überfall Russlands auf die Ukraine stieg das Ausnutzen von Backdoors in Europa signifikant an. Insgesamt war das Vereinigte Königreich mit 43 Prozent aller beobachteten Fälle das am häufigsten angegriffene Land in Europa. Deutschland lag mit 14 Prozent auf dem zweiten Platz, Portugal mit 9 Prozent auf dem dritten.

Der IBM Security X-Force Threat Intelligence-Index erfasst fortlaufend die neuen und bestehenden IT-Security-Trends und Angriffsmuster – aus Milliarden von Datenpunkten von Netzwerk und Endgeräten, Incident Response Einsätzen und anderen Quellen.

„Die Verlagerung hin zur Erkennung von Cyberangriffen und zur rechtzeitigen Reaktion hat es den Verteidigern ermöglicht, Angreifer früher in der Angriffskette abzufangen. Damit konnten sie die weitere Verbreitung von Ransomware zumindest vorübergehend eindämmen“, sagte Charles Henderson, Leiter der IBM Security X-Force. „Aber es ist nur eine Frage der Zeit, bevor das heutige Backdoor-Problem die Ransomware-Krise von morgen wird. Angreifer finden immer neue Wege, um der Erkennung zu entgehen. Gute Verteidigung ist nicht mehr genug. Um das endlose Wettrennen mit Angreifern zu beenden, müssen Unternehmen eine proaktive, bedrohungsbezogene Sicherheitsstrategie verfolgen.“

Zu den wichtigsten Ergebnissen des X-Force Threat Intelligence Index 2023 gehören:

  • Erpressung: Die beliebteste Methode der Angreifer. Die häufigste Auswirkung von Cyberattacken im Jahr 2022 war Erpressung. Hierzu wurden in erster Linie Ransomware oder die Kompromittierung von geschäftlichen E-Mails genutzt. Europa war die wichtigste Zielregion für diese Art von Taten. 44 Prozent der beobachteten Erpressungsfälle fanden hier statt, da Bedrohungsakteure die aktuellen geopolitischen Spannungen ausnutzten. In Deutschland war Erpressung die wichtigste Auswirkung der von X-Force behobenen Vorfälle.
  • Cyberkriminelle nutzen E-Mail-Konversation als Angriffsmittel. Das sogenannte Thread-Hijacking verzeichnete im Jahr 2022 einen deutlichen Anstieg. Angreifer nutzten kompromittierte E-Mail-Konten, um sich im laufenden Mailverkehr einzuklinken, dann als ursprüngliche Teilnehmer auszugeben und als diese zu antworten. X-Force verzeichnete einen Anstieg der monatlichen Versuche um 100 Prozent im Vergleich zu den Daten aus dem Jahr 2021.
  • Altbekannte Exploits, die immer noch funktionieren. Der Anteil der bekannten Exploits im Vergleich zu den Schwachstellen sank von 2018 bis 2022 um 10 Prozentpunkte. Das liegt aber daran, dass die Anzahl der insgesamt bekannten Schwachstellen ein weiteres Allzeithoch erreichte. Die Zahlen des aktuellen Reports zeigen, dass ältere Schadprogramme wie WannaCry und Conficker weiterhin existieren und sich verbreiten konnten.

Erpressungsdruck auf Fertigungsindustrie steigt

Cyberkriminelle zielen häufig auf die anfälligsten Branchen, Unternehmen und Regionen mit Erpressungsmaschen ab. Sie wenden dann hohen psychologischen Druck an, um Opfer zur Zahlung zu zwingen. Die Fertigungsindustrie war die am meisten erpresste Branche im Jahr 2022, und das bereits  das zweite Jahr in Folge. In Deutschland war sie mit ca. 25 Prozent der beobachteten Fälle die mit am stärksten betroffene Branche. Der Grund: Fertigungsunternehmen sind angesichts der extrem geringen Ausfalltoleranz in den laufenden Produktionsprozessen ein attraktives Ziel für Erpressung.

Ransomware ist eine bekannte Erpressungsmethode, aber die Angreifer suchen immer neue Wege, zum Ziel zu kommen. Eine ihrer neuesten Strategien besteht darin, mitbetroffene Opfer wie zum Beispiel Kunden und Geschäftspartner über gestohlene Daten zu informieren. Durch die Einbindung dieser Mitgeschädigten erhöhen die Erpresser den Druck auf die betroffene Organisation. Die Kriminellen werden auch weiterhin mit solchen Taktiken experimentieren, um die potenziellen Kosten und psychologischen Auswirkungen eines Cyberangriffs zu erhöhen. Daher ist es wichtig, dass Unternehmen über vorbereitete Reaktionspläne verfügen, die auch die Auswirkungen eines Angriffs auf mitbetroffene, externe Opfer wie Kunden und Geschäftspartner berücksichtigen.

Thread-Hijacking im Aufwärtstrend

Die Zahl der registrierten Fälle von E-Mail-Thread-Hijacking ist im letzten Jahr stark angestiegen. Die monatlichen Hijacking-Versuche haben sich im Vergleich zu den Daten aus 2021 verdoppelt. Im Laufe des letzten Jahres stellte X-Force fest, dass Angreifer diese Taktik verwendet haben, um Emotet, Qakbot und IcedID zu verbreiten – Schadsoftware, die häufig zu Ransomware-Infektionen führt. Thread-Hijacking gehörte auch in Deutschland gemeinsam mit Backdoors und dem Kompromittieren von Geschäftsmails zu den drei am häufigsten registrierten Angiffsarten. Alle drei wurden hier von der X-Force gleich häufig beobachtet.

Da Phishing die Hauptursache für Cyberangriffe im letzten Jahr war und Thread-Hijacking stark anstieg, ist es klar, dass Angreifer das Vertrauen in E-Mails ausnutzen. Unternehmen sollten Mitarbeiter auf Thread-Hijacking aufmerksam machen, um das Risiko zu verringern, dass sie zu Opfern werden.

Mind the GAP: Exploit R&D (Forschung und Entwicklung) hinkt der Entwicklung von  Schwachstellen hinterher

Das Verhältnis von bekannten Exploits zu Schwachstellen ist seit 2018 um zehn Prozentpunkte zurückgegangen. Cyberkriminelle haben mittlerweile Zugriff auf mehr als 78.000 bekannte Exploits. Ältere, noch nicht gepatchte Schwachstellen sind leicht auszunutzen und ein gefährliches Einfallstor in IT-Systeme: Selbst mehr als fünf Jahren stellen die Sicherheitslücken, die zu Infektionen mit WannaCry führten, immer noch eine erhebliche Bedrohung dar. X-Force hat seit April 2022 einen 800% Anstieg des WannaCry-Ransomware-Datenverkehrs in Telemetriedaten festgestellt.

Die fortlaufende Nutzung älterer Exploits macht deutlich, dass Unternehmen ihre Programme für das Schwachstellenmanagement optimieren und weiterentwickeln müssen. Dazu gehört auch, dass sie ein besseres Verständnis ihrer Angreifbarkeit entwickeln und Patches risikobasiert priorisieren müssen.

Weitere Ergebnisse des Berichts 2023 umfassen:

  • Phisherverlieren Interesse an Kreditkartendaten. Die Anzahl der Cyberkriminellen, die auf Kreditkarteninformationen in Phishing-Kits abzielen, sank in einem Jahr um 52 Prozent. Das weist darauf hin, dass Angreifer personenbezogene Daten wie Namen, E-Mails und Privatadressen priorisieren, die zu einem höheren Preis im Dark Web verkauft oder für weitere Zwecke verwendet werden können.
  • Nord-Amerika Hauptziel von Angriffen im Energiesektor. Die Energiebranche bleibt weiterhin die am vierthäufigsten attackierte Industrie im vergangenen Jahr. Die globale Sicherheitslage wirkte sich hier auf einen bereits turbulenten globalen Energiehandel aus. Auf die nordamerikanischen Energieunternehmen entfielen 46 Prozent aller im letzten Jahr insgesamt beobachteten Angriffe auf Energieunternehmen. Das entspricht einem Anstieg von 25 Prozent gegenüber 2021.
  • Europa erlebt einen Anstieg der Angriffe. Europa war mit 28 Prozent aller erfassten Angriffe die weltweit am zweithäufigsten betroffene Region und verzeichnete einen Anstieg um 4 Prozentpunkte gegenüber den Zahlen von 2021. Unternehmen für professionelle, geschäftliche und Verbraucherdienstleistungen sowie Finanz- und Versicherungsunternehmen wurden hier am häufigsten angegriffen. An zweiter Stelle steht das verarbeitende Gewerbe mit 12 % der Fälle, an dritter Stelle die Energie- und Gesundheitsbranche mit 10 %.

Der Bericht enthält Daten, die IBM im Jahr 2022 global erfasste, um Informationen zur globalen IT-Bedrohungslage bereitzustellen. Er informiert die Sicherheitscommunity über die Bedrohungen, die für ihre Unternehmen am relevantesten sind. Sie können eine Kopie des neuesten IBM Security X-Force Threat Intelligence Index für 2023 hier herunterladen.

IBM security experts found in the IBM Security X-Force Threat Intelligence Index for 2023 that the share of ransomware incidents in registered IT security incidents decreased only slightly (by four percentage points) worldwide in 2022. However, IT security professionals were more successful at detecting and preventing ransomware attacks. Still, attackers continued to innovate, with the report showing that the average time to complete a ransomware attack dropped from two months to less than four days.

According to the 2023 report, backdoors that provide remote access to systems have become the cybercriminals‘ preferred method of attack over the past year. Approximately 67 percent of these backdoor cases were related to attempts to install ransomware where security teams were able to detect the backdoor in time before the ransomware was installed. The increase in backdoor use can be attributed in part to their high market value. X-Force observed that criminal actors can sell existing backdoor access for up to $10,000. Stolen credit card data, by comparison, now sells for less than $10 per card.

Exploiting backdoors was also one of the three most common attack methods in Germany. The other two were compromising business e-mails (business e-mail compromise) and hijacking e-mail conversations (e-mail thread hijacking). Across Europe, backdoors ranked at the top with 21 percent of registered cases, encryption Trojans (11 percent) and exploitation of remote access tools (10 percent). After Russia’s invasion of Ukraine, backdoor exploitation increased significantly in Europe. Overall, the United Kingdom was the most frequently attacked country in Europe, accounting for 43 percent of all observed cases. Germany was second with 14 percent, and Portugal was third with 9 percent.

IBM Security X-Force’s Threat Intelligence Index continuously captures emerging and existing IT security trends and attack patterns – from billions of network and endpoint data points, incident response deployments and other sources.

„The shift toward cyberattack detection and timely response has enabled defenders to intercept attackers earlier in the attack chain. This has allowed them to contain the further spread of ransomware, at least temporarily,“ said Charles Henderson, director of IBM’s Security X-Force. „But it’s only a matter of time before today’s backdoor problem becomes tomorrow’s ransomware crisis. Attackers are always finding new ways to evade detection. Good defenses are no longer enough. To end the endless race with attackers, organizations must adopt a proactive, threat-based security strategy.“

Key findings from the X-Force Threat Intelligence Index 2023 include:

– Extortion: the most popular method used by attackers. The most common impact of cyberattacks in 2022 was extortion. Ransomware or compromise of business emails were primarily used for this purpose. Europe was the top target region for these types of acts. 44 percent of the observed extortion cases took place here, as threat actors took advantage of current geopolitical tensions. In Germany, extortion was the top impact of incidents resolved by X-Force.

– Cybercriminals use email conversation as a means of attack. So-called thread hijacking saw a significant increase in 2022. Attackers used compromised email accounts to insert themselves into ongoing mail traffic, then impersonate original subscribers and reply as them. X-Force saw a 100 percent increase in monthly attempts compared to 2021 data.

– Legacy exploits that still work. The percentage of known exploits compared to vulnerabilities decreased by 10 percentage points from 2018 to 2022. But that’s because the total number of known vulnerabilities reached another all-time high. The numbers in the latest report show that older malware like WannaCry and Conficker continued to exist and spread.

Extortion pressure on manufacturing industry on the rise

Cybercriminals often target the most vulnerable industries, companies and regions with extortion schemes. They then apply high psychological pressure to force victims to pay up. The manufacturing industry was the most extorted industry in 2022, for the second year in a row. In Germany, it was one of the most affected industries, accounting for around 25 percent of the cases observed. The reason: manufacturing companies are an attractive target for extortion, given the extremely low failure tolerance in ongoing production processes.

Ransomware is a well-known extortion method, but attackers are always looking for new ways to get to their target. One of their latest strategies is to inform co-victims, such as customers and business partners, about stolen data. By involving these co-victims, the extortionists increase the pressure on the affected organization. Criminals will continue to experiment with such tactics to increase the potential cost and psychological impact of a cyberattack. Therefore, it is important that organizations have prepared response plans that also consider the impact of an attack on co-impacted, external victims such as customers and business partners.

Thread hijacking on the rise

The number of recorded cases of email thread hijacking has risen sharply over the past year. Monthly hijacking attempts have doubled compared to 2021 data. Over the past year, X-Force found that attackers have used this tactic to spread Emotet, Qakbot and IcedID – malware that often leads to ransomware infections. Thread hijacking was also among the top three attack types recorded in Germany, along with backdoors and compromising business email. All three were observed with equal frequency by X-Force here.

With phishing being the leading cause of cyberattacks last year and thread hijacking rising sharply, it is clear that attackers are exploiting trust in email. Organizations should make employees aware of thread hijacking to reduce the risk of them becoming victims.

Mind the GAP: Exploit R&D lags behind vulnerability development

The ratio of known exploits to vulnerabilities has declined by ten percentage points since 2018. Cybercriminals now have access to more than 78,000 known exploits. Older, unpatched vulnerabilities are easy to exploit and a dangerous gateway into IT systems: even more than five years old, the vulnerabilities that led to WannaCry infections still pose a significant threat. X-Force has seen an 800% increase in WannaCry ransomware traffic in telemetry data since April 2022.

The continued use of older exploits highlights the need for organizations to optimize and evolve their vulnerability management programs. This includes developing a better understanding of their vulnerabilities and prioritizing patches based on risk.

Other findings from the 2023 report include:

– Phishers are losing interest in credit card data. The number of cybercriminals targeting credit card information in phishing kits dropped 52 percent in one year. This indicates that attackers are prioritizing personal data such as names, emails and home addresses that can be sold at a higher price on the dark web or used for more purposes.

– North America Main Target of Energy Sector Attacks. The energy sector remains the fourth most attacked industry in the past year. The global security situation here impacted an already turbulent global energy trade. North American energy companies accounted for 46 percent of all attacks on energy companies observed last year overall. This represents a 25 percent increase from 2021.

– Europe is experiencing an increase in attacks. Europe was the second most affected region globally, accounting for 28 percent of all attacks recorded, a 4 percentage point increase over 2021 figures. Professional, business and consumer services companies, as well as financial and insurance companies, were attacked most frequently here. Manufacturing came in second, with 12% of cases, and energy and healthcare came in third, with 10%.

The report contains data collected globally by IBM in 2022 to provide information on the global IT threat landscape. It informs the security community about the threats that are most relevant to their businesses. You can download a copy of the latest IBM Security X-Force Threat Intelligence Index for 2023 here.

 

 

Von Jakob Jung

Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM. Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM. Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

WordPress Cookie Hinweis von Real Cookie Banner