Cyberkriminelle werden kreativer – Cybercriminals are getting more creative

85 Prozent der deutschen Unternehmen waren im vergangenen Jahr von einem Ransomware-Angriff betroffen. 63 Prozent dieser Angriffe waren erfolgreich. Weniger als die Hälfte (41 Prozent) der betroffenen Unternehmen erhielt nach der ersten Lösegeld-Zahlung wieder Zugriff auf ihre Daten. Bei 89 Prozent der deutschen Unternehmen (84 Prozent weltweit), die Ziel E-Mail-basierter Angriffe wurden, war wenigstens einer dieser Angriffe erfolgreich, wobei fast ein Drittel (31 Prozent) von direkten finanziellen Verlusten berichtete.

Dies ist ein deutlicher Anstieg im Vergleich zu 2021, als 14 Prozent der deutschen Organisationen direkte finanzielle Verluste meldeten. Weltweit wuchsen die direkten finanziellen Verluste im Vergleich zu 2021 um besorgniserregende 76 Prozent. Cyberkriminelle greifen ferner vermehrt zu neuen Angriffsmethoden, um ihre Ziele zu erreichen, ohne jedoch Bewährtes zu vernachlässigen.

„Die Wissenslücken und das laxe Sicherheitsverhalten der Mitarbeiter stellen ein erhebliches Risiko für Unternehmen und ihre Daten dar“, erläutert Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Die E-Mail ist weiterhin die bevorzugte Angriffsmethode Cyberkrimineller. Diese verlegen sich darüber hinaus zunehmend auf Techniken, die Mitarbeitern in Unternehmen weit weniger vertraut sind, z. B. Angriffe via Telefon und Adversary-in-the-Middle (AitM)-Phishing-Proxys, welche die Multi-Faktor-Authentifizierung (MFA) umgehen.

Darum ist es von entscheidender Bedeutung, eine Sicherheitskultur aufzubauen, die das gesamte Unternehmen und das gesamte Arsenal der Cyberkriminellen umfasst. Wenn es um Ransomware geht, stehen vor allem deutsche Unternehmen vor großen Herausforderungen, wobei die mangelnde Sensibilisierung der Mitarbeiter eine der größten ist. Da Ransomware-Angriffe per E-Mail auf Mitarbeiter abzielen, sind sie ein entscheidender Faktor in der Verteidigung. Unsere Studie zeigt jedoch, dass nur 33 Prozent Mitarbeiter deutscher Unternehmen wissen, was Ransomware ist. Vor allem im Vergleich zu 60 Prozent der Mitarbeiter weltweit, die Ransomware definieren können, zeigt dies, dass deutsche Unternehmen ihr Training verbessern müssen, um nicht weiterhin von Ransomware besiegt zu werden.“

Ransomware Effekte

Nicht nur haben lediglich 41 Prozent der betroffenen deutschen Unternehmen nach der ersten Lösegeld-Zahlung wieder Zugriff auf ihre Daten erhalten. Weltweit waren mehr als zwei Drittel der Unternehmen sogar von mehreren, separaten Ransomware-Infektionen betroffen. Die meisten infizierten Unternehmen zahlten, viele mehr als einmal. Von den deutschen Unternehmen, die von Ransomware betroffen waren, hatte die überwältigende Mehrheit (95 Prozent gegenüber 90 Prozent weltweit) eine Cyber-Versicherung für Ransomware-Angriffe abgeschlossen, und die meisten Versicherer waren gewillt, das Lösegeld entweder teilweise oder vollständig zu zahlen (87 Prozent gegenüber 82 Prozent weltweit). Dies erklärt auch die hohe Zahlungsbereitschaft: 81 Prozent (weltweit lediglich 64 Prozent) der infizierten Unternehmen haben mindestens einmal Lösegeld gezahlt.

Komplexere E-Mail-Bedrohungen im großen Maßstab

Im vergangenen Jahr wurden jeden Tag Hunderttausende von Social-Engineering-Angriffen über das Telefon (Telephone-oriented Attack Delivery: TOAD) und Phishing-Nachrichten mit dem Ziel versendet, MFA zu überlisten. Diese Bedrohungen sind so allgegenwärtig, dass sie beinahe alle Unternehmen betreffen. In der Spitze verzeichnete Proofpoint mehr als 600.000 TOAD-Angriffe pro Tag — E-Mails, welche die Empfänger dazu auffordern, ein Telefongespräch mit den Angreifern in einem vermeintlichen Callcenter zu führen. Die Anzahl dieser Angriffe hat seit dem ersten Auftreten dieser Technik Ende 2021 stetig zugenommen.

Cyberkriminellen stehen mittlerweile auch eine Reihe von Methoden zur Verfügung, um MFA zu umgehen. Viele Phishing-as-a-Service-Anbieter haben entsprechende AitM-Tools bereits in ihre Standard-Phish-Kits integriert.

Verbesserungen der Cyberhygiene erforderlich

Cyberkriminelle entwickeln sich ständig weiter, und der diesjährige Report zeigt einmal mehr, dass die meisten Mitarbeiter Lücken im Sicherheitsbewusstsein aufweisen. Selbst grundlegende Cyber-Bedrohungen werden immer noch nicht richtig verstanden – mehr als ein Drittel der Umfrageteilnehmer kann „Malware“, „Phishing“ und „Ransomware“ nicht definieren. Darüber hinaus schulen nur 56 Prozent der deutschen Unternehmen mit einem Programm zur Förderung des Sicherheitsbewusstseins ihre gesamte Belegschaft, und nur 34 Prozent führen Phishing-Simulationen durch – beides wichtige Komponenten eines effektiven Programms zur Förderung des Sicherheitsbewusstseins.

Eighty-five percent of German companies were affected by a ransomware attack last year. Sixty-three percent of these attacks were successful. Less than half (41 percent) of affected companies regained access to their data after the initial ransom payment. At least one of these attacks was successful for 89 percent of German companies (84 percent globally) that were targeted by email-based attacks, with nearly a third (31 percent) reporting direct financial losses.

This is a significant increase from 2021, when 14 percent of German organizations reported direct financial losses. Globally, direct financial losses grew by a worrying 76 percent compared to 2021. Cybercriminals are also increasingly turning to new attack methods to achieve their goals, but without neglecting proven ones.

„The knowledge gaps and lax security behavior of employees pose a significant risk to organizations and their data,“ explained Miro Mitrovic, area vice president for the DACH region at Proofpoint. „Email continues to be the preferred attack method of cybercriminals. They are also increasingly shifting to techniques that are far less familiar to enterprise employees, such as attacks via phone and adversary-in-the-middle (AitM) phishing proxies that bypass multi-factor authentication (MFA).

That’s why it’s critical to build a security culture that encompasses the entire enterprise and the entire arsenal of cybercriminals. When it comes to ransomware, German companies in particular face major challenges, with a lack of employee awareness being one of the biggest. Since ransomware attacks target employees via email, they are a crucial factor in defense. However, our study shows that only 33 percent employees of German companies know what ransomware is. Especially when compared to 60 percent of employees worldwide who can define ransomware, this shows that German companies need to improve their training to avoid continuing to be defeated by ransomware.“

Ransomware effects

Not only did only 41 percent of affected German companies regain access to their data after the initial ransom payment. Globally, more than two-thirds of companies were even affected by multiple, separate ransomware infections. Most infected companies paid, many more than once. Of the German companies affected by ransomware, the overwhelming majority (95 percent versus 90 percent globally) had cyber insurance in place for ransomware attacks, and most insurers were willing to pay the ransom either partially or in full (87 percent versus 82 percent globally). This also explains the high willingness to pay: 81 percent (only 64 percent globally) of infected companies paid ransom at least once.

More sophisticated email threats

Last year, hundreds of thousands of phone-based social engineering attacks (Telephone-oriented Attack Delivery: TOAD) and phishing messages were sent every day with the goal of tricking MFA. These threats are so pervasive that they affect nearly all organizations. At its peak, Proofpoint recorded more than 600,000 TOAD attacks per day – emails that prompt recipients to make a phone call to attackers at a supposed call center. The number of these attacks has steadily increased since the technique first appeared in late 2021.

Cybercriminals also now have a number of methods available to circumvent MFA. Many phishing-as-a-service providers have already integrated appropriate AitM tools into their standard phish kits.

Cyber hygiene improvements needed

Cybercriminals are constantly evolving, and this year’s report shows once again that most employees have gaps in security awareness. Even basic cyber threats are still not well understood – more than a third of survey respondents cannot define „malware,“ „phishing“ and „ransomware.“ In addition, only 56 percent of German companies with a security awareness program train their entire workforce, and only 34 percent conduct phishing simulations – both important components of an effective security awareness program.