Die Lage in der Ukraine hat zu einem deutlichen Anstieg von Cyber-Attacken auf kritische Infrastrukturen geführt. Zu diesem Ergebnis kommt der aktuelle Threat Labs Report des Software-Anbieters für Cybersecurity Trellix. Daraus geht auch hervor, dass Angriffe auf einzelne Verbraucher und Branchen wie das Gesundheitswesen, Transport, Fracht, Fertigung und IT in den letzten sechs Monaten besonders gestiegen sind.
Die einzelnen Branchen und Ergebnisse im Überblick:
- Transport und Fracht waren das Ziel von 27% aller aufgedeckten Fälle von Advanced Persistent Threats (APT) (Aktivitäten feindlicher und heimlich agierender Akteure).
- Das Gesundheitswesen wurde am zweithäufigsten attackiert; 12% aller aufgedeckten Angriffe entfielen auf diesen Sektor.
- Im Vergleich zum 3. Quartal 2021 stieg die Anzahl der Bedrohungen gegen die Fertigungsindustrie im 4. Quartal um 100%. Angriffe gegen die IT-Branche nahmen um 36% zu.
- Unter den Kunden von Trellix entfielen 62% aller beobachteten Detektionen im 4. Quartal 2021 auf den Transportsektor.
„Wir befinden uns in einer kritischen Phase der Cyber-Sicherheit und beobachten zunehmend feindlich gesinntes Verhalten auf einer immer größeren Angriffsoberfläche“, erklärt Christiaan Beek, Lead Scientist und Principal Engineer bei Trellix Threat Labs. „Unsere Welt hat sich fundamental verändert. Im 4. Quartal zeichnete sich zunächst eine Wende nach der zweijährigen Pandemie ab, die Cyber-Kriminelle für ihre Zwecke genutzt hatten. Die Log4Shell-Schwachstelle betraf zum Beispiel Hunderte Millionen Geräte. Doch wir mussten feststellen, dass sich die Dynamik im neuen Jahr fortsetzte und internationale Cyber-Aktivitäten sprunghaft zunahmen.“
Die Ukraine im Mittelpunkt
Das Threat Labs Team von Trellix hat sich unter anderem mit Wiper-Malware befasst, einer Schadsoftware, die infizierte Geräte durch Zerstörung wichtiger Speicherinformationen unbrauchbar macht.
Der Blick viel dabei insbesondere auf Whispergate und HermeticWiper. Die beiden Malware-Varianten kamen vor und während der Ukraine-Invasion zum Einsatz, legten Kommunikationswege lahm und destabilisierten so inländische IT-Systeme.
Der Threat Labs Report listet die Akteure hinter den Bedrohungen gegen die Ukraine auf, darunter Actinium APT, Gamaredon APT, Nobelium APT (auch APT29 genannt), UAC-0056 und Shuckworm APT. APT29 machte 30 % der Detektionen aller im 4. Quartal 2021 von Trellix festgestellten APT-Aktivitäten aus.
Living-off-the-Land-Angriffe weiter auf dem Vormarsch
Trellix beobachtete den fortgesetzten Einsatz von Living-off-the-Land (LoTL)-Methoden. Kriminelle Angriffe erfolgen dabei über bestehende Software und die native Steuerung eines Geräts. Die Windows Command Shell (CMD) (53 %) und PowerShell (44 %) zählten im 4. Quartal 2021 zu den am häufigsten verwendeten NativeOS Binärdateien. Remote Services (36 %) waren die am häufigsten verwendeten administrativen Tools.
Trellix Threat Labs hat kürzlich LoTL-Methoden entdeckt, mit deren Hilfe die vermutlich südkoreanische APT-Gruppe DarkHotel Malware in Luxushotels infiltriert. Über Excel-Dateien werden erfolgreich Informationen über prominente Gäste auf Dienst- oder Konferenzreise gesammelt.
Den gesamten Threat Labs Report: April 2022 gibt es hier zum Nachlesen.