Trellix Threat Report: Deutschland verstärkt im Visier krimineller Hacker

Cyber-Warnung

Der neueste Threat Report von Trellix gibt Auskunft über die weltweiten Cyber-Sicherheitstrends des dritten Quartals 2022. Laut den Analysen des Advanced Research Center (ARC) war insbesondere Deutschland das Ziel von kriminellen Akteuren.

Andreas Groß, Senior Manager Presales bei Trellix, kommentiert die Ergebnisse des Reports wie folgt: „Deutschland steht im weltweiten Vergleich auf Platz 1 bei kriminellen Angriffen im 3. Quartal 2022. Damit könnte das Ergebnis des aktuellen Trellix-Berichts nicht erschreckender sein. Deutsche Unternehmen und Organisationen stehen vor enormen Herausforderungen ihre kritischen Infrastrukturen zu sichern. Um eine umfassende IT-Sicherheitsstrategie zu garantieren, muss Cyber-Sicherheit spätestens jetzt zu einem der Top-Agenda Punkte für Vorstände und Führungskräfte werden.“

Die Ergebnisse im Überblick:

Deutschland verzeichnet höchste APT-Zahlen im weltweiten Vergleich

Im Ländervergleich verzeichnete Deutschland im dritten Quartal nicht nur die meisten APT-Angriffe (29 % der beobachteten Aktivitäten), sondern auch die meisten Ransomware-Fälle. Letztere stiegen gegenüber dem Vorquartal um 32 Prozent und machten damit 27 % der weltweiten Ransomware-Aktivitäten aus.

Doppelt so viele Ransomware-Angriffe auf den Logistiksektor

Transport- und Versandunternehmen standen im dritten Quartal im Fadenkreuz einer ganzen Armada von Angreifern. Allein in den USA schossen die Ransomware-Aktivitäten gegenüber dem Vorquartal um 100 Prozent in die Höhe. Weltweit rangierte der Logistiksektor damit auf Rang 2 der bedrohten Branchen, direkt nach der Telekommunikationsindustrie. Zugleich wurden hier mehr APT-Attacken nachgewiesen als in jeder anderen Branche.

Neue Bedrohungsakteure

Am auffälligsten war in Q3 Mustang Panda, ein mit China in Verbindung gebrachter APT-Akteur, der in bisherigen Berichten noch nicht in Erscheinung getreten war. Ebenfalls sehr aktiv waren die russische Hackergruppe APT29 sowie APT36 aus Pakistan.

Neue Ransomware-Trends

Der im Darknet als Komplettpaket vertriebenen Ransomware Phobos ist es bis dato gelungen, größtenteils unterhalb des Radars der breiten Öffentlichkeit zu bleiben. Nichtsdestotrotz entfielen 10 Prozent der weltweiten Aktivitäten auf diesen Trojaner; in den USA war Phobos im dritten Quartal sogar die zweithäufigste Ransomware überhaupt. Global steht LockBit nach wie vor an der Spitze, mit 22 % aller Nachweise.

Alte Schwachstellen bleiben bestehen

Seit Jahren bekannte Sicherheitslücken bilden auch weiterhin gern genutzte Einfallstore. So führten die Schwachstellen CVE-2017-11882, CVE-2018-0798 und CVE-2018-0802 der Equation-Editor-Komponente von Microsoft zu einer wahren Flut an Spam-Mails, die Anwender im Berichtszeitraum in ihrem Postfach fanden.

Missbrauch von Cobalt Strike

Nach Beobachtungen der Trellix-Experten war Cobalt Strike an 33 Prozent der weltweiten Ransomware-Aktivitäten und 18 Prozent der APT-Nachweise beteiligt. Cobalt Strike ist ein legal erhältliches Tool, mit dem sich Angriffsszenarien emulieren lassen, um so die operative Sicherheit zu erhöhen. Zugleich ist es ein populäres Instrument für Internet-Kriminelle, die seine Funktionalität für ihre Zwecke missbrauchen.

„Aus Russland, aber auch von anderen staatlichen Akteuren kommt seit Beginn des Jahres eine Angriffswelle nach der anderen“, erklärt John Fokker, Head of Threat Intelligence, Trellix. „Diese Gefährdungen sowie die steigende Zahl der politisch motivierten Hacktivist-Aktionen als auch die anhaltenden Ransomware-Attacken auf das Gesundheits- und Bildungswesen zeigen, dass wir Cyber-Kriminelle und ihre Methoden noch mehr als bisher ins Visier nehmen und analysieren müssen.“

Der Threat Report: November 2022 nutzt proprietäre Daten des Trellix-Sensorsnetzwerks, Analysen des Trellix Advanced Research Center zu Ransomware und staatlichen Akteuren sowie Open-Source-Informationen. Für den Nachweis von Bedrohungen werden auch Telemetriedaten herangezogen. Als Bedrohungsnachweis gilt die Aufspürung und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens, oder eines anderen Indikators über die Trellix-XDR-Plattform.

Weitere Informationen: