Malware- und TTP-Bedrohungslandschaft 2021

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Der jährliche Bedrohungsbericht gibt einen Überblick über die Bedrohungslandschaft des Jahres 2021 und bietet eine Jahreszusammenfassung der Erkenntnisse des Bedrohungsforschungsteams von Recorded Future, der Insikt Group. Der Bericht stützt sich auf Daten der Recorded Future®-Plattform, einschließlich offener Quellen wie Medienkanälen und öffentlich zugänglicher Forschung anderer Sicherheitsgruppen sowie geschlossener Quellen aus dem kriminellen Untergrund. Es werden globale und Malware-Trends sowie die wichtigsten Taktiken, Techniken und Verfahren (TTPs) des Jahres 2021 analysiert. Der Bericht ist für alle interessant, die einen umfassenden, ganzheitlichen Überblick über die Cyber-Bedrohungslandschaft im Jahr 2021 suchen.

Executive Summary

Nach großen disruptiven Angriffen und der ständigen Weiterentwicklung der Tools im Jahr 2021 standen Bedrohungen im Zusammenhang mit Ransomware ganz oben auf der Prioritätenliste der Sicherheitsteams. Ransomware stellt weltweit für Unternehmen in mehreren Branchen eine große Bedrohung dar. Ende 2019 und im Laufe des Jahres 2020 erwies sich Ransomware als große Bedrohung für größere Organisationen und wurde als Ziel für die „Großwildjagd“ betrachtet. Im Laufe des Jahres 2020 und 2021 entwickelte er sich jedoch zu einem Massenmarkt, was eine Zunahme von Ransomware-Betreibern und umfassendere Angriffe ermöglichte. Die Bedrohungsakteure stellten Fachkräfte für die Entwicklung von Funktionen für Ransomware ein, vermieteten Ransomware an verbundene Unternehmen und kauften von Initial Access Brokern Zugriff auf die Netzwerke der Opferorganisationen. Auch im Jahr 2021 war Ransomware in der Welt der Cyberkriminalität ein erfolgreiches Geschäft , wobei Conti und LockBit die produktivsten Ransomware-Operationen anführten.

Ransomware-Gruppen setzten im Jahr 2020 auf „doppelte Erpressung“, die die Opfer zusätzlich unter Druck setzt, das Lösegeld zu zahlen. Dazu sperren sie nicht nur den Zugriff auf ihre Systeme, sondern drohen auch damit, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Lösegeld nicht gezahlt wird. Im Jahr 2021 haben Bedrohungsakteure ihre Taktik geändert und Techniken der „dreifachen Erpressung“ implementiert. Dazu gehören die Anwerbung von Insidern, um in Unternehmensnetzwerke einzudringen, die Kontaktaufnahme mit den Kunden der Opfer, um Lösegeldzahlungen zu fordern, die Bedrohung von Ransomware-Opfern mit Distributed-Denial-of-Service-Angriffen (DDoS) sowie das gezielte Angreifen von Lieferketten und Managed Service Providern, um die Auswirkungen der Angriffe zu verstärken. Darüber hinaus begannen einige Ransomware-Gruppen, Linux-Systeme ins Visier zu nehmen und erweiterten ihr Arsenal um die schnelle Ausnutzung von Schwachstellen und Zero-Day-Schwachstellen.

Der Darknet-Markt für den Diebstahl von Anmeldeinformationen war im Jahr 2021 sehr erfolgreich und trug auch zu Ransomware-Angriffen bei, da Ransomware-Betreiber bei Angriffen häufig kompromittierte Anmeldeinformationen für den Erstzugriff verwenden. Kompromittierte Anmeldeinformationen wurden regelmäßig mithilfe von Infostealern gestohlen und in Darknet-Shops beworben. Diese offengelegten Passwörter gefährden Netzwerke, wenn Unternehmensanmeldeinformationen in kompromittierten Protokollen enthalten sind oder wenn Mitarbeiter Passwörter für private und geschäftliche Konten wiederverwenden.

Neben Ransomware haben sich auch Malware und bösartige Tools wie Cobalt Strike weiterentwickelt und sind nach der Installation immer schwieriger zu erkennen und gefährlicher. Wir beobachten einen anhaltenden Trend zur schnellen Ausnutzung von Schwachstellen bei Malware-Angriffen, insbesondere seit der Offenlegung einer der schlimmsten Sicherheitslücken aller Zeiten, Log4Shell, Ende 2021.

Schließlich hat die Insikt Group bei einer Untersuchung der wichtigsten MITRE ATT&CK-TTPs im Jahr 2021 die fünf wichtigsten Techniken ermittelt: T1486 (Daten zur Auswirkung verschlüsselt), T1082 (Systeminformationsermittlung), T1055 (Prozessinjektion), T1027 (verschleierte Dateien oder Informationen), T1005 (Daten vom lokalen System).

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.