Der jährliche Bedrohungsbericht gibt einen Überblick über die Bedrohungslandschaft des Jahres 2021 und bietet eine Jahreszusammenfassung der Erkenntnisse des Bedrohungsforschungsteams von Recorded Future, der Insikt Group. Der Bericht stützt sich auf Daten der Recorded Future®-Plattform, einschließlich offener Quellen wie Medienkanälen und öffentlich zugänglicher Forschung anderer Sicherheitsgruppen sowie geschlossener Quellen aus dem kriminellen Untergrund. Es werden globale und Malware-Trends sowie die wichtigsten Taktiken, Techniken und Verfahren (TTPs) des Jahres 2021 analysiert. Der Bericht ist für alle interessant, die einen umfassenden, ganzheitlichen Überblick über die Cyber-Bedrohungslandschaft im Jahr 2021 suchen.

Executive Summary

Nach großen störenden Angriffen und der ständigen Weiterentwicklung von Tools im Jahr 2021 standen Bedrohungen im Zusammenhang mit Ransomware ganz oben auf der Prioritätenliste der Sicherheitsteams. Ransomware ist weltweit eine der größten Bedrohungen für Unternehmen in verschiedenen Branchen. Ende 2019 und im Laufe des Jahres 2020 entwickelte sich Ransomware zu einer großen Bedrohung für größere Unternehmen, die als "Big Game Hunting"-Ziel angesehen wurde. Im Laufe des Jahres 2020 und bis ins Jahr 2021 hinein entwickelte sich der Markt jedoch zu einem standardisierten Markt, der eine Zunahme von Ransomware-Betreibern und breitere Angriffe ermöglichte. Bedrohungsakteure stellten qualifizierte Personen ein, um Funktionen innerhalb von Ransomware zu entwickeln, vermieteten Ransomware an verbundene Unternehmen und kauften Zugang zu den Netzwerken der Opferorganisationen von Initial Access Brokern. Im Jahr 2021 war Ransomware weiterhin ein erfolgreiches Geschäft in der Welt der Cyberkriminellen, wobei Conti und LockBit als die produktivsten Ransomware-Operationen an der Spitze standen.

Ransomware-Gruppen setzten im Jahr 2020 auf „doppelte Erpressung“, die die Opfer zusätzlich unter Druck setzt, das Lösegeld zu zahlen. Dazu sperren sie nicht nur den Zugriff auf ihre Systeme, sondern drohen auch damit, die gestohlenen Daten zu veröffentlichen oder zu verkaufen, wenn das Lösegeld nicht gezahlt wird. Im Jahr 2021 haben Bedrohungsakteure ihre Taktik geändert und Techniken der „dreifachen Erpressung“ implementiert. Dazu gehören die Anwerbung von Insidern, um in Unternehmensnetzwerke einzudringen, die Kontaktaufnahme mit den Kunden der Opfer, um Lösegeldzahlungen zu fordern, die Bedrohung von Ransomware-Opfern mit Distributed-Denial-of-Service-Angriffen (DDoS) sowie das gezielte Angreifen von Lieferketten und Managed Service Providern, um die Auswirkungen der Angriffe zu verstärken. Darüber hinaus begannen einige Ransomware-Gruppen, Linux-Systeme ins Visier zu nehmen und erweiterten ihr Arsenal um die schnelle Ausnutzung von Schwachstellen und Zero-Day-Schwachstellen.

Der Darknet-Markt für den Diebstahl von Anmeldeinformationen war im Jahr 2021 sehr erfolgreich und trug auch zu Ransomware-Angriffen bei, da Ransomware-Betreiber bei Angriffen häufig kompromittierte Anmeldeinformationen für den Erstzugriff verwenden. Kompromittierte Anmeldeinformationen wurden regelmäßig mithilfe von Infostealern gestohlen und in Darknet-Shops beworben. Diese offengelegten Passwörter gefährden Netzwerke, wenn Unternehmensanmeldeinformationen in kompromittierten Protokollen enthalten sind oder wenn Mitarbeiter Passwörter für private und geschäftliche Konten wiederverwenden.

Neben Ransomware haben sich auch Malware und bösartige Tools wie Cobalt Strike weiterentwickelt und sind nach der Installation immer schwieriger zu erkennen und gefährlicher. Wir beobachten einen anhaltenden Trend zur schnellen Ausnutzung von Schwachstellen bei Malware-Angriffen, insbesondere seit der Offenlegung einer der schlimmsten Sicherheitslücken aller Zeiten, Log4Shell, Ende 2021.

Schließlich hat die Insikt Group bei einer Untersuchung der wichtigsten MITRE ATT&CK-TTPs im Jahr 2021 die fünf wichtigsten Techniken ermittelt: T1486 (Daten zur Auswirkung verschlüsselt), T1082 (Systeminformationsermittlung), T1055 (Prozessinjektion), T1027 (verschleierte Dateien oder Informationen), T1005 (Daten vom lokalen System).

Anmerkung der Redaktion: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, Klicken Sie hier um den Bericht als PDF herunterzuladen.