Der Jahresbericht untersucht die Bedrohungslandschaft des Jahres 2022 und fasst die Informationen zusammen, die das Bedrohungsforschungsteam von Recorded Future, Insikt Group, für ein Jahr erstellt hat. Wir analysieren globale Trends und bewerten bedeutende Ereignisse im Bereich der Cybersicherheit, geopolitische Entwicklungen, Offenlegungen von Schwachstellen und mehr und bieten so einen umfassenden, ganzheitlichen Überblick über die Cyber-Bedrohungslandschaft im Jahr 2022.

Executive Summary

Der physische Konflikt in der Ukraine und seine Auswirkungen auf die Cyber-Bedrohungslandschaft im Jahr 2022 bilden den Rahmen für unsere Diskussion über bedeutende Cyber-Bedrohungsereignisse und geopolitische Trends im Jahr 2022 und unterstreichen die zunehmende Konvergenz der Cyber- und geopolitischen Bedrohungslandschaft.

Vor und während der physischen Invasion beobachtete Recorded Future eine Zunahme von Distributed-Denial-of-Service-Angriffen (DDoS), Aktivitäten von Hackern und den großflächigen Einsatz von Wiper-Malware. Und während die russische Invasion in der Ukraine die Diskussion über kinetische und cyber-hybride Operationen beherrschte, führten Bedrohungsakteure mit Verbindungen zu anderen bedeutenden Nationalstaaten, insbesondere dem Iran, China und Nordkorea, das ganze Jahr über Cyberangriffe aus. Diese waren geprägt von einer Zeit erhöhter geopolitischer Spannungen, Konkurrenz und politisch aufgeladener Verbindungen.

Darüber hinaus haben wir Cyber-Bedrohungen in der gesamten Bedrohungslandschaft analysiert, darunter auch solche, die von cyberkriminellen Gruppen ausgeführt wurden. Während Phishing-Kampagnen und Ransomware-Angriffe nach wie vor Unternehmen aller Branchen und Regionen plagen, hat Recorded Future zwischen dem ersten und vierten Quartal einen Anstieg der Anzahl von Anmeldeinformationen um 600 % festgestellt, die über Informationen stehlende Schadsoftware verkauft wurden. Zudem wurde im Vergleich zum Vorjahr ein erheblicher Anstieg der Angriffe auf häufig in den Lieferketten von Unternehmen verwendete Software festgestellt und es kam zu einer Verlagerung hin zu einem zunehmend verwalteten Servicemodell, da sich „As-a-Service“-Angebote auf Darknet-Marktplätzen und Untergrundforen immer mehr verbreiten. Initial Access Brokers (IRBs) sind zunehmend aktiver, was wahrscheinlich auf die zunehmende Verwendung von Infostealer-Malware und die Möglichkeit zurückzuführen ist, mit gestohlenen Daten Geld zu verdienen.

Der effektive Einsatz von Infostealern hängt oft von der erfolgreichen Ausnutzung von Schwachstellen ab. Zu den bemerkenswerten Trends im Zusammenhang mit Sicherheitslücken im Jahr 2022 gehörten Ransomware und vom chinesischen Staat gesponserte Bedrohungsakteure, die Zero-Day-Sicherheitslücken schnell ausnutzten, die anhaltende Ausnutzung von Log4Shell in allen Quartalen des Jahres 2022 und die Auswirkungen der Schwankungen von Microsoft hinsichtlich der automatischen Deaktivierung von Makros.

Schließlich blieb Ransomware auch im Jahr 2022 eine allgegenwärtige Bedrohung. Während sich einige Ransomware-Banden auflösten, behaupteten andere rasch ihre Vorherrschaft und nutzten ihre erheblichen Ressourcen für Kampagnen gegen Organisationen aller Größen und Branchen. Obwohl die Lösegeldzahlungen zwischen 2021 und 2022 um etwa 60 % zurückgegangen sind – wahrscheinlich aufgrund verstärkter staatlicher Auflagen, auf Lösegeldzahlungen zu verzichten, und verstärkter Sorgfaltspflicht der Versicherungsunternehmen hinsichtlich der Cybersicherheitsstandards bei der Übernahme von Policen für Ransomware-Angriffe – wird Ransomware auch im Jahr 2023 noch eine große Bedrohung für Unternehmen darstellen.

Key Takeaways

• Die Aktivitäten selbsternannter Hacktivisten, wahrscheinlich eine Mischung aus Basisaktivitäten und staatlich geförderten Aktivitäten, nahmen im ersten Halbjahr sprunghaft zu, als Bedrohungsgruppen Angriffe auf Grundlage ihrer Loyalität zu Russland oder der Ukraine durchführten. Während sich die meisten dieser Aktivitäten auf Organisationen beschränkten, die in den Konflikt verwickelt waren oder sich in Gebieten in der Nähe Osteuropas befanden, waren an manchen Hacktivismus-Aktivitäten auch Organisationen aus anderen Regionen beteiligt.
• Die größten Cyberbedrohungen für Organisationen, die nicht direkt in den Krieg in der Ukraine verwickelt waren, bestanden in der Verbreitung der Wiper-Malware und den Aktivitäten der Hacktivisten.
• Nordkorea wird voraussichtlich auch 2023 seine Tests ballistischer Raketen fortsetzen. Der militärische Aufmarsch der USA im Westpazifik sowie die erhöhten Verteidigungsausgaben und Bereitschaftsmaßnahmen Japans dürften von China mit entsprechenden Maßnahmen beantwortet werden.
• Es ist unwahrscheinlich, dass die diplomatischen Verhandlungen über den Gemeinsamen umfassenden Aktionsplan (JCPOA, allgemein als Atomabkommen mit dem Iran bezeichnet) Fortschritte machen. Unterdessen reichert die Islamische Republik Iran weiterhin Uran an, um eine Atomwaffe zu bauen. Die israelische Regierung wird ihre Angriffe auf Teile der Quds-Brigaden der Islamischen Revolutionsgarde (IRGC-QF), die in Syrien operieren, voraussichtlich fortsetzen, sich gleichzeitig aber die Option für Angriffe auf Atomanlagen im Iran offen halten.
• 2022 war das Jahr von „as-a-Service“, da wir die Präsenz neuer Phishing-as-a-Service (PaaS)-Angebote in der Bedrohungslandschaft, den anhaltenden Erfolg des Ransomware-as-a-Service (RaaS)-Modells sowie die Entwicklung und Nutzung neuer Arten von Malware-as-a-Service (MaaS)-Angeboten festgestellt haben.
• Das gesamte Jahr 2022 über wurden Open-Source- oder proprietäre Softwarepakete ins Visier genommen. Angesichts der Effektivität dieser Angriffsarten im vergangenen Jahr wird ihre Schwere im Jahr 2023 wahrscheinlich noch zunehmen.
• Bedrohungsakteure setzen zunehmend Infostealer ein und die vermehrte Veröffentlichung der von Infostealern gesammelten Authentifizierungsinformationen stellt ein Risiko für Sicherheitslösungen zur Multi-Faktor-Authentifizierung (MFA) dar.
• Zwar hat sich die Einführung von Gegenmaßnahmen wie der standardmäßigen Deaktivierung von Makros als äußerst wirksam erwiesen, doch viele Bedrohungsakteure haben ihre Operationen auch darauf ausgerichtet, neu entwickelte oder implementierte Sicherheitsvorkehrungen zu unterlaufen. Dies unterstreicht die Notwendigkeit der Implementierung einer tiefgreifenden Sicherheitsstrategie.
• Die Ausnutzung weit verbreiteter Produkte sowie die fortgesetzte Ausnutzung bereits gemeldeter Schwachstellen wie Log4Shell unterstreicht den anhaltenden Fokus der Bedrohungsakteure auf Angriffsvektoren, die über längere Zeiträume genutzt werden können.
• Es ist nicht zu erwarten, dass das Volumen der Ransomware-Angriffe im Jahr 2023 zurückgeht. Wenn jedoch der finanzielle Gewinn aus Ransomware-Angriffen weiter abnimmt, wie es zwischen 2021 und 2022 zu beobachten war, werden die Bedrohungsakteure ihre Taktiken wahrscheinlich anpassen, um weiterhin die historischen finanziellen Anreize für Ransomware-Angriffe zu nutzen.