Bericht zur gegnerischen Infrastruktur 2023
In ihrem „Adversary Infrastructure Report 2023“ deutet die Insikt Group in ihrem Ausblick für die Infrastrukturlandschaft im Jahr 2024 darauf hin, dass sich die Cyberbedrohungen weiterhin weiterentwickeln werden, wobei der Schwerpunkt auf den staatlichen Bemühungen zur Bekämpfung böswilliger Aktivitäten liegt. Die erwartete Zunahme der Abschaltungen bösartiger Infrastrukturen spiegelt das wachsende Bewusstsein der Regierungen für die verheerenden Auswirkungen von Ransomware und anderen zerstörerischen Angriffen wider. Ein besonderer Schwerpunkt liegt auf Cyberkriminalität, die kritische Infrastrukturen wie Krankenhäuser in Mitleidenschaft zieht, was Regierungen dazu veranlasst, rechtliche Rahmenbedingungen für Maßnahmen gegen Angreifer zu prüfen.
Zwar erweisen sich Takedowns als wirksam, doch die Hartnäckigkeit krimineller Organisationen (wie etwa TA577 nach der Takedown von QakBot) zeigt, dass es notwendig ist, die für illegale Aktivitäten verantwortlichen Personen festzunehmen, um solche Operationen wirklich zu unterbinden.
Es ist zu erwarten, dass sich der Trend bei Advanced Persistent Threats (APTs) hin zu Standardtools, insbesondere Command-and-Control-Frameworks (C2), fortsetzt, da diese Tools die Zuordnung wirksam verschleiern. Darüber hinaus nutzen alle Bedrohungsakteure wahrscheinlich Fernüberwachungs- und -verwaltungssoftware wie AnyDesk und ConnectWise sowie legitime Internetinfrastrukturen wie Telegram und GitHub aus und profitieren von der vermeintlichen Legitimität und unzureichenden Netzwerkkontrollen.
Lebenszyklus der C2-Waffenherstellung (Quelle: Recorded Future)
Künstliche Intelligenz (KI) wird voraussichtlich im Jahr 2024 einen zunehmenden Einfluss auf die Cyberkriminalität haben, insbesondere in Bereichen wie Domänenbenennung, Netzwerkplanung und fortgeschrittenen Verschleierungstechniken für die Entwicklung von Schadsoftware. Der Einsatz von KI durch Bedrohungsakteure dürfte die organisatorische und technische Effizienz steigern, die Eintrittsbarrieren für ausgeklügelte Angriffe senken und Cyberkriminellen Vorteile verschaffen.
Der Bericht identifiziert außerdem die wichtigsten offensiven Sicherheitstools, darunter Cobalt Strike, Viper und Meterpreter, sowie bekannte Remote Access Tools (RATs) wie AsyncRAT, QuasarRAT, PlugX, ShadowPad und DarkComet. Wir empfehlen Ihnen, diese Informationen weiterzugeben, um anderen bei der Bewertung von Bedrohungsmodellen zu helfen, Forschern eine Datenüberprüfung zu ermöglichen und ein umfassendes Verständnis der Landschaft bösartiger Infrastrukturen zu fördern.
Top 20 RATs und Backdoors, basierend auf der Anzahl der beobachteten einzigartigen C2-Server (Quelle: Recorded Future)
Als Reaktion auf neue Bedrohungen empfiehlt der Bericht Organisationen, Basiswerte für legitime Internetdienste in ihren Netzwerken festzulegen und ihre Sicherheitskontrollen zu optimieren. Allerdings wird auch anerkannt, dass erweiterte Sicherheitsmaßnahmen, wie etwa die Entschlüsselung und Überwachung des TLS-Verkehrs, erforderlich sein können. Dabei müssen die Auswirkungen auf den Datenschutz, die Implementierungskosten und die möglichen Auswirkungen auf Netzwerksysteme und Produktivität sorgfältig abgewogen werden.
Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt