Proofpoints 2023 Human Factor Report

Angreifer machen sich neuartige Tools und Techniken zunutze

Angriff

Proofpoint, ein Cybersecurity- und Compliance Unternehmen, hat seinen jährlichen „Human Factor“-Report veröffentlicht. Aus dem Bericht geht hervor, dass nach zwei Jahren pandemiebedingter Verwerfungen das vergangene  Jahr weltweit für die Cyberkriminellen eine Rückkehr zur Normalität markierte. Nachdem die Corona-Unterstützungsprogramme nach und nach ausliefen, mussten die Angreifer neue Wege  finden, um sich Einnahmequellen zu sichern. Dies taten sie, indem sie ihre Social-Engineering Fähigkeiten weiterentwickelten, ausgefeilte Angriffstechniken kommerzialisierten und kreativ  nach neuen Möglichkeiten an unerwarteter Stelle suchten. 

Von der Skalierung von Brute-Force- und gezielten Attacken auf Cloud-Tenants bis hin zur Zunahme  von Conversational-Smishing-Angriffen sowie der Umgehung von Multifaktor-Authentifizierung (MFA)  – die Cyberbedrohungslandschaft war 2022 von zahlreichen bedeutenden Entwicklungen geprägt. 

Anzeige

„Da Microsoft 365 heute typischerweise einen großen Teil der Angriffsfläche eines Unternehmens  ausmacht, wird die Bedrohungslandschaft – ob mit Hilfe von Office-Makros oder OneNote Dokumenten – auch weiterhin maßgeblich vom Missbrauch dieser Plattform geprägt sein“, so Miro  Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Während sich die  Sicherheitskontrollen langsam verbessert haben, sind die Bedrohungsakteure kreativ geworden und  haben ihre Umgehungsaktivitäten ausgeweitet. Einst eine Domäne von Cybersecurity-Experten in Red  Teams, sind Techniken wie die Umgehung von MFA und telefonbasierte Angriffe heute ganz alltäglich.  Auch wenn viele Cyberkriminelle noch experimentieren, bleibt ein Umstand jedoch eine Konstante: Angreifer nutzen Menschen aus, und diese sind die wichtigste Variable in der heutigen Angriffskette.“ 

The Human Factor ist der branchenweit umfassendste Bericht eines einzelnen Anbieters. Der Report  befasst sich mit den neusten Entwicklungen in der Bedrohungslandschaft, wobei der Schwerpunkt auf  der Kombination aus Technologie und Psychologie liegt. Genau dies macht moderne Cyberangriffe  unter den drei Hauptaspekten des Benutzerrisikos – Anfälligkeit, Angriffe und Privilegien – so  gefährlich. Der Bericht stützt sich auf einen der branchenweit größten und vielfältigsten globalen  Datensätze zur Cybersicherheit aus den Bereichen E-Mail, Cloud und Mobile Computing. Der  Datensatz umfasst mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden  Dateianhängen, 28 Millionen Cloud-Konten, 1,7 Milliarden verdächtigen SMS-Nachrichten sowie weitere Informationen. 

Von komplexen Techniken wie der Umgehung der Multi-Faktor-Authentifizierung über telefonbasierte Angriffe bis hin zu Conversational-Bedrohungen, die sich allein auf den Charme des Angreifers  stützen, zeugte das vergangene Jahr von beispielloser Kreativität unter den Cyberkriminellen. Diese variierten, testeten und verwarfen Angriffsketten und Übertragungsmechanismen in ungekanntem  Tempo.  

Anzeige

Die wichtigsten Erkenntnisse des 2023 Human Factor Report:

Einbruch bei der Verwendung von Office-Makros, nachdem Microsoft Mechanismen zu  deren Blockierung eingeführt hatte: Office-Makros waren fast drei Jahrzehnte eine beliebte  Methode zur Verbreitung von Malware. Nachdem Microsoft die Art und Weise überarbeitet  hatte, wie seine Software mit aus dem Internet heruntergeladenen Dateien verfährt, ging die  Verwendung von Office-Makros durch Angreifer schließlich zurück. Diese Änderungen  mündeten in einer Reihe von Experimenten, mit denen Cyberkriminelle nach alternativen  Techniken suchten, um ihre Ziele infizieren. 

Cyberkriminelle kombinieren Einfallsreichtum mit Präzision und Geduld: Conversational  Smishing und Pig Butchering – Attacken, bei denen Angreifer zunächst scheinbar harmlose  Nachrichten verschicken – haben im vergangenen Jahr stark zugenommen. Im mobilen  Bereich war dies die am schnellsten wachsende Bedrohung des Jahres, deren Volumen um  das Zwölffache anstieg. Und telefonbasierte Angriffe (TOAD) erreichten mit 13 Millionen  Nachrichten pro Monat ihren Höhepunkt. Mehrere staatlich geförderte APT-Akteure  investierten viel Zeit in den Austausch von harmlosen Nachrichten mit ihren Zielen, um über  Wochen und Monate hinweg eine Beziehung aufzubauen.  

Phish-Kits von der Stange zum MFA-Bypass sind inzwischen allgegenwärtig – auch  wenig technisch versierte Kriminelle können nun eine Phishing-Kampagne starten: MFA-Bypass-Frameworks wie EvilProxy, Evilginx2 und NakedPages waren für mehr als eine  Million Phishing-Nachrichten pro Monat verantwortlich. 

Legitime Infrastrukturen spielen bei vielen Cloud-basierten Angriffen eine  Schlüsselrolle – ein Beleg für die Grenzen regelbasierter Schutzmaßnahmen: Die  meisten Unternehmen sahen sich mit Bedrohungen konfrontiert, die von bekannten Cloud Providern wie Microsoft und Amazon ausgingen. Deren Infrastruktur beherbergt zahlreiche  legitime Dienste, auf die sich Unternehmen verlassen. 

Neue Verbreitungswege katapultierten SocGholish in die Top Fünf Malware (nach  Nachrichtenvolumen): Mit einer neuartigen Verbreitungsmethode, die Drive-by-Downloads  und gefälschte Browser-Updates umfasst, sind die Cyberkriminellen hinter SocGholish (Threat  Actor 569, TA569) zunehmend in der Lage, Websites zu infizieren. Auf diese Weise wird die  Malware ausschließlich über Drive-by-Downloads verbreitet und die Opfer durch gefälschte  Browser-Updates zum Herunterladen verleitet. Viele Websites, auf denen die SocGholish Malware gehostet wird, wissen nicht, dass sie sie hosten, was zur Verbreitung der Malware  beiträgt. 

Cloud-Bedrohungen sind mittlerweile allgegenwärtig: 94 Prozent der Cloud-Tenants werden jeden Monat entweder durch einen zielgerichteten oder einen Brute-Force-Angriff  attackiert. Dies deutet auf eine ähnliche Häufigkeit wie bei E-Mail- und mobilen Vektoren hin.  Die Zahl der Brute-Force-Angriffe – insbesondere das Ausspähen von Passwörtern – stieg  von durchschnittlich 40 Millionen pro Monat im Jahr 2022 auf fast 200 Millionen Anfang 2023. 

Missbrauch des Vertrauens in große Marken ist eine der einfachsten Formen des Social  Engineerings: Microsoft-Produkte und -Dienstleistungen belegten vier der fünf Spitzenplätze  bei den missbrauchten Marken, wobei Amazon die am häufigsten missbrauchte Marke war.

Ein für die Cyberkriminellen erfolgreicher initialer Zugang kann unmittelbar zu  domänenweiten Angriffen wie einer Ransomware-Infektion oder Datendiebstahl führen: Nicht weniger als 40 Prozent der falsch konfigurierten oder unwissentlich existierenden  Admin-Identitäten können in einem einzigen Schritt ausgenutzt werden, z. B. durch das  Zurücksetzen eines Domain-Passworts, um Berechtigungen zu erhöhen. Und bei 13 Prozent der unwissentlich existierenden Admin-Identitäten wurde festgestellt, dass sie bereits über  Domänen-Administratorrechte verfügen, was es Angreifern ermöglicht, Anmeldedaten zu  sammeln und auf Unternehmenssysteme zuzugreifen. Etwa 10 Prozent der Endpunkte haben  ein ungeschütztes Passwort für privilegierte Konten, wobei 26 Prozent dieser ungeschützten  Konten Domänenadministratoren sind.  

Ein Jahr, nachdem die Strafverfolgungsbehörden im Januar 2021 das Emotet-Botnet  vom Netz genommen hatten, meldete sich die weltweit bekannteste cyberkriminelle  Gruppe zurück: Obwohl Emotet im Jahr 2022 mehr als 25 Millionen Nachrichten verschickte  – mehr als doppelt so viele wie der zweitgrößte Bedrohungsakteur – trat die Gruppe nur  sporadisch in Erscheinung. Ferner zeigte die Gruppe Anzeichen von Lethargie bei der  Anpassung an die Post-Macro-Bedrohungslandschaft.  

Während die Bedrohungslandschaft weitgehend von Finanzkriminalität dominiert wird,  kann bereits ein einzelner Angriff eines APT-Akteurs (Advanced Persistent Threat)  massive Auswirkungen haben: Eine große Kampagne von TA471, einer mit Russland in  Verbindung stehenden APT-Gruppe, die sowohl Unternehmens- als auch  

Regierungsspionage betreibt, katapultierte diese Gruppe an die Spitze der APT-Akteure nach  Nachrichtenvolumen. TA416, ein mit dem chinesischen Staat in Verbindung stehender APT Akteur, war einer der aktivsten. Vor allem zu Beginn des Krieges zwischen Russland und der  Ukraine gab es neue Kampagnen von TA416, die sich gegen diplomatische Einrichtungen  europäischer Staaten richteten, die mit Flüchtlings- und Migrationsaufgaben zu tun haben.  

Der neueste „Human Factor“-Report von Proofpoint kann hier heruntergeladen werden.

www.proofpoint.com/de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.