Illusive hat seine Cyber Crime-Prognosen für das Jahr 2022 aufgestellt. Dabei liegen Aufsehen erregende Verhaftungen, das „Rebranding“ von Ransomware und die Sicherheit der Identität im Fokus.
Cyberkriminelle und Ransomware-Betreiber werden die jüngsten Verhaftungen als Ansporn betrachten
Die Strafverfolgungsbehörden haben enorme Anstrengungen unternommen, um Ransomware-Betreiber aufzuspüren, festzusetzen und zu verhaften, Ransomware-Infrastrukturen zu zerschlagen und Ransomware-Zahlungen zurückzufordern. Einige dieser Bemühungen waren durchaus von Erfolg gekrönt und haben möglicherweise weitere Schäden und damit Schlimmeres verhindert. Dennoch sollte man sich darüber im Klaren sein, dass derartige Schlagzeilen auch andere motivieren und zu weiteren Angriffen anstacheln.
Erfolgreiche Angriffe ziehen naturgemäß Nachahmer an, und Verhaftungen schaffen Platz für die Nachrücker. Die Akteure sind opportunistisch. Natürlich will niemand erwischt werden oder die Zerschlagung seiner Infrastruktur riskieren. Auf der anderen Seite sind Festnahmen ein Anreiz, selbst in den Markt einzusteigen. Und nicht zuletzt vermitteln Berichte zu den Erfolgen der Strafverfolgungsbehörden auch Erkenntnisse, wie Cyberkriminelle ihre Taktiken am besten an die veränderte Gemengelage anpassen.
Wir rechnen mit einer neuen Welle von Ransomware-Betreibern, die Tier 2 und Tier 3 Kryptowährungen nutzen, um die Nachverfolgung zu vereiteln, die bei ihren Operationen vermehrt auf remote Locations setzen, um Auslieferung und Verhaftung aus dem Weg zu gehen, und die ihre eigene betriebliche Sicherheit erhöhen, um die Infrastruktur vor einer möglichen Zerschlagung zu bewahren.
Ransomware-Gruppierungen setzen sich nicht zur Ruhe, die erfinden sich neu – Stichwort Rebranding
Misstrauen sie dem Hype. REvil und BlackMatter ziehen sich nicht aufgrund des Drucks von Regierungen und Strafverfolgungsbehörden zurück. Wir haben schon erlebt, dass solche Gruppen auf einmal verschwinden. Nur, um dann einige Monate später wieder aufzutauchen, nicht selten unter einem neuen Namen. BlackMatter etwa war zuvor unter dem Namen DarkSide aktiv. Ein bisschen wie bei Soundgarden, die sich aufgelöst haben, um dann mit einigen Veränderungen unter dem Label Audioslave wieder aufzutauchen, um dann schließlich als Chris Cornell solo weiterzumachen. Die Transformation von Ransomware-Gruppen wird zu einer Quelle von neuen Angriffen werden. Es handelt sich dabei um mehr als ein schlichtes Re-Branding. Vielmehr geht es um eine regelrechte Umstrukturierung. Dabei werden neue Methoden für den initialen Angriff und die Penetration des Netzwerkwerks auftauchen – und nicht zuletzt verbesserte Strategien, sich lateral im Netzwerk fortzubewegen.
Wir dürfen getrost damit rechnen, dass sich auch die operative Vorgehensweise verändern und verbessern wird, um Verhaftungen zu entgehen und die Zerschlagung der Infrastruktur zu verhindern.
Einen ersten Beleg dazu lieferte gerade das Bundesamt für Sicherheit in der Informationstechnik, BSI. So konnte zwar die Emotet-Infrastruktur im Januar 2021 durch einen koordinierten Takedown erfolgreich zerschlagen werden. Jetzt aber wurde aus „übereinstimmenden Berichten mehrerer Quellen die Verteilung einer neuen Variante der Schadsoftware Emotet auf bereits mit TrickBot infizierte Systeme beobachtet.“ Ganz offensichtlich markiert diese Beobachtung die beginnende Rückkehr der Schadsoftware. Das BSI geht davon aus, dass es vermutlich schon in Kürze zu Emotet-Spam-Wellen kommen wird wie wir sie schon aus den Jahren 2019 und 2020 kennen. Im Visier: Die Netze von Unternehmen und Behörden, aber auch kritischen Infrastrukturen.
Zudem werden wir uns an nur lose miteinander verknüpfte Netzwerke von Einzeltätern gewöhnen müssen, die sich flexibel aussuchen, mit wem im Cybercrime-Untergrund sie zusammenarbeiten wollen – ganz so wie ein Schlagzeuger, der die geeignete Band sucht. Für 2022 bedeutet das, dass wir in Sachen Ransomware noch lange nicht das Ende der Fahnenstange erreicht haben und im Gegenteil noch weit aggressivere und komplexere Ransomware-Angriffe als bisher erwarten dürfen.
Ohne Identität kein Zero-Trust
Wenn 2021 das Jahr war, in dem Zero-Trust-Sicherheit den Mainstream der IT erreicht hat – und das war es –, dann wird man 2022 zu der Erkenntnis gelangen, dass dies nicht ohne „Identity first“ zu haben ist. Im Kern geht es bei Zero Trust um die Authentifizierung und Autorisierung von Zugriffsrichtlinien, die nach dem Prinzip der minimalen Rechtevergabe konzipiert sind, für den geringstmöglichen Zeitraum und für die geringstmögliche Zahl von Assets gewährt. Schließlich braucht ein Angreifer in der Regel nur ein paar Minuten um mithilfe eines privilegierten Kontos das gesamte Verzeichnis zu übernehmen.
Aktuelle Zahlen sprechen dazu eine deutliche Sprache. Laut dem 2021 Verizon Data Breach Investigation Report (DBIR) spielt inzwischen bei 61 % aller Datenschutzvorfälle der Diebstahl von Anmeldeinformationen eine, wenn nicht sogar die entscheidende Rolle, und die Analysten von Gartner prognostizieren, dass bis zum Jahr 2023 75 % aller Sicherheitsvorfälle auf das unsachgemäße Management von Identitäten, Zugriffsberechtigungen und Privilegien zurückgehen werden. Das würde einem Anstieg von 50 % gegenüber dem Jahr 2020 bedeuten.
In jedem Unternehmen gibt es Unmengen von Identitätsrisiken, die sich solcherart ausnutzen lassen. Die einzigen Unternehmen, die mit einem Zero-Trust-Framework erfolgreich arbeiten werden, sind diejenigen, die ihre realen Identitätsrisiken beheben. Und um das Risiko zu managen, braucht es mehr als Active Directory (AD), Privileged Access Management (PAM), Multi-Faktor-Authentifizierung (MFA) und Single Sign-On (SSO)-Lösungen.
Identitätsmanagement wandert vom CIO zum CISO
Privileged Access Management (PAM), Active Directory (AD) und Single Sign-On (SSO)-Lösungen liegen seit jeher in der Verantwortung der IT-Abteilung. Und die hat naturgemäß einen anderen Blickwinkel als ihn Sicherheitsteams haben. Die IT will sicherstellen, dass alles so schnell geht wie möglich von statten geht, versucht also Reibungsverluste zu vermeiden.
Wenn es allerdings bei AD und PAM lediglich darum geht, Dinge möglichst schnell abzuwickeln, tritt Sicherheit in den Hintergrund. Nur ist Identität längst zu wichtig geworden, um diese Risiken quasi in der Luft hängen zu lassen.
Anfällige Identitäten sind eines der wichtigsten Einfallstore für Cyberangriffe wie Ransomware und andere Bedrohungen. Die meisten Unternehmen sind sich allerdings nicht bewusst, dass bestehende Tools wie MFA/PAM/IAM/CIEM massive Lücken aufweisen, was die Transparenz bei privilegierten Identitäten und Service-Konten angeht. Firmen fehlt also ein einheitlicher Überblick über das interne Identitätsrisiko. Trotz unzähliger Identitäts-Tools, die on-premises, in SaaS/IaaS- und DevOps-Umgebungen eingesetzt werden, ist es äußerst schwierig, ein vollständiges Bild des eigenen Identitätsrisikos zu erhalten und genau zu erkennen, wie sich Angreifer bewegen, wenn es ihnen gelungen ist, in ein Netzwerk einzudringen.
Dabei machen die Angreifer sich beispielsweise auf Workstations und Servern gespeicherte Passwörter, ungenutzte Remote-Desktop-Verbindungen, nicht berechtigte lokale Administrator- und Domain-Konten mit erhöhten Berechtigungen zunutze.
In Zukunft wird es darauf ankommen, diese Transparenz, aber auch die Analyse des Vorgefundenen zu automatisieren, um verwertbare Einblicke in Identitätsrisiken und Richtlinienverstöße über alle Unternehmensidentitäten hinweg zu bekommen sowie die anfälligen Identitäten zu bereinigen, um anschließend die mit Identitäten verbundenen Risiken besser zu kontrollieren. Was bislang kaum passiert, ist, Identitätsdaten zu sammeln, zu analysieren und zu entschärfen, die über Speicher, Dateien und Konfigurationen verstreut sind und von Angreifern konsequent ausgenutzt werden.
Um Identitätslösungen schließlich zu managen, sollten Unternehmen ihnen Sicherheitsteams zuweisen, und eine Führungskraft beschäftigen, die ihrerseits das Team betreut. Unterstellt sind beide dem CISO. Für das Jahr 2022 rechnen wir damit, dass Unternehmen ihre Identitätsmanagement-Systeme zunehmend in die CISO-Organisation verlagern.
Verzichtet man auf diese Maßnahmen, wird sich die bestehende risikoträchtige Denkweise nie ändern. So lange sich Identitäten in der beschriebenen Weise ausnutzen lassen, sind wir von Zero Trust weit entfernt.
Wade Lance, Field CTO und Jochen Rummel, Regional Director DACH
https://illusive.com/