Das Team der Zscaler ThreatLabz-Experten hat aufbauend auf seinen Beobachtungen aus der globalen Security Cloud aufgestellt, was hinsichtlich der Cyberkriminalität für 2023 zu erwarten ist.
Die Erkenntnisse aus der Analyse von 300 Billionen täglicher Transaktionen der Zscaler Zero Trust Exchange Plattform und Erfahrungswerte in Malware-Reverse-Engineering, Verhaltensanalysen und Data Science wurden dazu herangezogen.
1. Zunehmende Nutzung von CaaS-Angeboten
Ransomware-as-a-Service (RaaS)-Angebote traten 2016 auf den Plan und sind seither sehr populär geworden. Diese Malware macht mittlerweile den Großteil der modernen Ransomware-Angriffe aus: 8 der 11 größten Ransomware-Familien des vergangenen Jahres nutzten RaaS-Ökosysteme. Da Bedrohungsakteure bestrebt sind ihre Gewinne zu maximieren, werden sie die angebotenen Service nutzen, die zur Skalierung ihres Geschäftsbetriebs beitragen.
2. Verlagerung auf leichtere Ziele
Aufgrund der Gewinnmaximierung werden Ransomware-Modelle ständig aktualisiert, um eine Entdeckung zu vermeiden und die Wirksamkeit zu verbessern. Zusätzlich setzen die Angreifer auf die Ausbeutung von Unternehmensprofilen mit Angriffsvektoren, die an die Öffentlichkeit gelangt sind oder im Dark Web zum Verkauf angeboten werden. Zu diesen vermeintlich leichteren Zielen zählen kleinere Unternehmen, deren Schutzmaßnahmen nicht für die Abwehr moderner Angriffsmethoden geeignet sind und sie deshalb zu leichteren Zielen werden lassen.
3. Angriffe auf die Lieferkette werden zunehmen
Bei Angriffen auf die Lieferkette kompromittieren die Angreifer das Ökosystem an Partnern und Zulieferern, um sich in das Endziel einzuschleichen. Dabei stehen die weniger gut abgesicherten Lieferanten im Visier, die dennoch strategischen Zugriff auf Unternehmensnetzwerke- und Informationen haben. Zu diesem Erfolgsmodell trägt bei, dass solche Angriffe auf die Lieferkette aufgrund der Multiplikatorfunktion ein lukratives Ziel sind, deren Schwachstellen selbst für gut abgesicherte Organisationen gefährlich werden können.
4. Mehr Malware wird über Phishing-Angriffe verbreitet
Bedrohungsakteure, die Phishing-Kits verwenden, wollen ebenfalls hohe Gewinne erzielen und investieren in der Regel viel Zeit und Mühe in die Auswahl idealer Ziele. Dazu werden beispielsweise Informationen über Zahlungsfähigkeit von Unternehmen herangezogen. Die Nutzung von CaaS-Angeboten macht es opportunistischen Bedrohungsakteuren auf jedem technischen Kenntnisstand einfach auf Phishing, Stealer oder die Verbreitung von Malware und Ransomware zu setzen. Geschäftliche E-Mails sind dabei eine ideale Methode für die Verbreitung von Malware und Cloud-Dienste tragen zur Verbreitung bei, da User solchen Plattformen mehr Vertrauen schenken und ihre Aufmerksamkeit zur Erkennung von Angriffsmustern herunterfahren.
5. Die Verweildauer eines Ransomware-Angriffs wird weiter sinken
Die Verweildauer ist die Zeitspanne zwischen der ersten Kompromittierung und der Endphase des Cyberangriffs, in der die endgültige Payload in der Umgebung des Opfers bereitgestellt wird. Diese Zeitspanne ist für Unternehmen entscheidend, um auf den ersten Angriff zu reagieren und Schlimmeres zu verhindern. Allerdings ist zu erwarten, dass Angreifer diese Verweildauer im Unternehmensnetz reduzieren und es damit den Verteidigern erschweren, einen Angriff zu stoppen.
6. Angreifer werden sich weiterhin umbenennen
Malware-Familien, Ransomware-Banden und andere cyberkriminelle Vereinigungen organisieren sich häufig neu und entscheiden sich öfter für eine Umfirmierung, um strafrechtliche Anklagen zu vermeiden sowie sicherzustellen, dass sie von Cyber-Versicherungen ausgezahlt werden. Denn einerseits werden Strafverfolgungsbehörden immer effizienter in der Verfolgung von Ransomware-Zahlungen und der Identifizierung von Bedrohungsakteuren. Gleichzeitig erklären immer mehr Cyber-Versicherungsanbieter, dass sie für dieselbe Art von Cyber-Angriff nicht mehr als einmal pro Opfer zahlen, was letztlich zur Namensänderung führt.
7. Sicherheitslücken werden weiterhin Schaden anrichten
Im vergangenen Jahr wurden einige große Sicherheitslücken entdeckt (z. B. Log4j, PrintNightmare, ProxyShell/ProxyLogon), mit denen sich Unternehmen noch jahrelang zu beschäftigen haben. Das führt dazu, dass Angreifer weiterhin nach ungepatchter und veralteter Software und Servern suchen werden, um diese Lücken auszunutzen. Gleichzeitig werden Bedrohungsakteure auf neue „Zero-Days“ setzen, um groß angelegte Angriffe zu starten, während Organisationen noch mit dem patchen beschäftigt sind.