Der Wolf im Schafspelz

Cyberkriminelle setzten vermehrt auf vertrauenswürdige Anwendungen

Extended Detection and Response, XDR, Bedrohungen, Netzwerk
LinkedInRedditWhatsAppPocket

Sophos veröffentlicht seinen Active Adversary Report. Eine wichtige Erkenntnis: Angreifer nutzen für ihre Machenschaften zunehmend vertrauenswürdige Anwendungen und Tools auf Windows-Systemen („Living Off the Land“-Binärdateien / LOLbins).

Sophos hat seinen neuesten Active Adversary Report unter dem Titel „The Bite from Inside“ veröffentlicht, der einen detaillierten Blick auf die veränderten Verhaltensweisen und Techniken der Angreifer im ersten Halbjahr 2024 wirft. Die Analysedaten stammen aus fast 200 Incident-Response-Fällen, die das Sophos X-Ops IR-Team und Sophos X-Ops Managed Detection and Response Team in den ersten sechs Monaten 2024 bearbeitet haben.

Anzeige

Die wichtigste Erkenntnis der aktuellen Untersuchungen: Für ihre Aktivitäten nutzen Angreifer zunehmend vertrauenswürdige Anwendungen und Tools auf Windows-Systemen – auch als „Living Off the Land“-Binärdateien (LOLbins) bezeichnet. Dadurch wollen Cyberkriminelle einer schnellen Erkennung entgehen und sich möglichst lange auf Schleichfahrt in einer kompromittierten IT-Infrastruktur umsehen. Im Vergleich zu 2023 verzeichnete Sophos hier einen Anstieg um 51 Prozent, und sogar um 83 Prozent seit 2021.

Unter den 187 verschiedenen Microsoft LOLbins, die im ersten Halbjahr 2024 illegal zweckentfremdet wurden, war das Remote Desktop Protocol (RDP) die am häufigsten missbrauchte, vertrauenswürdige Anwendung. Von den fast 200 analysierten Incident-Response-Fällen nutzten Angreifer in 89 Prozent RDP aus. Diese Dominanz setzt einen Trend fort, der erstmals im Active Adversary-Bericht 2023 beobachtet wurde. Hier lag der Anteil des RDP-Missbrauchs bei 90 Prozent aller untersuchten IR-Fälle.

Weitere wichtige Erkenntnisse aus dem aktuellen Active Adversary Report:

Anzeige
  • Lockbit ist immer noch die Nummer 1. LockBit war trotz staatlicher Interventionen gegen die wichtigste Leak-Website sowie dessen Infrastruktur im Februar die am häufigsten anzutreffende Ransomware-Gruppe und machte etwa 21 Prozent der Infektionen im ersten Halbjahr 2024 aus.
  • Haupteinfallstor sind weiterhin kompromittierte Zugangsdaten. Damit setzt sich ein Trend fort, der erstmals im „Active Adversary Report for Tech Leaders“ festgestellt wurde. Kompromittierte Zugangsdaten sind in 39 Prozent der Fälle immer noch die Hauptursache für Angriffe. Dies ist jedoch ein Rückgang gegenüber den 56 Prozent im Jahr 2023.
  • Ältere Active-Directory-Server werden schwerpunktmäßig kompromittiert. Angreifer haben zu 87 Prozent die Serverversionen von Active Directory aus den Jahren 2019, 2016 und 2012 kompromittiert. Für alle drei dieser Versionen gibt es keinen Mainstream-Support mehr von Microsoft – sie sind also einen Schritt vor End-of-Life (EOL) bei dem ohne kostenpflichtigen Support von Microsoft kein Patch mehr möglich ist.

(ds/Sophos)


Anzeige

Weitere Artikel

Neue Angriffskette von TA397 verbreitet Spionage-RATs
Venom Spider lässt RevC2 und Venom Loader von der Kette
Wie sich Angriffsflächen verändern und was Unternehmen tun können
KRITIS-Saboteur Androxgh0st in Mozi-Bot-Netz integriert
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.