Global Threat Report 2019

Die schnellste „Breakout-Time“ beträgt 18 Minuten

Die Analysen, im Global Threat Report 2019 verdeutlichen in Verbindung mit detaillierten Fallstudien das Zusammenspiel aus Threat Intelligence, Threat Hunting und schnellen, proaktiven Gegenmaßnahmen. Sie liefern ein fundiertes Verständnis über die Hintergründe, Ziele und Aktivitäten von Bedrohungsakteuren. 

Gleichzeitig zeigen sie auf, wie sich die Informationen nutzen lassen, um Daten in Zukunft besser zu schützen.

Anzeige

Die Analysten von CrowdStrike Intelligence präsentieren zusammen mit den Threat Huntern von Falcon OverWatch und den Incident-Response-Teams von CrowdStrike Services ausgewählte Analysen und zeigen darin die bedeutendsten Cyberthreat-Ereignisse und Trends aus 2018 auf. 

Hierbei scheint sich das Jahr 2018 in mehrfacher Hinsicht deutlich vom Vorjahr zu unterscheiden. Ohne die markanten Ereignisse aus dem Jahr 2017, wie WannaCry und NotPetya, wurden die Schlagzeilen des Jahres 2018 durch eine Reihe von Anklagen des US-Justizministeriums gegen Personen bestimmt, die mit staatlich unterstützten Angreifern in Verbindung gebracht werden. Möglicherweise beeinflusst von diesen öffentlichen Enthüllungen scheinen die laufenden Tool-Entwicklungstätigkeiten sowie Änderungen in Taktik, Techniken und Verfahren (TTPs) darauf hinzudeuten, dass 2018 für viele Angreifer ein Übergangsjahr war. Eines ist klar: Die Bemühungen der Strafverfolgungsbehörden haben die staatlich unterstützten Aktivitäten bisher weder gestoppt noch abgewehrt.

Gezielte Eindringversuche: Keine Ruhepause für nationalstaatliche Akteure

Nationalstaatliche Angreifer waren 2018 ununterbrochen aktiv und sammelten Informationen über Dissidenten, regionale Gegner und ausländische Mächte für ihre jeweiligen Entscheidungsträger:

Anzeige
  • Nordkorea (Demokratische Volksrepublik Korea oder DVRK) blieb trotz der Beteiligung an diplomatischen Vermittlungen sowohl in der Ausspähung als auch in der Devisenerwirtschaftung aktiv.
  • Der Iran konzentrierte sich weiter auf Operationen gegen andere Länder des Nahen Ostens und Nordafrikas (MENA), insbesondere gegen regionale Feinde im Golf-Kooperationsrat (GKC). Darüber hinaus wird vermutet, dass iranische Angreifer neue mobile Malware-Funktionen entwickeln, um Dissidenten und ethnische Minderheiten zu treffen.
  • Russische Angreifer waren weltweit in einer Vielzahl von geheimdienstlichen Aktionen und Informationsoperationen aktiv.
  • Weitere nationalstaatliche Angreifer, die von CrowdStrike beobachtet, aber in diesem Bericht nicht besonders erwähnt werden, blieben auch 2018 aktiv.
  • Angreifer, die Pakistan und Indien zugeordnet werden, behielten ihr Interesse an regionalen Angelegenheiten bei und sorgten im Sommer 2018 für einen Anstieg der Aktivitäten auf dem indischen Subkontinent.
  • Der in Vietnam ansässige Angreifer OCEAN BUFFALO schien sich auf inländische Operationen zu konzentrieren – möglicherweise auf interne Strafverfolgungsmaßnahmen; CrowdStrike konnte zudem Angriffe gegen Kambodscha sowie Aktivitäten gegen die Fertigungsindustrie und das Gastgewerbe identifizieren.
  • Jüngste technische Analysen sowie die gemeldete Zero-Day-Nutzung von CVE-2018-8174 legen nahe, dass der in Südkorea ansässige Angreifer SHADOW CRANE sein Toolkit aktiv weiterentwickelt. Die Kampagnen von SHADOW CRANE scheinen in erster Linie auf Opfer in China, Japan, Südkorea, Russland, Indien und der DVRK abzuzielen – insbesondere auf Personen in den Bereichen Regierung, Think Tanks, Medien, Wissenschaft und Nichtregierungsorganisationen (NGO).

Den vollständigen Bericht herunterladen

Threat Report

 

Der vollständige CrowdStrike Global Threat Report 2019 beinhaltet eine umfassende Analyse, die die wichtigsten Ereignisse und Trends der Cyberthreat-Aktivitäten des vergangenen Jahres aufzeigt.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

 

Download

 

 

 

 

 


eCrime-Wirtschaft im Wandel

Die von CrowdStrike Intelligence beobachteten eCrime-Gegner führten eine Vielzahl von kriminellen Operationen durch, darunter Crimeware-Vertrieb, Banking-Trojaner, Ransomware, POS-Angriffe und Speer-Phishing-Kampagnen.

  • Der markanteste eCrime-Trend im Jahr 2018 war der anhaltende Aufstieg des „Big Game Hunting“, also gezielte, einbruchartige Taktiken, Techniken und Verfahren unter Einsatz von Ransomware in großen Unternehmen zur Maximierung der finanziellen Ausbeute. BOSS SPIDER (Samas, SamSam), INDRIK SPIDER (Dridex) und GRIM SPIDER (Ryuk) erzielten mit diesen Kampagnen enorme Gewinne.
  • Weitere Hinweise auf eine sich verändernde eCrime-Wirtschaft lieferten der erfolgreiche Spezialist für Ransomware-as-a-Service (RaaS) PINCHY SPIDER (GandCrab) und die Konsolidierung von MUMMY SPIDER (Emotet) als professionelle Malware-Distributionsunternehmen.
  • Unterdessen blieben die eCrime-Angreifer COBALT SPIDER (Cobalt Group) und CARBON SPIDER (Carbanak) weiter aktiv trotz Verhaftungen einschlägiger Personen, die mit deren Aktivitäten in Verbindung stehen 

Telemetriedaten: Nachverfolgung der „Breakout Time“ und anderer wichtiger Indikatoren

Der letztjährige Global Threat Report verwies auf eine wichtige neue Metrik, die von CrowdStrike verfolgt wird: die „Breakout Time“, also die Zeit, die vergeht, bis ein Angreifer nach dem Eindringen in ein System benötigt, um von dort in weitere Maschinen seines Opfers einzudringen. Die Breakout Time ist wichtig, da sie den Zeitraum benennt, den Verteidiger haben, um auf einen Einbruch zu reagieren, ihn einzudämmen und zu beenden, bevor sich der Angreifer in der kompromittierten Umgebung weiter ausbreitet und weitere Verstöße durchführt.

Im aktuellen Jahr wird das CrowdStrike-Team die Breakout Time noch eingehender untersuchen. Geschwindigkeit ist in der Cybersicherheit essentiell. Das gilt sowohl für den Angriff als auch für die Verteidigung.

Die gesamte durchschnittliche Breakout Time, die CrowdStrike 2018 über alle Einbrüche und Bedrohungsakteure hinweg beobachtete, betrug 4 Stunden 37 Minuten. Diese Statistik erzählt allerdings nicht die ganze Geschichte: Denn CrowdStrike beobachtete bemerkenswerte Unterschiede zwischen den einzelnen Angreifergruppen, und zwar von durchschnittlich 9 Stunden 42 Minuten für eCrime-Angreifer bis hin zu erstaunlichen 18 Minuten für russische Bedrohungsakteure.

Die Breakout Time ist sicherlich nicht die einzige Metrik, nach der man die Geschicklichkeit von Bedrohungsakteuren beurteilen kann, aber sie ist eine interessante Möglichkeit, deren operative Fähigkeiten zu bewerten. Die Breakout Time ist auch für Verteidiger nützlich, die die durchschnittliche Zeit bis zur Erkennung, die Zeit bis zur Untersuchung und die Zeit bis zur Behebung messen möchten (auch als „1-10-60-Regel“ bekannt). (Diese wichtigen Verteidigungsindikatoren werden im Abschnitt „Global Threat Predictions and Recommendations“ des Berichts ausführlicher erläutert). Unternehmen können ihre Sollreaktionszeiten an ihre individuellen Anforderungen anpassen, auch basierend darauf, mit welchen Angreifertypen sie aufgrund ihrer Branche und regionalen Ausrichtung ihrer Geschäftstätigkeit am ehesten konfrontiert werden.

 

Den vollständigen Bericht herunterladen

Threat Report

Der vollständige CrowdStrike Global Threat Report 2019 beinhaltet eine umfassende Analyse, die die wichtigsten Ereignisse und Trends der Cyberthreat-Aktivitäten des vergangenen Jahres aufzeigt. Laden Sie sich den vollständigen Bericht hier herunter:

Download

 

 

 

 

Weitere Informationen finden Sie unter www.crowdstrike.de

Testen Sie CrowdStrike Prevent 15 Tage lang kostenlos: https://go.crowdstrike.com/testen-sie-falcon-prevent-de.html

 

 

 
 
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.