Cybercrime-as-a-Service senkt Einstiegshürden für Cyberkriminelle

Cyberangriffe

Anbieter wie Lockbit und Black Basta stellen Angreifern alles Nötige von vorgefertigter Malware bis hin zu Vorlagen für Phishing-E-Mails bereit.

Laut einer aktuellen Studie von Darktrace gehörten zwischen Januar und Juni 2024 Malware für IT-Diebstahl, Trojaner, Remote-Access-Trojaner Botnets sowie Loader zu den häufigsten Bedrohungen. Eine neue Bedrohung ist unter anderem die Ransomware Qilin. Mit Hilfe raffinierter Techniken, etwa dem Neustart infizierter Rechner im abgesicherten Modus, umgeht sie Security-Tools und erschwert eine schnelle Reaktion von Sicherheitsteams. Gemäß dem Threat Research Team von Darktrace gibt es drei vorherrschende Ransomware-Stämme: Akira, Lockbit und Black Basta. Bei allen drei wurden doppelte Erpressungsmethoden beobachtet, die inzwischen weit verbreitet sind.

Immer mehr Phishing-Mails umgehen Erkennung

Phishing bleibt ebenfalls eine erhebliche Gefahr für Unternehmen. Darktrace entdeckte zwischen dem 21. Dezember 2023 und dem 5. Juli 2024 bei Kunden 17,8 Millionen Phishing-Mails. Davon konnten 62 Prozent die Verifizierungsprüfung DMARC (Domain-based Message Authentication, Reporting, and Conformance) erfolgreich umgehen. Sie soll eigentlich E-Mail-Domains vor unbefugter Nutzung schützen, doch 56 Prozent der Phishing-Mails passierten alle bestehenden Sicherheitsschichten.

Insgesamt nutzen Cyberkriminelle immer ausgefeiltere Taktiken, Techniken und Prozesse, um herkömmliche Sicherheitsmaßnahmen auszutricksen. Unter anderem nehmen Attacken zu, die sich über legitime Dienste und Websites von Drittanbietern, wie Dropbox und Slack, in den normalen Netzwerkverkehr einschleichen. Darüber hinaus werden vermehrt verdeckte Command-and-Control-Mechanismen (C2) eingesetzt, darunter Tools für Fernüberwachung und -verwaltung, Tunneling und Proxy-Dienste.

Kompromittierung von Edge-Infrastrukturen

Laut der Studie nimmt die massenhafte Ausnutzung von Schwachstellen in Edge-Infrastruktur-Geräten zu. Dies gilt insbesondere in Bezug auf Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server und Palo Alto Networks PAN-OS. Deren Kompromittierungen dienen oft als Sprungbrett für weitere bösartige Aktivitäten.

Unternehmen dürfen neben neuen Angriffstrends auch die bestehenden Techniken und Schwachstellen nicht aus den Augen verlieren. Denn Cyberkriminelle können auf frühere, nur noch selten genutzte Methoden zurückgreifen, um in Infrastrukturen einzudringen. Zwischen Januar und Juni nutzten Angreifer in 40 Prozent der untersuchten Fälle bekannte Sicherheitslücken aus.