Forescout: Bedrohungslandschaft wird komplexer und vielschichtiger

Angriffe auf Router und Perimeter-Geräte mit neuen benutzerdefinierten Taktiken

Im Jahr 2024 sahen wir, dass Bedrohungsakteure zunehmend Geräte am Netzwerkrand wie Router, Firewalls und VPNs ins Visier nehmen. Allein in der ersten Jahreshälfte konzentrierten sich 20 Prozent der neu ausgenutzten Schwachstellen auf diese Geräte, und ich gehe davon aus, dass dieser Trend mit zunehmend raffinierteren Methoden anhalten wird.

Vor allem fortschrittliche, hartnäckige Gruppierungen aus China haben in letzter Zeit eine große Anzahl maßgeschneiderter Malware für die Spionage von Perimeter-Geräten entwickelt – wie ZuoRAT, HiatusRAT und COATHANGER – und diese auf Tausenden von Geräten in der ganzen Welt eingesetzt, vermutlich als Teil von Pre-Positioning-Aktivitäten.

Ausgeklügelte Angriffe auf Perimeter-Geräte durch maßgeschneiderte Malware und andere Methoden können zu einem privilegierten Zugang zu Netzwerken führen, was sie zu hochwertigen Zielen für staatlich geförderte Akteure wie China macht, wobei andere Länder wie der Iran im Jahr 2025 möglicherweise nachziehen könnten.

Ältere OT-Systeme sind Goldgrube für Cyberkriminalität

Mit der zunehmenden Integration von IT-, IoT- und OT-Geräten ist strategische, maßgeschneiderte Malware – wie die für Perimeter-Geräte – zu einer Bedrohung für kritische Infrastrukturen geworden. Botnets und andere opportunistische IoT-Malware verfügen bereits über Fähigkeiten wie die Infektion über bekannte OT-Anmeldedaten. Bis 2025 prognostiziere ich eine Zunahme von Angriffen, die opportunistische Malware einsetzen und den Betrieb stören können.

Wie wir im vergangenen Jahr im Wassersektor gesehen haben, sind ältere OT-Systeme weiterhin anfällig, da viele Geräte nicht verwaltet werden und ungeschützt sind. Wenn diese Systeme angegriffen werden, können sie als Einstiegspunkt in kritische Infrastruktursysteme dienen. Wie der aktuelle Russland-Ukraine-Konflikt zeigt, sind kritische Infrastrukturen gefährdet, was deutlich macht, dass ein proaktives Schwachstellenmanagement dringend erforderlich ist.

Nationalstaaten werden „Grassroots“-Hacktivismus-Cyberattacken kapern, um einen stillen Krieg zu führen

Seit 2022 werden Hacktivismus-Taktiken zunehmend in regionalen Konflikten wie zwischen Russland und der Ukraine und im Nahen Osten eingesetzt. Bis 2025 werden immer mehr Nationen Hacktivisten-Identitäten annehmen, um ausgefeilte Cyberangriffe durchzuführen, die über Verunstaltungen und DDoS hinausgehen und massive Datenverletzungen und Störungen der Cyber-Physik umfassen. Angesichts der zunehmenden Spannungen, insbesondere des potenziellen Konflikts zwischen China und Taiwan, gehen wir davon aus, dass mehr Nationalstaaten Hacktivisten einsetzen werden, um verdeckte Cyberoperationen durchzuführen.

Ransomware-Bedrohungen halten mit weniger Innovation, aber mehr finanziellen Auswirkungen an

Bedrohungsakteure reparieren nicht, was nicht kaputt ist. Das goldene Zeitalter der Ransomware-Innovation scheint vorbei zu sein, da die Quellcodes vieler Verschlüsselungsprogramme durchgesickert sind oder weitergegeben wurden, aber die Lösegeldzahlungen steigen mit alarmierender Geschwindigkeit. Da größere Unternehmen im Fadenkreuz stehen, gehen wir davon aus, dass die Lösegeldforderungen ab 2024 den Durchschnittswert von 2,73 Millionen US-Dollar übersteigen werden, da die Cyberkriminellen es auf hochwertige Opfer abgesehen haben, um größere Summen zu erbeuten.

Bedrohungsakteure werden Lieferketten mit „unsichtbaren“ Firmware-Bedrohungen kapern

Staatliche Akteure nutzen Angriffe auf die Firmware-Lieferkette zunehmend als Waffe, indem sie während der Herstellung bösartigen Code einbetten, der eine Brücke zwischen Cyber- und physischer Kriegsführung schlägt. Die jüngste Kompromittierung von Kommunikationsgeräten durch Israel zeigt, wie sich Bedrohungen auf Firmware-Ebene auf die reale Welt auswirken können. Herkömmliche Schutzmaßnahmen und Dokumentationen, einschließlich Software Bill of Materials (SBOMs), sind lediglich reaktiv und bieten keine echte Transparenz und Erkennung dieser Risiken und hochentwickelten Implantate. Mit der zunehmenden Verbreitung des IoT steigen auch die Risiken in der Lieferkette, so dass es für Unternehmen unerlässlich ist, jeden Schritt des Produktions- und Vertriebsprozesses zu sichern.

Autonome Geschäftskompromittierung ermöglicht Cyberkriminellen, Geld zu stehlen, während Sie schlafen

Business Email Compromise (BEC) könnte sich zu Autonomous Business Compromise (ABC) weiterentwickeln, bei dem KI den Betrug mit minimaler menschlicher Interaktion automatisieren wird. Cyberkriminelle werden auf KI-gesteuerte Prozesse wie Lieferkettenmanagement und Finanzplanung abzielen, um hochriskante Betrugsversuche zu wagen, ohne jemals einen Fuß in den Posteingang der Zielperson zu setzen. So können Cyberkriminelle, ohne auf Social-Engineering-Methoden angewiesen zu sein, Angriffe durchführen, um eine Person zu einer Zahlung zu verleiten.

Fortschrittliche KI-Einsätze werden die nächste Generation von Cyberangriffen antreiben

KI wird das Spiel für Cyberkriminelle verändern. Bis 2025 werden Angreifer KI nutzen, um ihre Kampagnen zu automatisieren und zu beschleunigen, sich in Echtzeit an die Abwehr anzupassen und Angriffe effektiver und schwerer erkennbar zu machen als je zuvor. Die Integration von KI in komplexe Entscheidungsfindungssysteme wie Lieferkettenmanagement und Finanzplanung bietet auch neue Möglichkeiten für Cyberkriminelle. Angriffe mit Modellmanipulation, Datenvergiftung, Unterbrechung der Lieferkette und KI-gestützter Betrug werden voraussichtlich zu den ersten Angriffsvektoren gehören.