Im Berichtszeitraum stoppten die Cylance® Endpoint Lösungen von BlackBerry mehr als 1,5 Millionen Attacken. Damit sprechen wir von durchschnittlich 11,5 Angriffen pro Minute. Bei der Analyse fanden sich darunter auch rund 1,7 neuartige Malware-Samples pro Minute. Das bedeutet einen Anstieg von 13 Prozent im Vergleich zum vorherigen Berichtszeitraum. Damals lag der Durchschnitt bei rund 1,5 neuen Samples pro Minute. Diese Entwicklung ist ein Indikator dafür, dass die Angreifer durch Diversifizierung versuchen die Abwehr auszutricksen. Besonders aktiv waren im Berichtszeitraum auch die berüchtigten Bedrohungsakteure APT28 und die Lazarus-Gruppe, die gemeinhin den staatlich gesponsorten Cyberbedrohungsgruppen aus Nordkorea zugerechnet werden. Auffällig war die häufige Zweckentfremdung von Tools wie AdFind und Extreme RAT. Auch legitime Tools wie Mimikatz, ein Open-Source-Programm für Penetrationstests, und Cobalt Strike, ein kommerzielles Tool zur Simulation von Angriffen, kamen verstärkt bei den Attacken zum Einsatz.
Die folgenden Branchen waren in der letzten Zeit besonders beliebt bei Angreifern:
Behörden und öffentliche Einrichtungen: Die BlackBerry® Cybersecurity Lösungen stoppten im Berichtszeitraum mehr als 55.000 individuelle Attacken gegen Behörden und öffentliche Einrichtungen. Dies entspricht einem Anstieg von fast 40 % im Vergleich zum vorherigen Bericht. Diesmal traf es vor allem Regierungsbehörden in Nordamerika und im asiatisch-pazifischen Raum (APAC). Insbesondere Australien, Südkorea und Japan waren schwer betroffen. Im aktuellen Threat Report erfahren Sie, welche Malware- Arten besonders häufig zum Einsatz kamen und welche bei den Attacken auf Behörden eine Rolle spielten. Außerdem erhalten Sie einen Überblick über die globale Bedrohungslage für diesen Sektor.
- Gesundheitswesen: Die schiere Zahl der Angriffe auf Unternehmen aus dem Gesundheitswesen zeigt, dass sich Attacken auf vertrauliche persönliche Daten und kritische Services für Ransomware-Gruppen immer noch lohnen. Im Berichtszeitraum erkannte und stoppte BlackBerry 13.433 einzigartige Malware- Binärdateien und verhinderte über 109.922 verschiedene Angriffe in der gesamten Branche. Weltweit kam es zu aufsehenerregenden Angriffen, die unter anderem Störungen in Krankenhäusern sowie bei Herstellern und Lieferanten von Arzneimitteln in Spanien und Indien zur Folge hatten. Auch ein Angriff von Hackern aus Nordkorea auf ein südkoreanisches Krankenhaus wurde aufgedeckt.
- Finanzindustrie: Durch ihre wirtschaftliche Bedeutung und die riesigen Mengen an sensiblen Daten zieht die Finanzbranche Cyberkriminelle magisch an. Im Berichtszeitraum stoppten die Cybersecurity-Technologien und Services von BlackBerry mehr als 17.000 Attacken auf Finanzinstitutionen. Die USA verzeichneten die häufigsten Angriffe, dicht gefolgt von einigen südamerikanischen und asiatischen Ländern. Bei den Android-basierten Bedrohungen sorgten ein Trojaner, der sich als legitime Banking-App tarnte, und eine neue Variante einer bekannten Malware, die bei Hunderten Banken auf der ganzen Welt Anmeldedaten erbeutete, für Aufsehen.
- Kritische Infrastruktur: Im Berichtszeitraum stoppten die Cylance Endpoint Security Lösungen weltweit mehr als 25.000 Angriffe auf kritische Infrastrukturen. Im Visier der Angreifer waren vor allem Kunden in den USA, in Indien, Japan und Ecuador. Die Zahl der Bedrohungen war in westlichen Ländern sogar so hoch, dass das britische National Cyber Security Center (NCSC) eine Warnung veröffentlichte, die zu erhöhter Aufmerksamkeit und Wachsamkeit aufrief. Ursächlich hierfür waren verstärkte Aktivitäten von staatsnahen Bedrohungsakteuren, die mit dem russischen Einmarsch in der Ukraine sympathisieren.
Im Berichtszeitraum zeigte sich, dass die Gruppe der attackierten Branchen diesmal vielfältiger war als im letzten Bericht. Die folgende Abbildung zeigt die Verbreitung der Cyberattacken bei den drei wichtigsten Branchen und sie beweist auch die inverse Beziehung zwischen der Rangfolge der Branchen von 1 bis 3 bei den gestoppten Angriffen und den gestoppten einzigartigen Hashes:
GESTOPPTE CYBERATTACKEN NACH BRANCHEN
Es spricht vieles dafür, dass die geopolitisch motivierten Angriffe weiter eskalieren. Angesichts dieser Entwicklung intensivieren viele Regierungen die Zusammenarbeit, um bei Vorfällen die Untersuchung, Reaktion und Wiederherstellung schneller und effektiver meistern zu können. Wie genau die globale Reaktion auf staatlich und nichtstaatlich motivierte geopolitische Bedrohungen derzeit aussieht, erfahren Sie im aktuellen Report.
Außerdem beleuchtet der Report auch die häufigsten Malware-Gruppen bei den einzelnen Betriebssystemen. Auf Microsoft® Windows® zielen vor allem Dropper und Downloader wie Emotet, PrivateLoader und SmokeLoader sowie Infostealer wie RedLine, RaccoonStealer, Vidar und IcedID. Auch der Agent Tesla RAT und die Ransomware der BlackCat/ALPHV-Gruppe fallen in diese Kategorie.
Bei Android™-Geräten sorgte vor allem SpyNote für Ärger. Diese Malware kann den Standort überwachen, auf die Kamera zugreifen und SMS-Nachrichten abfangen, um die Zwei-Faktor-Authentifizierung zu umgehen.
Außerdem kann sie auch Telefongespräche aufzeichnen und wertvolle Informationen wie Anmelde- und Kreditkartendaten auslesen.
Linux® kommt vor allem in Unternehmenssystemen zum Einsatz. Angreifer nutzten im Berichtszeitraum vor allem Brute-Force-Methoden, um Passwörter für den Zugang zu Secure Shell (SSH) zu erhalten. Aber auch das Ausnutzen von Schwachstellen in öffentlich zugänglichen Services stand hoch im Kurs. Zu den häufigsten Linux-Bedrohungen gehörten in diesem Berichtszeitraum DDoS-Angriffe (Distributed Denial of Service), Cryptominer, die Systemressourcen kapern, um Kryptowährungen zu schürfen, und Ransomware.
Neben der typischen Malware für macOS, die unerwünschte Werbung anzeigen oder die Suchvorgänge im Webbrowser manipulieren kann, verwenden immer mehr Bedrohungs- akteure plattformübergreifende Programmiersprachen, um das Betriebssystem selbst zu treffen. Im Berichtszeitraum machte vor allem Atomic macOS (AMOS) von sich reden. Hierbei handelt es sich um eine neue Art von Infostealer, die auf der Programmiersprache GoLang (auch bekannt als Go) basiert. Darüber hinaus wurden auch Adware und Browser- Hijacking-Angriffe bekannt.
Zu den erfreulichen Ereignissen gehörte im Berichtszeitraum ein bedeutender Schlag gegen die russischen Fähigkeiten zur Cyberspionage. Anfang Mai gab das US-Justizministerium bekannt, dass es die von Turla genutzte Infrastruktur zerschlagen hat. Hierbei handelt es sich um einen Bedrohungsakteur, der gemeinhin mit dem russischen Geheimdienst in Verbindung gebracht wird. Doch es gab noch mehr bemerkenswerte Ereignisse:
- Die BlackBerry Researcher beobachteten Anfang März zahlreiche Attacken auf europäische Einrichtungen. Diese Kampagnen wurden von NOBELIUM (APT29) ausgeführt. Einem von Russland geförderten Bedrohungsakteur, der öffentlich dem russischen Auslandsgeheimdienst zugerechnet wird.
- Ende März meldete 3CX, ein Anbieter für Business- Kommunikationslösungen, einen Vorfall bei seiner 3CX Desktop App. Hierbei handelt es sich um ein beliebtes Produkt, das häufig in Sprach- und Videokonferenzen eingesetzt wird. Die Sicherheitslücke führte zu einer weltweiten Verbreitung der trojanisierten Version der App.
- Im April wurde eine Malvertising-Kampagne entdeckt, bei der Google Ads eingesetzt wurde. Diese sollte die Opfer zum Herunterladen gefälschter, trojanisierter Versionen der beliebten Software verleiten. Außerdem wurde auch eine groß angelegte Spear-Phishing-Kampagne beobachtet, die auf die spanische Steuerbehörde zielte.
- Anfang Mai veröffentlichte das BlackBerry Threat Research and Intelligence Team Erkenntnisse zu einer Kampagne von SideWinder. Hierbei handelt es sich um eine Gruppe, die es auf die pakistanische Regierung abgesehen hat und deren Ursprung in Indien vermutet wird.
- Ende Mai wurde ein Ransomware-Angriff auf die chilenische Armee bekannt, der auf das Konto von Rhysida, einem neuen Bedrohungsakteur, geht.