Im Berichtszeitraum haben die Cybersecurity-Lösungen von BlackBerry® insgesamt über 5,2 Millionen Cyberangriffe abgewehrt. Damit wuchs die Zahl der Angriffe von 26 auf 31 pro Minute. Dies entspricht einem Anstieg von 19 Prozent bei den Cyberangriffen pro Minute im Vergleich zum letzten Threat Report.
Auch bei den neuen Malware-Samples gab es einen Anstieg. Im Durchschnitt zielten 5.300 einzigartige Samples pro Tag auf BlackBerry Kunden. Das entspricht einem Anstieg von 27 Prozent gegenüber dem letzten Berichtszeitraum.
Kritische Infrastrukturen gehörten im Berichtszeitraum zu den bevorzugten Zielen der Cyberangreifer. Dies zeigt auch die Grafik auf der folgenden Seite. Besonders häufig traf es Organisationen aus dem Kommunikations-, Verteidigungs-, Energie- und Finanzsektor, Regierungen und Behörden sowie dem Gesundheitswesen, der Logistik und dem Versorgungssektor. Auf diese Gruppen entfielen über 62 Prozent der Cyberangriffe, das entspricht über zwei Millionen Angriffen. Und wiederum die Hälfte dieser Angriffe zielte auf Finanzdienstleister.
Die modernen Cyberbedrohungen erweisen sich als eine neue und äußerst zerstörerische Waffe. Sie sind in der Lage, Heizungs- und Wasseraufbereitungsanlagen, Verkehrsknotenpunkte, Krankenhäuser und Regierungszentren einer Region außer Kraft zu setzen oder sogar zu zerstören. Die zunehmende Digitalisierung kritischer Infrastrukturen ermöglicht es den Bedrohungsakteuren, Anlagen remote anzugreifen, indem sie Fehlkonfigurationen und andere Schwachstellen ausnutzen. Der 2024 Global Risk Report des Weltwirtschaftsforums zählt deshalb Cyberbedrohungen zu den „schwerwiegendsten globalen Risiken, die in den nächsten zwei Jahren zu erwarten sind.“
Nicht selten stecken finanzielle Motive hinter den Angriffen auf kritische Infrastrukturen. Bedrohungsakteure nutzen gern Infostealer, um fremde Systeme anzugreifen und sensible Daten wie Verteidigungspläne, Finanzkonten, Gesundheitsdaten oder Anlagenpläne abzugreifen und sie im Dark Web zu vergolden.
Folgende Cyberbedrohungen kommen besonders häufig bei Angriffen auf kritische Infrastrukturen zum Einsatz:
- PrivateLoader: Hierbei handelt es sich um eine in C++ geschriebene bösartige Downloader-Familie, die 2021 erstmals entdeckt und seitdem kontinuierlich beobachtet wurde. Sie wird verwendet, um Infostealer auf den Rechnern oder Geräten der Opfer zu installieren.
- RisePro: Dies ist ein Commodity Infostealer, der seit 2022 sein Unwesen treibt.
- SmokeLoader: Dabei handelt es sich um eine Downloader-Malware, die sich meist über Phishing-Dokumente oder-Links verbreitet und vor allem auf Energieversorger und Regierungsorganisationen abzielt.
- PikaBot: Diese modulare Malware war im vergangenen Jahr allgegenwärtig. Sie weist viele Ähnlichkeiten mit dem Trojaner QakBot auf und kann über dessen C2 verschiedene Befehle empfangen.
- Künstliche Intelligenz (KI): Sie kann zunehmend für Angriffe auf kritische Infrastrukturen eingesetzt werden, insbesondere für Angriffe auf Regierungs- und Wahlprozesse sowie für die Verbreitung von Desinformation. Jen Easterly, Direktorin der CISA, warnt:2 „Generative KI wird die Cybersicherheitsrisiken verstärken und es leichter, schneller und billiger machen, das Land mit Fake Content zu überziehen.“
Handelsunternehmen standen ebenfalls enorm unter Beschuss – vornehmlich aus finanziellen Gründen. In diese Kategorie fallen nicht nur Einzelhändler und Hersteller, sondern auch Großhändler und spezialisierte Dienstleister. Mehr als eine Million Angriffe zielten auf diesen Sektor. Dies entspricht rund 33 Prozent aller Angriffe, die von BlackBerry Cybersecurity-Lösungen abgewehrt wurden. Sehr häufig arbeiteten die Angreifer mit Ransomware und Infostealern. Auch neue Malware spielte eine wichtige Rolle. Bemerkenswert ist, dass 53 Prozent aller einzigartigen Hashes bei Angriffen auf diesen Sektor zum Einsatz kamen. Nicht ohne Grund: Einzigartige Malware wird gezielt eingesetzt, wenn die Angreifer ein sehr spezifisches Interesse an einer bestimmten Organisation oder Branche haben.
Zu den Top-Bedrohungen für Handelsunternehmen zählten diesmal SmokeLoader und PrivateLoader (siehe oben) sowie Formbook/XLoader, OriginLogger und Remcos. Bei den drei letztgenannten sah das wie folgt aus:
- Formbook: Ein altbekannter Infostealer, der in XLoader umbenannt wurde. Er sammelt Daten aus Webformularen und Browsern und protokolliert Tastenanschläge.
- Remcos: Hierbei handelt es sich um kommerzielle Remote Control- und Überwachungssoftware, die von Cyberkriminellen als Remote Access Trojaner (RAT) eingesetzt wird.
- OriginLogger: Er gehört zur Agent Tesla-Familie, die aus RATs mit Info-Stealing-Fähigkeiten besteht. Er kann Daten aus Webbrowsern abgreifen, Tastatureingaben aufzeichnen und sogar Screenshots von den Geräten der Opfer machen.
KAMPF GEGEN CYBERANGRIFFE
Die USA, Frankreich, Deutschland, Großbritannien und andere Länder haben in einer internationalen Aktion Qakbot, ein großes Malware-Botnetz, ausgeschaltet. Im Rahmen der Operation „Duck Hunt“ wurde die Qakbot-Malware von
700.000 infizierten Geräten remote entfernt. Davon allein 200.000 Rechner3 in den USA. Bei dieser Operation konnten mehr als 8,6 Millionen US-Dollar beschlagnahmt werden, die Quakbot zuvor erpresst hatte.
Ziel der BlackBerry Global Threat Intelligence Reports ist es, Sicherheitsteams umsetzbare und kontextbezogene Informationen über aktuelle Cyberbedrohungen an die Hand zu geben. Deshalb enthält der neueste Report auch mehrere Abschnitte, die sich mit der Identifizierung und Abwehr der beobachteten Bedrohungen befassen. Sie sollen die Teams bei der Bekämpfung der Cyberkriminalität unterstützen. Der Report beleuchtet nicht nur die häufigsten Bedrohungen (aufgeschlüsselt nach Betriebssystem), sondern auch die wichtigsten Bedrohungsakteure und ihre Tools.
Weitere Themen:
- Incident Response und Analysen. Das BlackBerry® Cybersecurity Services Incident Response (IR)-Team berichtet von wichtigen Beobachtungen zu den Bedrohungen, die es im Berichtszeitraum bekämpft hat. Um die Folgen von Cyberangriffen zu mindern und sicherzustellen, dass die digitale Wiederherstellung nach Best Practices erfolgt, entwickelt der IR-Service schnelle Reaktionspläne.
- Common Vulnerabilities and Exposures (CVE). VE ist ein MITRE-Programm, das über öffentlich bekannte Schwachstellen und Gefährdungen in kommerzieller Software berichtet. Im Berichtszeitraum wurden neue Schwachstellen in Produkten von Cisco®, Apache®, Citrix® und JetBrains® entdeckt.
- Gängige MITRE-Techniken. BlackBerry beleuchtet die 20 wichtigsten Techniken des 300 Techniken umfassenden MITRE ATT&CK® Frameworks, die in diesem Zeitraum für Angriffe verwendet wurden.
- Eingesetzte Gegenmaßnahmen. BlackBerry analysiert die fünf wichtigsten MITRE-Techniken im Berichtszeitraum und zeigt wirksame Gegenmaßnahmen auf.
- Daten und Beobachtungen von CylanceGUARD. CylanceGUARD® ist ein abobasierter MDR-Service mit 24 x 7 x 365-Monitoring. Der Service hilft Unternehmen dabei, raffinierte Cyberbedrohungen zu stoppen, die auf der Suche nach Lücken im Sicherheitsprogramm sind. Im Berichtszeitraum trackte das BlackBerry MDR-Team Tausende von Warnmeldungen.
BlackBerry möchte mit diesem Bericht einen Beitrag zur Verbesserung der Cybersicherheit auf der ganzen Welt leisten. Cybersecurity-Experten sollen mithilfe von aktuellen Erkenntnissen ihre praktischen Fähigkeiten zur Bedrohungsjagd und Bedrohungsabwehr ausbauen können. Für weitere Informationen lesen Sie bitte den ungekürzten BlackBerry Global Threat Intelligence Report – März 2024.