Kira Groß-Bölting ist Incident Response Managerin und stellvertretende Leitung des Computer Security Incident Response Teams (CSIRT) der G DATA Advanced Analytics GmbH. Sie unterstützt Unternehmen, Behörden und Organisationen dabei, nach einem Cyberangriff wieder handlungsfähig zu werden und den Vorfall bestmöglich zu bewältigen.
Ermittlungsbehörden haben in den vergangenen Monaten einigen Tätergruppen das Handwerk gelegt wie etwa bei der Operation Endgame und deren Infrastruktur abgeschaltet. Schon jetzt treten neue Cybergangs in den Markt und füllen diese Lücken. Dabei zeichnet sich ab, dass sich deren Angriffsverhalten bei Ransomware-Attacken von bisher verbreiteten Vorgehen unterscheidet. Sie setzen die Schadsoftware ein, um Daten sowie Backups zu löschen, anstatt diese nur zu verschlüsseln. Die Schäden für Unternehmen steigen dadurch erheblich – insbesondere Firmen ohne funktionierende Backups riskieren einen wirtschaftlichen Totalschaden. Dieses Verhalten deutet einerseits auf mangelndes technisches Wissen hin – die Tätergruppen kaufen im Darknet einfach Malware-as-a-Service ein. Andererseits wollen manche diese Angreifer gezielt Chaos stiften. Dies hängt sicherlich auch mit der geopolitischen Lage zusammen und den Versuchen einiger Länder, die Situation in anderen Staaten zu destabilisieren.
Auch im kommenden Jahr richten Angreifer ihr Augenmerk insbesondere auf die schlecht geschützten Unternehmen. Firmen mit niedrigen Sicherheitsstandards ohne gemanagte Security-Lösung und mit fehlendem Monitoring bringen immer noch den größten Profit, weil es leichter ist, sie anzugreifen. Unsere Erfahrungen aus aktuellen Incidents zeigen, dass immer mehr Angriffe über ungepatchte Schwachstellen beginnen. Cyberkriminelle nutzen automatisierte Tools und scannen Netzwerke nach Sicherheitslücken. Über diese gelingt ihnen dann der Erstzugang ins System, von dem aus sie sich tiefer ausbreiten. Im nächsten Schritt versuchen sie, höhere Zugriffsrechte zu erhalten. Diese Attacken können Unternehmen verhindern, indem sie ihre Systeme regelmäßig patchen und Updates umgehend einspielen. Zusätzlich sollten Verantwortliche verwundbare Systeme prüfen lassen, wenn es Hinweise auf einen Zero-Day-Exploit gibt oder gab.
Hoffnung macht, dass die Zahl von abgebrochenen Attacken steigt, wie unsere Analysen aus Incidents zeigen. Immer wieder ziehen sich Angreifergruppenaus Netzwerken zurück oder können nur Teile der Infrastruktur verschlüsseln. Ein Grund dafür: Nach dem einfachen initialen Zugang ins Netzwerk treffen sie bei Versuchen, sich auszubreiten, auf ein starkes IT-Sicherheitsniveau und stecken fest. Hinzu kommen fehlende technische Kenntnisse, um diese Hürden zeitnah zu überwinden. Hier zahlen sich schon einfache Sicherheitsmaßnahmen wie beispielsweise administrative Netzwerksegmentierung aus.
Thomas Siebert ist Director Security Solutions und verantwortet die Forschung und Entwicklung aller Security-Technologien, welche die Kundinnen und Kunden von G DATA vor Angriffen schützen. Das beinhaltet neben einer klassischen Signatur-Engine auch proaktive und verhaltensbasierte Erkennungsmethoden, Exploit-Schutz, cloudbasierte Schutztechnologien sowie alle zugehörigen Backend-Prozesse wie Sandboxen zur Aufzeichnung des Verhaltens von Schadsoftware und automatische Klassifizierungssysteme.
Im nächsten Jahr kommen KI-basierte Phishing-Methoden endgültig im Mainstream an. Der Einsatz Künstlicher Intelligenz (KI) macht es potenziellen Opfer zunehmend schwerer, echte von gefälschten Nachrichten zu unterscheiden. Das Erstellen von Fake-Videos und -Bildern geht immer schneller und die Qualität ist so hoch, dass beispielsweise Betrugsversuche mit gefälschten Identitätsverifikationen bei Banken oder Finanzdienstleister steigen werden. Aber auch Telefonanrufe mit gefälschten Stimmen nehmen zu. Bis hin zu Videokonferenzen, bei denen falsche Gesprächspartner ihre Opfer überzeugen, Millionenbeträge zu überweisen.
Mit der NIS-2-Direktive und dem Cyber Resilience Act hat die Europäische Union Vorgaben erstellt, um das IT-Sicherheitslevel in Unternehmen zu steigern sowie den Umgang mit IT-Notfällen und Bedrohungen in den Ländern der EU zu vereinheitlichen. Dafür sind zum Teil sehr aufwendige Projekte erforderlich, um die notwendigen Prozesse und Maßnahmen zu etablieren. Gerade in mittelständischen Firmen wird durch diese Extra-Aufgaben die dünne Personaldecke zusätzlich belastet. Die Folge: Für anspruchsvolle Security-Aufgaben, wie zeitnahes Patchen oder Auswertung von Logfiles, fehlt die Zeit. Daher ist davon auszugehen, dass sich kurzfristig die Sicherheitslage verschlechtern wird, bevor Unternehmen nach der Umsetzung der notwendigen Maßnahmen das vorgesehene Level erreichen. Langfrisitig wird das Sicherheitsniveau durch die Vorgaben aber steigen.
Angesichts geopolitischer Spannungen wird auch das Niveau staatlich tolerierter oder staatlich finanzierter Angriffe steigen. Diese Attacken zielen darauf ab, Desinformationen zu streuen oder chaotische Zustände zu erzeugen, um die Lage zu destabilisieren. Gerade im Vorfeld der Bundestagswahl ist auch in Deutschland von einer spürbaren Zunahme von Desinformationskampagnen auszugehen, die ihre Wurzeln im Ausland haben.
Karsten Hahn ist Principal Malware Researcher und ist seit 2015 bei G DATA CyberDefense im Bereich Forschung und Entwicklung tätig. Karsten spürt bei G DATA neuartige Malware auf und arbeitet an der Verbesserung der Erkennungstechnologien.
Die Programmiersprache Rust gewinnt an Bedeutung und wird auch in der IT-Sicherheitsbranche immer populärer, da sie Sicherheitsfeatures bietet, die Fehler in der Entwicklung minimieren. Diese findet mittlerweile in vielen Betriebssystemen zunehmend Anwendung, da sich damit etwa Sicherheitslücken vermeiden lassen. Die Schattenseite: Auch Malware-Entwickler verwenden Rust, da sie tief ins System eingreifen kann. Daher müssen Entwickler in der Sicherheitsindustrie Reverse-Engineering-Tools anpassen, um diese neuen Bedrohungen besser analysieren zu können.
Metamorphismus erlebt ein Comeback: Das beschreibt eine Technik in der Malware-Entwicklung, bei der sich der Code bei jeder Ausführung oder beim Erstellen neuer Malware-Kopien selbst modifiziert, um einer Erkennung durch Sicherheitslösungen zu entgehen. Im Gegensatz dazu steht Polymorphismus, welcher nur die Veränderung der Verschlüsselung bezeichnet. Dabei bleibt der Kern der Malware gleich und ist zur Laufzeit im Arbeitsspeicher sichtbar, bei Metaphormismus ändert sich dagegen der Kern selbst. Während Polymorphismus bei Malware heutzutage üblich ist, waren Neuentwicklungen von metamorpher Malware wegen des erheblichen Aufwands in den letzten Jahren kaum existent. Malware, die KI-basierte Textgeneratoren einsetzt, kann sich mittlerweile jedoch einfach selbst neu schreiben und kompilieren. Eine aufwendige Entwicklung von metamorphen Engines fällt dank der KI weg. . Dies erschwert die Erkennung durch signaturbasierte Ansätze, da der Code ständig variiert und sich nicht mit Pattern erkennen lässt. Sicherheitssysteme, die Verhaltensmuster analysieren, sind jedoch weiterhin in der Lage, solche Malware zu erkennen.
Ransomware-Gruppen werden künftig ihre Angriffe mehr auf Unternehmen fokussieren als auf staatliche Institutionen oder Kommunen. Der Grund dafür: Angriffe auf Firmen sind lukrativer und die Bereitschaft von Firmen, Lösegeld zu zahlen ist deutlich höher – insbesondere dann, wenn die Täter die Backups verschlüsselt oder zerstört haben. Da ist das Zahlen einer Lösegeldsumme die Ultima Ratio, um den wirtschaftlichen Bankrott abzuwenden. Demgegenüber verweigern viele staatliche Organisationen eine Geldzahlung und nehmen auch den langwierigen Weg bis zur vollständigen Wiederherstellung in Kauf.
Weitere Einschätzungen folgen...
