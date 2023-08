Eine Untersuchung des Security-Unternehmens Sophos zeigt, dass Angreifer immer kürzer im infiltrierten Netzwerk verweilen, bevor sie ihre Attacke starten. Bei allen Angriffen ist die Zeit von 10 auf 8 Tage gesunken, bei Ransomware-Attacken auf 5 Tage. Im Vergleichszeitraum im Jahr 2022 sank die Verweildauer von 15 auf 10 Tage. Laut den im "Active Adversary Report" analysierten Fällen waren Ransomeware-Angriffe mit 69% die häufigste Angriffsart.

Active Directory ein beliebtes Angriffsziel

Sophos X-Ops fand ausserdem heraus, dass Angreifer im Durchschnitt weniger als einen Tag – etwa 16 Stunden – benötigten, um das Active Directory (AD) zu erreichen.

Das Active Directory (AD) hat üblicherweise die Aufgabe, Identitäten zu verwalten und den Zugriff auf Ressourcen in einem Unternehmen zu steuern. Wenn Angreifer auf das AD zugreifen, hat dies zur Folge, dass sie ihre Rechte in einem System ausweiten können, was wiederum eine Vielzahl von schädlichen Aktivitäten ermöglicht.

"Ein Angriff auf das Active Directory eines Unternehmens ist aus cyberkrimineller Sicht sinnvoll. Das AD ist in der Regel das leistungsstärkste und privilegierteste System im Netzwerk und bietet einen umfassenden Zugang zu weiteren Systemen, Anwendungen, Ressourcen und Daten, die Angreifer für ihre Angriffe ausnutzen können", sagt John Shier, Field CTO bei Sophos. "Wenn ein Angreifer das Active Directory kontrolliert, kann er das gesamte Unternehmen kontrollieren."

Kürzeres Zeitfenster für Angreifer

"In gewisser Weise sind wir Opfer unseres eigenen Erfolgs. Mit der zunehmenden Verbreitung von Security-Technologien und -Diensten wie XDR und MDR lassen sich Angriffe früher erkennen. Eine kürzere Erkennungszeit führt zu einer schnelleren Reaktion, was wiederum zu einem kürzeren Zeitfenster für Angreifer führt", sagt Shier in einer Mitteilung. Gleichzeitig hätten Kriminelle ihre Schachzüge optimiert, insbesondere die erfahrenen und gut ausgestatteten Ransomware-Banden, die ihre Angriffe angesichts der verbesserten Verteidigungsmassnahmen weiter beschleunigen.

Das heisse nicht, dass man insgesamt sicherer sei. Dies zeigt sich laut Shier am Einpendeln der Verweildauer auf einem hohen Niveau bei Nicht-Ransomware. Angreifer dringen immer noch in Netzwerke ein, und wenn die Zeit nicht drängt, verweilen sie dort. Alle Security-Tools der Welt würden Unternehmen nicht retten, wenn sie nicht aufpassten und Systeminformationen nicht richtig interpretierten.

Clop für die meisten Fälle verantwortlich

Ein weiteres Security-Unternehmen, die NCC Group, beobachtete in ihrem "Global Threat Intelligence"-Bericht ein Rekordniveau an Ransomware-Attacken im Juli 2023. Insgesamt wurden 502 grössere Vorfälle verzeichnet. Den Forschern zufolge stellt dies einen Anstieg von 154% im Vergleich zum Vorjahr dar – im Juli 2022 waren es noch 198 Angriffe. Im Juni 2023 registrierte die NCC Group 434 Vorfälle mit Ransomware.