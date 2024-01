In seinem "Year in Review" fasst Cisco Talos das Cyberjahr 2023 zusammen und beleuchtet Trends, die die Bedrohungslandschaft geprägt haben. Auch im vergangenen Jahr ging die grösste Gefahr für Unternehmen von Ransomware aus. Die unrühmliche Spitzenposition in diesem Bereich nahm Lockbit ein – bereits zum zweiten Mal in Folge. Auf die Bande entfällt demnach mehr als ein Viertel aller auf Leak-Websites publizierten Opfer.

Unternehmen sind sich mittlerweile der Gefahren bewusst, die von Malware und Cyberangriffen ausgehen. Regelmässig kommen Befragungen und Studien zum Schluss, dass Cybervorfälle eines der grössten Risiken für sie ist.

Dennoch aber scheinen es die Opfer ihren Angreifern unnötig einfach zu machen: Die Sicherheitslücken, die Angreifer 2023 am häufigsten ausgenutzt haben, sind längst bekannt. Manche davon seien mehr als 10 Jahre alt, so die Autoren. Dies zeigt, dass das Patch-Management in vielen Unternehmen nicht zuverlässig funktioniert.

Microsoft-Lösungen stehen im Fokus

Am häufigsten wurden vergangenes Jahr Lücken in Anwendungen von Microsoft ausgenutzt. Darunter befinden sich Schwachstellen in Office (CVE-2017-0199), Exchange Server (CVE-2017-11882) und Netlogon ( CVE-2020-1472 ). In den Top-10 der häufigsten Einfallstore finden sich noch weitere Produkte von Microsoft, aber auch von Oracle und Apple.

Dass Microsoft-Produkte in dieser Liste dominieren, hat auch mit der weiten Verbreitung der Software zu tun. Angreifer würden sich wahrscheinlich auf weit verbreitete Schwachstellen konzentrieren, da die für solche Lücken entwickelten Exploits einen langfristigen Nutzen und eine grosse Wirkung haben können, schreibt Talos.

Besorgniserregende Trends: Zero-Day-Exploits und Code-Leaks

Wie aus dem Bericht (PDF) weiter hervorgeht, fokussieren sich Ransomware-Gruppen auf Opfer, die sich nur kurze Betriebsausfallzeiten leisten können, allen voran Gesundheitsversorger. Zusätzlich Gefahr entsteht durch Leaks von Ransomware Sourcecode. Dadurch können auch Gruppierungen mit weniger Erfahrung grössere Angriffswellen starten.

Für 2023 beobachten die Security-Spezialisten zwei Trends, die sie als besorgniserregend bezeichnen. Einerseits sehe man immer häufiger, dass Ransomware-Akteure sich die Verschlüsselung sparen und direkt zur Erpressung übergehen.

Andererseits hätten Banden vergangenes Jahr vermehrt auf Zero-Day-Exploits gesetzt. Ein solches Verhalten wird normalerweise mit Aktivitäten von APT-Gruppen in Verbindung gebracht. Firmen sollten das in ihrer Security-Architektur und in ihrem Risk Management berücksichtigen, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland.

Man habe beobachtet, so der Report, dass Clop oder assoziierte Banden regelmässig Zero-Day-Schwachstellen ausnutzen. Angesichts des erforderlichen Fachwissens, Personals und Zugangs ist es eine höchst ungewöhnliche Taktik, solche Exploits zu entwickeln, und deute darauf hin, dass die Gruppe über Raffinesse und Ressourcen verfügen, die bislang nur von APTs erreicht wurden.