"Die Zahl der Cyberbedrohungen bleibt ungebrochen hoch", zu dieser nicht ganz neuen Erkenntnis kommt der aktuelle "Cybersecurity Threat Radar" von Swisscom. Deutlich an Fahrt aufgenommen haben jedoch KI-basierte Angriffe, schreibt das Security-Team des Telcos.

In den letzten Monaten habe sich bei den verfügbaren Tools ein regelrechter Evolutionssprung gezeigt. "Tools, wie die im November 2022 veröffentlichte Large Natural Language Model KI ChatGPT, zeigen eindrucksvoll, wie sich z.B. Phishing-Angriffe qualitativ signifikant verbessern oder zum Aufspüren von Schwachstellen in Programmcodes einsetzen lassen", so der Report.

Die Security-Spezialisten erwarten eine zunehmende Verschmelzung von zielgerichteten Angriffen mit KI-generierten Phishing-E-Mails. Durch die Fähigkeit von Sprachmodell-KIs, Programmcodes auf Schwachstellen hin zu analysieren und Malware zur Ausnutzung der gefundenen Schwachstellen zu programmieren, sinke das notwendige Know-how von Angreifern zur Durchführung komplexer Angriffe. Die rasante Evolution von bild- und videogenerierenden KIs mache auch Deep-Fake-Angriffe und -Desinformationskampagnen möglich, die mit herkömmlichen Mitteln kaum mehr zu identifizieren sind.

Es handle sich bei KI aber um ein Werkzeug, das von beiden Seiten genutzt werden kann. "Die Herausforderung besteht darin, die Verteidigung weiter so zu stärken, damit auch KI-basierte Angriffe erfolgreich abgewehrt werden können – zukünftig zunehmend auch mit der Hilfe von 'guter' KI", sagt Florian Leibenzeder, Leiter Swisscom Security Operation Center.

Als "Dauerbrenner" bezeichnet Swisscom Ransomware. "Auch wenn es keine offiziellen Statistiken über die Höhe der tatsächlich getätigten Zahlungen gibt, gehen Schätzungen von einem durchschnittlichen Ertrag von 950'000 Schweizer Franken pro erfolgreichem Angriff aus." Laut einem ebenfalls aktuellen Report der Security-Firma Sophos wurden in der Schweiz 75% (international 66%) der befragten Unternehmen bereits einmal mit Ransomware angegriffen. Die häufigsten Ausgangspunkte waren dabei eine ausgenutzte Schwachstelle sowie kompromittierte Zugangsdaten.

Swisscom schreibt: "Wir erwarten eine deutliche Zunahme an Multiple Extortion, also der Verknüpfung mehrerer Angriffsformen wie Ransomware, Datendiebstahl und Denial-of-Service, da sich diese Form der Ransomware-Angriffe bei den Cyberkriminellen bereits etabliert hat."

Viele Unternehmen und Organisationen hätten technisch aufgerüstet und sich weiterentwickelt. "Die Angreifer werden entweder schon beim Versuch der Verschlüsselung erfolgreich abgeblockt oder die Daten können auf andere Art und Weise wiederhergestellt werden." Es gelinge ihnen oft nicht mehr, Backups unbrauchbar zu machen. Cyberkriminelle würden deshalb vermehrt auf die Exfiltration von Daten setzen und die Drohung, diese zu veröffentlichen. "Anders als bei verschlüsselten Daten, die man aus dem Backup wiederherstellen kann, ist es bei den exfiltrierten Daten nahezu unmöglich, eine Veröffentlichung, ohne die Zahlung von Lösegeld, zu verhindern", bilanziert der Report.

Eine bekannte Ransomware-Bande, die offenbar ihr Erpressungsmodell entsprechend angepasst hat, ist Bianlian. Nach einem Angriff auf das Erziehungsdepartement Basel-Stadt stellte sie kürzlich 1,2 Terabyte Daten ins Darknet. "Bianlian hat früher ein klassisches Ransomware-Modell umgesetzt, bei dem Daten verschlüsselt und so Geld erpresst wurde", erklärte der Security-Experte Marc Ruef von Scip gegenüber 'Watson'. "Jüngst wurde bekannt, dass man sich nur noch auf die Exfiltration, also den Datendiebstahl, konzentrieren möchte."

Dadurch habe die Gruppierung die Komplexität ihrer Angriffe verringert. Sie könne ihre Ransomware simpler strukturieren und sei dadurch weniger fehleranfällig. "Dass eine Gruppierung das Prinzip der doppelten Erpressung aufgibt, ist sehr ungewöhnlich. Aber falls der Erfolg ihnen recht gibt, könnten andere Ransomware-Gangs diesem Beispiel folgen", sagte Ruef.