Mehr als die Hälfte (53,6 %) der Cyberangriffe im Jahr 2021 begannen mit der Ausnutzung von mit dem Internet verbundenen Anwendungen. Darüber hinaus waren kompromittierte Konten und bösartige E-Mails als anfängliche Angriffsvektoren verantwortlich. Verschlüsselte Daten sind die häufigste Folge erfolgreicher Angriffe.
Diese Ergebnisse stammen aus dem neuesten Analysebericht von Kaspersky zur Reaktion auf Vorfälle.
Analyse der anfänglichen Angriffsvektoren
Cyberkriminelle verwenden oft leicht identifizierbare Sicherheitsprobleme, wie öffentliche Server mit bekannten Schwachstellen, schlechten Passwörtern oder kompromittierten Konten, um ihre Angriffe zu starten. Die von Angreifern genutzten Initialvektoren, um zunächst in das Netzwerk eines Unternehmens einzudringen, haben in den letzten Jahren zu einer steigenden Zahl schwerer Cybersecurity-Vorfälle geführt.
Die Analyse anonymisierter Daten aus weltweiten Incident-Response-Fällen, die vom Global Emergency Response Team (GERT) von Kaspersky verarbeitet werden, zeigt, dass Cyberkriminelle im Jahr 2021 am häufigsten auf öffentliche Anwendungen abzielen, die sowohl vom internen Netzwerk als auch vom Internet aus zugreifen. Der Anteil dieser Methode stieg von 31,5 % im Jahr 2020 auf 53,6 % im Folgejahr. Damit verbunden ist der Rückgang der Nutzung kompromittierter Konten (von 31,6 % auf 17,9 %) und schädlicher E-Mails (von 23,7 % auf 14,3 %). Diese Änderung hängt wahrscheinlich mit Schwachstellen zusammen, die letztes Jahr in Microsoft Exchange-Servern entdeckt wurden. Dies liegt daran, dass die Popularität dieses E-Mail-Dienstes sowie die öffentliche Verfügbarkeit von Exploits für diese Schwachstellen zu einer großen Anzahl ähnlicher Vorfälle geführt haben.
Bild: Erste Angriffsvektoren von 2019 bis 2021
Verschlüsselte Daten sind die häufigste Folge eines erfolgreichen Angriffs
Im Falle eines erfolgreichen Angriffs haben Unternehmen vor allem mit verschlüsselten Dateien zu kämpfen, einer der häufigsten Arten von Ransomware, die Unternehmen den Zugriff auf ihre Daten verweigert. Sie sind das dritte Jahr in Folge das Hauptproblem. Darüber hinaus ist die Zahl der Organisationen, die Verschlüsselungssoftware in ihrem Netzwerk finden, deutlich gestiegen (von 34 % im Jahr 2019 auf 51,9 % im Jahr 2021).
Darüber hinaus verbringen Angreifer fast zwei Drittel der Zeit (62,5 %) länger als einen Monat im Netzwerk, bevor sie Daten verschlüsseln. Cyberkriminelle bleiben innerhalb einer Infrastruktur unbemerkt, da Betriebssystemtools, bekannte Angriffstools und die Verwendung kommerzieller Frameworks an 40 Prozent aller Vorfälle beteiligt sind. Nach dem ersten Eindringen in das Netzwerk werden sie von diesen legitimen Tools für verschiedene Zwecke verwendet:
- PowerShell zum Sammeln von Daten
- Mimikatz, um die Berechtigungen zu erhöhen
- PsExec, um Befehle remote auszuführen
- Frames wie Cobalt Strike für alle Angriffsphasen
„Unsere Analyse zeigt, dass allein eine angemessene Patch-Management-Richtlinie die Wahrscheinlichkeit eines erfolgreichen Angriffs um 50 Prozent reduzieren könnte“, sagt Kai Schuricht, Senior Incident Response Specialist bei Kaspersky. „Dies zeigt einmal mehr die Bedeutung grundlegender Cybersicherheitsmaßnahmen, auch wenn sie keine narrensichere Verteidigung garantieren können. Da Angreifer eine Vielzahl bösartiger Methoden verwenden, ist der beste Weg, sich zu schützen, der Einsatz von Tools und Ansätzen, die die Aktionen von erkennen und blockieren können der Gegner in den verschiedenen Stadien eines Angriffs”.
Empfehlungen zur Minimierung der Auswirkungen eines Angriffs
- Sichern Sie regelmäßig alle Daten, damit im Falle eines Ransomware-Angriffs darauf zugegriffen werden kann.
- Verwenden Sie Lösungen wie das Kaspersky Anti Ransomware Tool, das alle Datenverschlüsselungsversuche blockieren kann.
- Arbeiten Sie mit einem vertrauenswürdigen Partner für Aufbewahrungsvorfälle zusammen, um Vorfälle mit schnellen Service Level Agreements (SLAs) zu verwalten.
- Schulen Sie das Incident-Response-Team kontinuierlich, um sein Fachwissen auf dem neuesten Stand zu halten.
- Implementieren Sie strenge Sicherheitsrichtlinien für Anwendungen, die personenbezogene Daten enthalten.
- Verwenden Sie Threat Intelligence, um mehr über die Angreifer zu erfahren, die auf Ihre Branche und Region abzielen, um die Entwicklung von Sicherheitsoperationen zu priorisieren.
- Kombinieren Sie eine Endpoint Detection and Response-Lösung mit einem Managed Detection and Response Service, um Angriffe schnell zu erkennen und darauf zu reagieren.
Weitere Ergebnisse des Analyseberichts von Kaspersky Incident Response sind hier verfügbar.
www.kaspersky.de