Trellix Advanced Research Center: LockBit häufigste Ransomware-Gruppe

0

Ein neuer Bericht dokumentiert einen Anstieg der von China ausgehenden Cyber-Bedrohungen, der Angriffe auf kritische Infrastrukturen und des CEO-Phishing-Betrugs.

Bedrohung für kritische Infrastrukturen: Angriffe aus China

Der neueste Bedrohungsbericht für den Cyber-Raum wurde von Trellix veröffentlicht. Als Experte für Cyber-Sicherheit und Vorreiter auf dem Gebiet innovativer XDR-Technologien hat Trellix hierfür Telemetriedaten aus dem weltweit größten Netzwerk von Endpoint-Sicherheitslösungen sowie aus seiner XDR-Produktfamilie mit Daten aus Open- und Closed-Source-Berichten kombiniert, um den Stand der Cyber-Sicherheit im vierten Quartal 2022 zu dokumentieren.

John Fokker, Chef der Abteilung für Bedrohungsanalyse am Trellix Advanced Research Center, gibt zu bedenken, dass im vierten Quartal 2022 eine völlig neue Intensität bei der Nutzung von Angriffsvektoren erreicht wurde. Die Zunahme von Grauzonenkonflikten und Hacktivismus hat zu einem starken Anstieg staatlich sanktionierter Angriffe und der Verwendung krimineller Leak-Sites geführt. In einem instabilen Wirtschaftsumfeld müssen Unternehmen ihre knappen Sicherheitsressourcen so effektiv wie möglich einsetzen.

In dem neuen Trellix-Bericht werden Bedrohungen untersucht, die auf Ransomware und staatlich unterstützte Cyber-Angreifer zurückgehen. Auch die Risiken durch E-Mails und die Nutzung legitimer Sicherheitstools werden analysiert. Hier sind die wichtigsten Erkenntnisse auf einen Blick.

Die LockBit 3.0-Gruppe ist dafür bekannt, dass sie am aggressivsten vorgeht, wenn es darum geht, Opfer von Ransomware-Attacken zur Zahlung von Lösegeld zu zwingen. Obwohl sie nicht mehr die aktivste Gruppe auf dem Markt sind, behaupten sie auf ihrer Leak-Site, die meisten Opfer geschädigt zu haben. Die Gruppe nutzt verschiedene Methoden, einschließlich bereits bekannter Schwachstellen, um ihre Opfer unter Druck zu setzen.

Staatsunterstützte Angriffe wurden im vierten Quartal 2022 hauptsächlich von chinesischen APT-Angreifern wie Mustang Panda und UNC4191 ausgeführt. Diese machten 71 Prozent aller festgestellten Angriffe aus. Nordkorea, Russland und der Iran wurden ebenfalls als wichtige Ausgangspunkte für APT-Angriffe genannt.

Kritische Infrastruktur wird vermehrt von Cyberattacken heimgesucht.Der Fokus von Cyberattacken liegt auf kritischer Infrastruktur

Cyberkriminelle haben es vor allem auf kritische Infrastrukturen abgesehen: In der jüngsten Zeit waren die verschiedenen Sektoren kritischer Infrastrukturen am häufigsten das Ziel von Angriffen. APT-Angreifer, die bestimmten Staaten zugeordnet werden können, waren für 69 Prozent der beobachteten Aktivitäten verantwortlich. Besonders betroffen waren der Transport- und Logistiksektor sowie die Energie-, Öl- und Gasindustrie. Die Trellix-Telemetriedaten zeigen auch, dass Ransomware-Gruppen den Finanz- und Gesundheitssektor bevorzugten, während gefälschte E-Mails vor allem in der Telekommunikationsindustrie, staatlichen Stellen und der Finanzbranche eingesetzt wurden.

Business E-Mail Compromise: Mehrheitliche Gefahr durch gefälschte CEO-Mails

Betrüger nutzen gefälschte E-Mails von CEOs immer häufiger als Einfallstor für Betrug im geschäftlichen E-Mail-Verkehr (BEC). Laut Trellix enthielten in 78 Prozent der BEC-Fälle gefälschte E-Mails von CEOs typische Formulierungen der Unternehmensleitung. Im Vergleich zum dritten Quartal des Vorjahres hat sich diese Zahl um 64 Prozent erhöht. Eine gängige Methode besteht darin, Mitarbeiter des Unternehmens per E-Mail aufzufordern, ihre Durchwahl-Nummer zu bestätigen, um dann Voice-Phishing- oder Vishing-Angriffe zu starten. 82 Prozent der gefälschten Nachrichten wurden über kostenlose E-Mail-Dienste versendet. Für die Angreifer hat dies den Vorteil, dass sie keine eigene Infrastruktur aufbauen müssen.

Es gibt eine Vielzahl von Quellen, die das Trellix-Sensornetzwerk nutzt

Die Februar-Ausgabe des Threat Reports basierte auf Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Centers sowie Open- und Closed-Source-Quellen. Der Bericht beschäftigte sich mit staatlich unterstützten und kriminellen Cyber-Bedrohungen und verwendete die telemetriebasierte Erkennung und Meldung von Indikatoren über die Trellix XDR-Plattform als Nachweis.

Lassen Sie eine Antwort hier