Aktuelle Cyberbedrohungen für die deutsche Wirtschaft

Deutschland ist das am stärksten von Ransomware betroffene Land in Europa und das vierte nach der Anzahl an kompromittierten Netzwerken. Lockbit und Conti sind die aktivsten Ransomware-Akteure in diesem Land. Info-Stealer erbeuteten die Zugangsdaten von knapp 700.000 deutschen Nutzerkonten. Diese und andere Cyber-Bedrohungen werden im neuen Group-IB-Bericht Hi-Tech Crime Trends 2022/2023 behandelt.

Hacker in mask with laptop on dark backgroundHacker in mask with laptop on dark backgroundAfrica Studio – stock.adobe.com

Group-IB, ein auf die Untersuchung und Vorbeugung von Cyberkriminalität spezialisiertes globales Cybersicherheitsunternehmen, hat seinen neuen Jahresbericht über die wichtigsten globalen Cyberbedrohungen und seine Prognosen für die verschiedenen Wirtschaftszweige weltweit veröffentlicht.

Ransomware

Ransomware ist nach wie vor die weltweit größte Cyberbedrohung für Organisationen und Unternehmen. Innerhalb eines Jahres, vom 2. Halbjahr 2021 bis zum 1. Halbjahr 2022, wurden 852 europäische Unternehmen Opfer der Offenlegung vertraulicher Daten auf speziellen Leaksites (DLS 1 ) als Folge erfolgreicher Angriffe von Ransomware-Banden.

Mit der Veröffentlichung der Daten von 147 deutschen Unternehmen auf DLS (65 Prozent mehr als die im vorangegangenen Zeitraum verzeichneten 89) war Deutschland das am stärksten betroffene Land in Europa und auf Platz 2 weltweit.

Die 147 deutschen Unternehmen, deren vertrauliche Informationen auf DLS-Plattformen hochgeladen wurden, gehören in erster Linie dem verarbeitenden Gewerbe (33), der Immobilienbranche (20), der Logistik (18) und dem Finanzdienstleistungssektor (9) an. Es folgen Energieversorger (5), Regierung und Militär (5), Gesundheitswesen (5), Wissenschaft und Engineering (5) sowie IT (5).

Im beobachteten Zeitraum waren die für die meisten Angriffe auf Deutschland mit anschließender Offenlegung verantwortlichen Ransomware-Gruppen Lockbit (leakte Daten von 47 Unternehmen), Conti (42), BlackCat (6), Black Basta (11), Hive (5), Industrial Spa (5) und Vice Society (5).

„Initial Access Brokers“ (IABs)

Die Broker von Zugängen zu kompromittierten Netzwerken (IABs) sind eine der tragenden Säulen des phänomenalen Wachstums von Ransomware weltweit. In den letzten Jahren haben Ransomware-Betreiber zunehmend solche Zugänge im Dark Web erworben. Dadurch können sie nämlich die Anfangsphase eines Angriffs überspringen und schneller geeignete neue Opfer finden.

Zwischen der 2. Hälfte 2021 und der 1. Hälfte 2022 haben die Threat-Intelligence-Spezialisten von Group-IB einige Anzeigen in Untergrundforen analysiert und einen ansehnlichen Anstieg der Verkäufe von Zugängen zu kompromittierten Unternehmensnetzwerken festgestellt. Insgesamt wurden 2.348 Instanzen verzeichnet – das sind doppelt so viele wie im vorangegangenen Zeitraum (1.099 Zugangsangebote).

Im Einklang mit dem weltweiten Trend stieg der Gesamtpreis der in Untergrundforen angebotenen Zugänge zu europäischen Unternehmensnetzen „nur“ um 92 Prozent auf 1.130.498 US-Dollar, obwohl die Zahl der vermarkteten Zugänge weitaus stärker zunahm. In Europa hat sich diese Zahl zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 von 260 im vorangegangenen Zeitraum auf 620 mehr als verdoppelt, was auch die steigende Menge an Ransomware-Vorfällen in dieser Region erklärt.

Mit Zugangsangeboten zu 66 lokalen Unternehmen, die zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 in Dark-Web-Foren entdeckt wurden (+ 175 % gegenüber den 24 im vorangegangenen Zeitraum), ist Deutschland europaweit an fünfter Stelle.

Zu den Opfern von IABs in Deutschland gehörten unter anderem Organisationen aus Industrie, E-Commerce, Transport, Bildung, Energie, Immobilien, Software, IT und öffentlicher Hand.

Bedrohungsakteure nutzen häufig kompromittierte VPN- und RDP-Kontodaten, um in das Netzwerk des Zielunternehmens einzudringen. Group-IB-Forscher gehen davon aus, dass VPN, RDP 2 und Citrix weiterhin die wesentlichen zum Verkauf angebotenen Zugangsarten sein werden.

Information-Stealer

Eine der bemerkenswertesten Veränderungen in der globalen Bedrohungslandschaft ist die zunehmende Popularität von Informationsdiebstahlprogrammen („Information-Stealer“) – Malware, die persönliche Daten aus den Browser-Metadaten des Benutzers sammelt. Diese Stealer können Anmeldedaten, Bankkarten, Cookies, Browser-Fingerabdrücke und so weiter erlangen. Bei einem kürzlich erfolgten Angriff auf Uber wurden die Anmeldedaten der Mitarbeiter gerade mithilfe von Info-Stealern entwendet.

Group-IB fand heraus, dass zwischen dem 1. Juli 2021 und dem 30. Juni 2022 über 96 Millionen Stealer-Logs zum Verkauf angeboten wurden, wobei die meisten der kompromittierten Daten von US-Nutzern (80 Prozent) stammten, gefolgt von Großbritannien (5,4 Prozent), Indien (4,6 Prozent), Indonesien (2,4 Prozent) und Brasilien (2 Prozent).

Bei der Analyse der im Untergrund angebotenen Stealer-Logs entdeckte das Threat-Intelligence-Team von Group-IB zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 690.086 kompromittierte Konten von Nutzern in Deutschland, welche teilweise sogar in die Fänge von mehreren Stealern gerieten. „RedLine Stealer“ (658.033 gestohlene Konten) war hierfür das populärste Werkzeug, gefolgt von AZORult (96.096) und Zloader (28.686).

„Unser Bericht ‚Hi-Tech Crime Trends‘ bestätigt erneut, dass ‚Initial Access Broker‘ (IABs) eine ernst zu nehmende organisierte Untergrundkraft sind, die eine wichtige Rolle bei der Verschärfung der Cyberkriminalität spielt. IABs sind in Europa stark auf dem Vormarsch, und Deutschland ist da keine Ausnahme", so Camill Cebulla, Vertriebsleiter Europa bei Group-IB.

Zusammen mit Informationsdiebstahlprogrammen seien sie eine kritische Bedrohung, auf die man 2023 achten sollte, so Cebulla weiter. Ebenfalls im Laufe dieses Jahres sei der Aufstieg von spezialisierten Untergrundplattformen zu erwarten, die ausschließlich Stealer-Logs von Großunternehmen verkaufen.

Demnach werden die Zuverlässigkeit und die Wirksamkeit der Schutzmaßnahmen vor Cyberangriffen in diesem Jahr ohne eine noch gezieltere Sammlung und Überwachung von Netzwerkzugangsangeboten und kompromittierten Anmeldedaten von Mitarbeitenden nicht zu gewährleisten sein.

Die seit 2012 jährlich von Group-IB veröffentlichten Berichte kombinieren die bei vom Spezialisten durchgeführten Untersuchungen gesammelten Daten mit den Ergebnissen seiner weltweiten Aktivitäten zur Reaktion auf Cybervorfälle. Der Hi-Tech Crime Trend Report von Group-IB ermöglicht es technischen Fachleuten, einschließlich СISOs, SOC- und DFIR-Teams, Malware-Forschern und -Analysten sowie Threat-Hunting-Experten, die Relevanz von Cybersicherheitsrichtlinien zu analysieren, die Sicherheitseinstellungen ihrer Systeme anzupassen und ihre Fähigkeit zur Abwehr der für ihre Branche relevantesten Cyberbedrohungen zu verbessern.

Mithilfe einzigartiger Tools zur Umkreisung der Infrastruktur von Cyber-Kriminellen und der gründlichen Untersuchung der Forschungsergebnisse verschiedener Cyber-Sicherheitsteams weltweit identifizieren und bestätigen die Experten von Group-IB jährlich gemeinsame Muster, die ein umfassendes Bild der Entwicklung von Cyber-Bedrohungen auf der ganzen Welt ergeben. Dies bildet die Grundlage für die in dem Bericht enthaltenen Prognosen, die Unternehmen dabei helfen, wirksame Cybersicherheitsstrategien anhand relevanter Bedrohungen zu entwickeln.

Anmerkung

1 Ein DLS ist eine von bestimmten Ransomware-Gruppen aufgebaute Onlineplattform, auf die vertrauliche Daten und Dateien, die aus dem Netzwerk des Opfers entwendet wurden, hochgeladen werden – falls das Opfer nicht in der Lage oder gewillt ist, das geforderte Lösegeld zu zahlen.

Cyberkriminelle nutzen DLS als Werkzeug für die sogenannte doppelte Erpressung, bei der der Angreifer nicht nur das gesamte Netzwerk verschlüsselt, sondern sich auch präventiv sensible Daten aneignet und damit droht, sie online zu veröffentlichen. Der Einsatz von DLS ist einer der Hauptfaktoren des Aufstiegs von Ransomware-Gruppen. Diese Plattformen werden in der Regel im Dark Web gehostet, einige Hacker-Gruppen stellen sie jedoch ins öffentliche Internet. Somit hoffen sie, die Opfer – denen es bewusst ist, dass ihre vertraulichen Dokumente dann öffentlich zugänglich sind – zur Zahlung des Lösegelds zu bewegen.

Die tatsächliche Zahl der Ransomware-Opfer ist eindeutig viel höher als die Zahl der Unternehmen, deren Daten online veröffentlicht wurden. Dem Group-IB Hi-Tech Crime Trends Report zufolge bleiben jedoch viele Angriffe unbemerkt, da sich die meisten Unternehmen nach wie vor für die Zahlung des Lösegelds entscheiden. Die von Group-IB durchgeführte Analyse des von Hive geförderten Ransomware-Partnerprogramms ergab beispielsweise, dass der der Öffentlichkeit zugängliche Teil der Hive-DLS-Plattform die Daten von nur etwa 10 Prozent der Opfer enthielt.

2 RDP („Remote Desktop Protocol“) ist ein Protokoll für die Fernnutzung eines Computers. Die meisten Bedrohungsakteure kaufen RDP-Zugänge, um die Spuren ihrer Aktivitäten vor den Sicherheitssystemen zu verschleiern. Gleichzeitig kann der Missbrauch von RDP auch der erste Schritt eines groß angelegten Angriffs auf ein Unternehmen sein, wenn der Computer, auf den zugegriffen wurde, mit einem oder mehreren Firmennetzwerken verbunden ist.

LESEN SIE AUCH

Over the Shoulder Shot of Engineer Working with CAD Software on Desktop Computer, Screen Shows Technical Drafts and Drawings. In the Background Engineering Facility Specialising on Industrial DesignOver the Shoulder Shot of Engineer Working with CAD Software on Desktop Computer, Screen Shows Technical Drafts and Drawings. In the Background Engineering Facility Specialising on Industrial DesignOver the Shoulder Shot of Engineer Working with CAD Software on Desktop Computer, Screen Shows Technical Drafts and Drawings. In the Background Engineering Facility Specialising on Industrial Design
Cyber

Cybersicherheit hat höchste Priorität für Automobilhersteller

Eine globale Umfrage enthüllt die Verschiebungen bei den Prioritäten: Cybersicherheit hat nach den Systemausfallkosten durch Cyberangriffe in Höhe von 1,99 Mrd. US-Dollar im ersten Halbjahr 2023 bei den Unternehmen höchste Priorität.

Croupier holds poker cards in his hands at a table in a casino.Croupier holds poker cards in his hands at a table in a casino.Croupier holds poker cards in his hands at a table in a casino.
Wirtschaft

Wirtschaftsmotor 'Glücksspiel': Welche Chancen gibt es für Fachkräfte?

Jobbörsen und Foren zeigen deutlich, dass in der Glücksspielbranche mitunter die modernsten und sichersten Arbeitgeber zu finden sind. Wie Arbeitnehmer hier vom langjährigen Erfolg des Sektors und den damit verbundenen Karrierechancen profitieren können.

Haende-Tablet-140592290-AS-ipopbaHaende-Tablet-140592290-AS-ipopbaipopba – stock.adobe.comHaende-Tablet-140592290-AS-ipopbaipopba – stock.adobe.com
Digitalisierung

Öffentliches WLAN: Die offene Tür für den Hacker

Offene und kostenlose WLANs am Bahnhof, Flughafen oder im Café kommen selten ohne einen Haken: Schon jeder vierte Reisende, der ein öffentliches WLAN nutze, wurde gehackt. Tipps für den Ernstfall und wie man seine Daten schützen kann.

Ransomware attack concept. Ransomware text on a laptop screenRansomware attack concept. Ransomware text on a laptop screenRawf8 – stock.adobe.comRansomware attack concept. Ransomware text on a laptop screenRawf8 – stock.adobe.com
Digitalisierung

Ransomware-Angriffe in der Cloud

Ransomware bleibt eine der größten Cyber-Bedrohungen für Unternehmen. In einer Zeit, in der immer mehr Daten in die Cloud wandern, zielen auch die Angreifer vermehrt auf dieses Ökosystem ab. Alte Sicherheitskonzepte greifen allerdings angesichts der neuen Infrastrukturen oft zu kurz.
Ransomware Business Computer Malware Privacy BreachRansomware Business Computer Malware Privacy BreachAndrey Popov – stock.adobe.comRansomware Business Computer Malware Privacy BreachAndrey Popov – stock.adobe.com
Finanzen

Finanzdienstleister im Fokus krimineller Akteure und Ransomware-Gruppen

Im neuen "Advanced Threat Research Report: January 2022" untersuchte Trellix das Verhalten und die Aktivitäten von Cyber-Kriminellen im dritten Quartal 2021.
Silhouetten-Netzwerk-274442016-AS-denisismagilovSilhouetten-Netzwerk-274442016-AS-denisismagilovdenisismagilov – stock.adobe.comSilhouetten-Netzwerk-274442016-AS-denisismagilovdenisismagilov – stock.adobe.com
Finanzen

BNP Paribas Multi-Asset Thematic investiert in globale Megatrends

Die großen Investmenttrends des Jahrzehnts wie etwa Energie, Klima, Digitalisierung, Ökosysteme und mehr werden in einem Fonds aktiv verwaltet. BNP Paribas Asset Management ("BNPP AM") legt mit dem BNP Paribas Multi-Asset Thematic einen innovativen Fonds auf.

Mehr zum Thema

pixabaypixabay
Digitalisierung

Vier Trends für 2025: KI-Agenten und Hyper-Automation

Mindbreeze, ein führender Anbieter von KI-basierten Wissensmanagement-Lösungen, identifiziert vier Trends für das Jahr 2025 und skizziert die bedeutendsten Unternehmensbereiche, in denen künstliche Intelligenz die Transformation vorantreiben wird.

DALL-EDALL-E
Digitalisierung

Digitale Transformation setzt Ausschließlichkeitsvertrieb unter Druck

Die Digitalisierung setzt den klassischen Ausschließlichkeitsvertrieb unter Druck. Ulla Dörfler von der vfm-Gruppe erklärt, wie das AOplus-Modell Exklusivvermittlern eine erweiterte Produktpalette und damit neue Perspektiven bietet – eine Lösung, die bereits Zurich und ALH erfolgreich nutzen.

stock.adbobe.com @ kelifamilystock.adbobe.com @ kelifamily
Digitalisierung

Die Evolution der Digitalbanken: Auswirkungen auf traditionelle Banking-Modelle

Klassisches Banking mit Filialen, Vor-Ort-Berater:innen und einem meist sehr großen „Apparat“ im Hintergrund verliert immer mehr Kund:innen. Ein Grund dafür sind Digital- bzw. Neobanken – ähnliches Geschäftsmodell, völlig andere Herangehensweise.

Alexander Retsch, Prokurist der vfm-Gruppevfm-GruppeAlexander Retsch, Prokurist der vfm-Gruppevfm-Gruppe
Digitalisierung

„Der Ausschließlichkeits-Vertrieb hat nur Zukunft, wenn er sich wandelt“

Soll der Exklusiv-Vertrieb von Versicherern weiter bestehen, muss er sich wandeln, ist Alexander Retsch, Prokurist der vfm-Gruppe überzeugt. Wie das AOplus-Modell bei dieser Wandlung helfen und die Kundenbindung stärken soll, erklärt Retsch im Exklusiv-Interview.

Alexandra_Koch / pixabayAlexandra_Koch / pixabay
Digitalisierung

Künstliche Intelligenz treibt den Finanzsektor voran

Wie verändert Künstliche Intelligenz die Finanzbranche? Eine neue Studie zeigt, dass 2023 weltweit 87 Milliarden US-Dollar in KI-Technologien für Banken und Versicherungen flossen. Was dabei im besonders im Fokus steht.

Bazoom AIBazoom AI
Digitalisierung

Digitale Wallets: Ein Leitfaden für sicheres und effizientes Finanzmanagement

Digitale Wallets revolutionieren die Art und Weise, wie wir mit Geld umgehen. Sie bieten nicht nur Bequemlichkeit, sondern auch Sicherheit in der digitalen Welt. Doch was müssen Sie wissen, um Ihr digitales Finanzmanagement optimal zu gestalten?