Von der Skalierung von Brute-Force- und gezielten Attacken auf Cloud-Tenants bis hin zur Zunahme von Conversational-Smishing-Angriffen sowie der Umgehung von Multifaktor-Authentifizierung (MFA) – die Cyberbedrohungslandschaft war 2022 von zahlreichen bedeutenden Entwicklungen geprägt.

„Da Microsoft 365 heute typischerweise einen großen Teil der Angriffsfläche eines Unternehmens ausmacht, wird die Bedrohungslandschaft – ob mit Hilfe von Office-Makros oder OneNote-Dokumenten – auch weiterhin maßgeblich vom Missbrauch dieser Plattform geprägt sein“, so Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint. „Während sich die Sicherheitskontrollen langsam verbessert haben, sind die Bedrohungsakteure kreativ geworden und haben ihre Umgehungsaktivitäten ausgeweitet. Einst eine Domäne von Cybersecurity-Experten in Red Teams, sind Techniken wie die Umgehung von MFA und telefonbasierte Angriffe heute ganz alltäglich. Auch wenn viele Cyberkriminelle noch experimentieren, bleibt ein Umstand jedoch eine Konstante: Angreifer nutzen Menschen aus, und diese sind die wichtigste Variable in der heutigen Angriffskette.“

The Human Factor ist der branchenweit umfassendste Bericht eines einzelnen Anbieters. Der Report befasst sich mit den neusten Entwicklungen in der Bedrohungslandschaft, wobei der Schwerpunkt auf der Kombination aus Technologie und Psychologie liegt. Genau dies macht moderne Cyberangriffe unter den drei Hauptaspekten des Benutzerrisikos – Anfälligkeit, Angriffe und Privilegien – so gefährlich. Der Bericht stützt sich auf einen der branchenweit größten und vielfältigsten globalen Datensätze zur Cybersicherheit aus den Bereichen E-Mail, Cloud und Mobile Computing. Der Datensatz umfasst mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhängen, 28 Millionen Cloud-Konten, 1,7 Milliarden verdächtigen SMS-Nachrichten sowie weitere Informationen.

Von komplexen Techniken wie der Umgehung der Multi-Faktor-Authentifizierung über telefonbasierte Angriffe bis hin zu Conversational-Bedrohungen, die sich allein auf den Charme des Angreifers stützen, zeugte das vergangene Jahr von beispielloser Kreativität unter den Cyberkriminellen. Diese variierten, testeten und verwarfen Angriffsketten und Übertragungsmechanismen in ungekanntem Tempo.

Im Folgenden finden sich die wichtigsten Erkenntnisse des 2023 Human Factor Report von Proofpoint:

• Einbruch bei der Verwendung von Office-Makros, nachdem Microsoft Mechanismen zu deren Blockierung eingeführt hatte: Office-Makros waren fast drei Jahrzehnte eine beliebte Methode zur Verbreitung von Malware. Nachdem Microsoft die Art und Weise überarbeitet hatte, wie seine Software mit aus dem Internet heruntergeladenen Dateien verfährt, ging die Verwendung von Office-Makros durch Angreifer schließlich zurück. Diese Änderungen mündeten in einer Reihe von Experimenten, mit denen Cyberkriminelle nach alternativen Techniken suchten, um ihre Ziele infizieren.
• Cyberkriminelle kombinieren Einfallsreichtum mit Präzision und Geduld: Conversational Smishing und Pig Butchering – Attacken, bei denen Angreifer zunächst scheinbar harmlose Nachrichten verschicken – haben im vergangenen Jahr stark zugenommen. Im mobilen Bereich war dies die am schnellsten wachsende Bedrohung des Jahres, deren Volumen um das Zwölffache anstieg. Und telefonbasierte Angriffe (TOAD) erreichten mit 13 Millionen Nachrichten pro Monat ihren Höhepunkt. Mehrere staatlich geförderte APT-Akteure investierten viel Zeit in den Austausch von harmlosen Nachrichten mit ihren Zielen, um über Wochen und Monate hinweg eine Beziehung aufzubauen.
• Phish-Kits von der Stange zum MFA-Bypass sind inzwischen allgegenwärtig – auch wenig technisch versierte Kriminelle können nun eine Phishing-Kampagne starten: MFA-Bypass-Frameworks wie EvilProxy, Evilginx2 und NakedPages waren für mehr als eine Million Phishing-Nachrichten pro Monat verantwortlich.
• Legitime Infrastrukturen spielen bei vielen Cloud-basierten Angriffen eine Schlüsselrolle – ein Beleg für die Grenzen regelbasierter Schutzmaßnahmen: Die meisten Unternehmen sahen sich mit Bedrohungen konfrontiert, die von bekannten Cloud-Providern wie Microsoft und Amazon ausgingen. Deren Infrastruktur beherbergt zahlreiche legitime Dienste, auf die sich Unternehmen verlassen.
• Neue Verbreitungswege katapultierten SocGholish in die Top Fünf Malware (nach Nachrichtenvolumen): Mit einer neuartigen Verbreitungsmethode, die Drive-by-Downloads und gefälschte Browser-Updates umfasst, sind die Cyberkriminellen hinter SocGholish (Threat Actor 569, TA569) zunehmend in der Lage, Websites zu infizieren. Auf diese Weise wird die Malware ausschließlich über Drive-by-Downloads verbreitet und die Opfer durch gefälschte Browser-Updates zum Herunterladen verleitet. Viele Websites, auf denen die SocGholish-Malware gehostet wird, wissen nicht, dass sie sie hosten, was zur Verbreitung der Malware beiträgt.
• Cloud-Bedrohungen sind mittlerweile allgegenwärtig: 94 Prozent der Cloud-Tenants werden jeden Monat entweder durch einen zielgerichteten oder einen Brute-Force-Angriff attackiert. Dies deutet auf eine ähnliche Häufigkeit wie bei E-Mail- und mobilen Vektoren hin. Die Zahl der Brute-Force-Angriffe – insbesondere das Ausspähen von Passwörtern – stieg von durchschnittlich 40 Millionen pro Monat im Jahr 2022 auf fast 200 Millionen Anfang 2023.
• Missbrauch des Vertrauens in große Marken ist eine der einfachsten Formen des Social Engineerings: Microsoft-Produkte und -Dienstleistungen belegten vier der fünf Spitzenplätze bei den missbrauchten Marken, wobei Amazon die am häufigsten missbrauchte Marke war.
• Ein für die Cyberkriminellen erfolgreicher initialer Zugang kann unmittelbar zu domänenweiten Angriffen wie einer Ransomware-Infektion oder Datendiebstahl führen: Nicht weniger als 40 Prozent der falsch konfigurierten oder unwissentlich existierenden Admin-Identitäten können in einem einzigen Schritt ausgenutzt werden, z. B. durch das Zurücksetzen eines Domain-Passworts, um Berechtigungen zu erhöhen. Und bei 13 Prozent der unwissentlich existierenden Admin-Identitäten wurde festgestellt, dass sie bereits über Domänen-Administratorrechte verfügen, was es Angreifern ermöglicht, Anmeldedaten zu sammeln und auf Unternehmenssysteme zuzugreifen. Etwa 10 Prozent der Endpunkte haben ein ungeschütztes Passwort für privilegierte Konten, wobei 26 Prozent dieser ungeschützten Konten Domänenadministratoren sind.
• Ein Jahr, nachdem die Strafverfolgungsbehörden im Januar 2021 das Emotet-Botnet vom Netz genommen hatten, meldete sich die weltweit bekannteste cyberkriminelle Gruppe zurück: Obwohl Emotet im Jahr 2022 mehr als 25 Millionen Nachrichten verschickte – mehr als doppelt so viele wie der zweitgrößte Bedrohungsakteur – trat die Gruppe nur sporadisch in Erscheinung. Ferner zeigte die Gruppe Anzeichen von Lethargie bei der Anpassung an die Post-Macro-Bedrohungslandschaft.
• Während die Bedrohungslandschaft weitgehend von Finanzkriminalität dominiert wird, kann bereits ein einzelner Angriff eines APT-Akteurs (Advanced Persistent Threat) massive Auswirkungen haben: Eine große Kampagne von TA471, einer mit Russland in Verbindung stehenden APT-Gruppe, die sowohl Unternehmens- als auch Regierungsspionage betreibt, katapultierte diese Gruppe an die Spitze der APT-Akteure nach Nachrichtenvolumen. TA416, ein mit dem chinesischen Staat in Verbindung stehender APT-Akteur, war einer der aktivsten. Vor allem zu Beginn des Krieges zwischen Russland und der Ukraine gab es neue Kampagnen von TA416, die sich gegen diplomatische Einrichtungen europäischer Staaten richteten, die mit Flüchtlings- und Migrationsaufgaben zu tun haben.

Der neueste „Human Factor“-Report von Proofpoint kann unter folgendem Link heruntergeladen werden: https://www.proofpoint.com/de/resources/threat-reports/human-factor

Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.