Die Cybersicherheit entwickelt sich ständig weiter und erfordert daher regelmäßige Wachsamkeit.
Microsoft analysiert täglich mehr als 78 Billionen Sicherheitssignale, um die neuesten Angriffsvektoren und -techniken besser zu verstehen. Seit letztem Jahr haben wir eine Veränderung in der Art und Weise festgestellt, wie Bedrohungsakteure agieren Skalierung und Nutzung nationalstaatlicher Unterstützung. Es ist klar, dass Unternehmen weiterhin mehr Angriffen als je zuvor ausgesetzt sind und die Angriffsketten immer komplexer werden. Die Verweilzeiten haben sich verkürzt und die Taktiken, Techniken und Verfahren (TTPs) haben sich weiterentwickelt und sind nun flexibler und ausweichender.
Basierend auf diesen Erkenntnissen sind hier fünf Angriffstrends aufgeführt, die Endbenutzerorganisationen regelmäßig überwachen sollten.
Erzielen Sie Stealth durch die Vermeidung benutzerdefinierter Tools und Malware
Einige Gruppen von Bedrohungsakteuren legen Wert auf Stealth, indem sie Tools und Prozesse nutzen, die bereits auf den Geräten ihrer Opfer vorhanden sind. Dies ermöglicht es Angreifern, unter dem Radar zu verschwinden und unentdeckt zu bleiben, indem sie ihre Aktionen zusammen mit anderen Bedrohungsakteuren verschleiern, die ähnliche Methoden zum Starten von Angriffen verwenden.
Ein Beispiel für diesen Trend ist mit zu sehen Volt-Taifun, ein staatlich geförderter chinesischer Akteur, der Schlagzeilen machte, weil er kritische US-Infrastrukturen mit „Living-off-the-land“-Techniken ins Visier nahm.
Kombination von Cyber- und Influence-Operationen für größere Wirkung
Nationalstaatliche Akteure haben außerdem eine neue Kategorie von Taktiken geschaffen, die Cyber-Operationen und Influence-Operations-Methoden (IO) kombinieren. Dieser als „Cyber-Enabled Influence Operations“ bekannte Hybrid kombiniert Cybermethoden – wie Datendiebstahl, Verunstaltung, Distributed Denial-of-Service und Ransomware – mit Einflussmethoden – wie Datenlecks, Sockpuppets, Identitätsdiebstahl als Opfer und irreführende Social-Media-Beiträge und böswillige SMS-/E-Mail-Kommunikation – um Mängel beim Netzwerkzugriff oder bei Cyberangriffsfähigkeiten von Angreifern zu verstärken, zu übertreiben oder auszugleichen.
Beispielsweise hat Microsoft mehrere iranische Akteure bei der Nutzung beobachtet Massen-SMS-Nachrichten um die Verstärkung und die psychologischen Auswirkungen ihrer Cyber-Einflussoperationen zu verstärken. Wir sehen auch, dass immer mehr Cyber-Einflussoperationen versuchen, sich als angebliche Opferorganisationen oder führende Persönlichkeiten dieser Organisationen auszugeben, um die Auswirkungen des Cyberangriffs oder der Kompromittierung glaubwürdiger zu machen.
Erstellen verdeckter Netzwerke durch gezielte Ausrichtung auf SOHO-Netzwerk-Edge-Geräte
Besonders relevant für verteilte oder Remote-Mitarbeiter ist der zunehmende Missbrauch von Netzwerk-Edge-Geräten für kleine Büros/Heimbüros (SOHO). Immer häufiger sehen wir, dass Bedrohungsakteure SOHO-Zielgeräte – etwa den Router in einem örtlichen Café – nutzen, um verdeckte Netzwerke aufzubauen. Einige Angreifer verwenden sogar Programme, um anfällige Endpunkte auf der ganzen Welt zu lokalisieren und Ausgangspunkte für ihren nächsten Angriff zu identifizieren. Diese Technik erschwert die Zuordnung und führt dazu, dass Angriffe praktisch von überall aus erfolgen.
Rasche Einführung öffentlich bekannt gegebener POCs für den Erstzugriff und die Persistenz
Microsoft hat zunehmend beobachtet, dass bestimmte nationalstaatliche Untergruppen kurz nach seiner Veröffentlichung öffentlich zugänglichen Proof-of-Concept-Code (POC) übernehmen, um Schwachstellen in mit dem Internet verbundenen Anwendungen auszunutzen.
Dieser Trend lässt sich bei Bedrohungsgruppen beobachten Minze Sandsturm, ein iranischer nationalstaatlicher Akteur, der N-Day-Schwachstellen in gängigen Unternehmensanwendungen schnell als Waffe ausnutzte und äußerst gezielte Phishing-Kampagnen durchführte, um schnell und erfolgreich auf interessante Umgebungen zuzugreifen.
Priorisierung der Spezialisierung innerhalb der Ransomware-Wirtschaft
Wir beobachten eine kontinuierliche Entwicklung in Richtung Ransomware-Spezialisierung. Anstatt eine durchgängige Ransomware-Operation durchzuführen, entscheiden sich Bedrohungsakteure dafür, sich auf eine kleine Auswahl an Funktionen und Diensten zu konzentrieren.
Dieser Spezialisierung hat eine spaltende Wirkung und verteilt Komponenten eines Ransomware-Angriffs über mehrere Anbieter in einer komplexen Schattenwirtschaft. Unternehmen können sich Ransomware-Angriffe nicht länger so vorstellen, als ob sie nur von einem einzelnen Bedrohungsakteur oder einer einzelnen Bedrohungsgruppe ausgehen. Stattdessen bekämpfen sie möglicherweise die gesamte Ransomware-as-a-Service-Wirtschaft. Als Reaktion darauf verfolgt Microsoft Threat Intelligence nun Ransomware-Anbieter einzeln und stellt fest, welche Datenverkehrsgruppen beim Erstzugriff gruppiert sind und welche andere Dienste anbieten.
Da Cyber-Verteidiger nach effektiveren Möglichkeiten suchen, ihre Sicherheitslage zu stärken, ist es wichtig, wichtige Trends und Verstöße der vergangenen Jahre zu berücksichtigen und daraus zu lernen. Indem wir diese Vorfälle analysieren und die Motive verschiedener Gegner sowie bevorzugte TTPs verstehen, können wir ähnliche Verstöße in Zukunft besser verhindern.
- Mehr lesen Partnerperspektiven von Microsoft Security
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/threat-intelligence/5-attack-trends-organizations-of-all-sizes-should-be-monitoring
