CERT-Wavestone 2024 Bericht: Trends und Analysen eines Jahres Incident Response
Veröffentlicht am 2. Dezember 2024
- Cyber Security
Im vergangenen Jahr hat das CERT-Wavestone Incident Response Team 20 schwerwiegende Vorfälle bearbeitet, bei denen forensische Untersuchungen durchgeführt wurden. Diese Vorfälle betrafen mehr als 10 verschiedene Wirtschaftssektoren, die auch von der ANSSI als wichtige Ziele identifiziert wurden.
Die wichtigsten Erkenntnisse aus 2024
- Die Hauptmotivation der Angreifer ist nach wie vor der finanzielle Gewinn, der bei 50 % der bearbeiteten Vorfälle eine Rolle spielte. Die häufigste Erpressungsmethode ist nach wie vor Ransomware.
- Das Haupteinfallstor für Angreifer ist die Ausnutzung von Schwachstellen in öffentlich zugänglichen Webseiten.
- Opportunistische Angriffe dominieren die Stichprobe. Angreifer schlagen in immer kürzeren Abständen zu und zielen insbesondere auf sensible Geschäftsdaten und Backups ab. Sie richten sich an kleine Unternehmen, aber auch an große Unternehmen, wobei diese vor allem über Tochtergesellschaften und Partner mit einem niedrigeren Sicherheitsniveau attackiert werden.
- Künstliche Intelligenz entwickelt sich zur neuen Waffe für Cyberkriminelle und eröffnet Möglichkeiten für neuartige, bisher unbekannte Angriffsformen (wie beispielsweise Poisoning- oder Evasion-Angriffe)
- Angesichts dieser Bedrohungen empfehlen wir, in die Sicherheitsmaßnahmen zu investieren, die den größten Einfluss auf die Prävention von Angriffen haben (Identitätsmanagement, Überwachung, Schutz von Backups), ohne dabei weniger geschützte Bereiche (wie etwa kleinere Tochtergesellschaften, KI-Systeme und Cloud-Umgebungen) außer Acht zu lassen.
Beweggründe: Finanzielle Motive bleiben die treibende Kraft
Finanzielle Bereicherung bleibt Hauptmotiv der Angreifer
Finanzielle Motive dominieren mit 50 % aller vom CERT-Wavestone Team bearbeiteten Vorfälle das Geschehen – allen voran Angriffe mit Ransomware.
Spionage, Betrug und Datendiebstahl nehmen zu
- Spionageaktivitäten nehmen zu. Diese Angriffe werden durch die angespannte geopolitische Lage zusätzlich befeuert.
- Betrug und Datendiebstahl verzeichnen ebenfalls einen Anstieg – auf beide Kategorien entfallen jeweils 29 % der finanziell motivierten Angriffe in 2024.
- Auch der Anteil an Angriffen ohne erkennbares Motiv steigt: 35 % der bearbeiteten Vorfälle in 2024, verglichen mit 29 % im Jahr 2023.
Schwachstellen in öffentlich zugänglichen Webseiten – das häufigste Einfallstor in IT-Systeme
Mit 40 %der Vorfälle im Jahr 2024 ist die Ausnutzung von Schwachstellen in öffentlich zugänglichen Webseiten das häufigste Einfallstor in IT-Systeme. Dies liegt insbesondere daran, dass Angreifer ihre automatisierten Tools zur Ausnutzung von Schwachstellen immer schneller einsetzen können – oft nur wenige Tage nach Bekanntwerden der Sicherheitslücken.
Phishing und Einbrüche über Fernzugriffssysteme komplettieren mit je 20 % der Vorfälle die Top 3 der häufigsten Angriffsvektoren.
Vier zentrale Entwicklungen 2024: Angriffe auf Tochtergesellschaften, Geschäftsdaten und Backups sowie steigende Angriffsgeschwindigkeit
Die verbesserten Cybersicherheitsmaßnahmen der Großunternehmen schützen diese zwar vor den gängigen Bedrohungen, ihre weniger gut vorbereiteten Tochtergesellschaften sind jedoch nach wie vor anfällig. Dies zeigt sich daran, dass 66 % der Angriffe auf große Unternehmen über deren Tochtergesellschaften erfolgen.
Eine Tochtergesellschaft eines Banken- und Versicherungskonzerns wurde über eine kritische Schwachstelle in einer nicht aktualisierten, öffentlich zugänglichen Komponente angegriffen. Anschließend nutzte der Angreifer unzureichend konfigurierte Filterregeln, um sich im Netzwerk auszubreiten, Daten zu stehlen und eine Ransomware zu starten.
Ob Spionage oder Ransomware – Datendiebstahl ist nach wie vor eine der Hauptfolgen von Cyberangriffen. Bei 77 % der vom CERT-Wavestone bearbeiteten Angriffe konnte ein nachweislicher Datendiebstahl festgestellt werden.
Angreifer verschafften sich über zwei Jahre lang dauerhaften Zugriff auf die IT-Systeme eines Industrieunternehmens. In regelmäßigen Abständen wurden E-Mails entwendet. Seine Präsenz im System wurde erst bemerkt, als von einer der kompromittierten E-Mail-Adressen eine Phishing-Kampagne gestartet wurde.
Die Löschung von Backups ist ein immer häufigeres Ziel von Angreifern, um die Zahlung von Lösegeld zu erzwingen. In der Praxis zielen 90 % der Ransomware-Angriffe direkt oder indirekt auf Backups ab.
Im Gesundheitssektor verschafften sich Angreifer Administratorrechte im Active Directory. Anschließend wurde die Erstellung neuer Backups deaktiviert und das Überwachungssystem für Backups abgeschaltet. Die Angreifer warteten etwa zehn Tage, bevor der Ransomware-Angriff gestartet wurde – in der Gewissheit, dass keine aktuellen Backups zur Wiederherstellung zur Verfügung standen.
Die kürzeste Zeitspanne zwischen dem Eindringen in IT-Systeme und dem Beginn des eigentlichen Angriffs beträgt nur noch 3 Tage. Um dieser zunehmenden Beschleunigung zu begegnen, sind automatisierte Erkennungs- und Reaktionsfähigkeiten von SOCs und CERTs entscheident, um Cyber-Angriffe effektiv abzuwehren.
Ein Angreifer verschaffte sich durch einen Brute-Force-Angriff Zugang zu einem lokalen VPN-Gateway-Account. In weniger als 2 Stunden wurden erweiterte Berechtigungen erlangt und die Active Directory Domäne über Service Accounts kompromittiert. In den folgenden zwei Tagen entwendete der Angreifer große Mengen an Daten, bevor am Wochenende der Ransomware-Angriff gestartet wurde.
Künstliche Intelligenz entwickelt sich zur Bedrohung – neue Waffe für Cyberkriminelle und Türöffner für neuartige Angriffe
Cyberkriminelle nutzen Künstliche Intelligenz als neue Waffe für:
- Die Generierung von Schadcode, wodurch auch weniger erfahrene Personen leichter Schwachstellen finden und Angriffe durchführen können.
- Deepfakes, die Identitätsdiebstahl durch gefälschte Audio- und Videoaufnahmen ermöglichen (insbesondere CEO-Fraud).
- Optimierung von Phishing-Angriffen durch Automatisierung und Perfektionierung – mit dem Ziel, sie noch überzeugender zu machen.
Künstliche Intelligenz ermöglicht zudem neue, bisher unbekannte Angriffsformen:
- Poisoning-Angriffe: Der Angreifer manipuliert die Trainingsdaten der KI, um die Integrität des Modells zu kompromittieren.
- Oracle-Angriffe: Der Angreifer versucht, durch Interaktion mit dem KI-Modell Informationen über die Trainingsdaten oder das Modell selbst zu extrahieren.
- Evasion-Angriffe: Hierbei wird durch gezielte Manipulation der Eingabedaten das Modell zu Fehlentscheidungen verleitet.
Unsere Empfehlungen
Im Kampf gegen diese Bedrohungen zeigen die folgenden Sicherheitsmaßnahmen die größte Wirkung:
- Durchgängige Kontrolle des Identitätsmanagements
- Lückenlose Überwachung der IT-Systeme
- Schutz der Backups
Die weniger geschützten Bereiche dürfen nicht vernachlässigt werden. Besonders wichtig sind dabei:
- Die Cyber-Reife von Tochtergesellschaften überwachen und die zugehörigen Verbindungen absichern
- Das Prinzip der minimalen Rechte in der Cloud anwenden und die Umsetzung der Härtungsmaßnahmen automatisch überwachen
- Alle KI-Systeme absichern
CERT-Wavestone 2024 Bericht Methodik
Der CERT-Wavestone Jahresbericht 2024 basiert auf Daten aus dem Zeitraum August 2023 bis September 2024. Die Studie analysiert 20 schwerwiegende Cybervorfälle und -krisen, die von Wavestone in diesem Zeitraum bearbeitet wurden.
Wurden Sie Opfer eines Cybervorfalls? Entdecken Sie unser Angebot oder Kontaktieren Sie unsere Experten