Darktrace stellt in seinem neuen „First 6: Half-Year Threat Report 2024“ die größten IT-Gefahren für Unternehmen in der ersten Jahreshälfte 2024 vor. Demnach dominiert Cybercrime-as-a-Service weiterhin die Bedrohungslandschaft. Dabei werden zu einem erheblichen Teil Tools für Malware-as-a-Service (MaaS) und Ransomware-as-a-Service (RaaS) eingesetzt. Entsprechende Anbieter wie Lockbit und Black Basta stellen Angreifern alles Nötige von vorgefertigter Malware bis hin zu Vorlagen für Phishing-E-Mails bereit. So senken sie die Einstiegshürden für Cyberkriminelle. Die häufigsten Bedrohungen von Januar bis Juni 2024 waren:
Malware für Informationsdiebstahl (29 Prozent der untersuchten Gefahren)
Trojaner (15 Prozent)
Remote-Access-Trojaner (RATs) (12 Prozent)
Botnets (6 Prozent)
Loader (6 Prozent)
Die Studie deckt auch neue Bedrohungen auf, wie die Ransomware Qilin. Mit Hilfe raffinierter Techniken, etwa dem Neustart infizierter Rechner im abgesicherten Modus, umgeht sie Security-Tools und erschwert eine schnelle Reaktion von Sicherheitsteams. Gemäß dem Threat-Research-Team von Darktrace gibt es drei vorherrschende Ransomware-Stämme: Akira, Lockbit und Black Basta. Bei allen drei wurden doppelte Erpressungsmethoden beobachtet, die inzwischen weit verbreitet sind.
Immer mehr Phishing-Mails umgehen Erkennung
Phishing bleibt ebenfalls eine erhebliche Gefahr für Unternehmen. Darktrace entdeckte zwischen dem 21. Dezember 2023 und dem 5. Juli 2024 bei Kunden 17,8 Millionen Phishing-Mails. Davon konnten 62 Prozent die Verifizierungsprüfung DMARC (Domain-based Message Authentication, Reporting, and Conformance) erfolgreich umgehen. Sie soll eigentlich E-Mail-Domains vor unbefugter Nutzung schützen, doch 56 Prozent der Phishing-Mails passierten alle bestehenden Sicherheitsschichten.
Insgesamt nutzen Cyberkriminelle immer ausgefeiltere Taktiken, Techniken und Prozesse, um herkömmliche Sicherheitsmaßnahmen auszutricksen. Darktrace beobachtet eine Zunahme von Attacken, die sich über legitime Dienste und Websites von Drittanbietern, wie Dropbox und Slack, in den normalen Netzwerkverkehr einschleichen. Darüber hinaus werden vermehrt verdeckte Command-and-Control-Mechanismen (C2) eingesetzt, darunter Tools für Fernüberwachung und -verwaltung, Tunneling und Proxy-Dienste.
Kompromittierung von Edge-Infrastrukturen
Laut der Studie nimmt die massenhafte Ausnutzung von Schwachstellen in Edge-Infrastruktur-Geräten zu. Dies gilt insbesondere in Bezug auf Ivanti Connect Secure, JetBrains TeamCity, FortiClient Enterprise Management Server und Palo Alto Networks PAN-OS. Deren Kompromittierungen dienen oft als Sprungbrett für weitere bösartige Aktivitäten.
Unternehmen dürfen neben neuen Angriffstrends auch die bestehenden Techniken und Schwachstellen nicht aus den Augen verlieren. Denn Cyberkriminelle können auf frühere, nur noch selten genutzte Methoden zurückgreifen, um in Infrastrukturen einzudringen. Zwischen Januar und Juni nutzten Angreifer in 40 Prozent der untersuchten Fälle bekannte Sicherheitslücken aus.
„Die Bedrohungslandschaft entwickelt sich ständig weiter, aber neue Angriffsmethoden basieren oft auf bisherigen, statt sie zu ersetzen“, erklärt Nathaniel Jones, Director of Strategic Threat and Engagement bei Darktrace. „Die Beständigkeit von MaaS-/RaaS-Modellen neben dem Auftauchen neuer Bedrohungen wie Qilin Ransomware verdeutlicht den anhaltenden Bedarf an anpassungsfähigen Sicherheitsmaßnahmen. Diese müssen auf maschinellem Lernen basieren, um mit einer sich schnell entwickelnden Bedrohungslandschaft Schritt halten zu können.“
