Hacker zielen vermehrt auf KMUs und ihre Edge-Geräte und VPNs.
PR Image Factory – shutterstock.com
Cyberkriminelle bleiben einfallsreich und machen sich technische Neuerungen schnell sowie effektiv zu nutzen. Sowohl dadurch als auch durch eine gestiegene Sensibilität für vorhandene Angriffsvektoren bei möglichen Opfern ist ein verändertes Muster ihrer Attacken begründet.
Im Data Breach Investigation Report (DBIR) von Verizon, einer Analyse von 22.000 Sicherheitsvorfällen, darunter 12.195 bestätigte Datenschutzverletzungen in 139 Ländern, ergab, dass die beiden häufigsten ursprünglichen Angriffsvektoren:
- der Missbrauch von Zugangsdaten (22 Prozent unverändert zu 2024) und
- die Ausnutzung von Schwachstellen (20 Prozent, gegenüber 14,9 Prozent im Jahr 2024)
sind.
Zero-Day-Exploits auf Perimeter-Systeme nehmen zu
Edge-Geräte und VPNs sind mit 22 Prozent die beliebtesten Ziele, wenn es darum geht Schwachstellen auszunutzen. Im Jahr 2024 waren es nur drei Prozent. In diesem Zusammenhang haben vor allem Zero-Day-Exploits, die auf Perimeter-Geräte und VPNs abzielen, an Bedeutung gewonnen.
Der Cybersecurity-Dienstleister Tenable Research analysierte 17 im DBIR aufgeführte, kürzlich ausgenutzte CVEs in Edge-Geräten. Dabei stellten die Experten fest, dass Unternehmen im Durchschnitt 32 Tage benötigen, um diese vollständig zu beheben. Der Verizon-Studie zufolge benötigen Opfer in den vergangenen fünf Jahren deutlich mehr Zeit, um Schwachstellen zu beheben, obwohl bei Edge-Geräten schnelle Reaktionen besonders kritisch sind.
Experten wie Saeed Abbasi, Threat Research Manager beim Cloud-Sicherheitsunternehmen Qualys, und Greg Linares, Principal Threat Intelligence Analyst beim Managed Detection and Response-Anbieter Huntress, warnen, dass Angreifer zunehmend verwundbare Edge-Geräte als Einstiegspunkt in Unternehmensnetzwerke nutzen. Unternehmen sollten daher Schwachstellen-Scans und Patches für internetzugängliche Systeme priorisieren.
Laterale Bewegung dank Kompromittierung
Warum Kriminelle Edge-Geräte besonders stark angreifen, erklärt Linares damit, dass diese als Verbindung zwischen internen Netzwerken und dem Internet dienen. Deshalb haben sie oft erhöhte Privilegien und bieten Angreifern weitreichenden Zugriff. Laut dem Analysten sind diese Geräte häufig schlecht gewartet, verwenden unsichere Standard-Zugangsdaten und veraltete Protokolle. Das mache sie anfällig für Angriffe.
Kompromittierte Edge-Geräte bieten Angreifern privilegierten Zugriff und ermöglichen laterale Bewegungen innerhalb des Netzwerks. Die Geräte speichern oft sensible Daten wie Administratoranmeldeinformationen und VPN-Schlüssel.
Diese helfen Angreifern, die interne Infrastruktur zu planen und unentdeckt zu bleiben, da diese Geräte meist nicht von Endpoint Detection and Response (DER)- und SIEM-Systemen überwacht werden.
Einfallstor Edge-Geräte
Spionagegruppen wie Volt Typhoon haben im vergangenen Jahr Schwachstellen in Fortinet-, SonicWall- und Barracuda-Appliances ausgenutzt, um unbemerkt in hochrangige Netzwerke einzudringen. Ransomware-Gruppen wie Black Basta nutzen häufig kompromittierte NAS-Geräte und Firewalls, um in Zielnetzwerke einzudringen.
Kompromittierte Edge-Geräte sind zwar nach wie vor die größte Bedrohung, doch die Nummer zwei der Angriffsvektoren holt auf: Der Prozentsatz der Sicherheitsverletzungen, an denen Dritte beteiligt waren, verdoppelte sich auf 30 Prozent. Das verdeutlicht die Risiken im Zusammenhang mit Lieferketten und Partner-Ökosystemen.
Lieblingsopfer KMU
Auch die Prävalenz von Ransomware-Angriffen hat zugenommen und taucht in 44 Prozent der analysierten Sicherheitsverletzungen als Faktor auf. Im Jahr 2024 waren es noch 37 Prozent. Die Angriffe trafen vor allem KMUs besonders häufig. Ganze 88 Prozent ihrer Sicherheitsverletzungen waren Ransomware geschuldet. Zum Vergleich: Bei größeren Unternehmen waren es „nur“ 39 Prozent.
Symptomatisch für den Trend der Ransomware-Akteure, kleinere Ziele anzugreifen, war ein deutlicher Rückgang des mittleren gezahlten Lösegelds. Von 150.000 US-Dollar im Jahr 2024 ist es auf 115.000 US-Dollar im diesjährigen Bericht gesunken.
Die Zahl der Opferorganisationen, die 2024 kein Lösegeld gezahlt haben, lag bei 64 Prozent, zwei Jahre zuvor zahlte noch die Hälfte aller Opfer.
Ist das Backend jedoch kompromittiert, so steigen sowohl die Bereitschaft Lösegeld zu zahlen als auch die geforderte Summe.
Mensch als Schwachstelle
Sechs von zehn der erfolgreichen Cyberangriffe kamen laut dem Bericht durch Social-Engineering-Angriffe wie Phishing zustande. Cyberkriminelle nutzen dabei verstärkt Infostealer-Malware und setzen zunehmend KI in ihren Angriffen ein.
Insbesondere die Zahl synthetisch generierter Texte in Phishing-E-Mails hat sich innerhalb der vergangenen zwei Jahren verdoppelt. Zudem greifen 15 Prozent der Mitarbeitenden regelmäßig auf generative KI-Plattformen über Unternehmensgeräte zu, was das Risiko von Datenlecks erhöht.
Cyberspionage und -crime
Verizon schätzt, dass 17 Prozent der Sicherheitsverletzungen auf spionagemotivierte Angriffe zurückzuführen sind, womit sich Ihre Zahl seit 2024 verdreifacht hätte. Besonders das verarbeitende Gewerbe und das Gesundheitswesen sind betroffen.
Auch Microsoft stellt in seinem Digital Defense Report 2024 fest, dass die Grenzen zwischen Cyberspionage und cyberkriminellen Aktivitäten zunehmend verschwimmen.
Neue Ideen für Gegenmaßnahmen haben die Macher des Verizon-Berichts keine: Sie schlagen vor, Angreifer mit einer mehrschichtigen Strategie abzuwehren.
