71 Prozent der Unternehmen weltweit waren im Jahr 2022 von Ransomware betroffen. Bis Ende November wurden über 22.500 neue Schwachstellen und Sicherheitslücken in die globale Datenbank CVE (Common Vulnerabilities and Exposures) aufgenommen – zehn Prozent mehr als im Vorjahr. Damit war das vergangene Jahr durch zahlreiche verschiedene Cyberattacken geprägt. Zu diesem Schluss kommen die Threat-Intelligence-Analyst:innen von Malwarebytes in ihrem Bericht „2023 State of Malware“ und fassen die zentralsten Entwicklungen aus dem letzten Jahr zusammen.
1. Ukraine
Spekulationen, ob Russlands Invasion in die Ukraine zum ersten Cyberkrieg führen würde, bei dem bösartige Software eingesetzt wird, um physischen Schaden und Zerstörung zu verursachen, erwiesen sich als unbegründet. Obwohl es zu zerstörerischen Angriffen durch die Schadsoftware Wiper kam, war der Cyberspace weitgehend der Informationsbeschaffung und Spionage vorbehalten.
Seine strategische Bedeutung machte den Ukraine-Konflikt zu einem nützlichen Social-Engineering-Köder. Das Threat-Intelligence-Team von Malwarebytes konnte feststellen, dass der Krieg als Thema bei Angriffen auf deutsche Ziele durch mutmaßliche russische staatliche Akteure, sowie bei Angriffen auf russische Ziele durch mutmaßliche chinesische staatliche Akteure verwendet wurde.
2. Ransomware
Eine unerwartete Folge des Krieges in der Ukraine war die Auflösung von Conti. Als die Ransomware-Gruppe öffentlich erklärte, die russische Invasion zu unterstützen, machte sie Lösegeldzahlungen versehentlich zu einem potenziellen Verstoß gegen Sanktionen gegen Russland. Infolge hörten die Opfer von Conti auf zu zahlen, die Gruppe musste sich auflösen. Letztlich bedeutete das Ende von Conti jedoch wenig für das gesamte Ransomware-Ökosystem. Andere Cyberkriminelle traten schnell an die Stelle von Conti – und LockBit erwies sich 2022 als die mit Abstand aktivste Ransomware-Gruppe. Laut Malwarebytes war sie im letzten Jahr für fast ein Drittel aller bekannten RaaS-Angriffe verantwortlich.
Ransomware stellt nach wie vor die größte cyberkriminelle Bedrohung für Unternehmen dar. In 2022 gab es allerdings Anzeichen dafür, dass die Kriminellen hinter Ransomware ihre Taktiken anpassen müssen. Datenlecks verdrängen zunehmend die Datenverschlüsselung als primäre Form der Erpressung – vermutlich eine Reaktion auf effektive Endpoint-Security-Software oder effektive Backup- und Wiederherstellungsstrategien auf Seiten der Unternehmen.
Darüber hinaus könnte auch der Kauf des Zugangs zu Unternehmen über verärgerte Mitarbeiter:innen eine Taktik von Ransomware-Gruppen sein, die 2023 mehr Erfolg haben könnte. Im März 2022 machte beispielsweise die Gruppe LAPSUS$ damit Schlagzeilen. Sie veröffentlichte eine Nachricht auf ihrem Telegram-Kanal, in der sie nach Mitarbeitenden von Tech-Unternehmen suchte, die bereit waren, Remote-Zugang zum Unternehmen zu gewähren, zum Beispiel über VPN, RDP oder Citrix.
3. Makros
Microsoft kündigte 2022 an, Makros in Office-Dokumenten zu blockieren, die aus dem Internet heruntergeladen werden. Damit bremste das Unternehmen eines der produktivsten Systeme zur Verbreitung von Malware aus, das je erfunden wurde. Cyberkriminelle haben bereits begonnen, alternative Techniken zu erforschen. Da es jedoch keinen offensichtlichen Ersatz für bösartige Makros gibt, könnte nun eine Zeit beginnen, in der Bedrohungsakteure verstärkt experimentieren. Für Bedrohungsjäger:innen heißt es daher, wachsam zu sein, um mögliche neue Ansätze zu erkennen.
4. Authentifizierung
Passwörter sind seit langem die Achillesferse der Cybersicherheit. Kompromittierte Passwörter, zum Beispiel über Phishing- oder Brute-Force-Angriffe, sind oftmals das Einfallstor in Unternehmensnetzwerke und machen damit weitere cyberkriminelle Aktivitäten wie Ransomware erst möglich. Eine brauchbare Alternative zu Passwörtern war jedoch trotzdem lange nicht in Sicht.
Im Mai 2022 haben die großen Tech-Player Google, Apple und Microsoft ihre Unterstützung für FIDO2 zugesagt – einen weltweit anerkannten Standard für passwortfreie Authentifizierung. Tatsächlich gab es in der Vergangenheit bereits verschiedene Ersatzlösungen für Passwörter, die sich allerdings nie durchsetzen konnten, weil sie beispielsweise zu teuer oder zu schwierig zu implementieren waren. FIDO2 wurde entwickelt, um genau diese Probleme zu überwinden. Aktuell sieht es ganz danach aus, dass FIDO2 im Jahr 2023 zu einer wichtigen Authentifizierungsmethode werden könnte.
