Fünf Erkenntnisse aus dem Mandiant Threat Report 2024
Die Entdeckung kompromittierter Systeme nimmt dank verbesserter Erkennungstools zu. Gleichzeitig steigt aber die Zahl der Angriffaktivitäten, heißt es im Bedrohungsbericht für 2024 der Google-Tochter Mandiant.
Ransomware "bewegt sich tendenziell viel schneller als andere Bedrohungsvektoren", erklärt Jürgen Kutscher, Vice President bei Mandiant Consulting. "Dennoch ist die schnellere Erkennung eine positive Entwicklung", so Kutscher in einem Interview zum 15. jährlichen M-Trends-Bericht des zu Google Cloud gehörenden Unternehmens Mandiant.
"Man sieht man deutlich, dass die Verteidiger besser werden", sagte er. "Sie erkennen die Art von Angriffen und reagieren immer schneller. Ich denke, dass es wichtig ist, das auch hervorzuheben. Letztendlich wollen wir der Branche zeigen, dass sich die Investitionen der Unternehmen - die Schulungen, die kontinuierlichen Verbesserungen in der Technologie, in den Prozessen und in der Bedrohungsanalyse - positiv auswirken", so Kutscher gegenüber CRN.
Weitere wesentliche Erkenntnisse des M-Trends-Berichts 2024 sind die zunehmende Ausnutzung von Schwachstellen, die verstärkte Ausrichtung auf Unternehmenssysteme und die Zunahme von Angriffen mit China-Bezug.
Im Folgenden haben wir die fünf wichtigsten Erkenntnisse für Sie zusammengefasst.
Kürzere Verweildauer
Ein positives Zeichen für die Cyberabwehr ist die Tatsache, dass Mandiant einen weiteren deutlichen Rückgang der Dwell-Time melden konnte, also die Zeit, die bis zur Entdeckung einer System-Kompromittierung vergeht. Im Jahr 2023 sank der weltweite Medianwert auf Verweildauer auf 10 Tage und erreichte so den niedrigsten Stand seit 10 Jahren. Laut Mandiant liegt das am verbesserten Anteil intern entdeckter Kompromittierungen, der im Jahresvergleich von 37 auf 46 Prozent gestiegen ist, so Mandiant.
Wieder mehr Ransomware-Angriffe
Offenbar spielt bei der schnelleren Erkennung aber auch die Zunahme von Ransomware-Angriffen eine Rolle. Laut Mandiant standen im letzten Jahr 23 Prozent der Sicherheitsvorfälle im Zusammengang mit Ransomware und damit wieder auf dem gleichen Stand wie 2021. Im Jahr 2022 waren es 18 Prozent.
Kutscher räumte ein, dass die Zahlen auch Angriffe zur Datenerpressung enthalten. So könnten die breit angelegten Exploits von MOVEit im vergangenen Jahr ein Faktor für den Anstieg gewesen sein.
Ausnutzung von Schwachstellen nimmt zu
Mit einem Anteil von 38 Prozent war das Ausnutzen von Schwachstellen die häufigste Methode, um in Systeme einzudringen. Das ist ein Anstieg von sieben Prozent gegenüber dem Vorjahr. Auf Platz 2 lag weiterhin Phishing, das im vergangenen Jahr allerdings von 22 auf 17 Prozent zurückging.
Die am häufigsten ausgenutzte Schwachstelle im Jahr 2023 war die Schwachstelle in MOVEit Transfer (CVE-2023-34362), die eine große Welle von Datendiebstählen und Erpressungen auslöste. Auf Platz 2 lag eine Schwachstelle in der E-Business Suite von Oracle (CVE-2022-21587) und an dritter Stelle die kritische Schwachstelle in Barracuda Email Security Gateways (CVE-2023-2868).
"Die am häufigsten angegriffenen Schwachstellen betrafen vor allem Edge-Geräte", schreibt Mandiant in seinem Bericht. "Die meisten Opferorganisationen verfügen nicht über einen einfachen Mechanismus, um die Kompromittierung dieser Art von Edge-Geräten zu erkennen", so Kutscher. "Als solche geben sie Angreifern eine starke Ausgangsposition, um sich langfristig zu behaupten."
Unternehmenslösungen im Visier der Cyberkriminellen
Die Angreifer zielen zunehmend auf Enterprise-Technologien ab. Laut Mandiant konzentrieren sich die Angreifer verstärkt auf die Entdeckung und Ausnutzung von Zero-Day-Schwachstellen in Unternehmensprodukten, wie etwa Barracuda ESG. Die Forscher von Mandiant beobachteten 36 Zero-Day-Schwachstellen, die auf unternehmensspezifische Technologien abzielen und Angreifer 2023 ausgenutzt hatten.
Der Anstieg der Zero-Day-Exploits in Unternehmenssystemen zeige jedoch deutlich "das Engagement und die Investitionen, die viele dieser Bedrohungsakteure tätigen". Insgesamt verzeichnete Mandiant im letzten Jahr 97 verschiedene Zero-Day-Schwachstellen, was einem Anstieg von 56 Prozent gegenüber dem Vorjahr entspricht.
Die Hersteller von Consumer-Technologien hätten indessen "wirklich große Fortschritte bei der Entwicklung besserer Prozesse und Kontrollen gemacht, die es schwieriger machen, Zero-Days zu finden", so Kutscher.
Mehr Angriffe mit China-Hintergrund
Eine wichtige Triebfeder der ausgenutzten Zero-Day-Schwachstellen ist die Ausweitung der Aktivitäten von Angreifern mit Verbindungen zu China, so Mandiant in seinem M-Trends-Bericht. "Cyberspionage-Gruppen aus der Volksrepublik China waren die produktivsten Angreifer, die 2023 Zero-Day-Schwachstellen ausnutzten. Die von Mandiant beobachteten staatlich gesponserten Gruppen würden Zero-Days in erster Linie zum Sammeln von Informationen und für strategische Vorteile nutzen.
Der Trend der Chinesen geht offenbar zu Angriffen auf Edge-Geräte. "Über die Ausnutzung von Schwachstellen, insbesondere von Zero-Days, haben sie sich 2023 Zugang zu Edge-Geräten verschafft und anschließend benutzerdefinierte Malware-Ökosysteme implementiert", schreiben die Autoren des Berichts.
Edge-Geräte - einschließlich E-Mail-Gateway-Appliances und VPNs - laufen oft monatelang oder sogar jahrelang ohne einen Neustart. "Die Entwickler von China-Nexus-Malware machen sich die in diesen Systemen integrierten Funktionen zunutze, was ihnen gleich in mehrfacher Hinsicht zugutekommt", so der Bericht. Die Security-Forscher haben in mehreren Fällen beobachtet, "dass China-Nexus-Angreifer ein hohes Maß an tiefgreifendem Wissen demonstrierten, wenn sie auf Edge-Geräte abzielten". Dieses Wissen erstrecke sich nicht nur auf die Malware, die während des Angriffs zum Einsatz kommt, sondern auch auf die Kenntnis der Zero-Day-Schwachstellen, über die sie Zugang zu diesen Geräten zu erhalten können, schreiben die Autoren des aktuellen Mandiant Threat Report.