Die neue Ausgabe des Advanced Threat Research Reports: Oktober 2021 beleuchtet vor allem die cyber-kriminellen Aktivitäten im zweiten Quartal 2021, die in Zusammenhang mit Ransomware und Cloud-Bedrohungen stehen. Die Ergebnisse zeigen, dass der Angriff auf die Colonial Pipeline Cyber-Kriminelle dazu animierte, neue Strategien zu entwickeln, die auf Behörden, Finanzdienstleistungen und die Unterhaltungsbranche abzielen.
Ransomware der DarkSide- sowie der REvil-Gruppe sind dabei am stärksten vertreten. Darüber hinaus waren die Finanzbranche, das Gesundheitswesen sowie Produktion und Einzelhandel besonders stark im Visier der Angreifer.
Angriff auf Colonial Pipeline: Ransomware breitet sich zunehmend aus
Nach dem erfolgreichen Cyber-Angriff auf die Colonial Pipeline im zweiten Quartal 2021, rückte das Thema Ransomware stärker in den Fokus der US-Regierung. Aufgrund der politischen Intervention kündigten zwei der einflussreichsten Untergrundforen – XSS und Exploit – ein Werbeverbot für Ransomware an. Auch die DarkSide-Ransomware-Gruppe stellte ihre Aktivitäten sofort ein.
Da diese Reaktion zeitgleich mit dem Auftritt der BlackMatter-Gruppe einherging, geht McAfee Enterprise nicht von einem Zufall aus. Trotzdem konnten die Forscher von McAfee Enterprise einen Anstieg der DarkSide-Angriffe auf Rechtsdienstleistungen, Großhandel sowie Produktion feststellen.
Die Aktivitäten weiterer Ransomware-Gruppen – darunter Ryuk, REvil, Babuk und Cuba – nahmen ebenso besorgniserregende Ausmaße an. Diese Gruppen nutzen ein sogenanntes Affiliate-Modell: Durch die Beteiligung weiterer Akteure nutzen sie gemeinsame Zugangsvektoren und Angriffsmethoden und können sich unauffällig verbreiten. Tatsächlich machte REvil/Sodinokibi 73 Prozent der Top-10-Ransomware-Erkennungen im zweiten Quartal aus.
Cloud-Bedrohungen gefährden weiterhin flexible Arbeitsweisen
Auch im zweiten Quartal 2021 stehen Unternehmen vor Herausforderungen in Bezug auf Cloud-Sicherheit, um weiterhin flexibles Arbeiten zu ermöglichen und einen erhöhte Workload zu stemmen. Dadurch ergab sich für Cyber-Kriminelle eine größere Angriffsfläche. Laut den Untersuchungen waren im zweiten Quartal folgende Cloud-Bedrohungsziele und -vorfälle besonders stark vertreten:
- Finanzdienstleistungen waren das beliebteste Ziel für Cloud-Angriffe, gefolgt vom Gesundheitswesen, der Produktion und dem Einzelhandel.
- Angriffe auf Finanzdienstleistungen machten 50 Prozent der Vorfälle in den USA, Singapur, China, Frankreich, Kanada und Australien aus.
- Die meisten Cloud-Vorfälle wurden in den USA gemeldet – mit 52 Prozent ist der Anteil hier am größten, gefolgt von Indien, Australien, Kanada und Brasilien.
Die Ergebnisse basieren auf den Vorfallsberichten aus Deutschland, Großbritannien, den USA, Kanada, Mexiko, Brasilien, Australien, Japan, Singapur und Indien.
Weitere Erkenntnisse:
- Ransomware-Angriffe auf Behörden: In Q2 zielten Ransomware-Angriffe am häufigsten auf Regierungsbehörden ab, gefolgt von den Bereichen Telekommunikation, Energie sowie Medien und Kommunikation.
- Angriffsvektoren: Cyber-Kriminelle greifen am häufigsten auf Malware zurück. Spam-Vorfälle verzeichneten mit 250 Prozent von Q1 bis Q2 2021 den höchsten Anstieg von gemeldeten Vorfällen insgesamt, gefolgt von Malicious Script mit 125 Prozent und Malware mit 47 Prozent.
- Cyber-kriminelle Aktivitäten nach Branche: Die Anzahl der gemeldeten Cyber-Angriffe auf den öffentlichen Sektor stieg um 64 Prozent an. Darauf folgt die Unterhaltungsbranche mit einem Anstieg von 60 Prozent. Bemerkenswert ist, dass der Bereich Information/Kommunikation in Q2 2021 einen Rückgang von 50 Prozent verzeichnete, während die Anzahl der Vorfälle in der Produktion um 26 Prozent zurückging.
- Bedrohungslage nach Regionen: In Q2 stiegen cyber-kriminelle Aktivitäten vor allem in den USA und Europa an. In den USA wurden im zweiten Quartal die meisten Vorfälle gemeldet, gleichzeitig erlebte Europa mit 52 Prozent den größten Anstieg der gemeldeten Vorfälle.