[datensicherheit.de, 01.12.2023] Laut dem „Mimecast Global Threat Intelligence Report Q3 / 2023“ wurden bereits 97 Prozent aller Unternehmen Ziel von E-Mail-Phishing-Attacken – weiterhin beginnen demnach die meisten Angriffe mit einer E-Mail. Die Phishing-Angriffe im dritten Quartal 2023 hätten ich auf signifikante Zero-Day-Schwachstellen konzentriert, „gleichzeitig nahmen Impersonationsangriffe zu“ (Nachahmung). Am stärksten betroffen seien IT-Branche, Finanzdienstleister (insbesondere Banken) und Personalwesen. Ein gleichbleibend hohes Maß an Bedrohungsaktivitäten wurde laut Mimecast in den Sektoren Produktion, Logistik sowie Einzel- und Großhandel registriert.

Mimecast identifiziert viele neue Bedrohungen, bevor sie einer breiteren Öffentlichkeit bekanntwerden

Die Mimecast Ltd. hat nach eigenen Angaben am 30. November 2023 den „Mimecast Global Threat Intelligence Report“ für das 3. Quartal 2023 vorgestellt. Laut dieser Studie wurden zwei Drittel aller Unternehmen im vergangenen Jahr Opfer eines Ransomware-Angriffs und nahezu alle (97%) waren von Phishing-Angriffen per E-Mail betroffen. „Eine Mehrheit (76%) der Sicherheitsteams in Unternehmen weltweit rechnet mit schweren Angriffen, bei denen E-Mails als Angriffsvektor genutzt werden.“ Nahezu ebenso viele (72%) rechneten mit Attacken – „die ihren Ausgangspunkt in ,cloud’-basierter Kollaborationssoftware wie ,Teams’ oder ,Slack’ haben“.

Mimecast als Anbieter moderner E-Mail- und Collaboration-Sicherheitslösungen identifiziert viele neue Bedrohungen, „bevor sie einer breiteren Öffentlichkeit bekanntwerden“. Für die eigenen vierteljährlich erscheinenden „Threat Intelligence Reports“ werte man mehr als eine Milliarde E-Mails pro Tag aus. Die vorliegende Studie zeige die wichtigsten Erkenntnisse aus dem dritten Quartal 2023 und gebe Empfehlungen für den Schutz von Unternehmen aller Größen.

Mimecast meldet starken Anstieg bei Zero-Day-Angriffen und Infiltration von Clouds

Das dritte Quartal 2023 habe einen deutlichen Anstieg sogenannter Zero-Day-Bedrohungen gezeigt, wobei die Angreifer verstärkt auf „Cloud“-Plattformen und -Anwendungen abgezielt hätten. „Bekannte Schwachstellen betrafen Plattformen wie die verwaltete Datei-Übertragungsplattform ,MOVEit’. Neu hinzu kamen kritische Sicherheitslücken in den Open-Source-Grafikbibliotheken ,libvpx’ und ,libwebp’, die ,Google Chrome’, ,Mozilla Firefox’ und weitere Anwendungen gefährden könnten.“

Sogenanntes Credential-Phishing stehe im Fokus von E-Mail-Angriffen, wobei Angreifer neue Wege wie SQL-basiertes „Lateral Movement und Consent“-Phishing fänden, um die Sicherheitsmechanismen der drei großen Hyperscaler „Amazon Web Services“, „Google Cloud“ und „Microsoft Azure“ zu umgehen. Auch Versuche, Anmeldedaten über „cloud“-basierte Kollaborationssoftware zu stehlen, seien im dritten Quartal deutlich angestiegen. Auch bei „altmodischen“ Methoden in Form etwa schädlicher Dateianhänge, vor allem im pdf-Format und zunehmend auch in „Excel“ sei ein starker Anstieg verzeichnet worden.

Weitere Informationen zum Thema:

mimecast
Global Threat Intelligence Report / July-September 2023

Web-Applikationen zur Verarbeitung persönlicher Informationen oft nicht ausreichend vor Angriffen geschützt

[datensicherheit.de, 21.09.2023] CyCognito rät zu konsequentem Risikomanagement – „als Basis zum Priorisieren und Beheben wichtiger Schwachstellen in der externen Cyber-Angriffsfläche“. Dieser Empfehlung liegen Erkenntnisse aus einer aktuellen Studie zugrunde: Demnach gehören Web-Anwendungen zu den „größten Sicherheitsrisiken der externen Cyber-Angriffsfläche von Unternehmen“ – und seien trotzdem „viel zu oft nicht ausreichend geschützt“. Dies sei ein zentrales Ergebnis des vorliegenden „State of External Exposure Management Report“. Laut CyCognito wurden im Rahmen dieser Studie zwischen Juni 2022 und Mai 2023 3,5 Millionen über das Internet erreichbare „Assets“ wie Zertifikate, Domänen, Web-Server, API-Endpunkte und Web-Apps auf Schwachstellen untersucht. „Dabei wiesen 70 Prozent eklatante Sicherheitslücken auf, und knapp drei Viertel der Anwendungen, die persönliche Informationen (PII) wie Klarnamen, Mail-Adresse, Kontodaten oder Passnummern verarbeiten, waren mindestens einer gefährlichen und öffentlich bekannten – aber vom Unternehmen bisher nicht behobenen – Schwachstelle ausgesetzt.“ Zehn Prozent dieser Apps hätten sogar eine für Angreifer leicht auszunutzende Lücke enthalten.

Abbildung: CyCognito

CyCognito rät zu regelmäßigen Überprüfung und Analyse betroffener Assets im Sinne eines konsequenten Risikomanagements…

Web-Apps machen 22% der typischen externen Cyber-Angriffsfläche aus

Von der äußeren Cyber-Angriffsfläche gehe für Unternehmen ein hohes Risiko aus. Um dieses effektiv zu minimieren, empfiehlt der CyCognito-Report, „neben regelmäßigen Überprüfungen die betroffenen ,Assets’ im Sinne eines konsequenten Risikomanagements im individuellen Kontext zu betrachten und entsprechend einzustufen, anstatt ausschließlich auf allgemeine Bewertungssysteme wie das ,Common Vulnerability Scoring System’ (CVSS) zu setzen.“ Denn nicht jede Sicherheitslücke berge für jedes Unternehmen die gleiche Gefahr.

Web-Apps machten 22 Prozent der typischen externen Cyber-Angriffsfläche aus und mindestens 30 Prozent von ihnen enthielten Sicherheitslücken. „Web-Applikationen werden oft zur Kommunikation mit Endkunden genutzt und stellen somit ein lohnendes Ziel für Cyber-Angriffe dar.“ Denn solche Apps arbeiteten häufig mit wertvollen personenbezogenen Daten und seien nicht nur anfällig für Fehlkonfigurationen, sondern auch für Zero-Day-Exploits.

Dass das von diesen Anwendungen ausgehende Risiko stark unterschätzt werde, zeigten die Zahlen des Reports: „Fast ein Drittel der untersuchten Web-Apps nutzen für die Kommunikation kein HTTPS-Protokoll, 70 Prozent wurden nicht von einer ,Web Application Firewall’ (WAF) geschützt, und 25 Prozent nutzten weder HTTPS noch eine WAF.“

56% der kritischen und hochsensiblen Schwachstellen über Web-Assets in Unterorganisationen

Die durch mit dem Internet verbundene „Assets“ entstehende äußere Cyber-Angriffsfläche von Unternehmen sei dynamisch und ständigen Änderungen unterworfen. Eine große Fluktuation aktiver und genutzter „Assets“ von etwa zehn Prozent im Monat erschwere es Unternehmen, einen Überblick zu behalten und die Bedrohungslage realistisch einzuschätzen.

„So ging ein Unternehmen von einem jährlichen Wachstum seiner äußeren Cyber-Angriffsfläche von drei Prozent aus, tatsächlich waren es 20 Prozent.“ Erschwert würden der Überblick und ein effektives Risikomanagement außerdem mit der Anzahl angegliederter Tochtergesellschaften:

„So fand eine frühere Studie von CyCognito heraus, dass 56 Prozent der kritischen und hochsensiblen Schwachstellen in der äußeren Angriffsfläche über ,Assets’ in Unterorganisationen entstehen.“

Individuellen Kontext beachten: Vor allem Web-Apps für Angreifer lohnendes Ziel

Um ein Risikomanagement der externen Cyber-Angriffsfläche auch unter komplexen Voraussetzungen möglichst effizient betreiben zu können, soll die Studie „CI(S)Os“ einige Empfehlungen an die Hand geben. So sollten Security-Teams nicht nur besonders gefährdete „Assets“ priorisieren, sondern untersuchen, welche bekannten Sicherheitslücken im unternehmenseigenen Kontext möglicherweise gar nicht so schwer wiegen – und die betroffenen „Assets“ entsprechend depriorisieren. Denn nicht immer seien die von offiziellen Standards wie CVSS bewerteten Schwachstellen für die eigene Organisation tatsächlich so gravierend, wie der offizielle Score vermuten lasse.

Der „State of External Exposure Management Report“ zeigt laut CyCognito: „Von den ,Assets’, die in einen Kontext gesetzt wurden, der unter anderem auch Verhaltensmuster von Angreifern berücksichtigt, konnten 35 Prozent trotz eines hohen CVSS-Scores als weniger kritisch eingestuft werden.“ Eine klare Priorisierung helfe Unternehmen, mit ihren begrenzten IT-Sicherheitsressourcen hauszuhalten und ihre individuell bedeutendsten Schwachstellen zuerst schließen zu können.

„Die externe Angriffsfläche eines Unternehmens verändert sich ständig, und diese Fluktuationen machen ein effektives Risikomanagement zu einer enormen Herausforderung“, betont Dr. Georg Hess, „Regional Sales Director“ bei CyCognito, in seiner Stellungnahme. Er warnt: „Vor allem Web-Apps sind für Angreifer ein lohnendes und oftmals einfach auszunutzendes Ziel.“ Um zu verhindern, dass sie zum Einfallstor werden können, sollten Organisationen neben regelmäßigen Tests auch eine individuelle, kontextbezogene Bewertung bekannter Schwachstellen für die eigenen IT-Systeme vornehmen – idealerweise unterstützt von einer zentralen Plattform, welche mit umfassenden Automatisierungskapazitäten Risiken aufdeckt und konsequent priorisiert.

Weitere Informationen zum Thema:

CYCOGNITO
Web Apps are Leaving PII Exposed
State of External Exposure Management Report

Jeder vierte Cyber-Angriff auf Gesundheitseinrichtungen mit ernsthaften Auswirkungen für Patienten

[datensicherheit.de, 04.09.2023] 78 Prozent der Einrichtungen weltweit waren 2022 laut der „Global Healthcare Cybersecurity Study 2023“ von Claroty Opfer von Beeinträchtigungen ihrer Cyber-Sicherheit: „Drei von vier Gesundheitseinrichtungen in Deutschland (73%) wurden im letzten Jahr zum Opfer von Cyber-Vorfällen. Dabei waren ,nur’ in jedem zweiten Fall die jeweiligen IT-Systeme betroffen.“ Die Mehrzahl der Vorfälle (57%) betraf demnach cyber-physische Systeme (CPS) – wie vernetze medizinische Geräte oder die Gebäudetechnik. Für den zugrundeliegenden Report wurden laut Claroty weltweit insgesamt 1.100 Fachkräfte aus den Bereichen Cyber-Sicherheit, Technik, IT und Netzwerke in Gesundheitseinrichtungen befragt.

Abbildung: Claroty

Claroty gab Umfrage unter Gesundheitsdienstleistern, Krankenhäusern und Kliniken in Nordamerika (500), Südamerika (100), APAC (250) und Europa (250) in Auftrag

Gesundheitseinrichtungen stehen vor zahlreichen Herausforderungen

Die sogenannte Healthcare-Branche habe im Bereich der Cyber-Sicherheit mit vielen Herausforderungen zu kämpfen – schnell wachsende Angriffsflächen, veraltete Technologien, Budgetbeschränkungen und ein globaler Mangel an Cyber-Fachkräften.

Claroty-Studie zeigt, dass das Gesundheitswesen volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden benötigt

Yaniv Vardi, „CEO“ von Claroty, kommentiert: „Unsere Studie zeigt, dass das Gesundheitswesen die volle Unterstützung der Cyber-Industrie und der Aufsichtsbehörden braucht, um medizinische Geräte vor den wachsenden Bedrohungen zu schützen und so die Sicherheit der Patienten zu gewährleisten!“ Der vorliegende Report beleuchte dabei die Erfahrungen der Sicherheitsverantwortlichen mit Cybersecurity-Vorfällen im vergangenen Jahr, den aktuellen Stand ihrer Sicherheitsanstrengungen sowie ihre zukünftigen Prioritäten.

Die wichtigsten Ergebnisse der weltweiten Erhebung zur Cyber-Sicherheit im Gesundheitswesen:

• 78 Prozent der Befragten hätten 2022 mindestens einen Cybersecurity-Vorfall verzeichnet (Deutschland: 73%).
• In 30 Prozent der Fälle weltweit seien sensible Daten wie geschützte Gesundheitsinformationen (PHI) betroffen gewesen (Deutschland: 23 %).
• 60 Prozent der Vorfälle weltweit hätten moderate oder erhebliche Auswirkungen auf die Patientenversorgung gehabt, weitere 15 Prozent ernsthafte Auswirkungen, welche die Gesundheit und Sicherheit der Patienten gefährdeten. In Deutschland seien zwar mit 33 Prozent die moderaten bis erheblichen Auswirkungen deutlich geringer, dafür jedoch die Anzahl der Vorfälle mit ernsthaften Auswirkungen deutlich höher (27%).
• 20 Prozent der von Ransomware betroffenen Einrichtungen in Deutschland hätten das geforderte Lösegeld gezahlt (weltweit 26%).
• Weltweit trieben vor allem gesetzgeberische Maßnahmen die Cyber-Sicherheit im Gesundheitswesen voran: 44 Prozent der Befragten sähen in ihnen den größten externen Einfluss auf die eigene Cybersecurity-Strategie.
• Weltweit orientierten sich Sicherheitsverantwortliche am stärksten am „NIST Cybersecurity Framework“ (zu 38%, in Deutschland: 30%). Während das „HITRUST Cybersecurity Framework“ global mit 38 Prozent ebenfalls bedeutend sei, spiele es in Deutschland eine eher untergeordnete Rolle (17%). Hier setze ein Drittel (33%) vor allem auf die „CISA CPGs“.

Mangel an Cyber-Fachkräften auch im Gesundheitssektor offensichtlich

Diese Studie habe zudem gezeigt, dass der Mangel an Cyber-Fachkräften auch im Gesundheitssektor nach wie vor eine der größten Herausforderungen sei: Jede zweite Einrichtung (53 ) in Deutschland sei auf der Suche nach neuen Mitarbeitern für den Bereich Cyber-Sicherheit. Dabei hätten 70 Prozent der Befragten Schwierigkeiten bei der Rekrutierung des geeigneten Personals.

Weitere Informationen zum Thema:

Claroty
The Global Healthcare Cybersecurity Study 2023 / Priorities and challenges amid escalating cyber-physical connectivity

KnowBe4 hat globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht

[datensicherheit.de, 15.07.2023] KnowBe4 hat seinen globalen Phishing-Bericht für das zweite Quartal 2023 veröffentlicht – eine Kernaussage ist demnach, „dass HR-bezogene E-Mail-Themen als Phishing-Strategie genutzt werden und 50 Prozent der Top-E-Mail-Themen ausmachen“.

Foto: KnowBe4

Stu Sjouwerman rät dringend, Mitarbeiter über die häufigsten Cyber-Angriffe und Bedrohungen aufzuklären

Phishing-E-Mails laut KnowBe4 nach wie vor eine der gängigsten Methoden für böswillige Angriffe

KnowBe4 hat die aktuellen Erkenntnisse aus seinem Top-Clicked-Phishing-Report für das zweite Quartal 2023 bekanntgegeben. Die Ergebnisse umfassten die wichtigsten E-Mail-Themen, „die in Phishing-Tests angeklickt wurden“, und spiegelten die Verwendung von geschäftsbezogenen HR-Nachrichten wider, welche das Interesse der Mitarbeiter wecken und sie potenziell beeinflussen könnten.

Phishing-E-Mails seien nach wie vor eine der gängigsten Methoden, um böswillige Angriffe auf Unternehmen auf der ganzen Welt zu verüben. Cyber-Kriminelle verfeinerten ihre Strategien ständig, um mit den Markttrends Schritt zu halten und Endbenutzer und Unternehmen zu überlisten, indem sie realistische und glaubwürdige Phishing-E-Mails erstellten.

Sie nutzten Emotionen aus und zielten darauf ab, Verzweiflung, Verwirrung, Panik oder sogar Aufregung zu verursachen, um jemanden dazu zu verleiten, auf einen Phishing-Link oder einen bösartigen Anhang zu klicken. Tatsächlich habe der „KnowBe4 Phishing by Industry Benchmarking Report 2023“ ergeben, „dass fast jeder dritte Benutzer auf einen verdächtigen Link klickt oder einer betrügerischen Aufforderung nachkommt“.

Phishing-E-Mails: Von KnowBe4 aufgedeckter Trend besonders besorgniserregend

Die Phishing-Taktiken änderten sich mit dem zunehmenden Trend, „dass Cyber-Kriminelle E-Mail-Themen verwenden, die von der Personalabteilung stammen und sich auf Änderungen der Kleiderordnung, Schulungsbenachrichtigungen, Urlaubsaktualisierungen und mehr beziehen“. Diese seien effektiv, weil sie eine Person dazu brächten, zu reagieren, „bevor sie logisch über die Legitimität der E-Mail nachdenken, und haben das Potenzial, das Privatleben und den beruflichen Alltag eines Mitarbeiters zu beeinträchtigen“.

Phishing-E-Mails mit Urlaubsbezug seien auch in diesem Quartal eingesetzt worden, wobei vier der fünf häufigsten Urlaubs-E-Mails von der Personalabteilung zu stammen schienen. „Anreize, die sich auf nationale Feiertage, Feiertage und Terminänderungen beziehen, wurden als Köder für ahnungslose Endbenutzer verwendet.“ Darüber hinaus spiegele der Bericht den anhaltenden Trend wider, IT- und Online-Service-Benachrichtigungen sowie steuerbezogene E-Mail-Themen zu verwenden.

„Die Bedrohung durch Phishing-E-Mails ist so hoch wie eh und je, da Cyber-Kriminelle ihre Nachrichten immer raffinierter und scheinbar glaubwürdiger gestalten“, erläutert Stu Sjouwerman, „CEO“ von KnowBe4. Er führt aus: „Der im Q2-Phishing-Bericht aufgedeckte Trend bei Phishing-E-Mails ist besonders besorgniserregend, da 50 Prozent dieser E-Mails von der Personalabteilung zu kommen scheinen – einer vertrauenswürdigen und wichtigen Abteilung vieler, wenn nicht aller Unternehmen.“ Diese getarnten E-Mails nutzten das Vertrauen der Mitarbeiter aus und regten in der Regel zu Handlungen an, welche für das gesamte Unternehmen katastrophale Folgen haben könnten. Sjouwerman abschließend: „Um Phishing und bösartige E-Mails zu bekämpfen, ist es wichtig, die Mitarbeiter über die häufigsten Cyber-Angriffe und Bedrohungen aufzuklären.“ Eine gut ausgebildete Belegschaft sei die beste Verteidigung für ein Unternehmen und unerlässlich für die Förderung und Aufrechterhaltung einer starken Sicherheitskultur.

Weitere Informationen zum Thema:

KnowBe4
TOP CLICKED PHISHING TESTS

KnowBe4
2023 Phishing Benchmarking Analysis Center

Detlef Schmuck kommentiert Datenschutzreport 2022/23 von TeamDrive

[datensicherheit.de, 22.09.2022] Das Datenschutzniveau in Deutschland sei „viel zu niedrig“, meinten 37 Prozent der Deutschen. Indes: Ganz im Gegenteil, urteilten 35 Prozent, welche es als „viel zu hoch“ einstuften. Diese konträren Ergebnisse hat demnach der „Datenschutzreport 2022/23“ ans Licht gebracht, der nach eigenen Angaben auf einer aktuellen Umfrage des Hamburger Hochsicherheits-Datendienstleisters TeamDrive GmbH beruht.

Foto: TeamDrive Systems GmbH

Detlef Schmuck: Ein Witz, dass man auf jeder Website die Datenschutzbestimmungen wegklicken muss, bevor man zum Inhalt kommt…

Die meisten Befragten befürworten Datenschutz, halten heutige Gesetzgebung aber nicht als dafür geeignet

Detlef Schmuck, Studienleiter, erklärt das auf den ersten Blick paradoxe Meinungsspektrum so: „Die meisten Menschen wollen, dass ihre persönlichen Daten geschützt werden. Aber sie glauben nicht, dass die heutige Gesetzgebung dafür geeignet ist.“

Er gibt ein Beispiel: „Es wirkt wie ein Witz, dass man auf jeder Website die Datenschutzbestimmungen wegklicken muss, bevor man zum Inhalt kommt. Niemand kann ernsthaft erwarten, dass man jedes Mal die juristischen Erklärungen liest. Es ist diese Art von Pseudo-Datenschutz, die viele Menschen frustriert.“

So sei es kaum verwunderlich, dass laut Umfrage lediglich zwölf Prozent das aktuelle Datenschutzniveau als „genau richtig“ einstuften.

Mit Datenschutz verbundener bürokratische Aufwand könnte Privatsphäre konterkarieren

Zwei Drittel der Befragten bezeichneten die Wahrung ihrer Privatsphäre in der digitalen Welt als ein „wichtiges Rechtsgut für uns alle“. Schmuck kommentiert die Umfrageergebnisse: „Das Gros der Bevölkerung will sich weder vor staatlichen Stellen noch vor der werbetreibenden Wirtschaft digital nackt machen. Aber es herrscht das Gefühl vor, dass der mit dem Datenschutz verbundene bürokratische Aufwand letztendlich gar nicht zu mehr Privatsphäre führt.“

Er verweist darauf, dass satte 60 Prozent der Befragten die geltende Datenschutz-Grundverordnung als „Bürokratiemonster“ verurteilten.

Schmuck möchte einen Weg aus diesem Dilemma weisen: „Der Datenschutz muss so implementiert werden, dass er funktioniert, ohne dass sich der Nutzer darum zu kümmern hat. So wünschen sich beispielsweise viele Menschen, dass ihr Einverständnis mit dem Datenschutz einer Website beinhaltet, dass dieses dauerhaft oder jedenfalls für längere Zeit gilt, statt jedes Mal aufs Neue per Klick zustimmen zu müssen.“ Es gelte der Grundsatz: „Die Technologie dahinter mag noch so komplex sein, aus Nutzersicht hat alles so einfach wie möglich zu erscheinen.“

Richtig und wichtig: EU-weiter Datenschutz

Immerhin halte knapp die Hälfte (48 Prozent) die Schaffung eines einheitlichen Datenschutzstandards in den Ländern der europäischen Union für „richtig und wichtig“. Lediglich ein gutes Zehntel lehne diese Vereinheitlichung ab. 44 Prozent unterstützten ausdrücklich die Schaffung eines EU-weiten Datenraums, also einer länderübergreifenden „EU-Cloud“, die per se dem hohen Schutzniveau der Europäischen Union entspreche.

„Eine gesicherte Umgebung, in der man sich darauf verlassen kann, dass dem Schutz der Privatsphäre eine hohe Priorität eingeräumt wird, wäre von hohem Nutzen“, erläutert Schmuck und warnt zugleich:

„Die jüngsten Bemühungen der EU-Kommission zielen allerdings eher darauf ab, den europäischen Behörden Zugang zur digitalen Privatsphäre zu verschaffen. In diesem Fall wäre ein europäischer Datenraum geradezu eine Verhöhnung des Wunsches nach Privatheit in der digitalen Welt.“

[datensicherheit.de, 03.08.2022] Nicht mit einer Unternehmensdomain verbundene Geräte sind offensichtlich eine potenzielle Schwachstelle in der Sicherheitsarchitektur der betreffenden Unternehmen. „Unsichtbare Geräte schaffen erhebliche blinde Flecken, die IT-Abteilungen hilflos machen können, um gegen einen Sicherheitsvorfall vorzugehen, bis es bereits zu spät ist“, warnt Absolute Software in einer aktuellen Stellungnahme und erörtert dieses Phänomen. Eine neue Absolute-Studie hat demnach aufgedeckt, dass 13 Prozent der Unternehmensgeräte derzeit nicht mit einer Unternehmensdomain verbunden sind. Dies mache das Potenzial für einen Sicherheitsvorfall zu einer ernüchternden Realität. „Wenn die IT-Abteilung keinen Einblick in 100 Prozent der Unternehmensgeräte hat, können sensible Daten ohne das Wissen des Unternehmens in Umlauf gebracht werden.“

Absolute Software rät zur Sichtbarkeit – Hilfe bei Identifizierung gefährdeter Endgeräte erforderlich

Die Aufrechterhaltung der Sichtbarkeit aller Unternehmensgeräte sei für den Schutz der Unternehmensdaten unerlässlich, „insbesondere bei einer beträchtlichen Anzahl von Endpunkten, die außerhalb des geschützten Netzwerks eines Unternehmens verwendet werden“.

„Cybersecurity Insiders“ habe berichtet, dass 60 Prozent der befragten Unternehmen weniger als 75 Prozent der in ihrem Netzwerk vorhandenen Geräte kennen würden. „Nur 58 Prozent der Unternehmen bestätigen, dass sie alle gefährdeten Geräte in ihrem Unternehmen innerhalb von 24 Stunden nach einem Einbruch identifizieren könnten.“ Weitere neun Prozent schätzten, dass sie bis zu einer Woche oder länger brauchen würden, um gefährdete Geräte zu überprüfen.

Absolute Software erinnert: Sicherheit des Unternehmens nur so stark wie schwächstes Glied

Laut Absolute Software ist es von entscheidender Bedeutung, dass Unternehmen solche Geräte ausfindig machen können, um sicherzustellen, dass sie mit der Unternehmensdomain verbunden sind. „All dies macht deutlich, dass die Sicherheit eines Unternehmens nur so stark ist wie sein schwächstes Glied.“ Jeder Versuch, einen Endpunkt mit einer Sicherheitsanwendung zu verstärken, sei nur dann wirksam, „wenn er betriebsbereit bleibt und wie vorgesehen funktioniert“.

Sichtbarkeit sei somit unbedingt erforderlich, um proaktiv gegen potenzielle Bedrohungen der Cyber-Sicherheit vorgehen zu können. „Angriffe, die menschliches Versagen ausnutzen, um Kontrollen zu umgehen und Sicherheitsanwendungen zu deaktivieren, könnten sich auf einem unsichtbaren Unternehmensgerät, von dem die IT-Abteilung nichts weiß, als besonders verheerend erweisen.“

Sichtbarkeit laut Absolute Software Teil von Zero Trust

Sogenannte Zero-Trust-Lösungen gewinnen nach Erkenntnissen von Absolute Software in globalen Unternehmen zunehmend an Bedeutung und sind weit verbreitet. „Dies geschieht, um Mitarbeiter zu schützen, die von überall aus arbeiten können, und um die Sicherheit wertvoller Daten zu gewährleisten.“ Eine sorgfältig umgesetzte Zero-Trust-Strategie erfordere die vollständige Sichtbarkeit und Überprüfung jedes einzelnen mit dem Unternehmensnetzwerk verbundenen Geräts.

Eine umfassende Zero-Trust-Strategie umfasse jedoch mehr als nur die Überprüfung der kontextbezogenen Identität von Netzwerkverbindungen: „Sie erfordert nach Meinung von Absolute Software eine moderne Form der Endpunktsicherheit.“ Die Sichtbarkeit aller Endpunkte sei die erste Voraussetzung, um die Widerstandsfähigkeit und den betriebsbereiten Zustand von Anwendungen zu gewährleisten.

Weitere Informationen zum Thema:

ABSOLUTE
The Value of Zero Trust in a WFA World

[datensicherheit.de, 02.06.2022] Die Proofpoint Inc. hat nach eigenen Angaben am 2. Juni 2022 den „Der Faktor Mensch 2022“-Report veröffentlicht. Diese Studie untersucht demnach die drei wesentlichen Aspekte, anhand derer das Cyber-Risiko für IT-Nutzer quantifiziert werden kann: Verwundbarkeit, gezielte Angriffsarten und Zugriffsprivilegien. Im Bericht finden sich laut Proofpoint auch zahlreiche Beispiele dafür, welche Kreativität Cyber-Kriminelle an den Tag legen, um Menschen in die Falle zu locken.

Report 2022 befasst sich eingehend mit Risiken für Anwender

„Der Faktor Mensch 2022“-Bericht befasse sich eingehend mit den Risiken für Anwender und stütze sich dabei auf Daten und Erkenntnisse aus einem Jahr Cybersecurity-Forschung. Dabei handele es sich um Informationen zu erkannten, entschärften und behobenen Cyber-Bedrohungen, welche in ihrer Gesamtheit einen der größten Datensätze zur Cyber-Sicherheit bildeten.

„Auch nach einem turbulenten Jahr mit einer langsamen Rückkehr zur Normalität nehmen Cyber-Kriminelle weiterhin Menschen ins Visier und nutzen deren Schwächen aus“, berichtet Ryan Kalember, „EVP of Cybersecurity Strategy“ bei Proofpoint:

„Letztes Jahr haben die Angreifer gezeigt, wie skrupellos sie tatsächlich sind. Das macht den Schutz der Mitarbeiter vor Cyber-Bedrohungen zu einer ständigen Herausforderung für Unternehmen und hat so manchen die Augen für die Gefahren im ,Cyberspace‘ geöffnet.“

Report stützt sich auf mehrere Trillionen Datenpunkte

Der Report stütze sich auf mehrere Trillionen Datenpunkte, folglich einen der größten Datensätze im Bereich Cyber-Sicherheit.

Jeden Tag analysiere Proofpoint mehr als 2,6 Milliarden E-Mail-Nachrichten, 49 Milliarden URLs, 1,9 Milliarden Dateianhänge, 28,2 Millionen „Cloud“-Konten, 1,7 Milliarden Nachrichten auf Mobilgeräten und vieles mehr.

Der vorliegende Bericht analysiere die im Jahr 2021 gesammelten Daten und untersuche die Art der heutigen Cyber-Bedrohungen. Sicherheitsverantwortlichen biete er praktisch relevante Einblicke, um Mitarbeiter vor Angreifern schützen zu können.

Wichtigste Erkenntnisse des Reports „Der Faktor Mensch 2022“:

Cyber-krimineller Fokus auf das Smartphone
Cyber-Kriminelle fokussierten sich auf das Smartphone als Schlüssel zum privaten und beruflichen Leben der Menschen. In den USA hätten sich die sogenannten Smishing-Versuche (Angriffe über SMS) im Laufe des Jahres mehr als verdoppelt. In Großbritannien hätten Cyber-Kriminellen dabei in mehr als 50 Prozent der Fälle Lieferbenachrichtigungen als Köder eingesetzt. Darüber hinaus hätten Cyber-Kriminelle mehr als 100.000 Angriffe per Telefon pro Tag verübt.

Nutzer vieler Privilegien überproportional stark betroffen
Nutzer mit vielen Privilegien seien überproportional stark betroffen. Manager und Führungskräfte machten im Durchschnitt nur zehn Prozent der Gesamtnutzer in Unternehmen aus, auf sie entfielen aber fast 50 Prozent aller Angriffe.

Gut 80% der Unternehmen jeden Monat von kompromittiertem Lieferanten-Konto aus angegriffen
Über 80 Prozent aller Unternehmen würden jeden Monat von einem kompromittierten Konto eines Lieferanten aus angegriffen. Schulungen zum Sicherheitsbewusstsein, welche sich auf Bedrohungen in der Lieferkette konzentrieren, seien für Unternehmen daher von entscheidender Bedeutung.

Microsoft OneDrive und Google Drive am häufigsten missbraucht
„Microsoft OneDrive“ und „Google Drive“ würden von allen legitimen „Cloud“-Plattformen am häufigsten von Cyber-Kriminellen missbraucht. Letztes Jahr, 2021, sei es bei 35 Prozent der „Cloud“-Accounts mit festgestellter verdächtiger Anmeldung in der Folge zu dubiosen Dateiaktivitäten gekommen. Dies zeige, dass auf Privilegien basierende Risiken in dem Maße wüchsen, wie Unternehmen die „Cloud“ nutzen. Im Durchschnitt sei bei etwa zehn Prozent der Unternehmen mindestens eine aktive bösartige Anwendung in ihrer Umgebung festgestellt worden, welche zuvor autorisiert worden sei.

Enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern
Die enge Verbindung zwischen Malware-Gruppen und Ransomware-Betreibern bestehe nach wie vor. Zwischen dem 1. Januar und dem 31. Dezember 2021 seien mehr als 20 Millionen Nachrichten versendet worden, deren Ziel es gewesen sei, Malware in Verbindung mit einem möglichen Ransomware-Angriff zu verbreiten.

Cyber-Kriminelle missbrauchen Popkultur
Cyber-Kriminelle machten sich die Popkultur zunutze. So hätten Angreifer im Jahr 2021 bekannte Persönlichkeiten wie Justin Bieber und „The Weeknd“ sowie die Netflix-Serie „Squid Game“ für ihre Köder ausgenutzt. Im Oktober 2021 hätten Cyber-Kriminelle E-Mails mit dem Thema „Squid Game“ an Opfer in den USA verschickt und einen frühzeitigen Zugang zur nächsten Staffel oder sogar die Möglichkeit, in künftigen Folgen mitzuspielen, versprochen.

Weltweite Konflikte als Aufhänger
Angreifer nutzten weiterhin weltweite Konflikte aus. Anfang dieses Jahres, 2022, hätten Cyber-Kriminelle und APT-Gruppen, welche mit staatlichen Stellen in Verbindung gebracht würden, auf den Einmarsch Russlands in die Ukraine reagiert. Im Rahmen dieser Aktivitäten habe Proofpoint die zerstörerische „Wiper“-Malware beobachten können, welche gegen ukrainische Organisationen und wichtige Kommunikationsinfrastrukturen eingesetzt worden sei. Zudem habe Proofpoint Aktivitäten von mit Belarus und China verbündeten Akteuren festgestellt, welche speziell auf europäische, für Asylprozesse und andere Hilfsmaßnahmen zuständige Regierungsorganisationen abzielten.

Der vollständige „Der Faktor Mensch 2022“-Bericht von Proofpoint steht zum Download bereit. Die Ergebnisse des diesjährigen Reports sollen auch von zwei Proofpoint-Experten am 15. Juni 2022 um 11 Uhr (MEZ) in einem Web-Seminar erörtert werden.

Weitere Informationen zum Thema:

proofpoint
Threat Report / Der Faktor Mensch 2022

proofpoint
15. Juni | 11:00 CEST / Der Faktor Mensch 2022: Personenzentrierte Cybersicherheit vor dem Hintergrund zunehmender Anwenderrisiken

Laut NETSCOUT Threat Intelligence Report im ersten Halbjahr 2021 rund 46.000 Angriffe auf die Konnektivitätskette

[datensicherheit.de, 25.10.2021] Im aktuellen „NETSCOUT Threat Intelligence Report“ werden nach eigenen Angaben im ersten Halbjahr 2021 rund 46.000 Angriffe auf die sogenannte Konnektivitätskette gemeldet: Cyber-Kriminelle konzentrierten ihre Aktivitäten auf wichtige Komponenten des Internetbetriebs wie DNS-Server, Konzentratoren und Dienste für VPNs sowie Internet-Exchanges.

Foto: NETSCOUT

Christian Syrbe: Wachsamkeit geboten, denn Angreifer könnten mit cleverer Innovation überraschen…

Eine Konnektivitätskette über das Internet hinweg

„Obwohl man in der Regel davon ausgeht, dass Cyber-Angriffe auf einzelne und ausgewählte Unternehmen, Dienstleister oder Organisationen in bestimmten öffentlichen Sektoren abzielen, deckt das nicht das gesamte Interesse der Angreifer ab. Mittlerweile werden vermehrt technologische Artefakte wie Cloud-Hosting Software-as-a-Service gezielt angegriffen, die beispielsweise erst online Cloud-Computing ermöglichen“, berichtet Christian Syrbe, „Chief Solutions Architect“ bei NETSCOUT. Das Ganze könne man sich also wie eine Konnektivitätskette über das Internet hinweg vorstellen. Werde nur ein Glied in der Kette angegriffen, sei die gesamte Kette in Gefahr.

Meistens Attacken im zweiten Glied der Konnektivitätskette

Die meisten Attacken würden im zweiten Glied der Kette – also den VPNs – festgestellt. „Gelingt ein Angriff, werden Nutzer gänzlich von ihren Online-Ressourcen getrennt und Sicherheitsteams werden gleichzeitig daran gehindert, überhaupt auf Angriffe zu reagieren. Selbst wenn der Angriff die Komponente nicht vollständig lahmlegt, betreffen diese Dienste Hunderttausende, wenn nicht Millionen von Verbrauchern und sind das Tor zu allem, was wir online tun.“ Glücklicherweise seien genau diese Dienste meist gut geschützt, wie aus den DDoS-Erpressungskampagnen von „LBA“ und „Fancy Lazarus“ zu entnehmen ist, welche auf VPNs von Unternehmen wie zum Beispiel DNS-Server von ISPs abgezielt hätten.

Ziele in der Konnektivitätskette lahmzulegen verursacht umfangreiche Kollateralschäden

Doch trotz der bisherigen Erfolge bei der Verteidigung dieser Dienste sei es wichtig zu berücksichtigen, dass Angreifer oft versuchten, Ziele lahmzulegen, welche umfangreiche Kollateralschäden verursachen könnten. Syrbe betont: „Deswegen ist Wachsamkeit geboten, denn eine clevere Innovation der Angreifer kann das Blatt schon wieder wenden.“

Weitere Informationen zum Thema:

NETSCOUT
Issue 7: Findings from 1H 2021 / NETSCOUT Threat Intelligence Report

[datensicherheit.de, 19.10.2021] Check Point Research (CPR), die Sicherheitsforscher der Check Point® Software Technologies Ltd., hat nach eigenen Angaben den „Q3 Brand Phishing Report“ veröffentlicht, welcher demnach die führenden Marken in den Monaten Juli, August und September 2021 aufzeigt, „die von Hackern imitiert wurden, um Menschen zur Preisgabe persönlicher Daten zu verleiten“.

Check Point: amazon hat DHL vom zweiten Platz verdrängt

Im dritten Quartal 2021 sei Microsoft weiterhin die Marke gewesen, welche am häufigsten von Cyber-Kriminellen zur Täuschung genutzt worden sei, wenn auch mit einer etwas geringeren Rate: „29 Prozent aller Marken-Phishing-Versuche bezogen sich auf den Technologieriesen, ein Rückgang gegenüber 45 Prozent im 2. Quartal 2021, da die Betrüger während der ,COVID-19-Pandemie‘ weiterhin auf anfällige, verteilte Belegschaften abzielen.“
amazon habe DHL mit 13 Prozent aller Phishing-Versuche (gegenüber elf Prozent im Vorquartal) vom zweiten Platz verdrängt, da die Kriminellen das Online-Shopping im Vorfeld der Weihnachtszeit ausnutzen wollten. Der Bericht zeige auch, dass „Social Media“ in diesem Jahr – 2021 – zum ersten Mal unter den drei wichtigsten Sektoren gewesen sei, „die bei Phishing-Versuchen nachgeahmt wurden“. Dabei tauchten WhatsApp, LinkedIn und facebook alle in der „Top 10“-Liste der am häufigsten nachgeahmten Marken auf.

Soziale Kanäle laut Check Point eine der drei wichtigsten Kategorien, welche von Cyber-Kriminellen ausgenutzt werden

„Cyber-Kriminelle arbeiten beständig daran, persönliche Daten von Menschen zu stehlen, indem sie sich als führende Marken bzw. Unternehmen ausgeben. Zum ersten Mal in diesem Jahr sind Soziale Kanäle eine der drei wichtigsten Kategorien, die von Cyber-Kriminellen ausgenutzt werden. Sie versuchen, die steigende Anzahl von Menschen, die im Zuge der Pandemie aus der Ferne arbeiten und kommunizieren, für sich einzuspannen“, erläutert Omer Dembinsky, „Data Research Group Manager“ bei Check Point Software.
Leider könnten diese Marken nur sehr wenig zur Bekämpfung von Phishing-Versuchen beitragen. Oft sei es das menschliche Element, das eine falsch geschriebene Domain, ein falsches Datum oder ein anderes verdächtiges Detail in einem Text oder einer E-Mail nicht erkenne. Dembinsky: „Wie immer empfehlen wir unseren Nutzern, bei der Preisgabe ihrer Daten vorsichtig zu sein. Sie sollten zweimal nachdenken, bevor sie E-Mail-Anhänge oder Links öffnen, insbesondere bei E-Mails, die vorgeben, von Unternehmen wie Amazon, Microsoft oder DHL zu stammen. Diese Marken werden am ehesten nachgeahmt. In Anlehnung an die Daten aus dem 3. Quartal möchten wir die Nutzer auch dazu auffordern, bei E-Mails oder anderen Mitteilungen, die scheinbar von Social-Media-Kanälen wie facebook oder WhatsApp stammen, wachsam zu sein.“

Microsoft laut Check Point auf Platz 1

Bei einem Marken-Phishing-Angriff versuchten Kriminelle, die offizielle Website einer bekannten Marke zu imitieren, „indem sie einen ähnlichen Domainnamen oder eine ähnliche URL und ein ähnliches Design wie die echte Website verwenden“. Der Link zur gefälschten Website könne per E-Mail oder Textnachricht an die Zielpersonen geschickt werden, ein Benutzer könne während des Surfens im Internet umgeleitet werden, oder er könne von einer betrügerischen mobilen Anwendung ausgelöst werden. Die gefälschte Website enthalte oft ein Formular, mit dem die Anmeldedaten, Zahlungsdaten oder andere persönliche Informationen der Nutzer gestohlen werden sollten.
Die am häufigsten imitierten Marken im 3. Quartal 2021 (im Folgenden seien die Top-Marken nach ihrem Gesamtauftritt bei Phishing-Versuchen aufgelistet):

• Microsoft (in Verbindung mit 29% aller Phishing-Angriffe weltweit)
• amazon (13%)
• DHL (9%)
• BEST BUY (8%)
• Google (6%)
• WhatsApp (3%)
• NETFLIX (2,6%)
• LinkedIn (2,5%)
• PayPal (2,3%)
• facebook (2,2%)

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Social Now Among Top Three Sectors to be Imitated in Phishing Attempts in Q3 2021

datensicherheit.de, 12.10.2021
Phishing-Attacken: Cyber-Kriminelle missbrauchen Banken als Köder / Christine Schönig warnt vor Phishing-Gefahr durch Smartphones und Unachtsamkeit

datensicherheit.de, 09.12.2020
Cybereason: Neue Malware missbraucht facebook und Dropbox / Bislang unbekannte Malware-Varianten im Nahen Osten für Spionage eingesetzt

datensicherheit.de, 07.12.2020
Missbrauchte Lieferdienste: Phishing-Attacken nutzen Hochkonjunktur des Versandhandels / Kriminelle geben sich in Phishing-E-Mails gerne als DHL aus und locken Nutzer auf ihre gefälschten Webseiten

[datensicherheit.de, 26.08.2021] Im Rahmen der Verpflichtung, Ransomware-Angriffe zu stoppen, führt die „Unit 42“ von Palo Alto Networks nach eigenen Angaben sogenannte Ransomware-Jagdaktionen durch, um sicherzustellen, dass Kunden vor neuen und sich entwickelnden Ransomware-Varianten geschützt werden können. Demnach werden die Aktivitäten bestehender Gruppen überwacht, Leak-Sites im Darkweb und „Fresh-Onion-Sites“ gesucht, aufstrebende Akteure identifiziert und Taktiken, Techniken sowie Verfahren untersucht. Die „Unit 42“ habe zuletzt vier aufkommende Ransomware-Gruppen beobachtet, welche derzeit Unternehmen angriffen und Anzeichen dafür aufwiesen, dass sie sich in Zukunft weiter ausbreiten könnten:

AvosLocker – Ransomware as a Service (RaaS)

Seit Ende Juni 2021 in Betrieb. Diese Gruppe verwende ein blaues Käfer-Logo, um sich in der Kommunikation mit Opfern und in „Pressemitteilungen“ zu identifizieren, welche darauf abzielten, neue Partner zu rekrutieren. „AvosLocker“ sei dabei beobachtet worden, in Diskussionsforen im Darkweb und anderen Foren für sein RaaS-Programm zu werben und nach Partnern zu suchen. „Wie viele seiner Konkurrenten bietet ,AvosLocker‘ technischen Support an, um den Opfern bei der Sanierung zu helfen, nachdem sie mit einer Verschlüsselungssoftware angegriffen wurden.“
Von dieser behaupte die Gruppe, sie sei „ausfallsicher“, habe niedrige Erkennungsraten und sei in der Lage, große Dateien zu verarbeiten. Diese Ransomware habe auch eine Erpresser-Website, „die behauptet, sechs Unternehmen und Institutionen in den folgenden Ländern angegriffen zu haben: USA, Großbritannien, Vereinigte Arabische Emirate, Belgien, Spanien und Libanon“. Die „Unit 42“ habe erste Lösegeldforderungen zwischen 50.000 und 75.000 US-Dollar beobachtet.

Hive – Ransomware mit doppelter Erpressung

Im Juni 2021 in Betrieb genommen, habe „Hive“ 28 Unternehmen und Institutionen befallen, „die auf der Erpresser-Website der Gruppe aufgelistet sind, darunter eine europäische Fluggesellschaft und drei Unternehmen und Institutionen in den USA“.
„Hive“ nutze alle verfügbaren Erpressungstools, um Druck auf das Opfer auszuüben, einschließlich des Datums der ersten Kompromittierung, eines Countdowns, des Datums, an dem der Leak tatsächlich auf der Website veröffentlicht wurde, und sogar der Option, den veröffentlichten Leak in Sozialen Medien zu teilen.

HelloKitty – bereits im Jahr 2020 entdeckte Ransomware-Gruppe

„HelloKitty“ habe ich hauptsächlich gegen „Windows“-Systeme gerichtet – im Juli 2021 habe die „Unit 42“ jedoch eine „Linux“-Variante von „HelloKitty“ beobachtet, welche auf den „ESXi-Hypervisor“ von „VMware“ abziele, welcher in „Cloud“- und „On-Premises“-Rechenzentren weit verbreitet sei. Die Forscher hätten auch zwei Aktivitätscluster beobachtet.
„Bei den beobachteten Beispielen bevorzugten einige Bedrohungsakteure die E-Mail-Kommunikation, während andere ,TOR‘-Chats für die Kommunikation mit den Opfern nutzten.“ Die beobachteten Varianten hätten fünf Unternehmen bzw. Institutionen in Italien, Australien, Deutschland, den Niederlanden und den USA betroffen.
„Die höchste Lösegeldforderung dieser Gruppe belief sich auf zehn Millionen US-Dollar, aber zum Zeitpunkt der Erstellung dieses Berichts haben die Bedrohungsakteure nur drei Transaktionen erhalten, die sich auf etwa 1,48 Millionen US-Dollar belaufen.“

LockBit 2.0 (früher bekannt als ABCD Ransomware)

Ein drei Jahre alter RaaS-Betreiber, welcher in letzter Zeit mit einigen hochkarätigen Angriffen in Verbindung gebracht worden sei, „nachdem er im Juni eine ausgeklügelte Marketingkampagne zur Anwerbung neuer Partner gestartet hatte“.
Er behaupte, die schnellste Verschlüsselung auf dem Ransomware-Markt anzubieten. „LockBit 2.0“ habe sich auf mehrere Branchen ausgewirkt – 52 Opfer seien auf der Leak-Site der Gruppe aufgeführt. Zu den Opfern gehörten Unternehmen und Institutionen in den USA, Mexiko, Belgien, Argentinien, Malaysia, Australien, Brasilien, der Schweiz, Deutschland, Italien, Österreich, Rumänien und Großbritannien.

Schlussfolgerungen aus der Analyse von Ransomware-Gruppen

Große Ransomware-Gruppen wie „REvil“ und „Darkside“ zögen sich zurück oder würden sich umbenennen, „um der Aufmerksamkeit der Strafverfolgungsbehörden und der Medien zu entgehen“. Daher würden neue Gruppen auftauchen, welche diejenigen ersetzten, die nicht mehr aktiv auf Opfer abzielten. Die „Unit 42“ habe Informationen über einige der beobachteten bösartigen Aktivitäten der Ransomware-Gruppen zusammengestellt, welche versuchten, die nächsten Hauptakteure zu werden.„LockBit“ und „HelloKitty“ seien zwar schon früher aktiv gewesen, aber ihre jüngste Entwicklung sei ein gutes Beispiel dafür, wie alte Gruppen wieder auftauchten und eine anhaltende Bedrohung darstellen könnten. Die „Unit 42“ werde diese Ransomware-Familien – und neue, die in Zukunft auftauchen könnten – weiterhin überwachen.
„Kunden von Palo Alto Networks sind gegen diese Ransomware-Familien mit ,Cortex XDR‘ oder der Next-Generation-Firewall mit ,Threat Prevention‘- und ,WildFire Security‘-Abonnements geschützt.“ Kunden könnten „AutoFocus“ verwenden, um verwandte Entitäten mit den Tags „AvosLocker“, „Hive“, „LockBit“ bzw. „HelloKitty“ zu verfolgen. Eine vollständige Visualisierung der beobachteten Techniken könne im „ATOM-Viewer“ der „Unit 42“ eingesehen werden. Palo Alto Networks habe diese Ergebnisse, einschließlich Dateimustern und Indikatoren für eine Kompromittierung, mit den anderen Mitgliedern der Cyber Threat Alliance (CTA) geteilt. Die CTA-Mitglieder nutzten diese Erkenntnisse, um ihren Kunden schnell Schutzmaßnahmen zu bieten und böswillige Cyber-Akteure systematisch zu stören.

Weitere Informationen zum Thema:

paloalto NETWORKS, UNIT42, Doel Santos & Ruchna Nigam, 24.08.2021
Ransomware Groups to Watch: Emerging Threats

CYBER THREAT ALLIANCE
What is the Cyber Threat Alliance?

datensicherheit.de, 26.08.2021
Ransomware-Trends: Mehrfach-Erpressungen / Double, Triple und Quadruple Extortion nach Ransomware-Angriffen

datensicherheit.de, 24.08.2021
Sophos: Ransomware-Report 2021 mit Fakten, Auswirkungen und Trends / Unternehmen, öffentliche Einrichtungen und andere Organisationen weiterhin fest im Griff der Ransomware

datensicherheit.de, 14.08.2021
Accenture von LockBit-Ransomware-Angriff betroffen / LockBit-Ransomware seit September 2019 beobachtet

datensicherheit.de, 10.08.2021
Für Varonis steht Ransomware exemplarisch für Bedrohung der Datensicherheit / Varonis positioniert sich beim Schutz der Daten vor Ransomware, Exfiltration und anderen Attacken