Technologie

Cyber-Bedrohung für die deutsche Wirtschaft gestiegen

Symbolbild: Tumisu | pixabay

[Group-IB] – Deutschland ist das am stärksten von Ransomware betroffene Land in Europa und das vierte nach der Anzahl an kompromittierten Netzwerken. Info-Kriminelle erbeuteten die Zugangsdaten von knapp 700.000 deutschen Nutzerkonten. Diese und andere Cyber-Bedrohungen werden im neuen Group-IB-Bericht „Hi-Tech Crime Trends 2022/2023“ behandelt.

Group-IB, ein auf die Untersuchung und Vorbeugung von Cyber-Kriminalität spezialisiertes globales Cyber­sicherheits-Unternehmen, hat seinen neuen Jahresbericht über die wichtigsten globalen Cyber-Bedrohungen und seine Prognosen für die verschiedenen Wirtschaftszweige weltweit veröffentlicht.

Ransomware
Ransomware ist nach wie vor die weltweit größte Cyber-Bedrohung für Organisationen und Unternehmen. Innerhalb eines Jahres, vom 2. Halbjahr 2021 bis zum 1. Halbjahr 2022, wurden 852 europäische Unternehmen Opfer der Offenlegung vertraulicher Daten auf speziellen Leaksites (DLS) als Folge erfolgreicher Angriffe von Ransomware-Banden.

Eine DLS ist eine von bestimmten Ransomware-Gruppen aufgebaute Online-Plattform, auf die vertrauliche Daten und Dateien, die aus dem Netzwerk des Opfers entwendet wurden, hochgeladen werden – falls das Opfer nicht in der Lage oder gewillt ist, das geforderte Lösegeld zu zahlen.

Cyber-Bedrohungen für die deutsche Wirtschaft: Ransomware

Quelle: Group-IB

Mit der Veröffentlichung der Daten von 147 deutschen Unternehmen auf DLS (+65 %, 89 im vorangegangenen Zeitraum) war Deutschland das am stärksten betroffene Land in Europa und auf Platz 2 weltweit. Die 147 deutschen Unternehmen, deren vertrauliche Informationen auf DLS-Plattformen hochgeladen wurden, gehören in erster Linie dem verarbeitenden Gewerbe (33), der Immobilienbranche (20), der Logistik (18) und dem Finanzdienstleistungssektor (9) an. Es folgen Energieversorger (5), Regierung und Militär (5), Gesundheitswesen (5), Wissenschaft und Engineering (5) sowie IT (5).

Cyber-Kriminelle nutzen DLS als Werkzeug für die sogenannte doppelte Erpressung, bei der der Angreifer nicht nur das gesamte Netzwerk verschlüsselt, sondern sich auch präventiv sensible Daten aneignet und damit droht, sie online zu veröffentlichen. Der Einsatz von DLS ist einer der Hauptfaktoren des Aufstiegs von Ransomware-Gruppen. Diese Plattformen werden in der Regel im Dark Web gehostet, einige Hacker-Gruppen stellen sie jedoch ins öffentliche Internet. Somit hoffen sie, die Opfer – denen es bewusst ist, dass ihre vertraulichen Dokumente dann öffentlich zugänglich sind – zur Zahlung des Lösegelds zu bewegen.

Die tatsächliche Zahl der Ransomware-Opfer ist eindeutig viel höher als die Zahl der Unternehmen, deren Daten online veröffentlicht wurden. Dem Group-IB Hi-Tech Crime Trends Report zufolge bleiben jedoch viele Angriffe unbemerkt, da sich die meisten Unternehmen nach wie vor für die Zahlung des Lösegelds entscheiden. Die von Group-IB durchgeführte Analyse ergab beispielsweise, dass der der Öffentlichkeit zugängliche Teil der Hive-DLS-Plattform die Daten von nur etwa 10 Prozent der Opfer enthielt.

„Initial Access Brokers“ (IABs)
Die Broker von Zugängen zu kompromittierten Netzwerken (IABs) sind eine der tragenden Säulen des phänomenalen Wachstums von Ransomware weltweit. In den letzten Jahren haben Ransomware-Betreiber zunehmend solche Zugänge im Dark Web erworben. Dadurch können sie nämlich die Anfangsphase eines Angriffs überspringen und schneller geeignete neue Opfer finden.

Zwischen der 2. Hälfte 2021 und der 1. Hälfte 2022 haben die Threat-Intelligence-Spezialisten von Group-IB einige Anzeigen in Untergrundforen analysiert und einen ansehnlichen Anstieg der Verkäufe von Zugängen zu kompromittierten Unternehmensnetzwerken festgestellt. Insgesamt wurden 2.348 Instanzen verzeichnet – das sind doppelt so viele wie im vorangegangenen Zeitraum (1.099 Zugangsangebote). Im Einklang mit dem weltweiten Trend stieg der Gesamtpreis der in Untergrundforen angebotenen Zugänge zu europäischen Unternehmensnetzen um 92 % auf 1.130.498 US-Dollar, wobei die Zahl der vermarkteten Zugänge weitaus stärker zunahm. In Europa hat sich diese Zahl zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 von 260 im vorangegangenen Zeitraum auf 620 mehr als verdoppelt, was auch die steigende Menge an Ransomware-Vorfällen in dieser Region erklärt.

Mit Zugangsangeboten zu 66 lokalen Unternehmen, die zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 in Dark-Web-Foren entdeckt wurden (+ 175 % gegenüber den 24 im vorangegangenen Zeitraum), ist Deutschland europaweit an fünfter Stelle.

Information-Stealer
Eine der bemerkenswertesten Veränderungen in der globalen Bedrohungslandschaft ist die zunehmende Popularität von Informationsdiebstahlprogrammen („Information-Stealer“) – Malware, die persönliche Daten aus den Browser-Metadaten des Benutzers sammelt. Diese Stealer können Anmeldedaten, Bankkarten, Cookies, Browser-Fingerabdrücke usw. erlangen. Bei einem kürzlich erfolgten Angriff auf Uber wurden die Anmeldedaten der Mitarbeiter gerade mithilfe von Info-Stealern gestohlen.

Bei der Analyse der im Untergrund angebotenen Stealer-Logs entdeckte das Threat-Intelligence-Team von Group-IB zwischen dem 2. Halbjahr 2021 und dem 1. Halbjahr 2022 in Deutschland 690.086 kompromittierte Konten von Nutzern, die teilweise sogar in die Fänge von mehreren Stealern gerieten.

Camill Cebulla, Vertriebsleiter Europa bei Group-IB: „Unser Bericht ‚Hi-Tech Crime Trends‘ bestätigt erneut, dass ‚Initial Access Broker‘ (IABs) eine ernst zu nehmende organisierte Untergrundkraft sind, die eine wichtige Rolle bei der Verschärfung der Cyber-Kriminalität spielt. IABs sind in Europa stark auf dem Vormarsch, und Deutschland ist da keine Ausnahme. Zusammen mit Informations­diebstahl­programmen sind sie eine kritische Bedrohung, auf die man 2023 achten sollte. Ebenfalls im Laufe dieses Jahres ist der Aufstieg von spezialisierten Untergrund­plattformen zu erwarten, die ausschließlich Stealer-Logs von Großunternehmen verkaufen. Demnach werden die Zuverlässigkeit und die Wirksamkeit der Schutzmaßnahmen vor Cyberangriffen in diesem Jahr ohne eine noch gezieltere Sammlung und Überwachung von Netzwerk­zugangs­angeboten und kompromittierten Anmeldedaten von Mitarbeitenden nicht zu gewährleisten sein.”