Neuartige Cybercrime-Techniken führen zu verheerenden Ransomware-Angriffen und Störungen der Lieferkette. Diese Prognose stammt von den FortiGuard Labs.
Die aktuellen Vorhersagen der globalen Threat-Intelligence- und Forschungssparte von Fortinet, die FortiGuard Labs, betrachten Cyber-Bedrohungen für 2022 und darüber hinaus. Ihr zufolge entwickeln Cyber-Angreifer ihre Angriffsmethoden weiter und zielen auf neue Bereiche ab, um die gesamte Angriffsfläche auszunutzen, insbesondere da Unternehmen auch in Zukunft auf das Arbeiten von überallsetzen werden.
Die Cyber-Kriminellen wollen ihre Angriffsmöglichkeiten optimal ausnutzen, unter anderem auf 5G-Netzwerk-Ränder, Unternehmens- und Heimnetzwerke sowie Satelliten-Internet. Die vorausschauenden Trends der FortiGuard Labs zeigen, auf welche Strategien Cyber-Kriminelle wahrscheinlich setzen werden. Zudem geben sie Empfehlungen ab, wie sich Unternehmen gegen die Angriffe wehren können.
„Cyber-Kriminelle verhalten sich immer mehr wie klassische Advanced Persistent Threat (APT)-Gruppen: mit Zero-Day-Methoden ausgestattet, zerstörerisch und jederzeit in der Lage, ihr Instrumentarium so weiterzuentwickeln, wie gerade nötig, um ihre Ziele zu erreichen. Ihre Angriffe werden zunehmend außerhalb des klassischen Unternehmensnetzwerks stattfinden, sogar im Weltraum,“ erklärt Derek Manky, Chief, Security Insights & Global Threat Alliances, FortiGuard Labs. „Sie nutzen die Tatsache aus, dass der Perimeter fragmentiert ist, und Teams sowie Tools isolierter sind. Außerdem kommt die stark erweiterte Angriffsfläche den Hackern entgegen. Überforderte IT-Teams versuchen dagegen, diese Bedrohungen abzuwehren, indem sie rechtzeitig alle Lücken in ihrem Sicherheitsnetz schließen. Um diese sich immer weiter entwickelnden Bedrohungen abzuwehren, benötigen Unternehmen eine Security Fabric Plattform auf Basis einer Cybersecurity Mesh-Architektur.“
Längere Vorbereitung maximiert Schaden
Experten für Cyber-Sicherheit stufen Angriffe häufig anhand eines Modells wie dem MITRE ATT&CK Framework ein. Auf der linken Seite der Angriffskette stehen dabei die Aktivitäten im Vorfeld eines Angriffs. Dazu gehören Planung, Entwicklung und Bewaffnungsstrategien. Auf der rechten Seite steht die bekanntere Ausführungsphase der Angriffe.
Die FortiGuard Labs prognostizieren, dass Cyber-Kriminelle zukünftig mehr Zeit und Aufwand in die Vorbereitung investieren werden. Indem sie ihre Ziele gründlicher auf mögliche Schwachstellen und Angriffspunkte untersuchen, können Angreifer auch ihre Methoden und Technologien anpassen. So sind ihre Angriffe noch häufiger erfolgreich. Darüber hinaus können die Cyber-Kriminellen diese leider auch immer schneller umsetzen. Ein Treiber ist hier der expandierende Crime-as-a-Service-Markt. Die konkreten Vorhersagen lauten:
- Ransomware wird noch zerstörerischer: Crimeware bleibt weiter auf dem Vormarsch, der Fokus liegt dabei auf Ransomware. Schon jetzt kombinieren Cyber-Kriminelle Ransomware mit Distributed Denial-of-Service (DDoS)-Angriffen, um so die IT-Teams zu überfordern. Damit wollen sie verhindern, dass mögliche Abwehrmaßnahmen in letzter Sekunde den Schaden noch abwenden könnten. Der zusätzliche Einsatz von Wiper-Malware, einer „tickenden Zeitbombe“, setzt Unternehmen noch stärker unter Zugzwang, zu zahlen. Solch eine Schadsoftware kann nicht nur Daten zerstören, sondern ganze Systeme beschädigen – sogar Hardware. Wiper-Malware war zuletzt wieder sehr präsent, unter anderem durch einen Angriff auf die Olympischen Spiele in Tokio. Die Methoden der Cyber-Kriminellen Angriffe und APTs nähern sich immer mehr aneinander an. Insofern ist es nur noch eine Frage der Zeit, bis das zerstörerische Potenzial von Wiper-Malware Einzug in den Ransomware-Werkzeugkasten hält.
- Cyber-Kriminelle nutzen KI für Deep Fakes: Künstliche Intelligenz (KI) ist als Abwehrmaßnahme bereits häufig im Einsatz. Sie kann etwa ungewöhnliche Aktivitäten erkennen, die auf einen Angriff hinweisen – üblicherweise von Botnetzen. Cyber-Kriminelle nutzen dagegen KI zur Täuschung der Algorithmen: Diese können ihren Angriff dadurch nicht mehr als einen solchen identifizieren. Eine echte Gefahr könnten durch ihren zunehmenden Realismus Deep Fakes darstellen. Deep Fakes nutzen KI, um menschliche Aktivitäten zu imitieren. Cyber-Kriminelle können diese Technik etwa zur Verbesserung von Social-Engineering-Angriffen missbrauchen. Zudem sind professionelle Anwendungen immer leichter kommerziell verfügbar und senken so die Schwelle, Deep Fakes zu erstellen. In absehbarer Zeit könnten Verbrecher so in Echtzeit über Audio- oder Video-Anwendungen eine täuschend echt wirkende Imitation erzeugen. Besonders heikel wird es, wenn diese Trugbilder sogar biometrischen Analysen standhalten können. Das gefährdet selbst sichere Formen der Authentifizierung wie die Stimm- oder Gesichtserkennung.
- Mehr Angriffe auf bislang verschonte Systeme in der Lieferkette: In zahlreichen Netzwerken laufen viele der Computersysteme im Back-End mit Linux. Bis vor kurzem war das Betriebssystem noch kein primäres Ziel der Cyber-Kriminellen. Jüngst wurden allerdings schädliche Binärdateien entdeckt, die Microsofts WSL (Windows Subsystem for Linux) attackierten. Das ist eine Kompatibilitätsschicht, die das Ausführen von Binärdateien auf Windows 10, Windows 11 und Windows Server 2019 ermöglicht. Darüber hinaus ist bekannt, dass die Gemeinde der Cyber-Kriminellen bereits an Botnetz-Malware für Linux-Plattformen arbeitet. Dadurch wächst die Angriffsfläche auf Unternehmensnetzwerke noch weiter, die abzuwehrenden Bedrohungen nehmen insgesamt zu. Gerade für die Betriebstechnologie (Operational Technology, OT) und Lieferketten im Allgemeinen ist das eine große Herausforderung, da zahlreiche Systeme auf Linux-Plattformen laufen.
Die künftige Herausforderung für die Security-Experten, ist weit mehr als nur die steigende Zahl der Angriffe oder die sich weiterentwickelnden Techniken der Cyberangreifer. Cyber-Kriminelle entdecken immer neue Bereiche. Unternehmen erweitern derweil ihre Netzwerke und schaffen neue Edges, die durch Homeoffice-Möglichkeiten, Fernunterricht und neue Cloud-Dienste entstehen.
Im privaten Bereich beschäftigen sich zudem viele mit Online-Spielen oder vernetztem Lernen. Schnelle Internetverbindungen und die zunehmende Vernetzung sind eine Steilvorlage für Cyber-Kriminelle. Diese werden sich in Zukunft verstärkt darauf konzentrieren, diese Randbereiche als Einfallstor zu nutzen.
Angriffsziel Satelliten-Internet
Immer mehr Anwender nutzen einen Internetzugang per Satellit. Daher gehen die Experten der FortiGuard Labs davon aus, dass im Laufe des nächsten Jahres Cyber-Kriminelle gezielt Satellitenverbindungen mit neuen Proof-of-Concept (PoC)-Bedrohungen angreifen werden. Besonders interessante Ziele werden Unternehmen darstellen, die für niedrige Latenzzeiten auf Satelliten-Internet angewiesen sind.
Dazu gehören etwa Anbieter von Online-Spielen oder fernverwalteten kritischen Diensten, aber auch Pipelines oder Kreuzfahrtschiffe und Fluggesellschaften. Binden Unternehmen nun ehemals isolierte Systeme – wie OT in Remote-Standorten – in das Unternehmensnetz ein, vergrößert das die Angriffsfläche. Dies werden Cyber-Kriminelle voraussichtlich für Ransomware-Angriffe ausnutzen.
Angriffspunkte am Netzwerk-Rand
In der aktuellen IT-Landschaft steigt die Anzahl der eingesetzten Internet-of-Things- (IoT) und Betriebstechnologie- (OT) Geräten stetig an. Dazu finden, befeuert von 5G und KI, immer mehr intelligente Geräte Einsatz. Diese zunehmende Vernetzung ermöglicht Transparenz in Echtzeit, schafft jedoch auch eine wachsende Anzahl an Netzwerk-Rändern. Cyber-Kriminelle werden das gesamte Netzwerk als potenziellen Einstiegspunkt in Betracht ziehen, insbesondere aber die Ränder. Daher ist damit zu rechnen, dass sie neue, speziell darauf zugeschnittene, Angriffsmöglichkeiten entwickeln werden.
Sie werden alle potenziellen Sicherheitslücken ausnutzen und dadurch Bedrohungen in noch nie dagewesenem Umfang schaffen. Da Edge-Geräte immer leistungsfähiger werden und mehr Funktionen besitzen, werden neue Angriffe diese Möglichkeiten direkt für ihre Zwecke nutzen. Da Unternehmen vermehrt IT- und OT-Netzwerke zusammenführen, ist eine steigende Anzahl von Angriffen auf OT-Geräte, insbesondere an Netzwerk-Rändern, wahrscheinlich:
- Cyber-Kriminelle profitieren vom Edge: „Living off the Land“ (LotL)-Angriffe nutzen bestehende Anwendungen in kompromittierten Umgebungen, um Attacken als legitime Systemaktivitäten zu tarnen. Der Angriff bleibt dadurch lange Zeit unbemerkt. Die Hafnium-Angriffe auf Microsoft Exchange-Server nutzten diese Technik, um sich in Domänen-Controllern zu verstecken. Die Kombination aus LotL-Strategien und Edge-Access-Trojanern (EATs) könnte dazu führen, dass Angreifer sich nicht nur im System selbst, sondern direkt am Netzwerk-Rand einnisten. Das lohnt sich für Angreifer in dem Maße zunehmend, in dem Edge-Geräte über immer mehr Rechte verfügen. Edge-Malware kann so ein steigendes Volumen an Aktivitäten und Daten überwachen. Schließlich können die Angreifer unentdeckt wichtige Systeme, Anwendungen und Informationen stehlen, kapern oder Lösegeld erpressen.
- Dark Web macht Angriffe auf kritische Infrastrukturen skalierbar: Cyber-Kriminelle haben erkannt, dass sie ihre Malware als Service online verkaufen können. Anstatt mit Anbietern ähnlicher Tools zu konkurrieren, werden sie ihr Portfolio um OT-basierte Angriffe erweitern. Die steigende Konvergenz von OT und IT an den Schnittstellen begünstigt das. Die Betreiber solcher Systeme und kritischer Infrastrukturen zu erpressen, ist für Cyber-Kriminelle ein lukratives Geschäft.
Für Unternehmen kann sie jedoch schwerwiegende Folgen haben – und für die Bevölkerung sogar lebensgefährlich werden. Da die Netzwerke zunehmend miteinander verbunden sind, kann praktisch jeder Zugangspunkt genutzt werden, um in ein IT-Netzwerk einzudringen. Traditionell waren Attacken auf OT-Systeme bislang die Domäne spezialisierterer Angreifer. Zunehmend stellen jedoch kriminelle Gruppen Angriffspakete zusammen, die sie im Dark Web verkaufen. Dadurch können wesentlich mehr Cyber-Kriminelle diese Möglichkeiten nutzen. (rhh)
