Blog

May 31, 2024

Cyberangriffe entwickeln sich im Jahr 2023 schneller, da die durchschnittliche Verweildauer sinkt

denisismagilov - stock.adobe.com Die mittlere Verweildauer – die Zeit zwischen dem Zugriff eines Angreifers auf die Systeme seines Opfers und der Erkennung oder Ausführung des Angriffs – ist erheblich gesunken und ist gesunken

Denisismagilov – stock.adobe.com

Die mittlere Verweildauer – die Zeit zwischen dem Zugriff eines Angreifers auf die Systeme seines Opfers und der Erkennung oder Ausführung des Angriffs – ist erheblich gesunken und fiel zwischen Januar und Juli 2023 von 10 auf acht Tage, während sie im Jahr 2022 um fünf Tage von 15 auf 10 gesunken ist nach einem starken Anstieg im Jahr 2021.

Dies geht aus Daten aus Incident-Response-Fällen (IR) von Sophos

Die Schlagzeilenstatistik könnte als gute Nachricht gewertet werden, als Zeichen dafür, dass sich die Erkennungsfähigkeiten der Endbenutzer-Sicherheitsteams verbessern, auf der anderen Seite könnte sie aber auch Ausdruck immer besser organisierter, technisch versierter und operativ effizienterer Bedrohungsakteure sein, die wissen, was was sie wollen und wie sie es bekommen.

Tatsächlich hat X-Ops herausgefunden, dass Angreifer mittlerweile etwa 16 Stunden brauchen, um die kritischen Active Directory (AD)-Ressourcen ihrer Opfer zu erreichen. Solche Assets verwalten in der Regel die Identität und den Zugriff auf Unternehmensressourcen, was sie zu einer Goldgrube für Bedrohungsakteure macht, die ihre Privilegien erweitern möchten, wie John Shier, Field Chief Technology Officer bei Sophos, erklärte.

„Ein Angriff auf die Active Directory-Infrastruktur einer Organisation ist aus offensiver Sicht sinnvoll“, sagte er. „AD ist normalerweise das leistungsfähigste und privilegierteste System im Netzwerk und bietet umfassenden Zugriff auf die Systeme, Anwendungen, Ressourcen und Daten, die Angreifer bei ihren Angriffen ausnutzen können. Wenn ein Angreifer AD kontrolliert, kann er die Organisation kontrollieren. Die Auswirkungen, die Eskalation und der Wiederherstellungsaufwand eines Active Directory-Angriffs sind der Grund, warum er gezielt eingesetzt wird.

„Der Zugriff auf und die Kontrolle über den Active Directory-Server in der Angriffskette bietet Angreifern mehrere Vorteile. Sie können unentdeckt bleiben, um ihren nächsten Schritt zu bestimmen, und sobald sie bereit sind, können sie ungehindert das Netzwerk eines Opfers durchbrechen.

„Die vollständige Wiederherstellung nach einer Domänenkompromittierung kann ein langwieriger und mühsamer Aufwand sein“, sagte Shier. „Ein solcher Angriff beschädigt die Sicherheitsgrundlage, auf die die Infrastruktur einer Organisation angewiesen ist. Sehr oft bedeutet ein erfolgreicher AD-Angriff, dass ein Sicherheitsteam bei Null anfangen muss.“

Der Bericht zeigt auch, dass die durchschnittliche Verweildauer bei Ransomware-Angriffen inzwischen auf fünf Tage gesunken ist, was möglicherweise mit der Zunahme von Ransomware-Angriffen zusammenhängt, bei denen kein Ransomware-Locker eingesetzt wird, wie etwa Clops jüngste Kampagne gegen MOVEit von Progress Software Werkzeug.

Ransomware-Angriffe waren die häufigste Angriffsart in den IR-Fällen, an denen das X-Ops-Team arbeitete, und machten 69 % der Einsätze aus. Shier wies jedoch darauf hin, dass es sich, abgesehen von bekannten Ransomware-Vorfällen, bei einer beträchtlichen Anzahl von Angriffen anscheinend um Netzwerkverletzungen handelte, die aus einem Eindringen, aber ohne klares Motiv bestanden, was die Frage aufwirft: Wie viele davon waren tatsächlich vereitelte Ransomware-Angriffe?

„Wir konnten mehrere Angriffe identifizieren, die von Cuba und Vice Society, beides berüchtigte Ransomware-Anbieter, verübt wurden, aber entscheidend ist, dass diese Angriffe nie das Ransomware-Stadium erreichten“, schrieb Shier.

„Die Lektion hier für Unternehmensführung ist, dass schnelles Handeln sogar eine bewährte Angriffskette wie die von Ransomware durchbrechen kann; Bei einigen dieser Vorfälle ist es wahrscheinlich so.“

Sophos spiegelte einen seit langem beobachteten, aber im Allgemeinen nicht quantifizierten Trend unter Bedrohungsakteuren wider, Ransomware an Wochenenden oder Feiertagen auszuführen – wie zum Beispiel beim Kaseya-Vorfall vom 4. Juli 2021 – und gab bekannt, dass bei 81 % der beobachteten Ransomware-Angriffe die endgültige Nutzlast außerhalb gezündet wurde Arbeitszeiten und von den Einsätzen während der Arbeitszeit fanden nur fünf an einem Wochentag statt.

Die Anzahl der in der Telemetrie von X-Ops erkannten Angriffe nahm im Laufe der Woche im Allgemeinen zu, wobei 43 % der Ransomware-Angriffe an einem Freitag oder Samstag erkannt wurden, wenn die Sicherheitsteams entweder übers Wochenende arbeiten oder das Büro ganz verlassen haben.

Zusammenfassend warnte Shier, dass Sicherheitsteams in gewisser Weise „Opfer unseres eigenen Erfolgs“ geworden seien.

„Mit zunehmender Akzeptanz von Technologien wie XDR und Diensten wie MDR steigt auch unsere Fähigkeit, Angriffe früher zu erkennen“, sagte er. „Eine Verkürzung der Erkennungszeiten führt zu einer schnelleren Reaktion, was sich in einem kürzeren Handlungsfenster für Angreifer niederschlägt.

„Gleichzeitig haben Kriminelle ihre Taktiken verfeinert, insbesondere die erfahrenen und gut ausgestatteten Ransomware-Partner, die ihre lautstarken Angriffe angesichts verbesserter Abwehrmaßnahmen weiterhin beschleunigen“, sagte Shier.

„Aber das bedeutet nicht, dass wir insgesamt sicherer sind“, fügte er hinzu. „Dies wird durch die Abflachung der Verweildauer von Nicht-Ransomware belegt. Angreifer dringen immer noch in unsere Netzwerke ein, und wenn die Zeit nicht drängt, neigen sie dazu, dort zu verweilen.

„Aber alle Werkzeuge der Welt werden dich nicht retten, wenn du nicht zuschaust.“