„Mehr als ein Jahr nach Beginn des Ukrainekriegs sind Cyber-Attacken zu einer strategischen Waffe geworden, die Staaten gezielt einsetzen, um Gegenspieler auszuspähen und die gesellschaftliche Spaltung voranzutreiben“, erklärt John Fokker, Head of Threat Intelligence, Trellix Advanced Research Center. „Sowohl in führenden Wirtschaftsnationen als auch in Schwellenländern sind bekannte APT-Gruppen eine reale Gefahr für kritische Infrastrukturen wie Telekommunikation, Energieversorgung und Produktion. Öffentliche und private Akteure müssen daher zwingend geeignete Abwehrmaßnahmen ergreifen, um sich gegen die immer raffinierter werdenden Attacken staatlich unterstützter Cyber-Krimineller zu schützen.”

Der neueste Bericht des Trellix Advanced Research Center behandelt das erste Quartal 2023 und informiert über sicherheitsrelevante Aktivitäten in den Bereichen Ransomware, Nation-State-APT-Angriffe, E-Mail-Bedrohungen, Missbrauch von Sicherheits-Tools und vielem mehr. Die wichtigsten Ergebnisse auf einen Blick:

• Koordinierte Spionage im Cyber-Raum. APT-Gruppen, die wie Mustang Panda und UNC4191 mit China in Verbindung stehen, waren im ersten Quartal am auffälligsten. 79 Prozent aller festgestellten Angriffe mit staatlichem Hintergrund entfielen auf diese Akteure. Es ist davon auszugehen, dass APT-Gruppen auch künftig Spionage und Disruption im Cyber-Raum mit herkömmlichen militärischen Aktivitäten koppeln werden.
   
• Bei Ransomware zählt nur das Geld. Im Ransomware-Bereich ist nach wie vor der finanzielle Gewinn entscheidend. Entsprechend häufig werden der Versicherungs- und Finanzsektor ins Visier genommen (20 % bzw. 17 %). Die Opfer von Leak-Sites sind größtenteils US-amerikanische (48 %) Unternehmen mittlerer Größe mit 51 bis 200 Beschäftigten (32 %) und einem Umsatz von 10 bis 50 Mio. USD (38 %).

• Cobalt Strike ist nach wie vor beliebt. Trotz der 2022 erfolgten Versuche, Cobalt Strike weniger attraktiv für die missbräuchliche Nutzung zu machen, erfreut es sich zunehmender Beliebtheit bei Cyber-Kriminellen und Ransomware-Akteuren. So war Cobalt Strike an 35 Prozent der Nation-State-Aktivitäten und 28 Prozent der Ransomware-Bedrohungen beteiligt – fast doppelt so viel wie im vierten Quartal 2022.

• Ein Gruß aus der Vergangenheit. Viele kritische Schwachstellen entstehen durch die Umgehung von Patches für ältere CVEs, durch Lieferketten-Bugs, die obsolete Libraries nutzen, oder durch Sicherheitslücken, deren Behebung nicht konsequent umgesetzt wurde. Ein Beispiel dafür ist das im Februar 2023 aufgedeckte Apple-Problem, das letztlich auf den FORCEDENTRY-Exploit aus dem Jahr 2021 zurückgeht.

• Unbefugter Zugriff auf die Cloud. Die Infrastruktur von Amazon, Microsoft und Google gerät immer mehr in den Fokus der Cyber-Kriminellen. Obwohl komplexere Angriffsstrategien mittels Mehrfaktorauthentifizierung, der Kompromittierung von Proxy-Servern und API-Ausführung weiterhin eine Rolle spielen, gelangen die meisten Eindringlinge über gültige Accounts in die Systeme. Konkret wird dieser Angriffsvektor doppelt so häufig genutzt wie andere Methoden. Der unbefugte Zugriff auf legitime Benutzerkonten im Zuge der Telearbeit ist und bleibt ein ernstes Problem.

„Security Operations Teams kämpfen Tag für Tag erbittert darum, die immer größer werdenden Angriffsflächen ihrer Unternehmen wirksam zu schützen“, konstatiert Joseph „Yossi“ Tal, SVP, Trellix Advanced Research Center. „Chronisch unterbesetzte Abteilungen müssen dabei Millionen von Datenpunkten in immer komplexeren Netzwerken im Blick behalten. Trellix unterstützt sie bei dieser Herkulesaufgabe, indem es umfassende Erkenntnisse und Analysen bereitstellt, die sich direkt in mehr Sicherheit umsetzen lassen.“

Der CyberThreat Report nutzt proprietäre Daten des Trellix-Sensornetzwerks, Analysen des Trellix Advanced Research Center zu staatlich unterstützten und kriminellen Cyber-Aktivitäten, Daten aus Open- und Closed-Source-Quellen sowie Leak-Sites von Bedrohungsakteuren. Als Bedrohungsnachweis gilt die telemetriebasierte Detektion und Meldung einer Datei, einer URL, einer IP-Adresse, einer verdächtigen E-Mail, eines Netzwerkverhaltens oder eines anderen Indikators über die Trellix XDR-Plattform.

Weitere Ressourcen

• Der CyberThreat Report

„Kim hat bereits unter Beweis gestellt, dass sie hochleistungsfähige IT-Organisationen aufbauen kann“, kommentiert Trellix-CEO Bryan Palma. „Wir sind davon überzeugt, dass sie ebenso erfolgreich bei Trellix sein wird. Gleichzeitig wird sie als "Customer Zero" für unsere marktführenden Produkte verantwortlich sein."

Trellix will den Einsatz der XDR-Architektur im öffentlichen und privaten Sektor fördern, um das Sicherheitsniveau der Organisationen zu erhöhen und einen effektiveren Umgang mit sicherheitsrelevanten Vorfällen zu ermöglichen. Als CIO ist Kim Anstett für die Umsetzung einer Technologiestrategie verantwortlich, die Effizienz, Flexibilität und Innovation im gesamten Unternehmen fördern wird. 

„Meine oberste Priorität als CIO besteht darin, unserem Unternehmen detailgenaue Einblicke bereitzustellen, die dann unseren Kunden zugutekommen. An zweiter Stelle steht die Förderung von Vielfalt, Chancengleichheit und Inklusion sowie die Weiterentwicklung innerhalb meiner Teams“, erklärt Anstett ihre Agenda. „Meine Motivation wird von den Menschen, Prozessen und Technologien getrieben; die Werte und Kultur von Trellix deckt sich mit meinen Vorstellungen von einem inspirierenden Arbeitsumfeld.“

In ihrer mehr als 25-jährigen Karriere war Kim Anstett zuletzt als Executive Vice President und Chief Technology Officer für Iron Mountain tätig. Dort führte sie die Teams für Produktentwicklung und Innovation. Davor war sie als CIO bei Nielsen für die Steigerung von Kundennutzen und Cyber-Sicherheit verantwortlich. Kim Anstett hat ihren Bachelor of Science an der Tufts University erworben und ist Mitglied des Board of Directors für Quotient Technology. Sie ist ab sofort für Trellix tätig und berichtet direkt an Bryan Palma, CEO von Trellix.

Mehr zum Thema finden Sie unter

• Trellix Newsroom
• Trellix Leadership