Startseite » IT-Sicherheit »

Cyber Threatscape Report von Accenture: Hacker nutzen immer öfter Standard-Tools

Studie von Accenture
Cyber Threatscape Report: Hacker nutzen immer öfter Standard-Tools

Accentures Cyber Threatscape Report warnt vor Hackerangriffen. Bild: metamorworks/Adobe Stock
Immer mehr Unternehmen werden Opfer von Cyber-Kriminalität. Die Methoden der Hacker werden dabei immer raffinierter.
Bild: metamorworks/stock.adobe. com
Anzeige

Weltweit setzen Cyber-Angreifer neue Open-Source-Tools ein, um von Opfern durch Erpressung Lösegeld zu fordern. Dafür nutzen sie unter anderem E-Mail-Systeme von Unternehmen aktiv aus. Zu diesem Ergebnis kommt der diesjährigen Cyber Threatscape Report von Accenture. In der Studie analysiert das Beratungsunternehmen jährlich mit Hilfe von Cyber Threat Intelligence (CTI) die Taktiken der erfolgreichsten Cyber-Angreifer und prognostiziert, wie sich Cyber-Vorfälle im kommenden Jahr entwickeln können.

COVID-19 hat nicht nur unsere Art zu Leben und Arbeiten verändert, sondern auch die Taktiken von Cyberkriminellen, die für ihre Angriffe nun neue Schwachstellen ausnutzen“, berichtet Thomas Schumacher, Leiter Security bei Accenture DACH. „Diese Schwachstellen haben sich teilweise erst durch die Pandemie-bedingten Veränderungen offenbart.“

Jetzt müssten Unternehmen damit rechnen, dass die Zahl an Cyber-Angriffen in Zukunft deutlich steigen wird. Accenture empfiehlt Unternehmen, jetzt verstärkt die richtigen Kontrollmechanismen zu implementieren. Nur so ließen sich – bezogen auf die veränderte Arbeitsrealität – komplexe Bedrohungen frühzeitig erkennen, abwehren oder bekämpfen.

Raffinierte Cyber-Angreifer tarnen sich mit Standard-Tools

Die CTI-Analysten von Accenture haben im Jahr 2020 organisierte kriminelle Gruppen beobachtet, die mutmaßlich im Auftrag einzelner Regierungen operieren.

Deren Vorgehen: Sie kombinieren Standard-IT-Tools aus der bestehenden Zielumgebung der Angriffsopfer. Dazu gehören Anwendungen, Systeme und Funktionen. Diese setzen die Cyber-Angreifer dann für gezielte Angriffe ein. Die Attacken werden dabei über gemeinsam genutzte Server-Infrastruktur, öffentlichen Exploit-Code und Open-Source-Penetrationstests durchgeführt. Auf diese Art können Cyber-Kriminelle die eigenen Spuren verwischen.

Cyber Threatscape Report deckt Aktivitäten von SOURFACE auf

Die Spezialisten von Accenture konnten so beispielsweise die Aktivitäten der im Iran ansässigen Hackergruppe SOURFACE (auch bekannt als Chafer oder Remix Kitten) aufdecken.

Die seit mindestens 2014 aktive Gruppe ist bekannt für ihre Cyberangriffe auf die Öl- und Gas-, Kommunikations- und Transportindustrie. Betroffen von ihren Angriffen waren außerdem Branchen in den USA, Israel, Europa, Saudi-Arabien, Australien und weiteren Regionen.

IT-Sicherheit

Accenture hat dabei festgestellt, dass SOURFACE legale Windows-Funktionen und frei verfügbare Tools wie Mimikatz zum Auslesen von Anmeldeinformationen verwendet. Eine Technik, die zum Diebstahl von Authentifizierungs-Daten wie Benutzernamen und Passwörtern genutzt. Auf diese Weise ergibt sich für Angreifer die Möglichkeit, Befugnisse und Zugriffsrechte zu übernehmen oder sich im Tarnmodus im Netzwerk zu bewegen, um andere Systeme und Konten zu kompromittieren.

Cyber-Angreifer werden auch 2020 Standard-Tool verwenden

Die Studie kommt zum Schluss, dass professionelle Cyber-Kriminelle wahrscheinlich auch im kommenden Jahr offene Flanken in Standard-Tools für ihre Angriffe nutzen werden. Das liegt auch den Vorteilen dieser Tools: Sie sind einfach zu bedienen, effektiv und kosteneffizient.

Die Accenture-Analyse zeigt außerdem, wie eine Hacker-Gruppe auf aggressive Weise Systeme angreift, die Microsoft Exchange und Outlook Web Access unterstützen. Die infiltrierten Systeme werden dabei missbraucht,

  • um illegalen Datenverkehr zu verstecken
  • Befehle weiterzuleiten
  • E-Mails zu kompromittieren
  • Daten zu stehlen
  • oder Zugangsdaten für Spionagezwecke zu sammeln.

Eine weitere bekannte Hacker-Gruppe ist BELUGASTURGEON (auch bekannt als Turla oder Snake). Seit mehr als zehn Jahren operiert die Gruppe von Russland aus und wird mit zahlreichen Cyber-Angriffen in Verbindung gebracht. Sie richten ihre Angriffe gegen Regierungsbehörden, außenpolitische Forschungsunternehmen und Think Tanks auf der ganzen Welt.

Ransomware hat sich zu einem lukrativen Geschäftsmodell entwickelt

Das Prinzip von Ransomware (sogenannte Erpressungs-Trojaner), hat sich im vergangenen Jahr schnell zu einem lukrativen Geschäftsmodell für Cyber-Kriminelle entwickelt, berichtet Accenture im Cyber Threatscape Report. Sie drohen bei einem solchen Angriff den Opfern, gestohlene Daten öffentlich freizugeben oder zu verkaufen.

Die Täter hinter solchen Programmen wie Maze, Sodinokibi (auch bekannt als REvil) und DoppelPaymer sind bekannt für ihre Vorgehensweise, die für sie immer noch große Gewinne abwirft. Diese Tatsache habe laut Accenture zu einer Welle von Nachahmern geführt.

Cyber Threatscape Report: Hacker suchen im Dark-Web neue Mitglieder

Anfang 2020 tauchte überdies die berüchtigte LockBit-Ransomware auf. Sie kann sich selbst in Unternehmens-Netzwerken verbreiten und erregte  so innerhalb der IT-Sicherheits-Community Aufmerksamkeit.

Die Motivation hinter LockBit ist vermutlich finanzieller Natur. In Dark-Web-Foren konnten die CTI-Analysten von Accenture den Tätern, die hinter LockBit stehen, auf die Spur zu kommen. Die Hintermänner werben dort für regelmäßige Updates und Verbesserungen ihrer Ransomware. Gleichzeitig rekrutieren sie aktiv neue Mitglieder und versprechen ihnen einen Teil des erbeuteten Lösegelds.

Der Erfolg dieser Hack-and-Leak-Erpressungsmethoden, insbesondere gegen größere Organisationen, könnte weitere Nachahmer motivieren und in den kommenden Monaten einen regelrechten Trend auslösen, vermutet Accenture. Darauf wiesen nicht zuletzt weitere Rekrutierungs-Kampagnen in Dark-Web-Foren hin, wie zum Beispiel die der Drahtzieher hinter Sodinokibi. (wag)


Kontakt zu Accenture

Accenture Dienstleistungen GmbH
Campus Kronberg 1
61476 Kronberg im Taunus
Tel.: +49 61 7394 99
E-Mail: accenture.direct.ela@accenture.com
Website: www.accenture.com

Ebenfalls interessant:

Bitkom will Verständnis für Software-Sicherheit etablieren

Anzeige
Newsletter

Jetzt unseren Newsletter abonnieren

Webinare & Webcasts

Technisches Wissen aus erster Hand

Whitepaper

Aktuelle Whitepaper aus der Industrie

Anzeige
Anzeige

Industrie.de Infoservice
Vielen Dank für Ihre Bestellung!
Sie erhalten in Kürze eine Bestätigung per E-Mail.
Von Ihnen ausgesucht:
Weitere Informationen gewünscht?
Einfach neue Dokumente auswählen
und zuletzt Adresse eingeben.
Wie funktioniert der Industrie.de Infoservice?
Zur Hilfeseite »
Ihre Adresse:














Die Konradin Verlag Robert Kohlhammer GmbH erhebt, verarbeitet und nutzt die Daten, die der Nutzer bei der Registrierung zum Industrie.de Infoservice freiwillig zur Verfügung stellt, zum Zwecke der Erfüllung dieses Nutzungsverhältnisses. Der Nutzer erhält damit Zugang zu den Dokumenten des Industrie.de Infoservice.
AGB
datenschutz-online@konradin.de