VRVIRUS - stock.adobe.com
Trends bei Phishing, Ransomware und Co.
Wenn ein Phishing-Versuch von einem augenscheinlich vertrauenswürdigen Absender stammt, ist dies für das potenzielle Opfer ein erhebliches Risiko. Das ist immer häufiger der Fall.
Das ist eines der Ergebnisse des Berichtes in Sachen Cyberbedrohungen von Cisco Talos für das zweite Quartal 2025. Demnach erfolgen Phishing-Angriffe zunehmend mit kompromittierten E-Mail-Konten. Diese E-Mails können dann augenscheinlich aus dem Kollegenkreis oder von vertrauten Geschäftspartnern stammen, was das Risiko für die potenziellen Opfer vergrößert, da diese Nachrichten zunächst vertrauenswürdig wirken. Laut dem Bericht traf dies auf 75 Prozent der beobachteten Phishing-Angriffe zu. Diese Art, der auf den ersten Blick vertrauenswürdigen Nachrichten kann natürlich auch dazu verwendet werden, weitere Anmeldedaten zu erbeuten. Angriffe dieser Art erfolgen häufig im Kontext eines Business-E-Mail-Compromise (BEC).
Insgesamt sei die Anzahl der von Cisco Talos beobachteten Phishing-Aktivitäten zwar zurückgegangen, Phishing bleibe aber die häufigste Methode für den ersten Zugriff.
Angriffe auf Multifaktor-Authentifizierung
Zwar ist jede Multifaktor-Authentifizierung (MFA) sicherer als keine zu verwenden, aber nicht jede MFA-Implementierung ist ausreichend sicher und bei Angriffen gleichermaßen wirksam. Viele der beobachteten Vorfälle stünden in Zusammenhang mit Problemen bei der Multifaktor-Authentifizierung, etwa Fehlkonfigurationen oder umgangene Authentifizierung.
„Die einzige Konstante bei Cyberkriminalität ist der Wandel“, sagt Thorsten Rosendahl, Technical Leader von Cisco Talos. „Im zweiten Quartal geht der Trend bei Cyberkriminellen zum Handel mit kompromittierten Anmeldedaten als schnelle und wenig riskante Möglichkeit, um Geld zu machen. Phishing bleibt dabei äußerst effektiv für den ersten Zugriff. Unternehmen müssen daher MFA aktivieren und überwachen sowie Web Application Firewalls mit Flow-Logging für die Echtzeit-Erkennung von Cyberbedrohungen einsetzen.“
Ransomware-Entwicklungen
Für die Hälfte aller Einsätze des Cisco Talos Incident Response seien in diesem Quartal Ransomware und Pre-Ransomware-Vorfälle verantwortlich gewesen. Dabei sei zum ersten Mal die Qilin-Ransomware in Erscheinung getreten. So habe man bisher nicht gemeldete Tools, Taktiken und Verfahren (TTPs) identifiziert. Die Angreifer würden sich vermutlich mit gestohlenen Zugangsdaten Zugriff zum Netzwerk des Opfers verschaffen. Einmal in der Umgebung würde gängigen RMM-Software genutzt, sowohl für Seitwärtsbewegungen als auch für die Bereitstellung der Daten.
Damit sich die Ransomware dauerhaft festsetzt, würde ein Autorun-Eintrag auf den infizierten Systemen eingerichtet, damit die Malware bei jedem Neustart wieder aktiv ist. Insgesamt hätte diese Art des Angriffs eine komplette Neueinrichtung der Active-Directory-Domäne und die Zurücksetzung der Passwörter für alle Konten erforderlich gemacht.
Bei einem Drittel der Ransomware-Angriffe hat Cisco Talos zudem die Verwendung der veralteten PowerShell v.1.0 beobachtet. Eigentlich sollte man davon ausgehen, dass derlei nicht mehr ausgeführt werden darf. Immerhin stammt diese Version aus dem Jahr 2006 und kam mit dem damaligen Windows Server 2008. In einem der Beispiele haben die Angreifer die PowerShell verwendet, um den Ordner C:\Windows zur Ausschlussliste der Sicherheitssoftware hinzuzufügen, um dort ungestört agieren zu können.
Unternehmen sollten bei der PowerShell aktuellere Versionen erzwingen. Bei diesen Living-off-the-Land-Angriffen nutzen Angreifer vorhandene Tools wie die PowerShell, auch um der Entdeckung zu entgehen.
Ausführliche Informationen zum Bericht von Cisco Talos finden sich in einem Blogbeitrag.
