Cisco Talos Bedrohungsanalyse 2024 Identitäten im Fokus von Ransomware

Anbieter zum Thema

Cisco Systems GmbH GB Division Security

FAST LTA GmbH

Die Sicherheitsteams von Cisco Talos haben im Jahr 2024 vor allem identitätsbasierte Angriffe auf Unternehmen weltweit registriert, auch durch Ransomware-Gruppen. Dies unterstreicht die enorme Bedeutung von robusten Maßnahmen zum Schutz von Identitäten.

Vor allem über gestohlene Anmeldedaten, Sitzungs-IDs, API-Schlüssel und digitale Zertifikate erfolgen identitätsbasierte Angriffe. Diese waren für 60 Prozent der Incident Response (IR)-Fälle von Cisco Talos verantwortlich. Das zeigt der Cisco Talos Year in Review Report 2024. Demnach zielten 44 Prozent der Identitätsangriffe auf das Active Directory ab und 20 Prozent auf Cloud-Anwendungen, wobei auch APIs aufgrund ihres Zugangs zu sensiblen Daten ein attraktives Ziel darstellten.

Laut dieser Bedrohungsanalyse nutzten im vergangenen Jahr alleine Ransomware-Akteure in fast 70 Prozent der aufgedeckten Fälle gültige Konten für den Erstzugriff. Die aktivste Ransomware-as-a-Service (RaaS)-Gruppe war dabei LockBit, gemessen am Umfang der Beiträge zu Data Leak Sites. Damit belegte sie zum dritten Mal in Folge Platz 1, trotz ihrer zum Teil erfolgreichen Zerschlagung im März 2024. Den zweiten Rang belegte die neue Gruppe RansomHub. Sie greift vor allem große Unternehmen an und stellt dabei hohe Lösegeldforderungen.

Schon diese Ergebnisse belegen, dass Angreifer weiterhin vorwiegend bewährte Strukturen und Methoden nutzen, um IT-Netzwerke zu infiltrieren. Selbst neue Technologien wie Künstliche Intelligenz (KI) kommen bislang eher zur Verbesserung bestehender Taktiken zum Einsatz. Dazu gehören etwa das Erstellen und Versenden von Phishing-Mails für Social Engineering oder die Automatisierung von Prozessen. Die Entwicklung grundlegend neuer Techniken ließ sich bislang nicht im größeren Maßstab beobachten.

1. Halbjahr 2025

Die Top Malware in Deutschland

Vor allem bekannte Schwachstellen ausgenutzt

Die am häufigsten von Ransomware angegriffene Branche waren Hochschulen, gefolgt von öffentlicher Verwaltung, Fertigung und dem Gesundheitssektor. Auffällig ist dabei, dass Angreifer häufig seit mehreren Jahren bekannte Schwachstellen in weit verbreiteter Software und Hardware ausnutzen. Diese betreffen auch ältere Geräte, für die keine Patches mehr entwickelt werden. Entsprechend ist ein umfassendes Patch Management inklusive Schutz oder Ablösung älterer Systeme heute dringend erforderlich.

Zudem dringen Angreifer in die Systeme ihrer Opfer über Endpunktlösungen ein, die kein Kennwort erfordern oder nicht ordnungsgemäß konfiguriert sind. Selbst der Einsatz dedizierter Sicherheitslösungen kann Attacken nicht immer verhindern. So haben Ransomware-Akteure in 48 Prozent der registrierten Fälle die Security-Lösungen ihrer Opfer erfolgreich deaktiviert. Dies zeigt die Notwendigkeit robuster Maßnahmen zum Identitätsschutz sowie zur Erkennung von Angriffen, Manipulationen und anderem ungewöhnlichen Verhalten.

Google TAG und Mandiant analysieren Zero-Day-Exploits

97 Zero-Day-Schwachstellen wurden 2023 ausgenutzt

Die wichtigsten Sicherheitsmaßnahmen

Entsprechend empfiehlt Cisco Talos in seiner Bedrohungsanalyse einige zentrale Security-Maßnahmen. Dazu gehört das möglichst schnelle Installieren von bestehenden Updates und Patches, um bekannte Sicherheitslücken zu schließen. Identitäten sind heute mit robusten Authentifizierungsmethoden wie Multifaktor-Authentifizierung (MFA) und komplexen Passwörtern zu schützen. Sämtlicher Datenverkehr für Monitoring und Konfiguration muss Ende-zu-Ende verschlüsselt werden. Bei den Schutzmaßnahmen sind neben Endpunkten und Identitäten auch die Netzwerkinfrastruktur zu berücksichtigen. Zudem empfehlen sich gängige Praktiken wie strenge Zugangskontrollen, Netzwerksegmentierung und regelmäßige Mitarbeiterschulungen. Schon mit diesen grundlegenden Maßnahmen sind Unternehmen gut gegen die meisten aktuellen Angriffe geschützt.

(ID:50391644)