Sophos Active Adversary Playbook 2022 Kriminelle verstecken sich immer länger in der Firmen-Cloud

Von Dr. Dietmar Müller

Anbieter zum Thema

Sicherheitsexperte Sophos hat herausgefunden, dass die durchschnittliche Dauer unbemerkter, angriffsloser Schleichfahrten von Cyberkriminellen in Unternehmensnetzwerken auf 34 Tage gestiegen ist. Kleinere Unternehmen und der Bildungssektor seien davon besonders betroffen.

Der durchschnittliche, unentdeckte Aufenthalt von Kriminellen im Netzwerk liegt nun bei 34 Tagen.
Der durchschnittliche, unentdeckte Aufenthalt von Kriminellen im Netzwerk liegt nun bei 34 Tagen.
(Bild: gemeinfrei, FotoXCapture / Pixabay )

Sophos hat sein „Active Adversary Playbook“ für 2022 veröffentlicht. Es beschreibt detailliert das Verhalten von Cyberkriminellen, die das „Rapid Response Team“ im Jahr 2021 beobachtet hat, und dokumentiert einen Anstieg der Verweildauer der Cyberkriminellen in Unternehmensnetzwerken um 36 Prozent. Der durchschnittliche, unentdeckte Aufenthalt im Netzwerk ohne größere Attacke wie etwa Ransomware liegt nun bei 34 Tagen.

Auch ist die Verweildauer von Angreifern in kleineren Unternehmen länger als in größeren Unternehmen. Die Cyberkriminellen hielten sich in Unternehmen mit bis zu 250 Mitarbeitern etwa 51 Tage auf. Im Vergleich dazu verbrachten sie in Unternehmen mit 3.000 bis 5.000 Mitarbeitern in der Regel „nur“ 20 Tage.

„Angreifer halten größere Organisationen für wertvoller und sind daher stärker motiviert, schnell einzudringen und auch schnell wieder zu verschwinden. Kleinere Unternehmen haben einen geringeren `Wert´, so dass es sich die Eindringlinge leisten können, sich länger im Hintergrund im Netzwerk aufzuhalten“, so John Shier, Senior Security Advisor bei Sophos.

John Shier, Senior Security Advisor bei Sophos
John Shier, Senior Security Advisor bei Sophos
(Bild: Sophos )

Es sei allerdings auch möglich, so Shier weiter, dass diese Angreifenden über weniger Erfahrung verfügten und deshalb mehr Zeit im Netzwerk mit Auskundschaften verbrächten. Auch hätten kleinere Unternehmen und der Bildungssektor in der Regel weniger Einblick in die Angriffskette, um Attacken zu erkennen und zu vertreiben. Dies verlängere ebenfalls die Präsenz der Angreifer.

Einen Sonderfall stellten Ransomware-Attacken dar. Hier agierten die Kriminellen insgesamt „schneller“, jedoch sei auch hier der unbemerkte Aufenthalt im Netzwerk von 11 Tagen 2020 auf 15 Tage im Jahr 2021 gestiegen.

Schwachstellen in Microsoft Exchange

Der Report zeigt zudem die Auswirkungen der ProxyShell-Schwachstellen in Microsoft Exchange auf, die Sophos zufolge von einigen Initial Access Brokern (IABs) ausgenutzt wurden, um in Netzwerke einzudringen und den Zugang dann an andere Cybergangster zu verkaufen. „Die Welt der Cyberkriminalität ist unglaublich vielfältig und spezialisiert geworden“, so Shier.

„Initial Access Broker (IAB) haben eine eigene Cybercrime-Industrie entwickelt, indem sie in ein Ziel eindringen, es auskundschaften oder eine Backdoor installieren und dann den schlüsselfertigen Zugang an Ransomware-Banden für deren eigene Angriffe verkaufen.“

Warnsignale wahrnehmen

Unternehmen müssten auf bestimmte Warnsignale achten, um ungebetene Gäste abzuschrecken: „Zu den Warnsignalen gehört die Entdeckung eines legitimen Tools oder einer Kombination von Tools und Aktivitäten an einem unerwarteten Ort oder zu einer ungewöhnlichen Zeit“, so Shier.

„Es ist erwähnenswert, dass es auch Zeiten geben kann, in denen wenig oder gar keine Aktivitäten stattfinden. Das bedeutet aber nicht, dass ein Unternehmen nicht angegriffen wurde. Wahrscheinlich gibt es noch weitere ProxyLogon- oder ProxyShell-Einbrüche, die derzeit noch unbekannt sind. Auch hierbei werden Web-Shells und Backdoors für einen dauerhaften Zugriff implantiert, die bis zum Zeitpunkt der Zugriffsnutzung oder des Verkaufs unbemerkt bleiben.“

Was gilt es zu tun? „Verteidiger müssen bei verdächtigen Signalen wachsam sein und sofort Nachforschungen anstellen“, erläutert Shier. „Sie müssen kritische Fehler – vor allem in weit verbreiteter Software – beheben und vorrangig die Sicherheit von Fernzugriffsdiensten erhöhen. Solange die ungeschützten Zugangspunkte nicht geschlossen und alle Zugangs-Aktivitäten der Angreifer nicht vollständig beseitigt sind, kann so gut wie jeder nach Belieben eindringen und wird es wahrscheinlich auch tun.“

(ID:48443479)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung