Einen rekordverdächtigen Anstieg von Hands-On-Angriffsversuchen um 50 Prozent im Vergleich zum Vorjahr sowie deutliche Veränderungen bei den Angriffstrends und den Vorgehensweisen der Angreifer zeigt der vierte jährliche Threat Hunting Report.
Die Falcon OverWatch Threat Hunter haben mehr als 77.000 potenzielle Angriffsversuche identifiziert, was ungefähr einem Angriffsversuch alle sieben Minuten entspricht. Es handelt es sich um Fälle, bei denen durch proaktive, von Menschen geleitete Bedrohungsjagd Angreifer aufgedeckt wurden, die in verschiedenen Phasen der Angriffskette aktiv bösartige Techniken angewendet haben. Dabei setzen Angreifer alles daran, sich den autonomen Erkennungsmethoden zu entziehen.
Falcon OverWatch hat errechnet, dass die Breakout Time (also die Zeit, die ein Angreifer im Durchschnitt benötigt, um von der anfänglichen Kompromittierung zu anderen Hosts innerhalb der Opferumgebung überzugehen) für eCrime-Angreifer auf 1 Stunde und 24 Minuten gesunken ist – im Vergleich zu 1 Stunde und 38 Minuten im Vorjahr.
Darüber hinaus stellte das OverWatch-Team fest, dass bei etwa einem Drittel (30 Prozent) dieser eCrime-Attacken der Angreifer in der Lage war, sich in weniger als 30 Minuten lateral zu bewegen. Diese Ergebnisse unterstreichen die Geschwindigkeit und das Ausmaß, in dem Bedrohungsakteure ihre Taktiken, Techniken und Verfahren (TTPs) weiterentwickeln und in der Lage sind, selbst die fortschrittlichsten technologiebasierten Abwehrsysteme zu umgehen, um ihre Ziele erfolgreich zu erreichen.
Weitere wichtige Erkenntnisse:
- eCrime war für 43 Prozent der interaktiven Einbrüche verantwortlich, während staatliche Akteure 18 Prozent der Aktivitäten ausmachten. Auf Hacktivisten entfielen nur ein Prozent der interaktiven Einbruchskampagnen.
- Angreifer verlassen sich immer weniger auf Malware. Auf Malware-freie Angriffe entfielen 71 Prozent aller indizierten Entdeckungen. Das hängt zum Teil damit zusammen, dass die Angreifer oft gültige Anmeldeinformationen missbrauchen. Ein weiterer Faktor ist die Geschwindigkeit, mit der neue Schwachstellen aufgedeckt werden sowie die Geschwindigkeit, mit der Angreifer in der Lage sind, Exploits zu implementieren.
- Die Technologiebranche ist die wichtigste Zielbranche für interaktive Angriffe. Die fünf wichtigsten Zielbranchen sind Technologie (19 %), Telekommunikation (10 %), Fertigung (7 %), Hochschulen (7 %) und das Gesundheitswesen (7 %).
- Der Telekommunikationssektor ist die wichtigste Branche für gezielte Angriffe durch staatliche Akteure. Die fünf wichtigsten Zielbranchen sind Telekommunikation (37 %), Technologie (14 %), Behörden (9 %), Hochschulen (5 %) und Medien (4,5 %).
- Das Gesundheitswesen befindet sich im Fadenkreuz von Ransomware-as-a-Service (RaaS). Das Volumen der versuchten interaktiven Angriffe auf das Gesundheitswesen hat sich im Vergleich zum Vorjahr verdoppelt. Die überwiegende Mehrheit dieser Einbrüche wird eCrime zugeschrieben.