Cisco Talos Incident Response

Commodity-Trojaner führen Malware-Ranking an

Uhr
von Marc Landis und kfi

Commodity-Malware ist im zweiten Quartal 2022 die grösste Bedrohung gewesen. Ransomware folgt dieses Mal erst auf Platz zwei. Social Engineering per Mail ist nach wie vor beliebt bei Angreifern.

(Source: Skill Up / Fotolia.com)
(Source: Skill Up / Fotolia.com)

Das Cisco Talos Incident Response (CTIR) Team sieht im zweiten Quartal 2022 zum ersten Mal seit über einem Jahr nicht mehr Ransomware als grösste Bedrohung. Neu mit 20 Prozent Anteil stehen Commodity-Trojaner an der Spitze des unrühmlichen Rankings, wie Cisco in seinem vierteljährlichen Threat Assessment Report mitteilt.

Im Vergleich zu den vorangegangenen Quartalen machte demnach Ransomware einen geringeren Prozentsatz aus und liegt bei 15 Prozent, während es im letzten Quartal noch 25 Prozent waren. Mögliche Faktoren seien die Erfolge der Strafverfolgungsbehörden beim Aufspüren von Ransomware-Gruppen und deren interne Zersplitterung, mutmasst der Report.

Commodity-Malware sei weit verbreitet und könne gekauft oder kostenlos heruntergeladen werden. Sie ist in der Regel nicht angepasst und wird von einer Vielzahl von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten verwendet, wie es weiter heisst. Beispiele aus dem 2. Quartal sind demnach Remcos RAT, Vidar Information Stealer, Redline Stealer und der Qakbot Banking-Trojaner. Nach Commodity-Malware und Ransomware gehörten Phishing, Business-E-Mail-Compromise (BEC) und Insider-Threats zu den Bedrohungen, die CTIR häufig beobachtete. Die am häufigsten angegriffene Branche war die Telekommunikation, gefolgt von Organisationen im Bildungs- und Gesundheitswesen, wie CTIR weiter schreibt.

Trends

Hochkarätige Ransomware-as-a-Service (RaaS)-Gruppen wie Conti und BlackCat hätten es auf Organisationen abgesehen, die allenfalls hohe Lösegelder bezahlen könnten. Conti gab im Mai zwar bekannt, dass sie ihren Betrieb einstelle. Eine neue RaaS-Variante namens "Black Basta" sei aber eine mutmassliche Umbenennung von Conti und dürfte in den kommenden Quartalen eine ernstzunehmende Bedrohung werden, schreibt CTIR.

LockBit Ransomware wurde in einer aktualisierten Version veröffentlicht, die neue Kryptowährung-Zahlungsoptionen für Opfer, neue Erpressungstaktiken und ein neues Bug-Bounty-Programm beinhaltet, wie CTIR weiss. Wie schon in im ersten Quartal beobachtete CTIR viele E-Mail-basierte Bedrohungen, die eine Vielzahl von Social-Engineering-Techniken nutzen, um Benutzer zum Klicken auf einen Link oder zum Öffnen einer Datei zu verleiten.

Multi-Faktor-Authentifizierung als Schutz

"Das Fehlen von Multi-Faktor-Authentifizierung (MFA) ist nach wie vor eines der grössten Hindernisse für IT-Sicherheit", sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz in der CTIR-Mitteilung. "Aufgrund der untersuchten Angriffe empfehlen wir allen Organisationen, nicht nur eine MFA für alle Dienste zu implementieren, sondern auch sicherzustellen, dass alle Partner und Drittanbieter in der IT-Umgebung die MFA-Sicherheitsrichtlinien einhalten."

Ausserdem interessant: Lesen Sie hier, warum der Fachkräftemangel die Gefahr durch Ransomware verstärkt.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_263108