Security-Studie
Hacker bleiben 11 Tage unentdeckt im Netz
Fortsetzung des Artikels von Teil 1
Angreifer kombinieren Tools
Wenn zum Beispiel »PowerShell« in einem Angriff verwendet wird, ist auch »Cobalt Strike« in 58 Prozent der Fälle, »PsExec« in 49 Prozent, »Mimikatz« in 33 Prozent und »GMER« in 19 Prozent mit von der Partie. »Cobalt Strike« und »PsExec« werden in 27 Prozent der Angriffe zusammen verwendet, während »Mimikatz« und »PsExec« in 31 Prozent der Angriffe gemeinsam auftreten. Schließlich tritt die Kombination aus »Cobalt Strike«, »PowerShell« und »PsExec« in 12 Prozent aller Angriffe auf. Solche Zusammenhänge sind wichtig, da ihre Erkennung als Frühwarnung eines bevorstehenden Angriffs dienen oder das Vorhandensein eines aktiven Angriffs aufzeigen kann.
Ransomware bleibt »Kassenschlager«
Erst die tatsächliche Ransomware-Aktivierung ist oft der Moment, an dem ein Angriff für ein IT-Sicherheitsteam erstmals sichtbar wird. Wenig überraschend ist also, dass die überwiegende Mehrheit der dokumentierten Vorfälle Ransomware betraf. Zu den anderen Angriffstypen gehörten auch reine Datenexfiltration, Cryptominer, Banking-Trojaner oder Pen-Test-Attacken.
Falscher Ort, falsche Zeit
»Die Bedrohungslandschaft wird immer unübersichtlicher und komplexer. Die Cyberkriminellen starten ihre Angriffe mit den unterschiedlichsten Fähigkeiten und Ressourcen, von Skript-Kiddies bis hin zu staatlich unterstützten Hackergruppen. Das macht die Arbeit für Verteidiger schwierig«, sagt John Shier, Senior Security Advisor bei Sophos. Viele der von Angreifern verwendeten Tools werden auch von IT-Administratoren und Sicherheitsexperten für ihre täglichen Aufgaben verwendet und es ist daher eine Herausforderung, rechtzeitig den Unterschied zwischen gutartigen und bösartigen Aktivitäten auszumachen. Besonders vor dem Hintergrund, dass Angreifer ihre Aktivitäten im Durchschnitt elf Tage im Netzwerk durchführen, während sie sich in die routinemäßigen IT-Aktivitäten einmischen, sei es laut Shier wichtig, dass Verteidiger die Warnzeichen kennen, auf die sie achten und denen sie nachgehen müssen. So sollte etwa Alarmstufe Rot läuten, wenn ein legitimes Tool oder eine bekannte Aktivität an einem unerwarteten Ort oder zu einer außergewöhnlichen Zeit entdeckt wird. Shier weiter: »Technologie kann heutzutage viel bewirken, aber in der aktuellen Bedrohungslandschaft sind menschliche Erfahrung und die Fähigkeit, individuell zu reagieren, ein wichtiger Teil jeder Sicherheitslösung.«
- Hacker bleiben 11 Tage unentdeckt im Netz
- Angreifer kombinieren Tools
Verwandte Artikel
Sophos
Push für den Wachstumssektor
Sophos will mit neuem Team sein MSP-Geschäft…
Aufbau eines MSP-Channels
Unicon holt einen Channel Manager für MSP ins Team
„Re-Start" und Firmenjubiläum
IT-Systemhaus NetPlans lädt zur Hausmesse
IT-Security
Zerto
Schutz gegen Ransomware-Angriffe in Hybrid Clouds
Fokus auf Cybersicherheit für Firmen
Lookout verkauft Consumer-Mobile-Geschäft an…
