Mandiant M-Trends 2022
20.04.2022, 12:01 Uhr
20.04.2022, 12:01 Uhr
Hacker werden eher entdeckt
Der aktuelle Cybersecurity-Bericht von Mandiant zeigt zwar, dass die Verweildauer der Hacker, bevor sie entdeckt werden, zurückgegangen ist. Allerdings sind 48 Tage, so die jüngste Zahl für die Emea-Region doch wesentlich höher als der globale Durchschnitt von 21 Tagen.
Mandiant hat den neusten Bericht «M-Trends 2022» veröffentlicht. Darin zeigt der Anbieter von dynamischer Cyberabwehr und Incident Response (Selbstbezeichnung) unter anderem auf, dass die globale durchschnittliche Verweildauer von 24 Tage im Jahr 2020 auf 21 Tage im darauffolgenden Jahr zurückgegangen ist. Dabei handelt es sich um die durchschnittliche Anzahl der Tage, die ein Angreifer in der Umgebung eines Opfers anwesend ist, bevor er entdeckt wird.
Auch wenn dies auf den ersten Blick eine gute Nachricht ist, heisst dies doch, dass Hacker sich nach wie vor im Schnitt drei Wochen in der Infrastruktur des Opfers tummeln können, bevor sie enttarnt werden. Zudem gibt es recht grosse regionale Unterschiede. So ist die durchschnittliche Verweildauer in der Emea-Region mehr als doppelt so hoch als der globale Durchschnitt. Sie beträgt nämlich 48 Tage. Immerhin konnte auch hier die Dauer gesenkt werden, betrug diese doch 2020 noch 66 Tage. Vergleichsweise gut stehen Nord-, Mittel- und Südamerika da. Hier blieb die durchschnittliche Verweildauer mit 17 Tagen konstant.
Die entscheidenden Faktoren für die kürzere durchschnittliche Verweildauer sind laut dem Bericht wahrscheinlich die verbesserte Sichtbarkeit von Bedrohungen und die verbesserte Reaktion der Unternehmen auf diese sowie die weite Verbreitung von Ransomware. Denn Ransomware weist eine deutlich geringere durchschnittliche Verweildauer auf als andere Angriffsarten.
1100 neue Hackergruppen
Als Ergebnis der Informationsbeschaffung und -analyse beobachteten die Experten von Mandiant im diesjährigen M-Trends-Untersuchungszeitraum vom 1. Oktober 2020 bis zum 31. Dezember 2021 mehr als 1100 neue Hackergruppen. Mandiant verfolgte ausserdem 733 neue Malware-Familien, von denen 86 Prozent nicht öffentlich zugänglich waren. Damit setzt sich laut dem Bericht der Trend fort, dass neue Malware-Familien sehr diskret entwickelt und bewusst nur eingeschränkt verbreitet, beziehungsweise gezielt eingesetzt werden.
In den M-Trends 2022 wird auch eine Neuausrichtung und Umstrukturierung der chinesischen Cyberspionageoperationen festgestellt. Diese gehen gemäss den Mandiant-Forschern mit der Umsetzung des 14. chinesischen Fünfjahresplans im Jahr 2021 einher. Der Bericht warnt daher, dass die in dem Plan enthaltenen Prioritäten auf nationaler Ebene «auf eine bevorstehende Zunahme chinesischer Aktivitäten hindeuten, die in den nächsten Jahren darauf abzielen werden, in geistiges Eigentum oder andere strategisch wichtige Wirtschaftsfaktoren sowie in Produkte der Verteidigungsindustrie und andere ‹Dual Use›-Technologien einzudringen, die kommerzielle und auch militärische Nutzungsmöglichkeiten bieten».
Weitere Erkenntnisse aus dem Bericht M-Trends 2022:
- Infektionsvektor: Auch im zweiten Jahr in Folge waren Sicherheitslücken der am häufigsten identifizierte Infektionsvektor. Tatsächlich nahmen 37 Prozent der Vorfälle, auf die Mandiant im Berichtszeitraum reagierte ihren Anfang in der Ausnutzung einer Sicherheitslücke. Phishing machte im Gegensatz dazu nur 11 Prozent aus. Die Kompromittierung der Lieferkette nahm drastisch zu, von weniger als 1 Prozent im Jahr 2020 auf 17 Prozent im Jahr 2021.
- Betroffene Branchen: Gewerbe und Professional Services sowie die Finanzbranche waren am häufigsten Ziel der Angreifer (jeweils 14 Prozent), gefolgt vom Gesundheitswesen (11 Prozent), dem Einzelhandel und dem Gastgewerbe (10 Prozent) und der Technologiebranche und Regierungen (jeweils 9 Prozent).
- Neue vielschichtige Erpressungs- und Ransomware-TTPs: Mandiant hat beobachtet, dass vielschichtige Erpressungs- und Ransomware-Angreifer neue Taktiken, Techniken und Verfahren (TTPs) einsetzen, um Ransomware schnell und effizient in Unternehmensumgebungen einzusetzen. Die weitverbreitete Nutzung von Virtualisierungs-Infrastruktur in Unternehmensumgebungen hat diese zu einem bevorzugten Ziel für Ransomware-Angreifer gemacht.