Der vor kurzem veröffentlichte Global Threat Report 2019 des IT-Sicherheitsunternehmens Crowdstrike analysiert die Vorfälle des vergangenen Jahres und führt dabei zum ersten Mal einen neuen Bewertungsparameter ein. Anhand der sogenannten „Breakout time“ wird bewertet wie schnell sich Angreifer auf attackierten Systemen ausgebreitet haben und die unterschiedlichen Angreifergruppen danach sortiert. Dabei beurteilen die Analysten die die Zeitspanne die zwischen dem ersten Eindringen und dem eigentlichen Angriff auf Daten und IT-Systeme vergeht. Diese Informationen lassen sich in aller Regel über Log-Daten und andere digitale Spuren auf den IT-Systemen erheben. Hinter der Erhebung dieser Informationen steht die Überlegung, dass sich damit die Qualität der Angreifer und die Gefahr die von einer Attacke ausgeht bewertet lässt sowie Rückschlüsse auf den möglichen Akteur und die ihm zur Verfügung stehenden Ressourcen möglich sind. Allerdings verweisen die Autoren auch darauf, dass im Einzelfall Infektionen von IT-Systemen gezielt über lange Zeit verborgen gehalten werden könnten um Systeme zwar zu unterwandern, deren unmittelbare Beeinflussung oder Störung aber in Form „digitaler Schläfer“ zurückzuhalten um im Bedarfsfall darauf zurückgreifen zu können.
Aus der Pressemitteilung (Kopie) zum Bericht:
Notable Highlights of the Global Threat Report:
- One of the most significant trends in eCrime for 2018 was the continued rise of “Big Game Hunting,” the practice of combining targeted, intrusion-style tactics for the deployment of ransomware across large organizations.
- Another trend identified by CrowdStrike Intelligence was the increased collaboration between highly sophisticated eCrime threat actors. The use of geo-targeting to support multiple eCrime families was observed through a variety of tactics.
- The industries at the top of the target list for malware-free intrusions include media, technology and academia, highlighting the need to aggressively strengthen their defenses against more sophisticated, modern attacks.
- CrowdStrike identified several targeted intrusion campaigns by China, Iran and Russia, focused on the telecommunications sector and likely supporting state-sponsored espionage activities. Subsequent lures to drive more effective social engineering campaigns resulted in compromising telecom customers, including government entities.
- CrowdStrike observed an increasing operational tempo from China-based adversaries, which is only likely to accelerate as US-China relations continue to be strained.