Cyberkriminelle gehen immer raffinierter vor, wenn sie fremde Netzwerke kapern, und es ist wichtiger denn je, deren Verhaltensweisen zu analysieren.
"Active Adversary" beschreibt als Fachbegriff die Art der Angriffsstrategie auf ein System. Im Gegensatz zur rein technischen und automatisierten Attacken kommt bei dieser Art der menschliche Faktor ins Spiel: Cyberkriminelle sitzen aktiv am Keyboard und reagieren individuell auf die Gegebenheiten in einem infiltrierten System. Ein großes Problem, besonders seit sich die Verweildauer der Angreifer – vom initialen Zugang bis zur Aufdeckung – kontinuierlich verringert und somit auch die Zeit für die Verteidigungsreaktion kürzer ist.
Schnelle Ransomware-Angriffe liegen im Trend
Laut Active Adversary Report handelt es sich bei 38 Prozent der untersuchten Fälle um "schnelle Attacken", Tendenz steigend. Angreifer reagieren damit auf die besseren Erkennungsmethoden in Unternehmen, die ihnen weniger Zeit lassen und zudem sind Cyberkriminelle mittlerweile sehr geübt. "Wie bei jedem Prozess führen Wiederholung und Übung tendenziell zu besseren Ergebnissen", so John Shier. "Moderne Ransomware wird in diesem Jahr zehn Jahre alt, eine lange Zeit mit vielen Beispielen, um immer mehr Kriminelle zu Experten zu machen. Eine umso gefährlichere Entwicklung, wenn viele Verteidigungsstrategien nicht mithalten konnten und es in der Folge zu einer erheblich umfangreicheren Störung des Geschäftsbetriebs kommen kann."
Neue Abwehrmaßnahmen nicht zwingend nötig
"Cyberkriminelle sind faul, sie nehmen nur Veränderungen vor, wenn sie dadurch besser ihr Ziel erreichen. Was läuft, ändern Angreifer nicht, selbst wenn sie dadurch nach der Infiltration schneller entdeckt werden. Das sind gute Nachrichten für Organisationen, da sie ihre Defensivstrategie nicht radikal ändern müssen, nur weil die Angreifer den Turbo einlegen", so Shier. "Der Schlüssel liegt in der Erhöhung der Widerstände. Macht man es den Angreifern schwerer und zieht jede Phase des Angriffs in die Länge, bleibt mehr Zeit, um zu reagieren." Diese Strategie ist umso wichtiger, wenn ein weiterer Faktor bei Angriffen in Betracht gezogen wird: Laut dem Sophos Ransomware-Report erfolgen 43% aller Angriffe außerhalb der regulären Geschäftszeiten. Ein weiteres Indiz dafür, dass die Angreifer umdenken und im fehlenden 24/7-Monitoring eine willkommene Schwachstelle sehen.
Die komplette Analyse auf Basis des Sophos Active Adversary Reports liefert Unternehmen wertvolle Informationen, wie Sicherheitsexperten ihre Defensivstrategien optimal gestalten können.