In den letzten zehn Jahren hat die Anzahl und Komplexität von Cyber-Angriffen sowohl von regierungsnahen Hackergruppen als auch von finanziell motivierten Cyberkriminellen erheblich zugenommen. Menschen, Unternehmen und Regierungsorganisationen können nicht mehr auf die Sicherheit des Cyberspace sowie auf die Integrität und Sicherheit ihrer Daten vertrauen. Das Internet ist zum Kreislaufsystem unserer Zivilisation geworden. Die Kommunikationsfreiheit und die globalen Möglichkeiten, die das Internet bietet, werden jedoch zunehmend bedroht: Pflaumen und Datenlecks, Cyber-Angriffe von Kriegsstaaten - das sind die Realitäten, in denen jeder von uns heute lebt.

Der führende und beängstigendste Trend im Jahr 2019 ist der Einsatz von Cyberwaffen
in offenen Militäreinsätzen. Der Konflikt zwischen Staaten hat neue Formen angenommen, und Cyber-Aktivitäten spielen eine führende Rolle in diesem destruktiven Dialog. Angriffe auf kritische Infrastrukturen und gezielte Destabilisierung des Internets in einzelnen Ländern leiten eine neue Ära der Cyber-Angriffe ein. Wir sind zuversichtlich, dass ein friedliches Leben nicht länger isoliert von der Cybersicherheit möglich ist: Kein Staat, kein Unternehmen, niemand kann diesen Faktor ignorieren.

Vor sechs Jahren haben wir den ersten High-Tech Crime Trends-Bericht veröffentlicht. Dann war es die einzige Studie über die Trends der Internetkriminalität in Russland und eine der ersten in der Welt. Nach wie vor zeigt der Group-IB-Geschäftsbericht die im Laufe des Jahres eingetretenen Veränderungen und ist die einzige und umfassendste Quelle für strategische und taktische Daten zu aktuellen Cyber-Bedrohungen in der Welt. Diese Studie beschreibt den Zeitraum H2 2018 - H1 2019.

Durchführung offener Militäreinsätze mit Cyberwaffen

In den ersten sechs Monaten des Jahres 2019 wurden drei offene Militäreinsätze bekannt: Im März, als Folge des Angriffs auf venezolanische Wasserkraftwerke, blieb der größte Teil des Landes für mehrere Tage ohne Strom. Im Mai startete die israelische Armee als Reaktion auf einen Cyberangriff einen Raketenangriff auf Hamas-Hacker. und im Juni setzten die USA als Reaktion auf eine abgeschossene amerikanische Drohne Cyberwaffen gegen iranische Raketenstartkontrollsysteme ein.

Es wurden keine Angreifer-Tools installiert, und im letzteren Fall kam es wenige Tage nach dem Drohnenvorfall zu einem Cyberangriff. Dies bestätigt die Annahme, dass die kritischen Infrastrukturen vieler Länder bereits gefährdet sind und Angreifer bis zum richtigen Zeitpunkt einfach unbemerkt bleiben.

Verletzung der Stabilität des Internets auf staatlicher Ebene

In der modernen Welt können maximale soziale und wirtschaftliche Schäden verursacht werden, indem Menschen und Unternehmen von der Kommunikation getrennt werden. Gleichzeitig werden Länder, die eine zentrale Zugangskontrolle zum Internet aufbauen, anfälliger und möglicherweise das erste Ziel.
In den letzten Jahren wurden Angriffe auf verschiedenen Ebenen der Kommunikationsinfrastruktur getestet, und bis 2019 gab es erfolgreiche Fälle von Angriffen auf Internet-Routing und BGP-Hijacking, auf Domain-Registrare, Root-DNS-Server-Administratoren, Country-Domain-Administratoren und DNS-Hijacking auf lokale Filtersysteme und Verkehrssperre.

Neue Bedrohungen im Zusammenhang mit der weit verbreiteten Einführung von 5G

Die Umstellung auf die 5G-Technologie wird die Bedrohungslage für die Telekommunikationsbranche nur noch verschlimmern. Der erste Grund sind die Architekturmerkmale, die Möglichkeiten für neue Arten von Angriffen auf Betreibernetzwerke eröffnen. Der zweite Grund ist der Wettbewerb um einen neuen Markt, der dazu führen kann, dass die Hacking-Fähigkeiten einzelner Anbieter demonstriert werden und eine Vielzahl anonymer Studien über die Schwachstellen bestimmter technologischer Lösungen erstellt werden.

Versteckte Bedrohungen von regierungsnahen Gruppen

Trotz der Tatsache, dass im vergangenen Zeitraum eine relativ große Anzahl von Studien zu neuen regierungsnahen Gruppen veröffentlicht wurde, ist dieser Bereich nach wie vor wenig verstanden. Die Aktivität von 38 Gruppen wurde bemerkt (7 - neu, dessen Zweck Spionage ist), aber dies bedeutet nicht, dass andere bekannte Gruppen ihre Aktivität eingestellt haben - höchstwahrscheinlich blieben ihre Kampagnen einfach unter dem Radar der Analysten.

Beispielsweise sind im Energiesektor nur zwei Frameworks bekannt - Industroyer und Triton (Trisis) - und beide wurden aufgrund des Fehlers ihrer Betreiber gefunden. Höchstwahrscheinlich gibt es eine erhebliche Anzahl ähnlicher, unentdeckter Bedrohungen, und dies ist eine Zeitbombe.

Es ist auch erwähnenswert, dass im öffentlichen Raum bekannte regierungsnahe Gruppen hauptsächlich aus Entwicklungsländern stammen, Informationen zu Angriffen und Instrumenten solcher Gruppen aus Industrieländern jedoch immer noch nicht veröffentlicht werden.

Reverse Hacking: Opposition von regierungsnahen Gruppen

Im Jahr 2019 sind Fälle des Auftretens öffentlich zugänglicher Informationen häufiger geworden
über das Angreifen von Werkzeugen im Namen von angeblich Hacktivisten oder ehemaligen Mitgliedern der Gruppe. In den meisten Fällen handelt es sich um Beispiele für umgekehrtes Hacken, wenn Angreifer selbst Opfer werden. Derzeit haben private Unternehmen nicht das Recht, solche Operationen durchzuführen, und nur staatliche Sonderdienste verfügen offiziell über solche Befugnisse.

Gezielte Angriffe russischsprachiger Gruppen auf ausländische Banken

Nur 5 Gruppen stellen jetzt eine echte Bedrohung für den Finanzsektor dar: Cobalt, Silence, MoneyTaker - Russland, Lazarus - Nordkorea, SilentCards - eine neue Gruppe aus Kenia.
In Russland verringerte sich der Schaden durch gezielte Angriffe finanziell motivierter Gruppen auf Banken im Untersuchungszeitraum um fast das 14-fache. Dies ist unter anderem auf die Verlagerung des Fokus russischsprachiger finanziell motivierter Gruppen auf ausländische Banken zurückzuführen.

Das allmähliche Verschwinden von Trojanern für PC und Android

Der Trend zum Verschwinden von Trojanern für PCs aus der Landschaft der Cyber-Bedrohungen hält an: In Russland - im "Zuhause" dieser Art von Malware - wurde das Schreiben eingestellt. Brasilien war das einzige Land, in dem Trojaner aktiv hergestellt wurden, aber sie werden ausschließlich vor Ort verwendet. Nur Trickbot hat sich im letzten Jahr erheblich weiterentwickelt und kann nun sowohl für gezielte Angriffe auf Banken als auch zum Ausspähen von Regierungsbehörden verwendet werden, wie dies beim Zeus-Trojaner der Fall war.

Trojaner für Android verschwinden langsamer als für PCs, die Anzahl neuer Trojaner ist jedoch um ein Vielfaches geringer als veraltet. Neue Programme entwickeln sich vom Abfangen von SMS bis zum automatischen Geldtransfer über mobile Banking-Anwendungen - Auto-Fill.
Die Anzahl der aktiven Trojaner wird aufgrund der Einführung von Abwehrmechanismen und eines starken Rückgangs des wirtschaftlichen Nutzens für Angreifer weiter sinken.

Die Evolution des Social Engineering ohne Schadcode

Vor dem Hintergrund des Sturzes der Trojaner wächst die Bedrohung durch Social Engineering ohne den Einsatz von Schadcode. Angreifer verwenden weiterhin gefälschte Konten in sozialen Netzwerken, tätigen Anrufe von zuverlässigen Nummern mithilfe gut gestalteter Skripts und kaufen für Zuverlässigkeit
Passdatenbank usw. Relativ neue Methoden des Social Engineering umfassen die Steuerung des Telefons mithilfe von Fernzugriffsprogrammen, die Opfer unter Anleitung von Telefonbetrügern auf ihren Geräten installieren.

Carding Marktwachstum durch JS Sniffer

Mit sinkenden finanziellen Erträgen durch den Einsatz von Banking-Trojanern für PC und Android begannen Angreifer, Geld effektiver zu verdienen - JS-Sniffer. Ihre Anzahl übersteigt bereits die Anzahl der Trojaner, und die Gesamtzahl der mit ihrer Hilfe kompromittierten Karten hat sich um 38% erhöht. JS-Sniffer werden die sich am dynamischsten entwickelnde Bedrohung sein, insbesondere in Ländern, in denen 3D Secure nicht verbreitet ist.

Neue Angriffe auf Versicherungs-, Beratungs- und Baufirmen

Im Jahr 2019 verzeichneten Group-IB-Spezialisten Angriffe einer neuen Gruppe namens RedCurl. Die Hauptziele der Gruppe sind Spionage und finanzieller Gewinn. Nach dem Entladen wichtiger Dokumente installieren Angreifer Minenarbeiter in der Infrastruktur eines gefährdeten Unternehmens.
Die Besonderheit dieser Gruppe ist die sehr hohe Qualität von Phishing-Angriffen - für jedes Unternehmen erstellen Angreifer einen eigenen Brief. RedCurl verwendet einen einzigartigen proprietären Trojaner, der über legitime Dienste mit dem Verwaltungsserver kommuniziert, wodurch es sehr schwierig wird, böswillige Aktivitäten zu erkennen
in der Infrastruktur.

Seit mehr als 16 Jahren untersuchen Group-IB-Experten Cyber-Vorfälle, indem sie die Tools und die Infrastruktur von Angreifern analysieren. Jeder neue Cyberangriff zielte darauf ab
Für ein Unternehmen, eine politische Partei oder eine Einrichtung mit kritischer Infrastruktur haben wir die Möglichkeit, die Entwicklung von Taktiken und Werkzeugen für deren Implementierung zu verfolgen. Wir sind zutiefst davon überzeugt, dass öffentliche Organisationen und private Akteure, die die Internetkriminalität bekämpfen, Daten austauschen und veröffentlichen müssen
ihre Forschung.

Dank der Verwendung einzigartiger Tools zur Überwachung der Infrastruktur von Cyberkriminellen sowie einer gründlichen Untersuchung der Forschung anderer Cybersicherheitsteams in verschiedenen Ländern finden und bestätigen wir gemeinsame Muster, die ein integrales Bild der Entwicklung von Cyberbedrohungen bilden. Auf dieser Grundlage formulieren wir Prognosen, die jedes Jahr während der gesamten Laufzeit des Berichts zutreffen.

Laden Sie hier den vollständigen Bericht zu Hi-Tech Crime Trends 2019/2020 herunter.