Informationen
Ein Ransomware Readiness Check hilft bei der Priorisierung von Massnahmen.
Ein Ransomware Readiness Check hilft bei der Priorisierung von Massnahmen.
Die Meldungen des NCSC nehmen weiter zu. Seit dem Beginn der Messung im Jahr 2020 haben sich die Meldungen von Jahr zu Jahr nahezu verdoppelt. Ein Hauptgrund dafür ist, dass der NCSC mehr Visibilität erhält und dadurch auch mehr Meldungen zugesendet bekommt. Dies hat der NCSC auch im letzten Halbjahresbericht hervorgehoben.
Dennoch dürfte die Dunkelziffer der Cybervorfälle sehr hoch sein. Die Meldungen für das erste Quartal 2022 sind stabil und bewegen sich zwischen 581 und 881 wöchentlichen Meldungen. Betrug bleibt auch in diesem Quartal die meistgemeldete Kategorie (62.9%), am zweit häufigsten sind Meldungen zu Phishing (17.0%) und auf Rang drei liegen Meldungen zu Spam (14.3%). Zusammen machen diese drei Kategorien 94.3% aller Meldungen aus.
Meldungseingang KW 1-12 2022 (Quelle: NCSC)
Ein Thema, welches in Woche 5 hervorgehoben wurde, ist SEO-Betrug. Betrüger schalten bei Suchmaschinen Anzeigen, um möglichst hoch in den Ergebnissen zu erscheinen. Oftmals verwenden sie Keywords mit häufigen Vertipper. Nutzer, welche nach relevanten Services wie eBanking und ihrem Banknamen suchen, werden so auf die Phishing-Seite des Angreifers gelockt und geben im schlimmsten Fall dort ihre Zugangsdaten ein.
Nutzer sollten bei Logins immer die URL in der Adresszeile des Browsers manuell eingeben (Bsp.: meineBank.ch). So wird sichergestellt, dass die Zugangsdaten auf der korrekten Seite eingegeben werden. Weiter sollte man Logindaten nie in einer Stresssituation eingeben. Heute werden Anzeigen in den meisten Suchmaschinen als solche gekennzeichnet. Ein gesundes Mass an Skepsis reduziert das Risiko, auf SEO-Betrug hereinzufallen.
Eine der häufigsten Betrugsmaschen ist die sogenannte Fake Extortion. Diese Bedrohung hat derart zugenommen, dass das NCSC seit 2022 eine eigene Kategorie dafür geschaffen hat, vorher wurden diese Arten von Angriffen unter der Kategorie Allgemein geführt. Erpresser geben sich als Autoritätspersonen aus wie Strafverfolgungsbehörden und erheben schwere Vorwürfe. Das Ziel ist es, dass auf die Nachricht geantwortet wird. Im darauf folgenden Mailverlauf geben die vermeintlichen Behörden vor, das Verfahren gegen eine Zahlung einzustellen.
Eine andere Masche, welche besonders durch den Krieg in der Ukraine vermehrt auftrat, sind betrügerische Spendenaufrufe. In diesem Fall geben sich die Betrüger als Spendenorganisation aus und versuchen ihre Opfer zu vermeintlichen Spenden zu bewegen. Diese Art des Betrugs wird in jeder Krise immer wieder beobachtet wie zum Beispiel bei Covid-19.
Auffallend ist, dass solche Kampagnen vermehrt auch in deutscher Sprache und auf die Schweiz zugeschnitten werden. In beiden Fällen gilt, dass man sich nicht unter Druck setzen lassen und nicht auf die Nachricht reagieren soll. Melden Sie solche Nachrichten der IT-Abteilung oder den zuständigen Personen in Ihrem Unternehmen, markieren Sie die Nachricht als Spam und löschen Sie die Nachricht.
Ein beliebter Weg um Malware zu verbreiten, ist das Versenden von E-Mails. Für Angreifer hat es den Vorteil, dass sie relativ einfach an potenzielle Opfer gelangen, denn viele E-Mail-Adressen sind online zugänglich. Unternehmen haben in den letzten Jahren potenzielle bösartige Dokumenttypen wie .exe oder .dotm gesperrt.
Um diese Sperrungen zu umgehen, setzen Angreifer vermehrt auf andere Dateitypen. Immer öfter nutzen sie verschlüsselte ZIP Dateien. Dies verunmöglicht es Antivirenprogrammen die Datei zu scannen. Ebenfalls werden vermehrt auch ISO-Dateien zum Einschleusen von Malware verwendet. Untere Abbildung zeigt den Modus Operandi der Malwarefamilie IceID.
Modus Operandi IceID Malware
Die Angriffe beginnen oft mit einem kompromittierten Exchange Server. Dadurch erhalten die Angreifer Zugriff auf alle sich darauf befindenden Mail-Konten und können sich in bestehende Konversationen einklinken. Von diesen Servern werden anschliessen Phishing Mails versendet. Diese bösartigen Mails sind besonders schwierig zu erkennen, da sie von bekannten Absendern stammen und in bestehende Mailverläufe eigebettet sind.
Im Anhang wir eine verschlüsselte ZIP-Datei mitgeschickt und das Passwort dem Opfer in der Nachricht mitgeteilt. Das Opfer entpackt das ZIP-Archiv und führt die darin enthaltenen ISO-Datei aus. Daraufhin wird die eigentliche Malware nachgeladen und ausgeführt.
Als Schutz für diese Art von Angriffen wird ebenfalls empfohlen, Nachrichten zu misstrauen, welche Sie zu Handlungen auffordern. Insbesondere wenn zum Ausführen von Dateien aufgefordert wird. Auch in diesem Fall sollten Sie umgehend die zuständigen Ansprechpartner im Unternehmen informieren, die Nachricht als Spam markieren und anschliessend löschen.
Im Vergleich zu den Vorjahres-Perioden ist die Gesamtzahl der Meldungen drastisch angestiegen. Im ersten Quartal 2021 wurde in der KW 5 zum ersten Mal der Wert von 600 Meldungen pro Woche überstiegen, insgesamt zwei Mal im ganzen Jahr. Im Jahr 2022 wurde dieser Wert zur Norm: Im ersten Quartal 2022 wurden in jeder Woche bis auf zwei Ausnahmen mehr als 600 Vorfälle gemeldet.
Entwicklung der Meldungen KW 1-12 (Quelle: NCSC)
Die Verteilung der Meldungen blieb in den letzten Jahren ähnlich. Betrug ist und bleibt eine der Hauptbedrohungen, gefolgt von Phishing und Spam. In den KW 10 und 11 im Jahr 2021 wurden überdurchschnittlich viele Schwachstellen gemeldet. Grund dafür waren die bekanntgewordenen Exchange-Schwachstellen.
Ebenfalls bemerkbar ist die Zunahme von Spammeldungen. Diese haben seit der zweiten Jahreshälfte 2021 eine deutlich höhere Meldungsrate. Die meisten befinden sich in der allgemeinen Spam Unterkategorie. Ein Grund für die Zunahme ist, das seit 2022 „Werbung für Investmentbetrug“ und „Fake Kredit“ in der Kategorie Spam geführt werden. Früher wurden sie unter der Überkategorie Betrug aufgelistet.
Die Betrugskategorie ist die häufigste Art von Meldungen, welche das NCSC erhält. Deutlich auffallend ist die Kategorie Fake Extortion, welche das erste Mal in der KW 52, 2021 gemeldet wurde. Seit 2022 hat sich diese Kategorie als die dominante Form von Betrugsfällen etabliert. Bis auf zwei Wochen macht diese Kategorie mehr als die Hälfte aller gemeldeten Betrugsfälle aus. Die zweithäufigste Kategorie ist das Ersuchen um finanzielle Hilfe bei Bekannten, welche eher auf Privatpersonen abzielt und allgemeiner Betrug belegt Platz drei.
Ein Thema, welches zurzeit viele Unternehmen beschäftigt ist Ransomware. Das NCSC sieht darin eine der gefährlichsten Bedrohungen für Unternehmen. 2022 verging keine Woche ohne Meldung zu neuen Fällen. Ende 2021 gab es einige Peaks mit bis zu 16 Meldungen von Ransomware in einer Woche. Aber auch das erste Quartal 2022 startet mit deutlich mehr wöchentlichen Meldungen.
Entwicklung Ransomware Meldungen KW 1-12 (Quelle: NCSC)
Waren es im Q1 2021 noch total 29 Meldungen sind es in diesem Quartal bereits 44. Die Dunkelziffer dürfte jedoch um einiges höher liegen. Bei Malware im weiteren Sinne sind die Anzahl Meldungen stabil geblieben. 2021 waren es 141, 2022 139. Ransomware scheint also andere Arten von Malware zu verdrängen.
Angriffe auf die Verfügbarkeit haben im ersten Quartal 2022 nicht signifikant zugenommen. Medien und Politiker hatten zuvor aufgrund der Cyber-Angriffe auf die Ukraine davor gewarnt. Allgemein sind Meldungen dazu nahezu vernachlässigbar in der Statistik. Es ist davon auszugehen, dass, wie bei anderen Kategorien, solche Angriffe selten dem NCSC mittgeteilt werden.
Schweizer Unternehmen und Privatpersonen gelangen vermehrt ins Visier von Cyberkriminellen. Diese gehen dabei immer gezielter vor und schneiden ihre Betrugs-, Phishing und Spamkampagnen immer mehr auf den Schweizer Markt zu. Dies macht das Erkennen solcher Angriffe für Nutzer zunehmend schwieriger. Unternehmen sollten deshalb ihre Mitarbeiter regelmässig mit Awareness-Trainings schulen.
Der Trend der Angriffe zeigt deutlich nach oben. Unternehmen sollten dringend Ihre Verteidigungsmechanismen prüfen und wo nötig Anpassungen vornehmen. Das sind aber nicht nur technische Massnahmen. Gerade im KMU-Umfeld sind die Prozesse rund um Security noch nicht matur genug. Definierte Vorgehensweisen und Verantwortungen bei Angriffen beschleunigen das Handeln im Ernstfall und können so grösseren Schaden vermeiden.
Um eine ganzheitliche Sicht auf die technische und organisatorische Maturität zu erhalten, empfehlen wir unseren Ransomware Readiness Check. In Interviews mit den relevanten Stakeholdern erarbeiten wir zusammen den Status Quo in übersichtliche Netzwerk-Diagramme. So werden Defizite mess- und kommunizierbar. Mit den mitgelieferten Verbesserungsvorschlägen können Sie zielgerichtete und nachhaltige Massnahmen treffen, um Ihr Unternehmen noch sicherer zu machen.
Die Asecus AG ist seit 1997 in der Security Branche tätig und ist mit ihrem interdisziplinären Team ein Security Anbieter der Unternehmen von der Planung bis zur Umsetzung begleitet. Falls Sie Unterstützung oder Fragen zum Thema IT-Security haben, zögern Sie nicht uns zu kontaktieren. Unsere Experten helfen Ihnen gerne bei der effektiven Verteidigung gegen Cyber-Bedrohungen.
Haben Sie Fragen zum Ransomware Readiness Check und wünschen eine unverbindliche Kontaktaufnahme?