Angreifer verweilen unbemerkt in Unternehmensnetzen

Im Durchschnitt dauert es 34 Tage, bis Unternehmen bemerken, dass Cyber-Kriminelle auf Entdeckungstour im eigenen Netzwerk unterwegs sind. Verschaffen sich die Angreifer den Zugang per Ransomware, erfolgt die größere Attacke auf die Daten und Systeme im Regelfall wesentlich schneller, nämlich nach 15 Tagen. Deutliche Unterschiede gibt es auch bei der Verweildauer in Abhängigkeit der Größe des angegriffenen Unternehmens. In kleineren Unternehmen sind die Kriminellen länger auf Schleichfahrt zugange als in größeren Organisationen. So hielten sich Angreifer in Unternehmen mit bis zu 250 Mitarbeitern rund 51 Tage unbemerkt auf. In Organisationen mit 3.000 bis 5.000 Mitarbeitern blieben die Angreifer üblicherweise nur 20 Tage.

Diese Ergebnisse liefert das aktuelle Sophos Active Adversary Playbook 2022. Die Daten der Studie basieren auf 144 Vorfällen aus zahlreichen Ländern und Unternehmen unterschiedlichster Größen und Branchen.

Achten Sie auf Warnsignale

Die Verwendung bestimmter Tools und Skripte können ein Anzeichen für einen Cyberangriff sein. Das Erkennen solcher Korrelationen stellt Unternehmen aktuell vor Herausforderungen, die nur mit modernen Security-Systemen lösbar sind, so John Shier, Senior Security Advisor bei Sophos.

Bei der Verwendung von RDP (Remote Desktop Protocol) für Angriffe hat Sophos bei den analysierten Fällen einen Rückgang gegenüber dem Jahr 2020 beobachtet. Dieser Anteil sei von 32 Prozent auf 13 Prozent bei den beobachteten Daten gesunken. Bei internen Seitwärtsbewegungen spiele RDP aber immer noch eine große Rolle. Sind Angreifer erst einmal im Netz würde in 82 Prozent der Fälle RDP für interne Erkundungen genutzt.

Das komplette Sophos Active Adversary Playbook 2022 mit weiteren Erkenntnissen zum Verhalten von Angreifern und den den verwendetenen Tools finden Sie hier.