11.10.2022
Im Durchschnitt dauert es 34 Tage, bis Unternehmen bemerken, dass Cyber-Kriminelle auf Entdeckungstour im eigenen Netzwerk unterwegs sind. Verschaffen sich die Angreifer den Zugang per Ransomware, erfolgt die größere Attacke auf die Daten und Systeme im Regelfall wesentlich schneller, nämlich nach 15 Tagen. Deutliche Unterschiede gibt es auch bei der Verweildauer in Abhängigkeit der Größe des angegriffenen Unternehmens. In kleineren Unternehmen sind die Kriminellen länger auf Schleichfahrt zugange als in größeren Organisationen. So hielten sich Angreifer in Unternehmen mit bis zu 250 Mitarbeitern rund 51 Tage unbemerkt auf. In Organisationen mit 3.000 bis 5.000 Mitarbeitern blieben die Angreifer üblicherweise nur 20 Tage.
Diese Ergebnisse liefert das aktuelle Sophos Active Adversary Playbook 2022. Die Daten der Studie basieren auf 144 Vorfällen aus zahlreichen Ländern und Unternehmen unterschiedlichster Größen und Branchen.
Die Verwendung bestimmter Tools und Skripte können ein Anzeichen für einen Cyberangriff sein. Das Erkennen solcher Korrelationen stellt Unternehmen aktuell vor Herausforderungen, die nur mit modernen Security-Systemen lösbar sind, so John Shier, Senior Security Advisor bei Sophos.
Bei der Verwendung von RDP (Remote Desktop Protocol) für Angriffe hat Sophos bei den analysierten Fällen einen Rückgang gegenüber dem Jahr 2020 beobachtet. Dieser Anteil sei von 32 Prozent auf 13 Prozent bei den beobachteten Daten gesunken. Bei internen Seitwärtsbewegungen spiele RDP aber immer noch eine große Rolle. Sind Angreifer erst einmal im Netz würde in 82 Prozent der Fälle RDP für interne Erkundungen genutzt.
Aktuell sorgt eine kritische, nicht gepatchte Sicherheitslücke in Microsoft Office in Kombination mit dem Microsoft Diagnostics Tool (MSDT) für Schlagzeilen. Besonders bedrohlich ist die Tatsache, dass sich die Zero-Day-Lücke ohne das Öffnen eines entsprechend präparierten Office-Dokuments ausnutzen lässt.
mehr lesenEs gibt erneut kritische MS Exchange Sicherheitslücken. Es wird dringend empfohlen, die Security Patches, die für Exchange Server 2013 (CU23), 2016 (CU19, CU20) und 2019 (CU8, CU9) verfügbar sind, SOFORT einzuspielen. Exchange Online ist weiterhin nicht betroffen.
mehr lesen