Sophos hat heute seinen neuesten Lively Adversary Report unter dem Titel „The Chew from Inside“ veröffentlicht, der einen detaillierten Blick auf die veränderten Verhaltensweisen und Techniken der Angreifer im ersten Halbjahr 2024 wirft. Die Analysedaten stammen aus quick 200 Incident-Response-Fällen, die das Sophos X-Ops IR-Staff und Sophos X-Ops Managed Detection and Response Staff in den ersten sechs Monaten 2024 bearbeitet haben.
Die wichtigste Erkenntnis der aktuellen Untersuchungen: Für ihre Aktivitäten nutzen Angreifer zunehmend vertrauenswürdige Anwendungen und Instruments auf Home windows-Systemen – auch als „Residing Off the Land“-Binärdateien (LOLbins) bezeichnet. Dadurch wollen Cyberkriminelle einer schnellen Erkennung entgehen und sich möglichst lange auf Schleichfahrt in einer kompromittierten IT-Infrastruktur umsehen. Im Vergleich zu 2023 verzeichnete Sophos hier einen Anstieg um 51 Prozent, und sogar um 83 Prozent seit 2021.
Unter den 187 verschiedenen Microsoft LOLbins, die im ersten Halbjahr 2024 unlawful zweckentfremdet wurden, conflict das Distant Desktop Protocol (RDP) die am häufigsten missbrauchte, vertrauenswürdige Anwendung. Von den quick 200 analysierten Incident-Response-Fällen nutzten Angreifer in 89 Prozent RDP aus. Diese Dominanz setzt einen Pattern fort, der erstmals im Lively Adversary-Bericht 2023 beobachtet wurde. Hier lag der Anteil des RDP-Missbrauchs bei 90 Prozent aller untersuchten IR-Fälle.
„LOLbins bieten nicht nur die Möglichkeit, die Aktivitäten eines Angreifers zu verbergen, sondern bringen leider oftmals auch eine stillschweigende Billigung seiner Aktivitäten mit sich“, sagt John Shier, Area CTO bei Sophos. „Während der Missbrauch anderer legitimer Instruments bei Verteidigern mittlerweile häufig die Alarmglocken läuten lässt, hat der Missbrauch einer Microsoft-Binärdatei oft den gegenteiligen Effekt, da sie ein integraler Bestandteil von Home windows ist und legitime Verwendungszwecke hat. Für die schnelle Identifizierung eines Missbrauchs ist es extrem wichtig, dass Systemadministratoren genau wissen, wie diese Dateien in ihren Umgebungen verwendet werden. Denn ohne ein differenziertes und kontextbezogenes Bewusstsein für die IT-Umgebung, einschließlich kontinuierlicher Wachsamkeit gegenüber neuen und sich entwickelnden Ereignissen im Netzwerk, laufen die oftmals überlasteten IT-Groups Gefahr, wichtige Bedrohungsaktivitäten zu übersehen. Für Abhilfe kann hier zum Beispiel ein moderner Managed Detection and Response Service sorgen, der externe Experten an Bord holt und IT-Groups entlastet.“
Weitere wichtige Erkenntnisse aus dem aktuellen Lively Adversary Report:
- Lockbit ist immer noch die Nummer 1. LockBit conflict trotz staatlicher Interventionen gegen die wichtigste Leak-Web site sowie dessen Infrastruktur im Februar die am häufigsten anzutreffende Ransomware-Gruppe und machte etwa 21 Prozent der Infektionen im ersten Halbjahr 2024 aus.
- Haupteinfallstor sind weiterhin kompromittierte Zugangsdaten. Damit setzt sich ein Pattern fort, der erstmals im „Lively Adversary Report for Tech Leaders“ festgestellt wurde. Kompromittierte Zugangsdaten sind in 39 Prozent der Fälle immer noch die Hauptursache für Angriffe. Dies ist jedoch ein Rückgang gegenüber den 56 Prozent im Jahr 2023.
- Ältere Lively-Listing-Server werden schwerpunktmäßig kompromittiert. Angreifer haben zu 87 Prozent die Serverversionen von Lively Listing aus den Jahren 2019, 2016 und 2012 kompromittiert. Für alle drei dieser Versionen gibt es keinen Mainstream-Assist mehr von Microsoft – sie sind additionally einen Schritt vor Finish-of-Life (EOL) bei dem ohne kostenpflichtigen Assist von Microsoft kein Patch mehr möglich ist.
Alle Particulars zu den Untersuchungen gibt es im umfangreichen, englischen Blogartikel „The Chew from Inside: The Sophos Lively Adversary Report“
