Startseite > Security > CrowdStrike verzeichnet Anstieg identitätsbasierter Angriffe

Threat Hunting Report 2023

CrowdStrike verzeichnet Anstieg identitätsbasierter Angriffe

8. August 2023, 15:30 Uhr | Diana Künstler

Die Zahl identitätsbasierter Eindringlinge steigt massiv an. Die Expertise von Angreifern, die auf die Cloud abzielen, wächst. Und es gibt ein Rekordtief bei der Ausbruchszeit von Angreifern. Das sind nur einige Erkenntnisse aus dem aktuellen Threat Hunting Report von CrowdStrike.

Die sechste Jahresbericht¹ von CrowdStrike erfasst Angriffstrends und die Vorgehensweise der Angreifer, die von CrowdStrikes Elite-Threat Huntern und Intelligence-Analysten beobachtet wurden. Der Report zeigt einen massiven Anstieg identitätsbasierter Eindringlinge, eine wachsende Spezialisierung der Angreifer auf die Cloud, einen dreifachen Anstieg der Nutzung legitimer Remote-Monitoring- und -Management-Tools (RMM) durch Angreifer und ein neues Rekordtief der Breakout-Time von Angriffen.

Der neue Threat Hunting Report ist der erste, der von CrowdStrikes neu gegründetem Counter Adversary Operations Team veröffentlicht wird, das diese Woche auf der Black Hat USA 2023² offiziell vorgestellt wurde. Die Erkenntnisse basieren auf den Daten, die im Zeitraum vom 1. Juli 2022 bis zum 30. Juni 2023 erhoben worden sind.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Die wichtigsten Ergebnisse

Die massive Zunahme von Kerberoasting-Angriffen um 583 Prozent verdeutlicht die extreme Zunahme von identitätsbasierten Angriffen: CrowdStrike stellte einen alarmierenden Anstieg von Kerberoasting-Angriffen fest, die sich im Jahresvergleich fast versechsfacht haben. Dabei handelt es sich um eine Technik, mit der sich Angreifer gültige Anmeldeinformationen für Active-Directory-Konten verschaffen können, die ihnen häufig höhere Privilegien verschaffen und es ihnen ermöglichen, in den Umgebungen ihrer Opfer über einen längeren Zeitraum unentdeckt zu bleiben. Insgesamt wurden bei 62 Prozent aller interaktiven Angriffsversuche valide Zugangsdaten missbraucht. Gleichzeitig stieg die Zahl der Versuche, geheime Schlüssel und andere Anmeldeinformationen über Metadaten-APIs von Cloud-Instanzen zu erhalten, um 160 Prozent..
Die Zahl der Angreifer, die legitime RMM-Tools ausnutzen, ist im Vergleich zum Vorjahr um 312 Prozent gestiegen: Ein weiterer Beleg für die Berichte der CISA³ ist die Tatsache, dass Angreifer zunehmend legitime und bekannte Remote-IT-Management-Anwendungen nutzen, um nicht entdeckt zu werden. So können sie auf sensible Daten zugreifen, Ransomware einsetzen oder weitere gezielte Folgetaktiken installieren
Mit 79 Minuten erreicht die Breakout-Time einen neuen Rekordtiefstand: Die durchschnittliche Zeit, die ein Angreifer benötigt, um von der anfänglichen Kompromittierung zu anderen Hosts in der Umgebung des Opfers überzugehen, sank von dem bisherigen Tiefstwert von 84 Minuten im Jahr 2022 auf einen Rekordwert von 79 Minuten im Jahr 2023. Die kürzeste Breakout-Time des Jahres betrug nur 7 Minuten.
Das Volumen interaktiver Angriffe auf den Finanzsektor ist im Vergleich zum Vorjahr um über 80 Prozent gestiegen; Insgesamt haben die interaktiven Angriffsversuche um 40 Prozent zugenommen und umfassen alle Angriffe, die mithilfe von Hands-on-Keyboard-Aktivitäten erfolgen.
Die Zahl der im Dark Web geschalteten Inserate von Access-Brokern ist um 147 Prozent gestiegen: Dank des einfachen Zugriffs auf gültige Konten, die zum Kauf angeboten werden, sinkt die Einstiegshürde für eCrime-Akteure, die kriminelle Operationen durchführen wollen, und ermöglicht es etablierten Gegnern, ihr Handwerk nach der Exploitation zu verfeinern, um ihre Ziele mit größerer Effizienz zu erreichen.
Die Nutzung von Linux-Tools zur Privilegien-Eskalation durch Angreifer zur Ausnutzung von Cloud-Umgebungen hat sich verdreifacht: Falcon OverWatch, CrowdStrikes führender 24/7/365 Service für Bedrohungsjagd, verzeichnete einen dreifachen Anstieg des Linux-Tools linPEAS. Angreifer nutzen dieses Tool, um Zugriff auf Metadaten der Cloud-Umgebung, Netzwerkattribute und verschiedene Anmeldeinformationen zu erhalten, die sie dann ausnutzen können.

„Wir haben im vergangenen Jahr mehr als 215 Angreifer beobachtet und konnten feststellen, dass die Bedrohungslandschaft zunehmend komplexer und tiefgreifender wird, da sich die Angreifer neue Taktiken und Plattformen zunutze machen, wie zum Beispiel den Missbrauch gültiger Anmeldedaten, um Schwachstellen in der Cloud und in der Software auszunutzen“, erklärt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Wenn wir über die Verhinderung von Sicherheitsverletzungen sprechen, können wir die unbestreitbare Tatsache nicht ignorieren, dass die Angreifer immer schneller werden und Taktiken anwenden, die absichtlich entwickelt wurden, um herkömmliche Erkennungsmethoden zu umgehen. Sicherheitsverantwortliche müssen daher prüfen, ob ihre Teams über die notwendigen Lösungen verfügen, um laterale Bewegungen eines Angreifers innerhalb von sieben Minuten zu stoppen.“

Technologiebranche und TK-Sektor im Fokus der Kriminellen

Technologiebranche
Die Technologiebranche ist mit 21 Prozent der Angriffsversuche das sechste Jahr in Folge das häufigste Ziel interaktiver Angriffsversuche. Der Technologiesektor ist die Branche, die am stärksten von Linux-basierten interaktiven Angriffsversuchen betroffen ist, gefolgt von der Telekommunikation und der Bildungsindustrie.Labyrinth Chollima, ein in Nordkorea ansässiger Bedrohungsakteur, der dafür berüchtigt ist, Finanztechnologie- und Kryptowährungsunternehmen ins Visier zu nehmen, hat sowohl sein Custom-Tooling als auch seine Vorgehensweise aktualisiert, um gezielt in Linux und macOS-Umgebungen zu arbeiten. Der Technologiesektor ist nach wie vor ein äußerst lukratives Ziel für eCrime-Angreifer, insbesondere Big Game Hunting (BGH)-Operationen zählen zu den häufigsten eCrime-Bedrohungen in diesem Sektor. Die Abhängigkeit des Technologiesektors von und der Zugang zu hochsensiblen Daten machen ihn zu einem äußerst attraktiven Ziel.

Telekommunkationssektor
Der Telekommunikationssektor war die am fünfhäufigste ins Visier genommene Branche insgesamt und der am zweithäufigsten ins Visier genommene Wirtschaftszweig bei nationalstaatlichen Akteuren: Technologie (21 Prozent), Telekommunikationssektor (17 Prozent), Behörden (13 Prozent), Finanzsektor (11 Prozent) und Dienstleistungssektor (7 Prozent). Im vergangenen Jahr wurden 11Prozent aller Angriffe auf die Finanzdienstleistungsbranche von gezielt agierenden Angreifern verübt. Bezüglich dem TK-Sektor ist die Zahl der interaktiven Angriffsversuche gegenüber dem Vorjahr um 40 Prozent gestiegen. Zu den am häufigsten ins Visier genommenen Branchen für Linux-basierte interaktive Angriffsaktivitäten gehörte die Telekommunikationsbranche, gefolgt von der Technologiebranche und dem akademischen Sektor. Die wichtigsten Bedrohungsakteure, die es auf den Telekommunikationssektor abgesehen haben, sind: Nordkorea, Hacktivisten, Iran, China und eCrime-Akteure.

Über CrowdStrike Counter Adversary Operations

Der Bericht ist der erste unter der Leitung des neuen Counter Adversary Ops-Teams von CrowdStrike entstanden. Das neue Team und die neuen Angebote vereinen CrowdStrike Falcon Intelligence, die Leistungen der CrowdStrike Falcon OverWatch Managed Threat Hunting-Teams und Billionen aktueller Telemetrie-Ereignisse der KI-gestützten CrowdStrike Falcon-Plattform, um die hochentwickelten Angreifer von heute aufzuspüren, zu stoppen und ihnen letztlich die Geschäftskosten zu erhöhen.
Der Marktstart der Counter Adversary Operations erfolgt unmittelbar nach der Auszeichnung von CrowdStrike als führender Anbieter in „The Forrester Wave: External Threat Intelligence Service Providers, Q3 2023“⁴. CrowdStrike habe hier nach die höchste Bewertung aller Anbieter in der Kategorie „Current Offering“ mit der höchstmöglichen Punktzahl in 16 Kriterien erhalten.

„Seit unserer Gründung lautet das Leitmotiv von CrowdStrike: ,Es gibt kein Malware-Problem, sondern nur ein Angreifer-Problem', und das war noch nie so wahr wie heute. Die heutigen Bedrohungsakteure sind unglaublich schnell und äußerst schwierig zu fassen. Aber auch ihre Motive haben sich in den letzten zwölf Monaten stark verändert, und die Techniken, die wir beobachten, umgehen viel zu oft Legacy- aber auch moderne Sicherheitsmaßnahmen“, sagt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Um modernen Angreifern das Handwerk zu legen, brauchen wir nicht nur ein umfassendes Wissen über die Bedrohung, sondern müssen auch schnell handelnde Threat Hunter einsetzen, um die Angriffe zu unterbrechen und letztendlich zu stoppen. Mit den neu gegründeten Counter Adversary Operations haben wir ein neues Modell geschaffen, das nicht nur die besten Informationen und das weltweit beste Fachwissen über Angreifer aus tiefgreifenden Threat-Intelligence-Erkenntnissen, Hands-on-Keyboard-Aktivitäten sowie Billionen von Telemetrie-Ereignissen, zusammenbringt, sondern das diese Informationen auch in kürzester Zeit den Teams an vorderster Front zur Verfügung stellt, um vor modernen Bedrohungen zu schützen und gleichzeitig den Angreifern das Leben immer schwerer zu machen.“

Identity Threat Hunting ab sofort verfügbar

Als Reaktion auf die wachsende Beliebtheit identitätsbasierter Angriffe und die immer ausgefeilteren Methoden der Angreifer hat CrowdStrike Counter Adversary Operations sein erstes neues Angebot vorgestellt: Identity Threat Hunting.

Es ist ab sofort als Teil von CrowdStrike Falcon OverWatch Elite verfügbar und vereine die neuesten Erkenntnisse über die TTPs und Motive der Angreifer mit CrowdStrike Falcon Identity Threat Protection und CrowdStrikes Falcon OverWatch-Elitejägern, um die neuesten identitätsbasierten Bedrohungen abzuwehren. Das neue Angebot ermögliche es, kompromittierte Anmeldeinformationen schnell zu identifizieren und zu bereinigen, laterale Bewegungen zu verfolgen und Angreifern mit einer 24/7-Abdeckung immer einen Schritt voraus zu sein. Dieser Service ist für neue und bestehende CrowdStrike Falcon OverWatch Elite-Kunden ohne zusätzliche Kosten verfügbar.

Das neue Identity Threat Hunting-Angebot sei die erste von vielen Innovationen, die von Counter Adversary Operations eingeführt werden.

^{1 https://www.crowdstrike.com/resources/reports/threat-hunting-report/

2 https://www.blackhat.com/us-23/

3 https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-025a

4 https://www.forrester.com/report/the-forrester-wave-tm-external-threat-intelligence-service-providers-q3-2023/RES178511

Threat Hunting Report 2022: https://go.crowdstrike.com/overwatch-threat-hunting-2022-report.html}