Das Jahr 2020 war alles andere als „typisch“ und jetzt ist es einfach gut in der Vergangenheit darüber zu schreiben.
Als ob das Jahr nicht schon schlimm genug war, verschlimmerte sich die Pandemie im letzten Quartal 2020 wieder, brachte größere Infektionswellen und weitere Sperren auf der ganzen Welt mit sich. Das ließ uns mit Sorge in die Zukunft blicken, doch es gibt auch neue Hoffnung. Inmitten des Chaos brachten die lang erwarteten Impfstoffeinführungen einen kollektiven Seufzer der Erleichterung - oder zumindest einen Hoffnungsschimmer, dass es irgendwo in nicht allzu ferner Zukunft wieder ein bisschen Normalität geben wird.
Im Cyberspace nahmen die Ereignisse Ende 2020 ebenfalls eine dramatische Wendung, als Nachrichten über einen Supply-Chain-Angriff auf SolarWinds die Branche erfassten. Die vielen hochkarätigen Opfern dieses Vorfalls sind eine deutliche Erinnerung an die potentiellen Gefahren und Konsequenzen, dieser äußerst schwer zu erkennenden und zu verhindernden Art von Angriffe.
Obwohl Attacken wie auf SolarWinds selten sind, werden Supply-Chain-Angriffe zu einem Trend: Allein im vierten Quartal 2020 hat ESET so viele aufgedeckt, wie die gesamte Branche noch vor wenigen Jahren jährlich gefunden hat. Und - angesichts der Möglichkeiten die sie Cyberkriminellen bieten – erwarten wir, dass ihre Zahl in Zukunft weiter steigt.
Zum Glück sind nicht nur Bedrohungsakteure in der Offensive. Im Oktober 2020 nahm ESET an einer globalen Aktion gegen TrickBot teil, eines der größten und langlebigsten Botnets. Dank der gemeinsamen Anstrengungen aller teilhabenden Organisationen, verlor TrickBot innerhalb einer Woche 94% seiner Server und erlitt einen schweren Schlag.
Zu unserem neuen Alltag gehört auch die Arbeit im Homeoffice. Dieser Trend in vielen Branchen wird spiegelt sich auch im Cybersicherheitsbereich: RDP-Angriffe verzeichneten zwischen dem 1. und 4. Quartal 2020 ein enormes Wachstum von 768 Prozent. Da die Sicherheit in der Heimarbeit weiter zunimmt, wird der Boom dieser Angriffe voraussichtlich nachlassen, dafür konnten wir im vierten Quartal bereits einige Anzeichen gesehen haben. Einer der wichtigsten Gründe, der RDP-Sicherheit Aufmerksamkeit zu schenken, ist Ransomware. Sie wird üblicherweise über RDP-Exploits verbreitet und stellt ein großes Risiko für den privaten und den öffentlichen Sektor dar.
Im vierten Quartal 2020 waren die Erpressungsversuche von Ransomware-Banden aggressiver als je zuvor. Die Akteure forderten wahrscheinlich die bis dato höchsten Lösegeldbeträge. Obwohl Maze, ein Pionier in der Kombination von Ransomware-Angriffen und Doxing, im vierten Quartal aufgab, kamen andere Bedrohungsakteure hinzu, die ihre Opfer mit aggressiveren Techniken unter Druck setzen. Angesichts der turbulenten Entwicklungen in der Ransomware-Szene im Jahr 2020 kann man davon ausgehen, dass diese Angriffe im Jahr 2021 unvermindert fortgesetzt werden.
Das Wachstum bei Ransomware könnte ein wichtiger Faktor für den Rückgang bei Banking-Malware gewesen sein. Im letzten Quartal des Jahres 2020 hat sich dies verstärkt. Ransomware und andere schädliche Aktivitäten sind einfach rentabler als Banking-Malware, bei der sich die Hintermänner gegen die zunehmende Sicherheit im Bankensektor angehen müssen. Allerdings gab es eine Ausnahme von diesem Trend: Android-Banking-Malware verzeichnete im vierten Quartal die höchsten Erkennungsraten des Jahres, was auf den Quellcode-Leak des Trojaners Cerberus zurückzuführen war.
Da die Pandemie ein fruchtbarer Boden für alle Arten von böswilligen Aktivitäten ist, war es klar, dass auch E-Mail-Betrüger daran teilhaben wollten. Unsere Telemetrie verzeichnete das Thema „COVID-19“ über das ganze Jahr 2020 hinweg als Köder in illegalen E-Mails. Im vierten Quartal nahm auch die Häufigkeit von Impfstoffbetrügereien als Köder zu. Wir gehen davon aus, dass sich dieser Trend 2021 fortsetzen wird.
Wie beim Kryptowährungsboom 2017 gab es Ende des letzten Jahres einen sprunghaften Anstieg des Werts von Kryptowährungen. Dies ging mit einem leichten Anstieg der Kryptominer-Erkennungen einher, der erste seit Oktober 2018. Wenn Kryptowährungen weiter an Wert zulegen, dann ist zu erwarten, dass Malware, Phishing und Betrug, die auf Kryptowährungen abzielen, ebenfalls häufiger auftreten.
Das letzte Quartal 2020 war auch reich an Forschungsergebnissen. ESET Research deckte eine Reihe von Supply-Chain-Angriffen auf: einen Lazarus-Angriff in Südkorea, einen mongolischen Supply-Chain-Angriff namens Operation StealthyTrident und den Supply-Chain-Angriff der Operation SignSight auf eine Zertifizierungsstelle in Vietnam. Unsere Forscher entdeckten auch Crutch - eine zuvor undokumentierte Hintertür von Turla - und XDSpy, eine APT-Gruppe, die mindestens seit 2011 verdeckt operiert.
ESET leistet weiterhin einen aktiven Beitrag zur MITRE ATT & CK-Wissensdatenbank, in der im Oktober fünf ESET-Einträge hinzugefügt wurden. Und wie immer nutzten ESET-Forscher in diesem Quartal mehrere Gelegenheiten, um ihr Fachwissen auf verschiedenen virtuellen Konferenzen auszutauschen, darunter Black Hat Asia, AVAR, CODE BLUE und viele andere.
Der Threat Report für das vierte Quartal 2020 bietet nicht nur einen Überblick über die Q4-Bedrohungslandschaft, sondern auch einen Kommentar zu den breiteren Trends, die im Laufe des Jahres 2020 beobachtet wurden, sowie Prognosen für 2021 von ESET-Spezialisten für Malwareforschung und -erkennung. Für diejenigen, die sich besonders für ESET-Forschung interessieren, enthält der Bericht auch bisher unveröffentlichte Informationen zu Operationen von APT-Gruppen, wie z. B. Operation In(ter)ception, InvisiMole, PipeMon und mehr.
Folgen Sie den ESET-Forschern auf Twitter, um regelmäßig über wichtige Trends und Top-Bedrohungen informiert zu werden.