Angesichts der zunehmenden Verantwortung und des Fachkräftemangels sind IT-Teams überlastet, so dass es immer wahrscheinlicher wird, dass eine Bedrohung an ihren Schutzmaßnahmen vorbeikommt. Erschwerend kommt hinzu, dass Cyberkriminelle jetzt von KI unterstützt werden, die ihnen hilft, komplexe Angriffe durchzuführen und zu automatisieren.
Der neue Acronis Cyberthreats Report beschreibt diese und andere Herausforderungen, mit denen Unternehmen weltweit im 1. Halbjahr 2024 zu kämpfen hatten. In diesem Bericht beleuchten wir neue Ransomware-Gruppen, Veränderungen bei Ransomware-Mustern, bisher unbekannte Angriffe auf Collaboration-Apps und die Entwicklungen bei KI-Bedrohungen.
Wichtige Erkenntnisse aus dem Bericht:
- Bahrain, Ägypten und Südkorea waren im 1. Quartal 2024 die Länder, die am häufigsten das Ziel von Malware-Angriffen waren.
- Acronis konnte im 1. Quartal 2024 fast 28 Millionen URLs auf Endpunkten blockieren (3 % mehr als im 4. Quartal 2023).
- 27,6 % aller empfangenen E-Mails waren Spam (etwa 1,5 % dieser E-Mails enthielten Malware oder Phishing-Links).
- Malware blieb im Durchschnitt 2,3 Tage lang im Umlauf, bevor sie verschwand – 82 % der Malware-Varianten wurde nur einmal beobachtet.
- Im 1. Quartal 2024 wurden 1.048 Ransomware-Fälle öffentlich gemeldet, was einem Anstieg von 23 % gegenüber dem 1. Quartal 2023 entspricht.
- Es gab drei äußerst aktive Gruppen, die gemeinsam für fast 35 % der Ransomware-Angriffe verantwortlich waren.
- LockBit war für 20 % der Ransomware-Angriffe verantwortlich, gefolgt von Black Basta mit 7,1 % und Play mit 7,0 %.
LockBit hat einen Dämpfer erhalten, aber Ransomware-Gruppen bleiben aktiv
Acronis beobachtete 5 % mehr neue Malware, die seit dem 4. Quartal 2023 in Umlauf gebracht wurde. Wenn wir uns auf Ransomware konzentrieren, so dominierten in den ersten Monaten des Jahres 2024 die Ransomware-Gruppen LockBit, Play, 8Base, Black Basta und Hunters International, die aktivste Ransomware-Gruppe. Diese bekannten Gruppen richten in Unternehmen auf der ganzen Welt weiterhin große Schäden an.
Ransomware-Aktivitäten steigen zwar von Jahr zu Jahr weiter an, aber die Daten zeigen im 1. Halbjahr einen Rückgang von 46 % bei den Lösegeldzahlungen. Dieser Rückgang ist ein vielversprechendes Zeichen für eine gestiegene Cyber-Resilienz in Unternehmen und für verbesserte Sicherheitsmaßnahmen in privaten und öffentlichen Einrichtungen. Die Durchführung von Ransomware-Angriffen wurde leichter, aber die Angriffe waren längst nicht mehr so profitabel.
Darüber hinaus hat die britische National Crime Agency (NCA) im Kampf gegen die LockBit-Ransomware große Fortschritte erzielt. Mit der Unterstützung von Europol leitete die NCA die Operation „Cronos“. Die monatelange Operation führte dazu, dass die Hauptplattform und die kritische Infrastruktur von LockBit von den Behörden beschlagnahmt wurde, darunter 34 Server in den Niederlanden, Deutschland, Finnland, Frankreich, der Schweiz, Australien, den USA und Großbritannien. Allerdings tauchte LockBit trotz der Verhaftung einiger wichtiger Köpfe wieder auf und beteiligte sich erneut an Cyberdelikten.
Trotz der geringeren Profite und der erfolgreichen Verfolgung von Ransomware-Gruppen stieg die Zahl der täglichen Ransomware-Erkennungen zwischen dem 4. Quartal 2023 und dem 1. Quartal 2024 um 32 %. Im 1. Quartal 2024 tauchten auch 10 neue Ransomware-Gruppen auf:
- Mogilevich (7)
- RansomHub (22)
- dAn0n (8)
- DarkVault (14)
- Red (12)
- Trisec (3)
- Slug (1)
- MyData (9)
- Embargo (5)
- BlackOut (3)
Phishing bleibt die größte Bedrohung, aber Malware ist die größte Bedrohung für Collaboration-Apps
Organisationen erlebten im 1. Halbjahr einen starken Anstieg in der E-Mail-Kommunikation. Pro Organisation stieg die Anzahl der E-Mails um 25 %. Dieser Anstieg des E-Mail-Volumens geht einher mit einem besorgniserregenden Anstieg der E-Mail-Angriffe auf diese Organisationen von 47 %.
26 % der Benutzer:innen erlebten Phishing-Angriffe über bösartige URLs, was zeigt, dass Cyberkriminelle weiterhin auf diese Angriffsart setzen, die immer noch die Nummer 1 ist. Zusätzlich erhielten 13 % der Benutzer:innen Malware per E-Mail, was zeigt, wie vielfältig die Angriffsmethoden sind, um Systeme zu kompromittieren und vertrauliche Informationen zu stehlen. Auch die Zahl der Social-Engineering-Angriffe stieg seit dem 1. Halbjahr 2023 um 5 %, während Malware-Angriffe von 11 % (1. Halbjahr 2023) auf 4 % (1. Halbjahr 2024) zurückgingen.
Da immer mehr Unternehmen Collaboration-Apps wie Microsoft 365 nutzen, nehmen die Angriffe auf diese Applikationen, einschließlich Microsoft Teams, zu. Phishing wird zwar häufig als Angriffsmethode auf Collaboration-Apps eingesetzt (20 %), aber 82 % der Angriffe im 1. Halbjahr basierten auf Malware.
Gestiegener Einsatz von generativer KI in der Cyberkriminalität
Der Missbrauch von generativer KI und großen Sprachmodellen (Large Language Models, LLMs) spielte bei Angriffen während der ersten Jahreshälfte durchgängig eine Rolle. Wir wollten eine klare Abgrenzung vornehmen, um sicherheitsorientierten Organisationen zu helfen, KI-gestützte Angriffe besser zu verstehen. Der Acronis Cyberthreats Report für das 1. Halbjahr 2024 definiert zwei Arten von KI-Bedrohungen, die häufig synonym verwendet werden: KI-generierte Bedrohungen und KI-gestützte Malware.
Der Begriff „KI-generierte Bedrohungen“ wird in Schlagzeilen und in der Cyber Security-Community verwendet. Bei Acronis möchten wir den Schwerpunkt auf den „generierten“ Teil legen. Diese Malware und Bedrohungen wurden mit Hilfe von KI-Techniken erstellt. Die KI selbst ist an der Ausführung der Malware aber nicht beteiligt. Die KI ist in diesem Fall lediglich ein Tool, das zur Generierung von Malware und Bedrohungen genutzt wird.
Bei „KI-gestützter Malware“ wird es schon komplizierter. Wir definieren diese als Malware, bei der die KI Teil der Malware-Funktionen ist. Malware kann ein komplettes KI-Modell enthalten (z. B. ein LLM), aber meist kommuniziert die Malware im Backend mit einem KI-Modell für Logik. KI-gestützte Malware kann sich an ihre Umgebung anpassen und ihr Verhalten ändern.
Der Bericht enthält sechs häufige KI-generierte Angriffsmethoden, die wir beobachtet haben, darunter bösartige E-Mails, Deepfake-Kompromittierungen von Firmen-E-Mail-Adressen, Deepfake-Erpressungen, Überlistung von „Know Your Customer“-Prüfverfahren (KYC) sowie die Erstellung von Skripten und Malware. Das Team des Acronis Cyber Protect Operation Centers gibt MSPs und Unternehmen außerdem praktische Empfehlungen, die auf den Ergebnissen des Berichts basieren.
Expert:innen empfehlen: Erneuter Fokus auf Sicherheitsschulungen und Konsolidierung von Lösungen
Es hat sich gezeigt, dass die Schulung von MSP- und Unternehmenspersonal zu Best Practices in der Cyber Security ein wirksames Mittel gegen die zunehmende Flut an Bedrohungen ist. Ein verbessertes Sicherheitsbewusstsein und erweiterte Schutzmaßnahmen haben vermutlich auch dazu beigetragen, dass Ransomware deutlich weniger profitabel geworden ist. Menschliche Bemühungen und Cybersicherheitstechnologien sind gleichermaßen für eine erfolgreiche Cyber-Resilienz erforderlich.
Zum einen sind Mitarbeitende, die in Cyber Security geschult sind, in der Lage, Phishing-Versuche, Social-Engineering-Taktiken und verdächtige Aktivitäten zu erkennen und zu melden. Zum anderen muss der Ausbau der Schutzmaßnahmen neben Investitionen in moderne Technologien einen integrierten Ansatz für Cyber Security und Data Protection verfolgen, um das IT-Management, die Effizienz und die Leistung zu verbessern sowie Kosten zu senken und Kompatibilitätsprobleme zu vermeiden. Mit integrierten Lösungen wie Acronis XDR können MSPs ihr Sicherheitsangebot wettbewerbsfähiger machen und gleichzeitig die Transparenz und den Schutz über alle Angriffsflächen hinweg verbessern.
Laden Sie den Bericht herunter und erfahren Sie mehr zu den wichtigsten Bedrohungen und Trends im 1. Halbjahr 2024.