Ransomware in den USA: Statusbericht und Statistiken für 2024

Einleitung

Auch 2024 haben wir uns zum Jahresabschluss noch einmal einige Cyberangriffe angesehen, die in dem Jahr Schlagzeilen gemacht haben, und ausgewertet, welche Auswirkungen sie hatten. Wie viele Opfer Ransomware 2024 tatsächlich gefordert hat, kann niemand wirklich sagen. Für die Zahlen der USA nutzen wir Berichte der US-Staatsanwaltschaft und des Ministeriums für Gesundheitspflege und Soziale Dienste sowie die wichtigsten Medien, Einträge in Darknet-Foren und eigene Beiträge der kriminellen Gruppen selbst. Das ist jedoch nur die Spitze des Eisbergs. Viele Ransomware-Vorfälle bleiben ungemeldet und die von den Cyberkriminellen bereitgestellten Informationen sind häufig unvollständig und unzuverlässig.

Auf Ransomware.live werden Forderungen von über 200 Cybercrime-Gruppen nachverfolgt, wobei die Anzahl der Opfer im Vergleich zu 2023 mit 5 339 im Jahr 2024 auf 6 018 angestiegen ist. Die tatsächlichen Zahlen liegen mit aller Wahrscheinlichkeit wesentlich höher. Eins dürfte deutlich werden: Cybersecurity ist extrem wichtig.

Für weitere Informationen enthält der Artikel zudem Links zu Brancheakteuren und internationalen Strafverfolgungsbehörden. Darüber hinaus wurden für viele Vorfälle zusätzliche Ausführungen ergänzt, in denen die Auswirkungen erläutert werden und wie man sich vor ihnen schützen kann.

Statistikbericht zu Ransomware in den USA

Dem Bericht für 2024 lässt sich entnehmen, dass Ransomware-Angriffe in den USA branchenübergreifend zugenommen haben. Bei Krankenhaussystemen gab es einen drastischen Anstieg von 46 (2023) auf 85 betroffene Systeme. Ähnlich sah es auch bei den Schulbezirken aus, von denen 116 betroffen waren. Auch auf Regierungseinrichtungen waren erheblich mehr Angriffe zu verzeichnen. Insgesamt waren im Jahr 2024 offiziell 373 Organisationen von Ransomware betroffen, was einmal mehr zeigt, dass die Gefahr durch diese Cyberbedrohungen weiter zunimmt.

	2021	2022	2023	2024
Krankenhaussysteme	27	25	46	85
Schulbezirke	62	45	108	116
Hochschulen	26	44	72	55
Regierungen	77	106	95	117
Insgesamt	192	220	321	373

Gesundheitssektor

Bei Ransomware geht es jedoch nicht nur um Zahlen. Insbesondere im Gesundheitssektor können Störungen durch einen Angriff lebenswichtige Maßnahmen beeinträchtigen. Wie bereits erwähnt, wurden zwischen Januar und Dezember 2024 für 85 Krankenhaussysteme Ransomware-Vorfälle gemeldet, bei denen 1 031 Kliniken betroffen waren. Diese hohen Zahlen geben einen ersten Eindruck zum Ernst der Lage, allerdings werden nicht alle Vorfälle gemeldet, weshalb die Anzahl der tatsächlich betroffenen Krankenhäuser höchstwahrscheinlich höher ist.

Bildungssektor

Die Daten für 2024 zeigen auch einen besorgniserregenden Trend bei den Schulbezirken der USA. Zwischen Januar und Dezember meldeten insgesamt 116 Bezirke Vorfälle, durch die ungefähr 2 275 Schulen beeinträchtigt wurden. Damit waren bei jedem Vorfall etwa 20 Schulen betroffen. Auch hier darf man davon ausgehen, dass diese ernüchternden Zahlen nur einen Bruchteil der tatsächlichen Auswirkungen abbilden.

Regierungen

Wie den vorgenannten Zahlen zu entnehmen ist, waren auch US-Regierungseinrichtungen 2024 maßgeblich von Ransomware betroffen. 117 Verwaltungen und Behörden meldeten zwischen Januar und Dezember Vorfälle. Wie auch bei den anderen Sektoren ist hier davon auszugehen, dass dies nur ein Teil der tatsächlich erfolgten Angriffe ist. Viele Vorfälle werden aus Sorge um die nationale Sicherheit oder dem Bedürfnis, kritische Dienste nicht unterbrechen zu wollen, nicht gemeldet

Ransomware-Gruppe LockBit

2024 war für die Cyberkriminellen von LockBit ein ereignisreiches Jahr, weshalb wir gesondert auf die Gruppe eingehen möchten. Jon DiMaggio und das Team von Analyst1 haben basierend auf ihren Untersuchungen zu LockBit einige herausragende Artikel veröffentlicht.

Die Gruppe trat erstmals im Herbst 2019 als ABCD-Ransomware in Erscheinung, nannte sich dann jedoch Anfang 2020 in LockBit um und begann schließlich unter dem Namen LockBit 2.0 im Sommer 2021 aggressiv damit, mögliche Partner und Mitwirkende zu rekrutieren. Im März 2022 tauchte sie dann mit LockBit 3.0 in ihrer dritten Abwandlung auf, die sich stark auf Ransomware-as-a-Service (RaaS) konzentrierte, wobei sie sogar ihr eigenes Bug-Prämienprogramm ins Leben rief. Diese Überzeugung in ihre Infrastruktur und das speziell auf Partner ausgerichtete Marketing machten sie zu überaus erfolgreichen Cyberkriminellen – auf Kosten ihrer Opfer. Den Zahlen auf ihrer Webite im Darknet nach ist LockBit eine der schädlichsten Ransomware-Gruppen der letzten Jahre. Auch hier ist es unmöglich zu sagen, wie viele Unternehmen genau ihr zum Opfer fielen. Zu den bekanntesten zählen die globale Beratungsagentur Accenture (2021), das Sicherheitsunternehmen Entrust (2022), die Royal Mail (2023) des Vereinigten Königreichs sowie weltweit eine Reihe von Gesundheits- und Regierungseinrichtungen.

LockBits Erfolg hat natürlich nicht nur die Aufmerksamkeit der Opfer auf sich gelenkt, sondern auch die internationaler Strafverfolgungsbehörden. Folglich wurde „Operation Cronos“ ins Leben gerufen. Ziel der speziell auf LockBit angesetzten internationalen Sondereinheit ist es, den Betrieb der Gruppe zu unterbinden und ihre Mitglieder aufzuspüren. Unter der Führung von NCA, FBI und Europol sind Strafverfolgungsbehörden aus insgesamt 14 Ländern an der Operation beteiligt. Hier einige der wichtigsten Ereignisse 2024:

• 19. Februar: Operation Cronos veröffentlichte eine Nachricht auf der LockBit-Website im Darknet, die übersetzt wie folgt lautete: „Diese Seite befindet sich nun unter der Kontrolle der National Crime Agency (NCA) des Vereinigten Königreichs in enger Zusammenarbeit mit dem FBI und der  internationalen Strafverfolgungseinheit ‚Operation Cronos‘.“
• 20. Februar: Operation Cronos gibt bekannt, dass sie das Netzwerk von LockBit infiltriert und nun die Kontrolle über deren Dienste übernommen hat. LockBit-Ransomware-Angriffe erfolgten vier Jahre lang als Ransomware-as-a-Service über ein globales Partnernetzwerk, wobei sie Opfern auf der ganzen Welt durch Lösegeldzahlungen und Wiederherstellungskosten Verluste in Milliardenhöhe bescherten.
• Ciaran Martin, der ehemaliger Geschäftsführer des National Cyber Security Centres sagte laut BBC: „Von außen betrachtet ist dies eine der folgenschwersten Störaktionen, die jemals gegenüber einem großen Ransomware-Akteur unternommen wurde, und definitiv die größte, die jemals von der britischen Polizei geleitet wurde.“ Die genaue Identität der LockBit-Mitglieder war zwar noch nicht bekannt, aber man ging davon aus, dass sie sich außerhalb der Reichweite westlicher Strafverfolgungsbehörden in Russland befinden. Die Beeinträchtigung ihres Geschäfts ist eine spürbare Maßnahme zur Untergrabung ihrer Aktivitäten. Trotz der damit erregten öffentlichen Aufmerksamkeit waren die tatsächlichen Auswirkungen der Operation noch ungewiss. Davon abgesehen hatte die Infiltration und Störung von LockBit folgende Auswirkungen:
  • Die NCA sicherte über 1 000 Entschlüsselungsschlüssel.
  • Operation Cronos gab die Partner-IDs und Benutzernamen von 194 LockBit-Mitwirkenden bekannt.
  • Zwei russische Staatsangehörige (Artur Sungatov und Ivan Kondratyev) wurden angeklagt.
  • In Polen und Ukraine wurden zwei LockBit-Akteure verhaftet.
  • Eine Belohnung in Höhe von 10 Millionen USD wurde für nähere Informationen zu  „LockBitSupp“, dem mutmaßlichen Gruppenanführer, ausgesetzt.
  • Es wurden über 200 Kryptowährungskonten eingefroren, die mit der Gruppe in Verbindung stehen.
• 23. Februar: Zusätzlich zu der bereits erwähnten Belohnung starteten die Ermittler einige PsyOps, also psychologische Maßnahmen. So veröffentlichten sie beispielsweise einen mehrtägigen Countdown auf der beschlagnahmten LockBit-Website, wann sie den Anführer der Gruppe bekanntgeben. Bei dem Ransomware-as-a-Service-Betrieb ist LockBit auf Mitwirkende angewiesen, die für sie die Schmutzarbeit übernehmen wie das Aufspüren, Angreifen, Kompromittieren und schließlich Schröpfen der Opfer. Sie konkurrieren gewissermaßen mit anderen Ransomware-Gruppen um die produktivsten Partner. Dabei hilft es ihnen, eine starke Marke aufzubauen, die Angst bei ihren Opfern auslöst und Vertrauen bei ihren Helfern weckt, dass die von ihnen ausgehende Gefahr real ist. Gleichermaßen müssen RaaS-Gruppen die Identität dieser Partner schützen, von denen etliche in Ländern arbeiten, die nicht außerhalb der Reichweite westlicher Strafverfolgungsbehörden liegen. Durch das Veröffentlichen der Partner-IDs und Benutzernamen und die anschließende Drohung, den Anführer bloßzustellen, untergraben die Ermittler die Glaubwürdigkeit der versprochenen Anonymität. Das löst wiederum Angst und Unsicherheit unter den Helfern aus, die sich möglicherweise aus Eigenschutz heraus dazu entschließen, mit den Strafverfolgern zusammenarbeiten.
• 07. Mai: Das US-Justizministerium  klagt einen russischen Staatsangehörigen an, Gründer, Entwickler und Administrator von LockBit zu sein. Dimitry Khoroshev (31) aus Woronesch, Russland, wurde als LockBitSupp identifiziert und von der Grand Jury im Bezirk New Jersey in 26 Fällen schuldig gesprochen. Das US-Außenministerium rief eine Belohnungen in Höhe von 10 Millionen USD für Informationen aus, die zur Ergreifung von Khoroshev führen.
• NCA und FBI identifizierten 194 Partner, die die Dienste von LockBit nutzten. Das ist insofern wichtig, da die internationalen Strafverfolger klargestellt haben, dass RaaS-Betreiber und Darknet keine absolute Anonymität gewährleisten können – ein Umstand, der etlichen Kriminellen den Schlaf rauben wird.
• 06. Juni: Das FBI gibt bekannt, dass es über mehr als 7 000 LockBit-Entschlüsselungsschlüssel verfügt, mit denen Opfern geholfen werden kann, ihre verschlüsselten Dateien wiederherzustellen.
• Die ganze Aufmerksamkeit seitens der Behörden hatte anscheinend seine Wirkung, da die im Darknet für LockBit veröffentlichten Opferahlen von 85 pro Monat im 1. Quartal 2024 auf 18 pro Monat im 3. Quartal 2024 gesunken sind. Aber die Operation war noch nicht vorbei.
• 01. Oktober: In der dritten Phase von Operation Cronos verhafteten die Ermittler in vier Ländern einen mutmaßlichen LockBit-Entwickler (Frankreich), zwei LockBit-Unterstützer (von den britischen Behörden aufgegriffen) und den Administrator (Spanien) des Hostdienstes, der von der Ransomware-Gruppe verwendetet wurde. Darüber hinaus konfiszierte die spanische Polizei neun Server, die für die LockBit-Infrastruktur eingesetzt wurden.

Welche Bedeutung hat diese LockBit-Angelegenheit?

Der Fakt, dass Strafverfolgungsbehörden im Kampf gegen diese kriminellen Vereinigungen Fortschritt machen und Wirkung erzielen, ist ermutigend. Die Namen der LockBit-Hintermänner und ihrer Mitwirkenden zu veröffentlichen sowie die Anklagen und Verhaftungen von wichtigen Mitgliedern gehen auch an anderen Cyberkriminellen nicht unbemerkt vorbei und sie ändern möglicherweise ihr Vorgehen.

Man sollte sich bewusst sein, welche Gefahr die erfolgreichsten Akteure darstellen. Informationen über Bedrohungen und eingesetzte Taktiken sowie Hinweise, wie man sie erkennen und sich schützen kann, werden in den USA unter anderem von der CISA (Cybersecurity and Infrastructure Security Agency) und ähnlichen Behörden in vielen anderen Ländern bereitgestellt. LockBit und seine Partner haben Schwachstellen in Anwendungen, Brute-Force-Angriffe auf das Remotedesktopprotokoll (RDP), Phishing und kompromittierte Zugangsdaten als Einfallstor genutzt.

NCA und FBI verfügen dank Operation Cronos über Tausende LockBit-Entschlüsselungsschlüssel. Sollten Sie betroffen sein, melden Sie es bei einer der zuständigen Behörden. Damit können Sie bei den laufenden Bemühungen helfen, die Kriminellen aufzuspüren und zu stoppen. Möglicherweise kann Ihnen auch bei der Wiederherstellung Ihrer Daten geholfen werden.

Weitere nennenswerte Cybervorfälle 2024

Snowflake-Datenpanne (April 2024)

Es dürfte allgemein bekannt sein, dass starke Passwort-Richtlinien wichtig sind. Dennoch kann es zu Fehltritten kommen. Mitte April 2024 bemerkte Snowflake ungewöhnliche Aktivitäten sei seinen Systemen und ließ schließlich am 23. Mai 2024 offiziell verlautbaren, dass es möglicherweise unerlaubten Zugriff gab. Als Anbieter von Clouddiensten zur Verwaltung großer Datenmengen waren die 9 500 Kunden des Unternehmens ein verlockendes Ziel für die Cyberkriminellen.

Überraschenderweise wurde bei dem Angriff keine Zero-Day-Sicherheitslücke ausgenutzt und auch eine ausgeklügelte Social-Engineering-Kampagne eingesetzt. Stattdessen erfolgte der Zugriff auf die Konten – Konten, bei denen keine mehrstufige Authentisierung (MFA) aktiviert war – über Zugangsdaten, die anderweitig erlangt wurden. Laut Snowflake „nutzten die Angreifer Zugangsdaten, die sie zuvor gekauft oder über Infostealer gesammelt hatten“. Erst nach diesem Vorfall machte Snowflake für alle Konten MFA erforderlich.

Das Google-Unternehmen Mandient fand heraus, dass die Gruppe UNC5537 systematisch Snowflake-Kundenkonten mit gestohlenen Zugangsdaten kompromittierte. Ab Mitte der 2000er Jahre begannen Unternehmen damit, Daten zur Ablage und Verarbeitung in die Cloud auszulagern. Mit derartigen Vorfällen wachsen jedoch die Sorgen vor möglichen Datenschutzverletzungen, sobald im Betrieb eine gemeinsam genutzte IT-Infrastruktur eingesetzt wird.

Im November 2024 verhafteten die kanadischen Behörden Alexander „Connor“ Moucka als einen der mutmaßlichen Akteure hinter den Snowflake-Angriffen. Ein weiterer mutmaßlicher Kollaborateur, der Amerikaner John Binns, der bereits 2001 für einen Angriff auf T-Mobile angeklagt war, wurde von den türkischen Behörden verhaftet und befindet sich noch in Gewahrsam. Das letzte Stück zum Puzzle war Ende Dezember die Verhaftung eines Soldaten der U.S. Army, der als Kiberphant0m agieren soll. Die Geschichte, wie der Kanadier von der US-Cybersecurity-Firma Unit221B aufgespürt und identifiziert werden konnte, ist überaus interessanter Lesestoff und zeigt, wie aufsehenerregende Cyberangriffe mit vielen Opfern zu erfolgreichen koordinierten Ermittlungen führen können.

Zu den betroffenen Kunden gehören unter anderem:

• Neiman Marcus
• Ticketmaster: Die Gruppe ShinyHunters behauptete, 560 Millionen Datensätze zum Verkauf zu haben.
• Santander: Hier bot ebenfalls ShinyHunters 30 Millionen Datensätze von Spaniens größter Bank zum Verkauf an. Santander bestätigte, dass Informationen von Santander-Kunden in Chile, Spanien und Uruguay sowie aktuellen und ehemalige Santander-Mitarbeitern beeinträchtigt wurden.
• Advance Auto Parts: Sp1d3r behauptet, 380 Millionen Datensätze von Kunden zu besitzen.
• Finanzdienstleister LendingTree und Tochterunternehmen QuoteWizard: Sp1d3r gibt an, über Daten von 190 Millionen Personen zu verfügen.

AT&T, gefolgt von AT&T (März und Juli 2024)

Große Unternehmen sind große Ziele.

• In der ersten Märzwoche tauchte im Darknet ein offenbar von 2019 oder früher stammendes Datenpaket mit personenbezogenen Daten (u.a. Sozialversicherungsnummern und Kontenzugänge) von 73 Millionen aktuellen und ehemaligen Kunden auf.
• Im Juli gab AT&T bekannt, dass es einen erneuten Vorfall gab, wobei es sich bei den diesmal gestohlenen Daten unter anderem um AT&T-Aufzeichnungen von Anrufen und Texten von über 100 Millionen Kunden aus dem Zeitraum zwischen Mai 2022 und Oktober 2022 sowie vom 2. Januar 2023 handelte. Laut der New York Times gab AT&T-Sprecher Jim Kimberly bekannt, dass die Daten von der Snowflake-Cloudplattform heruntergeladen worden waren.

Dell im Doppelpack (April und September 2024)

• Ende April bot der Hacker Menelik im Hackerforum „Breached“ Daten zum Verkauf an und eine Woche später begann Dell, Warnungen an seine Kunden zu verschicken, dass  bei einer Datenschutzverletzung personenbezogene Daten gestohlen worden waren   . BleepingComputer zufolge hatte Menelik die API eines Partnerportals verwendet, um 49 Millionen Kundendatensätze zu stehlen.
• Im September wurden angeblich weitere Dell-Daten gestohlen und auf der Darknetseite BreachForums angeboten. Einmal gehackt zu werden ist menschlich, …

Aus für Kaspersky (Juni 2024)

Das US-Handelsministerium gab im Juni die Entscheidung bekannt, dass Kaspersky der direkte und indirekte Vertrieb von Antivirus-Software sowie Cybersicherheitsprodukten und -diensten an die USA oder US-Bürger untersagt ist. Das Verbot bezieht sich auch auf Updates zu bereits genutzter Software. In der Entscheidung heißt es, „dass der anhaltende Betrieb des Unternehmens in den USA eine Gefahr für die nationale Sicherheit darstellt – aufgrund der offensiven Cyberkompetenzen und -kapazitäten der russischen Regierung, mit denen der Betrieb von Kaspersky beeinflusst oder gelenkt werden kann“.

Die Produkte von Kaspersky genießen hinsichtlich ihres Schutzes einen guten Ruf. Das Unternehmen selbst wurde aber ein unglückliches Opfer des gegenwärtigen politischen Klimas.

CrowdStrike-Versehen (Juli 2024)

Dieser Vorfall erfolgte nicht aufgrund eines Cyberangriffs, sondern hier sorgte ein fehlerhaftes Software-Update von CrowdStrike für einen weltweiten IT-Ausfall. Es waren ungefähr 8,5 Millionen Rechner betroffen und Fortune-500-Unternehmen entstanden Kosten in Milliardenhöhe für die Wiederherstellung.

Schutzsoftware für Endgeräte verfügt über sehr hohe Benutzerrechte in einem Betriebssystem, wobei aus unterschiedlichen Gründen (etwa systemweite Sichtbarkeit und Selbstschutz) ein Kernel-Treiber eingesetzt wird. Wie dieser Vorfall bestens veranschaulicht, haben derart hohe Systemberechtigungen ihre Risiken.

Was lässt sich daraus lernen?

Ungeachtet dieses Vorfalls bleibt es dennoch einer der wichtigsten Punkte Ihrer Sicherheitsstrategie, Ihre Betriebssysteme und Anwendungen stets auf dem neuesten Stand zu halten.

Präsidentschaftswahlkampf (August 2024)

US-Behördenvertreter beschuldigten iranische Hacker, in den Wahlkampf von Donald Trump eingreifen zu wollen. Hacker hatten auch versucht, sich in die Kampagnen von Biden-Harris einzumischen, um mit ihren Aktivitäten „Zwietracht zu schüren und das Vertrauen in die demokratischen Institutionen zu untergraben“. Im September klagte daraufhin das US-Justizministerium drei Iraner wegen Betrug, Identitätsdiebstahl und Bereitstellung von Material zur Unterstützung einer terroristischen Vereinigung sowie diversen Cyberverbrechen an.

Dämpfer für Telegram (August 2024)

Telegram ist ein  cloudbasierter Messenger-Dienst    der russischen Jungunternehmer  Pavel  und Nikolai Durov. Sie gründeten Telegram als eine Plattform für eine sichere Kommunikation ohne Einmischung der Regierung, indem sie Ende-zu-Ende-Verschlüsselung bereitstellen, ohne dass eine Telefonnummer angegeben werden muss. Das mag nach einer noblen Absicht klingen, allerdings wird die Plattform dadurch auch für fragwürdigere Gruppen interessant, die ihre Kommunikation geheim halten möchten, wie Cyberkriminelle, Schwarzmarkthändler, Verschwörungstheoretiker und Extremisten.

Der Absturz kam im August 2024 als die französischen Behörden Pavel Durov verhafteten und wegen Beihilfe zu einer Vielzahl von Verbrechen beschuldigten, etwa Drogenhandel und „die Befähigung zum Vertrieb von Material über sexuellen Kindesmissbrauch“   . Ein Gefängnisaufenthalt scheint motivierend zu wirken und so gab Durov am 23. September bekannt, dass „IP-Adressen und Telefonnummern, die unsere Regeln verletzen, auf gültiges gerichtliches Verlangen hin an die entsprechenden Behörden ausgehändigt werden können“.

American Water Works (Oktober 2024)

Das Unternehmen mit einem Nettogewinn von knapp 1 Milliarde USD im Jahr 2023 versorgt etwa 14 Millionen Personen in 14 Bundesstaaten und18 Militäreinrichtungen mit Trinkwasser-, Abwasser- und ähnlichen Dienstleistungen.

Gemäß einer Meldung von American Water Works an die SEC, hatte das Unternehmen am 3. Oktober unerlaubten Zugriff auf seine Infrastruktur aufgrund eines Cybersicherheitsvorfalls entdeckt. In der Erklärung heißt es, dass derzeit keine der Wasser- oder Abwasseranlagen oder deren Betrieb betroffen seien, wobei gleichzeitig eingeräumt wird, dass die vollen Auswirkungen noch nicht abzusehen sind.

Am 15. Oktober gab das Unternehmen bekannt, dass „es keine Anzeichen dafür gibt, dass Wasser- und Abwasseranlagen von dem Vorfall beeinträchtigt wurden“. Das klingt allerdings nicht sonderlich vertrauenerweckend.

The Record vermeldet, dass die US-Umweltschutzbehörde EPA die Cybersecurity in Wasseranlagen stärken wollte. Derartige Bemühen wurden allerdings „von Generalanwälten in den Bundesstaaten Missour, Arkansas und Iowa sowie den Branchengruppen American Water Works Association (AWWA) und National Rural Water Association (NRWA)“ über Gerichtsverfahren gestoppt.

Notorischer Hacker USDoD in Brasilien verhaftet (Oktober 2024)

Hacker, die die größte Aufmerksamkeit erregen, scheinen häufiger den Behörden ins Netz zu gehen. Der auch als EquationCorp bekannte Hacker USDoD war mutmaßlich für die Angriffe auf InfraGard (das FBI-Informationsportal für Bedrohungen) und Airbus sowie die massive Datenschutzverletzung bei National Public Data verantwortlich.

Im August gab tecmundo (auf Portugiesisch) die Identität von USDoD bekannt: Luan B.G., ein 33-jähriger Mann aus Minas Gerais, Brasilien. Am 17. Oktober wurde berichtet, dass die Person, die hinter etlichen Angriffen steckt, zu denen sich USDoD bekannte, verhaftet worden ist.

Dateiübertragungsplattform Cleo gehackt (Dezember 2024)

2023 sorgte eine Sicherheitslücke in der Dateiübertragungsplattform MOVEit von Progress Software dafür, dass über 2 500 Unternehmen und mehr als 95 Millionen Personen Opfer der Cybergang Cl0p wurden. Im Dezember wurden nun die Dateiübertragungslösungen von Cleo gehackt und wir werden wohl erst im späteren Verlauf von 2025 erfahren, ob das Ausmaß der Opfer ähnlich hoch ausfällt wie bei MOVEit.

Hackerangriff auf US-Finanzministerium (Dezember 2024)

In den letzten Tagen vor Jahresende gab es Meldungen zu einer großen Datenschutzverletzung beim US-Finanzministerium. Zugang sollen sich die Angreifer über Sicherheitslücken in der Remote-Support-Software von BeyondTrust verschafft haben. Zugeschrieben wird der Vorfall einem von der chinesischen Regierung finanzierten Akteur. 2025 dürfte ein interessantes Jahr werden, wenn Regierungen und ihre Unterstützer um ihre Cyber-Macht kämpfen.

Weshalb ist all das relevant?

Die Bedrohungslandschaft zu verstehen ist genauso wichtig wie die Umsetzung einer wirksamen und soliden Cybersecurity-Architektur unter Berücksichtigung von Menschen, Prozessen und Technologien. Ein guter Anfang besteht darin, sich auf die Umsetzung der Grundlagen zu konzentrieren, denn viele erfolgreiche Angriffe setzen genau diese Standardmethoden ein, die relativ leicht einzudämmen sind. Dies zeigt sich auch in einem Bericht der CISA zur Beurteilung von Risiken und Schwachstellen. Danach sind gültige Konten (Valid Accounts) mit 41 % das erfolgreichste Einfallstor für den Erstzugriff. Gleichzeitig haben sie die höchste Erfolgsrate, wenn es um Beständigkeit (Persistence | 42 %) und Ausweitung der Berechtigungen (Privilege Escalation | 44 %) geht.

Das ist dieselbe Methode, die auch in dem oben beschriebenen Snowflake-Angriff eingesetzt wurde. Starke Passwortrichtlinien sind eine einfache und wirksame Maßnahme, um dem vorzubeugen. Mehr zu bewährten Praktiken für Passwortsicherheit können Sie hier nachlesen.
Wir wünschen Ihnen ein sicheres 2025.

 

Übersetzung: Doreen Schäfer