PRESSESEITE | MEDIEN ZUM CROWDSTRIKE

CrowdStrike 2023 Threat Hunting Report: Identitätsbasierte Angriffe und Hands-on-Keyboard-Aktivitäten sind auf dem Vormarsch, da Angreifer versuchen, Abwehrmaßnahmen zu umgehen

Im Fokus stehen eine Zunahme von 583 Prozent bei Kerberoasting-Identitätsangriffen und eine Verdreifachung der böswilligen Nutzung legitimer RMM-Tools, zudem erreicht die Breakout-Time der Angreifer ein neues Rekordtief Austin, Texas / Black Hat, Las Vegas – 8. August 2023 – CrowdStrike (NASDAQ: CRWD) veröffentlichte heute den Threat Hunting Report 2023. Der sechste Jahresbericht des Unternehmens erfasst die Angriffstrends und die Vorgehensweise der Angreifer, die von CrowdStrikes Elite-Threat Huntern und Intelligence-Analysten beobachtet wurden. Er verzeichnet einen massiven Anstieg identitätsbasierter Angriffsversuche, eine wachsende Spezialisierung der Angreifer auf die Cloud, einen dreifachen Anstieg der Nutzung legitimer Remote-Monitoring- und Management-Tools (RMM) sowie ein neues Rekordtief der Breakout-Time von Angriffen. Der neue Threat Hunting Report berücksichtigt die Aktivitäten der Angreifer zwischen Juli 2022 und Juni 2023 und ist der erste Bericht, der von CrowdStrikes neuem Counter Adversary Operations Team veröffentlicht wird, das diese Woche auf der Black Hat USA 2023 offiziell vorgestellt wurde. Zu den Key Findings des Reports gehören unter anderem:
  • Die massive Zunahme von Kerberoasting-Angriffen um 583 Prozent verdeutlicht die extreme Zunahme von identitätsbasierten Angriffen: CrowdStrike stellte einen alarmierenden Anstieg von Kerberoasting-Angriffen fest, die sich im Jahresvergleich fast versechsfacht haben. Dabei handelt es sich um eine Technik, mit der sich Angreifer gültige Anmeldeinformationen für Active-Directory-Konten verschaffen können, die ihnen häufig höhere Privilegien verschaffen und es ihnen ermöglichen, in den Umgebungen ihrer Opfer über einen längeren Zeitraum unentdeckt zu bleiben. Insgesamt wurden bei 62 Prozent aller interaktiven Angriffsversuche valide Zugangsdaten missbraucht. Gleichzeitig stieg die Zahl der Versuche, geheime Schlüssel und andere Anmeldeinformationen über Metadaten-APIs von Cloud-Instanzen zu erhalten, um 160 Prozent.
  • Die Zahl der Angreifer, die legitime RMM-Tools ausnutzen, ist im Vergleich zum Vorjahr um 312 Prozent gestiegen: Ein weiterer Beleg für die Berichte der CISA ist die Tatsache, dass Angreifer zunehmend legitime und bekannte Remote-IT-Management-Anwendungen nutzen, um nicht entdeckt zu werden. So können sie auf sensible Daten zugreifen, Ransomware einsetzen oder weitere gezielte Folgetaktiken installieren.
  • Mit 79 Minuten erreicht die Breakout-Time einen neuen Rekordtiefstand: Die durchschnittliche Zeit, die ein Angreifer benötigt, um von der anfänglichen Kompromittierung zu anderen Hosts in der Opferumgebung lateral überzugehen, sank von dem bisherigen Tiefstwert von 84 Minuten im Jahr 2022 auf den neuen Rekordwert von 79 Minuten in diesem Jahr. Die kürzeste Breakout-Time des Jahres betrug nur 7 Minuten.
  • Das Volumen interaktiver Angriffe auf den Finanzsektor ist im Vergleich zum Vorjahr um über 80 Prozent gestiegen. Insgesamt haben die interaktiven Angriffsversuche um 40 Prozent zugenommen und umfassen alle Angriffe, die mithilfe von Hands-on-Keyboard-Aktivitäten erfolgen.
  • Die Zahl der im Dark Web geschalteten Inserate von Access-Brokern ist um 147 Prozent gestiegen: Dank des einfachen Zugriffs auf gültige Konten, die zum Kauf angeboten werden, sinkt die Einstiegshürde für eCrime-Akteure, die kriminelle Operationen durchführen wollen, und ermöglicht es etablierten Gegnern, ihr Handwerk nach der Exploitation zu verfeinern, um ihre Ziele mit größerer Effizienz zu erreichen.
  • Die Nutzung von Linux-Tools zur Privilegien-Eskalation durch Angreifer zur Ausnutzung von Cloud-Umgebungen hat sich verdreifacht: Falcon OverWatch, CrowdStrikes führender 24/7/365 Service für Bedrohungsjagd, verzeichnete einen dreifachen Anstieg des Linux-Tools linPEAS. Angreifer nutzen dieses Tool, um Zugriff auf Metadaten der Cloud-Umgebung, Netzwerkattribute und verschiedene Anmeldeinformationen zu erhalten, die sie dann ausnutzen können.
  „Wir haben im vergangenen Jahr mehr als 215 Angreifer beobachtet und konnten feststellen, dass die Bedrohungslandschaft zunehmend komplexer und tiefgreifender wird, da sich die Angreifer neue Taktiken und Plattformen zunutze machen, wie z. B. den Missbrauch gültiger Anmeldedaten, um Schwachstellen in der Cloud und in der Software auszunutzen“, erklärt Adam Meyers, Head of Counter Adversary Operations bei CrowdStrike. „Wenn wir über die Verhinderung von Sicherheitsverletzungen sprechen, können wir die unbestreitbare Tatsache nicht ignorieren, dass die Angreifer immer schneller werden und Taktiken anwenden, die absichtlich entwickelt wurden, um herkömmliche Erkennungsmethoden zu umgehen. Sicherheitsverantwortliche müssen daher prüfen, ob ihre Teams über die notwendigen Lösungen verfügen, um laterale Bewegungen eines Angreifers innerhalb von sieben Minuten zu stoppen.“ Weitere Informationen:
  • Den kompletten Report Nowhere to Hide: 2023 CrowdStrike Threat Hunting Report können Sie hier
  • Eine Zusammenfassung der Ergebnisse des Berichts finden Sie in diesem Blog.
  • Hören Sie den CrowdStrike Adversary Universe-Podcast, um mehr über die Angreifer zu erfahren und wie man diese stoppen kann.
  • Oder melden Sie sich für den Live-CrowdCast des CrowdStrike Counter Adversary Operations-Teams an, der am 24. August für die EMEA-Region stattfindet.
  Über CrowdStrike CrowdStrike Holdings Inc. (Nasdaq: CRWD), ein weltweit führendes Unternehmen im Bereich der Cybersicherheit, definiert mit seiner von Grund auf neu konzipierten Plattform zum Schutz von Workloads, Endgeräten, Identitäten und Daten die Sicherheit im Cloud-Zeitalter neu. Dank der CrowdStrike Security Cloud und erstklassiger künstlicher Intelligenz kann die CrowdStrike Falcon®-Plattform Echtzeit-Angriffsindikatoren, Bedrohungsdaten, sich ständig weiterentwickelnde Methoden der Angreifer sowie angereicherte Telemetriedaten aus dem gesamten Unternehmen nutzen, um hochpräzise Detektionen, automatisierte Schutz- und Abhilfemaßnahmen, erstklassiges Threat Hunting und eine nach Prioritäten geordnete Beobachtung von Schwachstellen zu ermöglichen. Die speziell für die Cloud entwickelte Falcon-Plattform verfügt über einen einzigen, schlanken Agenten und bietet eine schnelle und skalierbare Implementierung, ausgezeichneten Schutz und Leistung bei geringerer Komplexität und schneller Wertschöpfung. Das Motto von CrowdStrike lautet: We stop breaches. Mehr Informationen finden Sie unter: https://www.crowdstrike.de Folgen Sie uns: Blog | Twitter | LinkedIn | Facebook | Instagram Jetzt kostenlos testen: https://www.crowdstrike.com/free-trial-guide/ © 2023 CrowdStrike, Inc. Alle Rechte vorbehalten. CrowdStrike, das Falken-Logo, CrowdStrike Falcon und CrowdStrike Threat Graph sind eingetragene Marken von CrowdStrike, Inc. und beim Patent- und Markenamt der Vereinigten Staaten und in anderen Ländern registriert. CrowdStrike ist Eigentümer anderer Marken und Dienstleistungsmarken und kann die Marken Dritter zur Kennzeichnung ihrer Produkte und Dienstleistungen verwenden. Für weitere Informationen kontaktieren Sie bitte: HARVARD ENGAGE! COMMUNICATIONS GMBH Ava Dühring / Katharina Barth Tel: +49 89 53 29 57 33 / -13 E-Mail: crowdstrike@harvard.de