Emsisoft
Cybersecurity-Prognosen: Was Experten für 2024 erwarten
Es steht außer Frage, dass 2023 ein anstrengendes Jahr in Sachen Cybersecurity war – ebenso wie in nahezu allen anderen Lebensbereichen auch. Es gab Ransomware im Überfluss, mehr Zero-Day- und Lieferkettenangriffe als einem lieb ist, wilde Hacktivisten und Abermillionen Menschen, denen Daten gestohlen wurden. Na gut, vielleicht nicht Abermillionen, aber durch den MOVEit-Vorfall allein waren schon mehr als 80 Millionen Personen betroffen.
Zu den Opfern in diesem Jahr gehören das UBA-Fernsehnetzwerk, das kurz vor dem Abgrund stand (ach nein, das war ja fiktiv), Royal Mail, die British Library und die Toronto Public Library, MGM Resorts, Japans erste Weltraumbehörde, Caesar’s Entertainment, die Wahlkommission des Vereinigten Königreichs, Clorox, die Stadt Dallas, Boeing, ICBC, Otka sowie zahlreiche Krankenhäuser, Schulen und Kommunalverwaltungen.
Zum Ende des aktuellen Jahres stellt sich nun die große Frage: Steht uns ein weiteres Horrorjahr bevor? Um herauszufinden, was 2024 für uns auf Lager hat, haben wir einige der erfahrensten und hellsten Köpfe der Cybersecurity um ihre Prognosen gebeten. Darunter ist sogar ein vom FBI gesuchter, russischer Ransomware-Betreiber. (Wer Hinweise geben kann, die zu seiner Ergreifung führen, bitte weitersagen, damit wir sie weiterleiten und die 10 Millionen Dollar Belohnung abstauben können.) So sahen ihre Antworten aus:
Kevin Beaumont, Internet Porg
Meiner Meinung nach steigt mit jedem Jahr die Chance, dass ein Ransomware-Betreiber – höchstwahrscheinlich irgendein Teenager – zufällig Zugriff auf eine kritische internationale Infrastruktur bekommt, dort schwere Schäden anrichtet und dann alle total überrascht darauf reagieren. Dabei ist es aufgrund völlig falsch ausgerichteter Initiativen, die zur Behebung des Problems innerhalb der Branche und von den Regierungen umgesetzt werden, nur eine Frage der Zeit, bis das passiert.
Ryan Chapman, Autor und zertifizierter Ausbilder, SANS
Wir werden 2024 meiner Ansicht nach einen weiteren Anstieg der Cyber-Erpressung erleben, also dass Ransomware-Gruppen nach dem Stehlen der Daten auf das Verschlüsseln verzichten. „Cyber-Erpressung“ besteht im Grunde meistens aus Ransomware-Vorfällen, die ohne Verschlüsselung ablaufen. Wir haben diesen Trend bereits seit einiger Zeit beobachtet und ich glaube, dass sich dieser fortsetzen wird, da er weniger aufwendig ist. Ich gehe jedoch nicht davon aus, dass die Verschlüsselung komplett verschwinden wird. Viele Gruppen verlassen sich immer noch auf die Dringlichkeit, die durch ausgefallene Dienste entsteht. Wir werden den Begriff „Cyber-Erpressung“ zunehmend begegnen und müssen daher alle zusammen lernen, diese beiden Angriffsarten zu differenzieren.
Ich denke auch, dass sich die Methoden für den Erstzugriff weg von RDP und Phishing und hin zu SIM-Austausch und SMS-Phishing (auch als Smishing bezeichnet) bewegen werden, um die MFA leichter zu umgehen. Gruppen wie Scattered Spider (auch bekannt als Muddled Libra, UNC3944 und Scatter Swine) haben bereits damit begonnen, mit Ransomware-Kerngruppen zusammenzuarbeiten. Je intensiver diese Gruppen kooperieren, umso mehr Erstzugriffe werden über Techniken erfolgen, die sich mit den bisherigen Vorgehensweisen nur schwer überwachen, melden und/oder bekämpfen lassen. Meiner Meinung nach werden anhaltende Partnerschaften zwischen diesen Teams zu einer Bedrohungslandschaft führen, die der aktuellen ähnelt, aber einen größeren Schwerpunkt auf den Zugriff auf einmalige Anmelderessourcen legt. Denn diese verschaffen den Akteuren, die diese Methoden ausnutzen, unglaubliche Zugangsmöglichkeiten. Leider sind Handys, die nicht MDM-basiert genutzt werden (etwa in BYOD-Konzepten), weiterhin für derartige Bedrohungen anfällig.
Zu guter Letzt glaube ich, dass sich die Kommunikation zwischen den Kriminellen von Foren im Darknet zu Systemen wie Telegram verlagern wird. Einige dieser Systeme sind stärker reguliert, was der Gemeinschaft mehr Spielraum gibt, ihre Kommunikation privat zu halten. Aus diesem Grund bin ich auch der Überzeugung, dass wir als Bedrohungsexperten Marionetten-/Recherchekonten pflegen müssen, um innerhalb der verschiedenen Netzwerke der Kriminellen noch mehr Glaubwürdigkeit zu gewinnen. Je mehr Einsicht wir in deren Kommunikation verlieren, umso blinder sind wir gegenüber der entwickelten Angriffsmethoden. Je mehr wir hingegen lernen, umso besser können wir vorbeugen und jagen.
Sherrod DeGrippo, Leiter, Threat Intelligence Strategy bei Microsoft
Meiner Meinung nach werden wir noch kreativere Vorgehensweisen für Social Engineering in Kombination mit Erpressung beobachten. Das muss nicht zwangsläufig mit Verschlüsselung einhergehen, aber definitiv mit Daten als Druckmittel für die Lösegeldzahlung. Ich würde auch darauf wetten, dass sich die Rolle des CISOs stark wandeln wird. Und schließlich glaube ich auch, dass wir den US-Wahlen 2024 größte Aufmerksamkeit schenken werden. Sie wird ein Paradebeispiel dafür werden, inwiefern wir fähig sind, die Demokratie zu schützen.
Dissent Doe, Journalist und Datenschutzvertreter, DataBreaches.net
2024 werden noch mehr neue Ransomware-Gruppen und Leak-Seiten das Licht der Welt erblicken, da es inzwischen relativ günstig und einfach ist, sich Ransomware zu beschaffen. Folglich werden immer mehr Kids mit dem Traum vom schnellen Geld es ausprobieren. Da sich viele dieser Gruppen jedoch kaum damit auskennen, wird es mehr Opfer geben, deren Dateien beschädigt oder zerstört werden und es werden möglicherweise überall im Internet Teile der gestohlenen Daten herumfliegen. Strafverfolgungsbehörden werden ihre Zusammenarbeit weiter ausbauen und bedeutende Gruppen zu Fall bringen. Allerdings wird es mit den ständigen Umbenennungen und wechselnden Zugehörigkeiten ein unaufhörliches Katz-und-Maus-Spiel. Experimente damit, Opfer anzuzeigen, dass sie gegen Gesetze verstoßen haben, werden aufgegeben, sobald Angreifer erkennen, was Datenschutzvertreter bereits wissen: nämlich, dass es in der Regel Zeitverschwendung ist. Die Gruppen werden immer aggressivere Drohtaktiken mit vertraulichen Daten ausprobieren. Die Angriffe auf den Gesundheits- und Bildungssektors sowie auf kritische Infrastrukturen werden zunehmen. Außerdem werden die Gruppen selbst ernannte „Rechercheure“ begrüßen, die eigentlich gar nichts recherchiert haben, sondern lediglich lauthals die unbestätigten Behauptungen der Kriminellen, die den Ruf der Opfer beschädigen könnten, als Eilmeldungen wiederholen. Bis Ende 2024 wird mindestens ein Unternehmen einen dieser „Rechercheure“ wegen Rufschädigung angeklagt haben. 2023 gab es eine Hand voll Cyberangriffe unterhalb des Radars der Medien, bei denen die erfahrenen Cyberkriminellen sich entschieden hatten, die Daten von nichtzahlenden Opfern nicht zu veröffentlichen oder zu verkaufen. Stattdessen trafen sie Absprachen mit Strafverfolgungsbehörden, um die Daten zurückzugeben und deren Kopien zu löschen. Ich sage, dass wir 2024 mehr derartiger Fälle sehen werden.
John Hultquist, leitende Analytiker, Mandiant Threat Intelligence bei Google
Nächstes Jahr werden Hunderte, wenn nicht sogar Tausende Unternehmen von großen und breitflächigen Vorfällen getroffen werden, die von drei Quellen ausgehen: 1) Angreifer aus Nordkorea, die die Lieferketten ausnutzen, um an Kryptowährung zu kommen; 2) Angreifer aus China, die eine Zero-Day-Lücke in einem beliebten Sicherheitsgerät ausnutzen, um weltweit auf Netzwerke zuzugreifen, und 3) Ransomware-Betreiber, die eine Schwachstelle in einem Datenübertragungssystem ausnutzen, um auf die Daten mehrerer Opfer gleichzeitig zuzugreifen. Diese zunehmend zu beobachtenden Probleme werden schlussendlich zur Regel werden.
Azim Khodjibaev, Senior-Informationsanalytiker, Threat Intelligence and Interdiction bei Cisco Talos
Ich glaube, dass es mehr Störungen der Infrastruktur durch international koordinierte Bemühungen geben wird. Diese haben meiner Meinung nach alle auch schon vor ein paar Jahren begonnen. Da sie sehr bürokratisch geprägt sind, kommen sie im Gegensatz zum privaten Sektor in der Regel langsamer zum Tragen. Uns ist allen bekannt, dass es immer Bürokratie geben und die Arbeit gegen Ransomware nur anwachsen wird. Wie wir 2023 beobachten konnten, werden mit zunehmendem Vertrauen und wachsender Erfahrung der daran arbeitenden Unternehmen nur noch mehr Serverinfrastrukturen und Botnetze vom Netz genommen und zugehörige Akteure in freundlichen Ländern verhaftet. Die Wahrscheinlichkeit dieser Stilllegungen steigt außerdem weiter an, da immer mehr unerfahrene und multinationale Zusammenschlüsse in der Welt der Ransomware aktiv werden.
Allan Liska, Analytikerin für Bedrohungsinformationen, Recorded Future
Indem die Tools und der Betrieb von Ransomware zwischen sehr automatisiert sind, ist es so einfach wie nie, in die Szene einzusteigen. Diese McDonaldisierung der Ransomware wird dafür sorgen, dass überall auf der Welt immer mehr Ransomware-Gruppen entstehen, wodurch auch die Anzahl der Ransomware-Angriffe und der „Zusammenstöße“ zwischen den Angreifern zunehmen wird.
Dieses anhaltende Wachstum wird einige Länder dazu animieren, Verbote für Lösegeldzahlungen einzuführen, in der Hoffnung damit die Ransomware-Angriffe zu drosseln.
Jamie MacColl, wissenschaftlicher Mitarbeiter für Cybersicherheit, Royal United Services Institute
Dank der neuen Anforderungen der SEC und der vor kurzem erfolgten Klage gegen den CISO von SolarWinds werden wir bei den Unternehmen endlich mehr Verantwortung gegenüber Cybersicherheit auf Vorstandsebene beobachten dürfen. In diesem Zusammenhang wird es eventuell auch schwieriger werden, CISO-Stellen (derzeit die wahrscheinlich schlechteste Rolle, die man in der Cybersecurity innehaben kann) in großen Unternehmen zu besetzen.
Valery Marchive, Chefredakteurin, LeMagIT
Es wird mehr Industrialisierung/Automatisierung der Kill Chain geben. Cl0p hat es dieses Jahr in gewissem Rahmen schon genutzt, andere werden folgen.
Mikhail Matveev, Ransomware-Betreiber
Das Problem von Ransomware-Programmen ist, dass sie von Werbetreibenden, den Unternehmen selbst und den Regierungen extrem gehypt werden. Tatsächlich gibt es spezialisierte Dienstleistungen von Killnet und auf GitHub, die an 14-jährige Jugendliche gerichtet sind. Es gibt unzählige einsatzbereite Exploits, Tools und Anleitungen. Jeder, der sich für Computer interessiert, kann mit seiner eigenen RaaS ein Ransomware-Betreiber werden. Die ausführliche Berichterstattung in den Medien hat die Aufmerksamkeit auf die Strukturen im Unternehmens- und Regierungssektor gelenkt. Trotz der ganzen offensichtlichen Übertreibungen bleibt die Gefahr durch Ransomware ein relevantes und ernst zu nehmendes Risiko.
Die unüberschaubare Anzahl von RaaS und der daran beteiligten Personen sorgt für Chaos, auch bei denen, die es des Geldes wegen tun … Sie spielen eindeutig die Rolle der bösen Jungs und tun alles, um sich selbst und ihre Marke zu bewerben, ohne Gewinn zu machen. Aber ich bin sicher, dass dieser Trend im Rückgang ist und bald abnehmen wird. Schauen wir uns die Kreditkartenbetrüger an: Wie viele gibt es davon noch? Nur wenige. Hier einige Gründe, weshalb ich davon ausgehe, dass die von ihnen ausgehende Gefahr abnehmen wird, nicht als Phänomen, sondern als Bedrohung.
1. Marktsättigung: Mit der zunehmenden Anzahl von RaaS-Betreibern steigt auch der Wettbewerb, was aufgrund kleinerer Lösegelder und höherer Kosten zur Verwaltung der Infrastruktur zu niedrigeren Gewinnen führt.
2. Ethische und moralische Bedenken: Mit der Zeit wird die Hackergemeinschaft wahrscheinlich verstehen, dass durch die Ransomware-Angriffe unschuldige Anwender und Unternehmen zu Schaden kommen. Das könnte dazu führen, derartige Methoden abzulehnen.
Was ich für 2024 erwarte:
Dass sich der Fokus von RaaS (Ransomware-as-a-Service) und ähnlichen Massenangriffen hin zu zielgerichteter Cyberspionage verlagern wird. Sie könnte für bestimmte Akteure interessanter werden, da sie im Vergleich zu großflächigen Angriffen wie RaaS die Möglichkeit bietet, mit einem relativ niedrigen Risiko, aufgespürt zu werden, an wertvolle Informationen zu gelangen.
PS: Danke an meine Frau, dass sie mich immer unterstützt und inspiriert, und an meine Freunde Azim [bei der Cisco Talos Intelligence Group] und Brett [bei Emsisoft], dass sie immer ein Auge auf mich haben.
Katie Moussouris, Gründerin und CEO, Luta Security
Sei wachsam
vor Dingen wie WannaCry.
Zweifle nicht dran,
dass die MFA kompromittiert sei.
Ransomware ist nicht aufzuhalten.
Leg eine Bestandsliste an.
Aktualisiere sie mindestens zwei mal.
Angreifer kommen an alles ran.
Nicht gepatchte Hosts sind ein leichter Fall.
Ransomware ist nicht auszuschalten.
Aber im Ernst: Die Angriffe nehmen wie immer weiter zu und Entlassungsrekorde in der Technik- und Cyberbranche sorgen dafür, dass Unternehmen schlechter auf die bevorstehenden Herausforderungen vorbereitet sind. KI hilft den Verteidigern nicht schnell genug, die durch Personalabbau entstandenen Lücken zu schließen, wohl aber bereits den Angreifern. Ich sage voraus, dass wir eine KI-basierte Aufklärung gefolgt von einer automatisierten Ausbeutung sowie ein durch KI-Stimmen und -Übersetzung gestütztes Phishing beobachten werden. Es wird mehr Innovation denn je erforderlich sein, um die Abwehr auf dasselbe Niveau zu bringen.
Allison Nixon, Forschungsleiter, Unit 221b
Wir werden Cyberkriminelle erleben, die zur Unterstützung der Cyberattacken Gewalt einsetzen.
Chester Wisniewski, Leiter, Global Field CTO bei Sophos
Ransomware-Kriminelle werden sich weiter auf die am tiefsten hängenden Früchte konzentrieren, wobei sie bei nicht gepatchter Netzwerkausrüstung ansetzen und dann gestohlene Zugangsdaten einsetzen. Indem Unternehmen weiter schwache MFA anwenden, werden wir zunehmend Vorgehensweisen zur Umgehung von MFA beobachten, wie Evilginx, SIM-Austausch, Social Engineering und Cookie-Diebstahl. Wie bereits bei früheren Techniken werden sie ihre Prozesse verfeinern und anpassen, bis MFA nichts anderes als eine weitere lästige Schikane ist.
Viktor Zhora, ehemaliger stellvertretender Vorsitzender und Direktor für digitale Transformation, Staatsdienst für Sonderkommunikation und Informationsschutz der Ukraine
2024 wird voraussichtlich ein Jahr starker geopolitischer Turbulenzen, die mit zahlreichen entscheidenden Wahlkampagnen einhergehen. Cyberaktivitäten werden fraglos eine wichtige Rolle dabei spielen, die Abläufe dieser Wahlen gezielt zu beeinflussen. Weltmächte werden ihre offensiven Cyberressourcen ausbauen, während jene, die im Cyberspace unverantwortlich vorgehen, enger kooperieren werden, um sich dem Westen im digitalen Raum entgegenzustellen.
Zusammenfassung
Wir bedanken uns recht herzlich bei allen, die sich die Zeit genommen und ihre Gedanken mit uns geteilt haben. Wir hoffen, dass die meisten dieser Vorhersagen – insbesondere die von Allison – sich als falsch erweisen werden, gehen aber davon aus, dass dies leider nicht der Fall sein wird. Also angeschnallt! 2024 wird höchstwahrscheinlich wieder ein wilder Ritt.
Eine frohes Fest an alle da draußen!
Übersetzung: Doreen Schäfer
