Malware findet stets neue Wege, um Schaden anzurichten. 2023 lauern die Risiken vor allem in der Supply Chain, da bösartiger Code immer häufiger über Software-Lieferketten eingeschleust wird. Zudem sind mobile Geräte vermehrt von Spyware bedroht. Gleichzeitig nimmt die Bedrohung durch politisch motivierte Advanced Persistant Threats (APT) zu. Erfahren Sie im Blogbeitrag mehr zu den wichtigsten Malware Trends, die dieses Jahr bestimmen werden.
Mit der Attacke auf die Lieferkette des IT-Unternehmens SolarWinds brach im Dezember 2020 eine neue Ära in der Cyber Security an. Über 18’000 Nutzer der Verwaltungsplattform Orion fingen sich bei der Installation eines Updates den Trojaner Sunburst ein – darunter Unternehmen wie Intel, Cisco und Deloitte sowie mehr als ein Dutzend US-Behörden.
Seither häufen sich die Supply Chain-Attacken. 2022 waren unter anderem über 300 Kunden des Authentifizierungsspezialisten Okta betroffen. In den kommenden Jahren werden Supply-Chain-Angriffe weiter zunehmen. Das IT-Marktforschungsunternehmen Gartner prognostiziert, dass bis im Jahr 2025 45 Prozent aller Unternehmen weltweit einen Supply Chain-Angriff erlebt haben werden. Das würde gegenüber den Zahlen von 2021 eine Verdreifachung bedeuten.
Das Perfide an Angriffen über Software-Lieferketten: Sie sind nur schwer zu erkennen, weil sich der Schadcode in Software versteckt, der man als Unternehmen oder Behördenorganisation vertraut. Softwarepakete werden direkt beim Hersteller kompromittiert und anschliessend z.B. über Updateserver an die Kunden verteilt. Während sich Attacken über lizenzierte Software immerhin relativ schnell eindämmen lassen, ist die Lage bei Open Source-Software aufgrund der oft intransparenten Nutzerlandschaft sowie verschachtelten Softwarekompositionen deutlich vertrackter. Open Source-Software wird oft in andere Softwarepakete integriert, was die Nachverfolgbarkeit viel schwieriger macht.
Gemäss der Agentur der Europäischen Union für Cybersicherheit (ENISA) werden Open-Source-Nutzernetzwerke immer öfter mit Malware infiziert. So fand sich in den letzten Monaten bösartiger Code zum Beispiel auf Node Package Manager (NPM), RubyGems und PyPi – alles Plattformen, auf denen Millionen von Entwicklern laufend Pakete untereinander austauschen. Da diese Netzwerke für alle offen sind, ist es relativ einfach, Malware einzuschleusen. Hinter den jüngsten Angriffen auf Open-Source-Plattformen stecken laut ENISA mit hoher Wahrscheinlichkeit staatlich unterstütze Gruppen.
Eine weitere Bedrohung für die kommenden Monate sieht die Cyber Security-Agentur der EU in der massiven Zunahme an Mobile Malware. Ein aktuelles Beispiel dafür ist FluBot, eine Android-Spyware, die Anfang 2022 zahlreiche Banking-Apps ausspionierte, bis sie im Juni von Europol unschädlich gemacht wurde. Neben finanziell motivierten Cyber-Kriminellen nutzen auch politische Organisationen mobile Geräte vermehrt für ihre Zwecke.
Das Ausspionieren von Akteurinnen und Akteuren aus Politik und Journalismus über Smartphones wird sich laut ENISA weiter intensivieren. Die angespannte geopolitische Situation fördert diese Entwicklung ebenso wie das wachsende Angebot: Das israelische Unternehmen NSO, das mit der Smartphone-Spyware Pegasus bekannt wurde, hat mittlerweile Konkurrenz durch neue Anbieter erhalten. So wurden in den letzten Monaten vermehrt Angriffe auf mobile Geräte mit der Spyware Predator vom Anbieter Cytrox350 registriert.
2022 wurde mehr denn je deutlich, wie stark Cyber-Kriminalität von politischen Motiven getrieben ist. Die aktuellen geopolitischen Entwicklungen befeuerten die Aktivitäten von Organisationen, die sich auf Advanced Persistant Threats (APT) spezialisiert haben. Während Hacker sich üblicherweise nur möglichst kurz im System aufhalten, nisten sich APT-Angreifer über einen längeren Zeitraum ein. Dabei analysieren sie die Sicherheitssysteme und betreiben gezielte Spionage oder Sabotage. Zu den Opfern zählen Regierungen, Behörden, internationale Institutionen und Grosskonzerne.
Die meisten dieser einschlägigen Gruppierungen werden von Staatsmächten getragen. Die offensichtlich von China unterstützte Gruppierung APT31 attackierte 2022 die Behörden von sechs US-Bundesstaaten. Die Organisation APT28, die bereits Angriffe auf den Deutschen Bundestag und die US-Demokraten verübte, wird mit dem russischen Militärgeheimdienst GRU in Verbindung gebracht. Auch der Iran und Nordkorea verfügen über prominente APT-Gruppierungen.
APT-Gruppierungen setzen häufig Tools ein, die ursprünglich für die Cyber Security entwickelt wurden, um Angriffe testweise zu simulieren. Bisher kamen dabei vor allem CobaltStrike und das damit eng verbundene Metaspoilt-Framework zum Einsatz. Der Sicherheitssoftware-Anbieter Kaspersky prognostiziert jedoch, dass die Akteure ihre Abhängigkeit von diesen Systemen in nächster Zeit reduzieren werden und stattdessen alternative Tools einsetzen, wie Brute Ratel C4 oder Silver. Diese Diversifikation wird die Verteidigungsstrategie erschweren und den Akteuren Vorteile einbringen, da sie länger unentdeckt bleiben.
Welche weiteren Malware Trends bestimmen das aktuelle Jahr? Lesen Sie unser Wissens-Update «Ausblick 2023: Die fünf wichtigsten Malware Trends».