Supply Chain-Attacken häufen sich. Immer öfter schleusen Cyber-Kriminelle Malware in Software-Lieferketten ein und verschaffen sich so Zugang zu den Anwendersystemen. Die jüngsten Vorfälle zeigen: Die Methoden werden raffinierter und die Angriffszahlen steigen. Erfahren Sie im Blogbeitrag mehr zur aktuellen Einordnung der anfangs Jahr prognostizierten Malware Trends.
2023 wird das Jahr der Supply Chain-Attacken – so warnten verschiedenste Expertenstimmen zum Jahresbeginn. Die Befürchtungen haben sich schon im ersten Halbjahr bewahrheitet. Insbesondere zwei grössere Vorfälle sorgten in den letzten Monaten für Schlagzeilen:
Ende März 2023 läuteten in rund 600'000 Unternehmen die Alarmglocken. Auf einen Schlag sahen sich sämtliche Kunden der Internet-Telefon-Software 3CX bedroht – darunter Konzerne wie Ikea, McDonalds und BMW. Die Desktop-App war mit bösartigem Code infiziert und dadurch in der Lage, Daten und Anmeldeinformationen auf den Computern aller Nutzerinnen und Nutzer zu sammeln.
Das Perfide an einem Angriff auf die Lieferkette: Die Malware ist in zertifizierter Software versteckt, der Anwender grundsätzlich vertrauen. Cyber-Kriminelle manipulieren den Code noch im Entwicklungsprozess und die Anbieter realisieren zu spät, dass die Software infiziert ist. Auch 3CX bemerkte den Angriff erst, als die Kunden die Updates bereits heruntergeladen hatten.
Wie die Ermittlungen zeigten, war der Angriff von langer Hand geplant. Es handelt sich um die erste erfolgreiche «doppelte» Supply Chain-Attacke der Geschichte: Die nordkoreanische Hackergruppe Lazarus schleuste bereits im November 2021 Malware in die Trading-Software X_Trader ein. Ein Mitarbeitender von 3CX installierte die App auf seinem Computer und dies ermöglichte es den Hackern, die zweite Supply Chain-Attacke über die Telefon-Software auszuführen.
Ein besonders beliebtes Vehikel für Malware ist Software für die Datenübertragung. Das machten die letzten Monate deutlich: Nachdem im Februar 2023 bereits bösartiger Code in der Datentransfer-Software GoAnywhere entdeckt wurde, hielt Ende Mai 2023 ein Angriff auf die Software MOVEit zahlreiche Unternehmen in Atem. Die Opferzahl wuchs im Laufe der letzten Monate stetig und wird mittlerweile auf über 950 geschätzt – darunter Shell, Sony, Siemens, British Airways und BBC. In den USA traf der Angriff verschiedenste Universitäten und Behörden.
Mitte Juni 2023 bekannte sich die berüchtigte Ransomware-Bande Cl0p zum Angriff. Die russische Gruppierung erpresste die betroffenen Organisationen mit der Drohung, die gestohlenen Daten öffentlich zu machen – und machte diese auch tatsächlich wahr. Am 15. August 2023 publizierte Cl0p die Daten der Opfer, welche die Zahlung verweigerten. Nicht wenige gingen aber offenbar auf die Forderungen ein. Die erbeutete Lösegeldsumme wird auf 75 bis 100 Millionen US-Dollar geschätzt.
Die Bedrohung durch Ransomware nimmt damit exponentiell zu. Banden, die auf Software für die Erpressung von Organisationen spezialisiert sind, nutzen nicht mehr nur Schwachstellen in der IT-Infrastruktur einzelner Firmen aus. Mit Supply Chain-Attacken haben sie auf einen Schlag Zugriff auf hunderte von potenziellen Opfern. Es ist nur eine Frage der Zeit, bis der Coup von Cl0p Nachahmer findet.
Warum Schlüsseltechnologien aus fremden Händen Risiken bergen: Das kostenlose Wissens-Update «Cyber Security – nur wenn die gesamte Supply Chain geschützt ist» liefert Antworten.