FireEye Mandiant M-Trends 2021: Bericht bietet globale Statistiken und Erkenntnisse aus Hunderten unterschiedlicher Hackerangriffe

  • Die durchschnittliche Verweildauer sinkt weltweit unter einen Monat
  • Die Erkennungsmöglichkeiten von Bedrohungen verbessern sich
  • Der Anteil an Ransomware steigt weiter an

MILPITAS, Kalifornien/München – 13. April 2021FireEye, Inc. (NASDAQ: FEYE), das Intelligence-basierte Sicherheitsunternehmen, hat heute den FireEye Mandiant M-Trends-Bericht 2021 veröffentlicht. Der M-Trends-Bericht, der bereits zum zwölften Mal erscheint, vereint Cybersecurity-Expertise mit Threat Intelligence und bietet Statistiken sowie Erkenntnisse aus den jüngsten Mandiant-Einsätzen weltweit.[1]

Der diesjährige Bericht enthält Details zu den neuesten Angriffstechniken und aktueller Malware, der Ausbreitung von vielschichtiger Erpressung und Ransomware, der Vorbereitung auf zu erwartende UNC2452 / SUNBURST Nachahmungshacker, wachsende Insider-Bedrohungen sowie zu Pandemie- und Industrie-bezogenen Trends. Weitere Erkenntnisse werden im Folgenden zusammengefasst.

Die durchschnittliche Verweildauer sinkt weltweit erstmals unter einen Monat

In den vergangenen zehn Jahren hat Mandiant eine kontinuierliche Verringerung der durchschnittlichen Verweildauer (definiert als die Dauer zwischen den ersten Anzeichen eines Cyberangriffs und seiner Identifizierung) beobachtet. Betrug diese im Jahr 2011 noch ein Jahr, wurden Cyberangriffe im Jahr 2020 durchschnittlich innerhalb von 24 Tagen erkannt. Verglichen mit der durchschnittlichen Verweildauer von 56 Tagen im Vorjahr verlief die Identifizierung somit doppelt so schnell. Mandiant führt diese Verbesserung auf die stetige Entwicklung und Verbesserung des Erkennungs- und Reaktionsvermögens von Unternehmen zurück, die mit dem Anstieg vielschichtiger Erpressungs- und Ransomwareangriffe einherging.

Die durchschnittliche Verweildauer entwickelte sich je nach Region unterschiedlich. In Nord-, Mittel- und Südamerika ging die Verweildauer weiter zurück. Die durchschnittliche Verweildauer für intern entdeckte Vorfälle hat sich dabei auf dem amerikanischen Kontinent am stärksten verbessert und ist von 32 Tagen auf nur noch neun Tage gesunken. Dies ist das erste Mal, dass eine Region in den einstelligen Bereich gerutscht ist. In APAC und EMEA hingegen stieg die durchschnittliche Verweildauer an. Nach Ansicht der Mandiant-Experten ist dies darauf zurückzuführen, dass im Vergleich zu Nord-, Mittel- und Südamerika mehr Angriffe mit einer Verweildauer von mehr als drei Jahren auftraten.

Interne Erkennungen nehmen zu

Während der Vorjahresbericht einen Rückgang der internen Erkennung von Angriffen im Vergleich zum Vorjahr feststellte, beobachteten die Experten von Mandiant nun einen Wiederanstieg von Unternehmen, die die meisten Vorfälle selbst erkennen konnten. Die interne Erkennung von Vorfällen stieg 2020 auf 59 Prozent an – ein Plus um 12 Prozentpunkte im Vergleich zu 2019. Die Rückkehr dazu, dass Unternehmen Angriffe auf ihre Umgebungen selbst erkennen, entspricht dem allgemeinen Trend, der über die letzten fünf Jahre von Mandiant beobachtet wurde.

Die interne Erkennung hat im Vergleich zum Vorjahr in allen Regionen zugenommen. Unternehmen in Nord-, Mittel- und Südamerika führten diese Entwicklung mit 61 Prozent an, dicht gefolgt von EMEA und APAC mit 53 Prozent respektive 52 Prozent. Im Vergleich dazu erhielten Unternehmen in APAC und EMEA mehr Meldungen über Kompromittierungen von externen Stellen als Unternehmen auf dem amerikanischen Kontinent.

Angreifer konzentrieren sich auf Einzelhandel, Gastgewerbe und Gesundheitswesen

Die fünf am häufigsten angegriffenen Branchen sind – in dieser Reihenfolge – unternehmensbezogene und fachliche Dienstleister, Einzelhandel und Gastgewerbe, Finanzwesen, Gesundheitswesen und Hochtechnologie.

Die Experten von Mandiant beobachteten, dass Unternehmen aus dem Einzelhandel und dem Gastgewerbe im Jahr 2020 stärker ins Visier der Angreifer gerieten – sie landeten auf Platz zwei der am häufigsten angegriffenen Branchen im Vergleich zu Platz 11 im Vorjahresbericht. Das Gesundheitswesen erfuhr ebenfalls einen deutlichen Anstieg und macht damit 2020 die am dritthäufigsten angegriffene Branche aus, gegenüber dem achten Platz im vorjährigen Bericht. Dieses gestiegene Interesse von Hackergruppen lässt sich wahrscheinlich durch die wichtige Rolle erklären, die der Gesundheitssektor während der globalen Pandemie gespielt hat.

Hier können Sie den vollständigen Bericht FireEye Mandiant M-Trends 2021 herunterladen: https://www.fireeye.com/mtrends

Hier können Sie sich zum Webinar am 28. April 2021 um 11 Uhr anmelden, in dem Mike Hart, VP Central and Eastern Europe bei FireEye, und Rüdiger Weyrauch, Director Sales Engineering Central and Eastern Europe bei FireEye, über den Bericht und Hintergrundinformationen zu den schwerwiegendsten Cyberangriffen der vergangenen Monate sprechen werden: https://www.brighttalk.com/webcast/13755/480119

Zitate unserer Experten weltweit

„Während Unternehmen ihre Fähigkeit verbessern, Kompromittierungen innerhalb ihrer eigenen IT-Umgebungen zu entdecken, ist die Eindämmung von Angreifern noch immer mit einzigartigen Herausforderungen verbunden. Die Folgen der globalen Pandemie zwingen Unternehmen dazu, ihre Arbeitsweise zu überdenken und sich auf dezentral arbeitende Mitarbeiter einzustellen. Durch diesen Wandel werden VPN-Infrastrukturen, Videokonferenz-Tools sowie Plattformen für die Zusammenarbeit und den Wissensaustausch zu geschäftskritischen Systemen, welche die Angriffsfläche von Unternehmen verändern. In vielen Fällen werden nun die regulären Mitarbeiter für die Konnektivität und die Cybersicherheit verantwortlich gemacht. Seit 2016 gehören die unternehmensbezogenen und fachlichen Dienstleister zu den fünf am häufigsten angegriffenen Branchen. Wir glauben, dass diese Branche im Jahr 2020 aufgrund der plötzlichen Nachfrage an unternehmensbezogenen Dienstleistungen, die für das Arbeiten aus dem Homeoffice notwendig sind, die am stärksten von Cyberkriminellen und staatlich-unterstützten Hackern betroffene Branche wurde.“ – Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant

„Vielschichtige Erpressungen und Ransomwareangriffe zählen zu den häufigsten Bedrohungen für Unternehmen. Im diesjährigen Bericht zeichnet sich der direkte finanzielle Gewinn als wahrscheinlichstes Motiv für mindestens 36 Prozent der von uns untersuchten Angriffe ab. Datendiebstahl und der Weiterverkauf von unautorisierten Zugängen des Zielunternehmens liegen weiterhin im Trend, weil sich die Hacker von rein opportunistischen Erpressungs- und Ransomware-Kampagnen abwenden. Stattdessen nehmen sie Unternehmen ins Visier, die wahrscheinlich bereit sind, auf hohe Lösegeldforderungen einzugehen. Angesichts dieses Anstiegs müssen Unternehmen proaktive Maßnahmen ergreifen, um die potenziellen Auswirkungen zu mindern.“ – Charles Carmakal, Senior Vice President und Chief Technology Officer, Mandiant

„UNC2452, die Hackergruppe hinter dem Angriff auf die Lieferkette von SolarWinds, erinnert uns daran, dass ein hoch disziplinierter und geduldiger Angreifer nicht unterschätzt werden darf. Die Aufmerksamkeit, die dieser Hacker der operativen Sicherheit, der Forensik und sogar der Spionageabwehr widmet, hebt ihn von seinen Mitstreitern ab. Die Verteidigung gegen einen solchen Hacker ist nicht einfach, aber sie ist auch nicht unmöglich. Wir haben in den letzten Monaten viel über UNC2452 gelernt und glauben, dass dieses Wissen bei zukünftigen Einsätzen unser Vorteil sein wird.“ – Sandra Joyce, Executive Vice President, Global Threat Intelligence, Mandiant

„Der diesjährige M-Trends-Bericht identifiziert als die drei am häufigsten genutzten Angriffsvektoren für eine Kompromittierung Exploits (29 Prozent), Phishing-E-Mails (23 Prozent) und gestohlene Anmeldedaten oder Brute-Force-Attacken (19 Prozent). Während Phishing nach wie vor einer der bevorzugten Vektoren von Cyberkriminellen ist, stellen wir fest, dass mehr Hacker Exploits einsetzen, um ihre Opfer zu kompromittieren. Der wachsende Einsatz von Exploits sollte Unternehmen daran erinnern, einen zuverlässigen Plan für das Patchen von Produktschwachstellen zu entwickeln. Eine der Herausforderungen besteht darin, die verfügbaren Quellen und Informationen zu identifizieren, um bessere risikobasierte Entscheidungen für die Priorisierung zu treffen, welche Systeme und Anwendungen basierend auf den aktuellen Erkenntnissen über die Ausnutzung und den Fokus von Hackern sofort und welche zu einem späteren Zeitpunkt gepatcht werden sollten.“ – Jurgen Kutscher, Executive Vice President, Service Delivery, Mandiant

„Wir beobachten weiterhin einen Trend zum ‚Wolf im Schafspelz‘, bei dem sich Hackergruppen und Cyberkriminelle auf freiverfügbare Tools verlassen, die in verschiedenen Phasen einer Kompromittierung eingesetzt werden. Die Verwendung freier oder kommerziell erhältlicher Tools, die oft von Red Teams und Penetrationtestern eingesetzt werden, ermöglicht es dem Hacker, sich als Sicherheitstester zu tarnen. Gleichzeitig wird dadurch die Zuordnung komplexer. Im diesjährigen Bericht wurde bei 24 Prozent der analysierten Angriffe BEACON verwendet, ein kommerzielles Tool, das Teil der Cobalt-Strike-Softwareplattform ist und häufig zum Testen von Netzwerkumgebungen eingesetzt wird. Wir beobachten, dass BEACON von einer Vielzahl namentlich bekannter Bedrohungsgruppen genutzt wird, darunter APT19, APT32, APT40, APT41, FIN6, FIN7, FIN9 und FIN11, sowie von fast 300 nicht kategorisierten Clustern von Bedrohungsaktivitäten.“ – Charles Carmakal, Senior Vice President und Chief Technology Officer, Mandiant

EMEA-spezifische Zitate

„Wenn wir die durchschnittliche Verweildauer für EMEA aus dem Vorjahresbericht mit der diesjährigen vergleichen, stellen wir einen Anstieg von 12 Tagen fest. Das bedeutet, dass die durchschnittliche Verweildauer, bevor ein Unternehmen in EMEA eine Kompromittierung entdeckte, im Jahr 2020 66 Tage betrug. Im EMEA-Raum ansässige Firmen müssen weiterhin auf lang andauernde Angriffe reagieren, während sie gleichzeitig mit schnelleren Kompromittierungen wie Ransomware konfrontiert werden. Darüber hinaus müssen sie Wege finden, um die Lücke zwischen der Entdeckung von Angriffen und deren Abwehr zu minimieren. Wenn man die heutige vielfältige Cyber-Bedrohungslandschaft bedenkt, neben der Herausforderung, Cybersecurity-Talente zu finden und der zunehmenden Anzahl von Bedrohungen und Alarmen, brauchen Unternehmen umfassenderes und situationsabhängiges Know-how, um zu verstehen, wer sie angreift, welche Werkzeuge der Angreifer verwendet und wie sie am besten auf den Angriff reagieren.“ –  Mike Hart, VP Central and Eastern Europe bei FireEye

„Leider mussten wir einen Anstieg in der Anzahl der Tage feststellen, die in EMEA-ansässige Unternehmen zur selbsttätigen Erkennung  eines Angriffs benötigen. Gleichzeitig ist es positiv zu sehen, dass die Erkennung durch externe Drittanbieter im Jahr 2020 abgenommen hat. Angriffe selbsttätig zu entdecken, anstatt sich auf einen Drittanbieter zu verlassen, kann die Auswirkungen deutlich minimieren.“ –  Mike Hart, VP Central and Eastern Europe bei FireEye

„Im Jahr 2020 haben wir weltweit proaktive Schritte von Regierungen und Strafverfolgungsbehörden im Umgang mit Cyber-Kriminellen und der sich entwickelnden Cyber-Bedrohungslandschaft beobachtet. Dies könnte die kürzere durchschnittliche Verweildauer für Kompromittierungen in EMEA, die von einer externen Quelle entdeckt wurden, erklären. Großbritannien hat beispielsweise eine neue National Cyber Force angekündigt, während wir in ganz Europa und den USA mehrere Sanktionen gegen und Verhaftungen von Hackern erlebt haben.“ –  Mike Hart, VP Central and Eastern Europe bei FireEye

„Obwohl Fortschritte gemacht wurden, ist die durchschnittliche Verweildauer für Kompromittierungen in EMEA, die von einer externen Quelle entdeckt wurden, mit 225 Tagen immer noch zu hoch. Wir gehen davon aus, dass diese Zahl mit der wachsenden Zusammenarbeit und dem Informationsaustausch einzelner Länder untereinander weiter sinken wird. Auf der anderen Seite müssen wir feststellen, dass einige Länder Einzelpersonen und Hackergruppen in gewisser Weise einen sicheren Hafen bieten.“ –  Mike Hart, VP Central and Eastern Europe bei FireEye

 

Über Mandiant

Mandiant Solutions gehört zu FireEye und vereint die weltweit führende Threat Intelligence und Expertise aus der täglichen Abwehr mit kontinuierlicher Sicherheitsvalidierung. Mandiant stattet Organisationen mit den Tools aus, die die Wirksamkeit ihrer Security erhöhen und ihr Risiko reduzieren.

Über FireEye, Inc.

FireEye ist Anbieter von Intelligence-basierten Sicherheitslösungen. Die FireEye-Plattform vereint innovative Sicherheitstechnologien, Threat Intelligence auf staatlichem Niveau und die weltbekannten Mandiant® Beratungsservices – und ist damit die nahtlose und skalierbare Erweiterung der IT-Sicherheitsvorkehrungen seiner Kunden. Mit diesem Ansatz entfernt FireEye die Komplexität von und die Belastung durch Cyber-Sicherheit für Unternehmen und unterstützt diese, sich auf Cyber-Angriffe besser vorzubereiten, diese zu verhindern oder darauf zu reagieren. FireEye hat über 8.500 Kunden in 103 Ländern, darunter mehr als 50 Prozent der Forbes Global 2000.

© 2021 FireEye, Inc. Alle Rechte vorbehalten. FireEye, Cloudvisory und Mandiant sind eingetragene Marken oder Marken von FireEye, Inc. in den Vereinigten Staaten und anderen Ländern. Alle anderen Marken, Produkte oder Dienstleistungsnamen sind oder können Marken oder Dienstleistungsmarken ihrer jeweiligen Eigentümer sein.

Medienanfragen:  [email protected]

Investorenanfragen: [email protected]om

 

[1] Die Berichtskennzahlen basieren auf Mandiant-Untersuchungen von gezielten Angriffsaktivitäten, die zwischen dem 1. Oktober 2019 und dem 30. September 2020 durchgeführt wurden.