Die Verweildauer von Angreifern steigt 2021 um 36 %.

  • Bedrohungsakteure verbrachten im vergangenen Jahr durchschnittlich 15 Tage in den Netzwerken ihrer Opfer – ein Anstieg um mehr als ein Drittel im Vergleich zum Vorjahr, wie neue Daten von Sophos zeigen.

    Das Active Adversary Playbook 2022 des Sicherheitsanbieters wurde aus Daten von 144 Fällen zusammengestellt, die von Sophos Incident Response Teams in freier Wildbahn gesammelt wurden.

    Der Anstieg der Verweildauer sei vor allem auf die Ausnutzung der Schwachstellen ProxyLogon und ProxyShell im letzten Jahr sowie auf das Aufkommen von Initial Access Brokern (IABs) als fester Bestandteil des Cybercrime-Untergrunds zurückzuführen.

    Die Verweildauer war bei kleineren Unternehmen länger: 51 Tage in KMU mit bis zu 250 Mitarbeitern gegenüber 20 Tagen in Unternehmen mit 3.000 bis 5.000 Mitarbeitern.

    „Angreifer halten größere Organisationen für wertvoller und sind daher stärker motiviert, in sie einzudringen, sich das Gewünschte zu holen und wieder zu verschwinden. Kleinere Unternehmen haben einen geringeren „Wert“, so dass es sich Angreifer leisten können, länger im Hintergrund im Netzwerk zu lauern“, argumentiert John Shier, Senior Security Advisor bei Sophos.

    „Es ist auch möglich, dass diese Angreifer weniger erfahren waren und mehr Zeit brauchten, um herauszufinden, was sie tun sollten, sobald sie im Netzwerk waren. Und schließlich haben kleinere Unternehmen in der Regel weniger Einblick in die Angriffskette, um Angreifer zu erkennen und zu vertreiben, was ihre Präsenz verlängert.

    In vielen Fällen, die Sophos untersuchte, hatten es mehrere Angreifer, darunter Ransomware-Akteure, IABs, Krypto-Angreifer und andere, gleichzeitig auf dieselben Unternehmen abgesehen.

    „Wenn es in einem Netzwerk eng zugeht, wollen Angreifer schnell handeln, um ihre Konkurrenz auszustechen“, sagt Shier.

    Die Daten stehen in gewissem Widerspruch zu den im April veröffentlichten Zahlen von Mandiant, denen zufolge die Verweildauer im gleichen Zeitraum weltweit um fast 13 % auf 21 Tage gesunken ist. Obwohl der prozentuale Rückgang in der EMEA-Region noch größer war, lag er im Jahr 2021 bei 48 Tagen.

    In vielen Unternehmen scheint es an fortschrittlicher Erkennung und Reaktion zu mangeln. Obwohl Sophos einen Rückgang bei der Ausnutzung von RDP für den Erstzugriff von 32 % im Jahr 2020 auf 13 % im letzten Jahr feststellte, stieg die Nutzung von RDP für laterale Bewegungen im gleichen Zeitraum von 69 % auf 82 %.

    Andere häufig entdeckte Tools und Techniken waren: PowerShell und bösartige Nicht-PowerShell-Skripte in 64 % der Fälle, PowerShell und Cobalt Strike (56 %) sowie PowerShell und PsExec (51 %).

    Sophos sagt, dass die Erkennung solcher Korrelationen Unternehmen dabei helfen kann, die frühen Warnzeichen eines Einbruchs zu erkennen.

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com