Cyberangriffe auf Finanzbranche: BEC und Ransomware im Fokus

Arctic Wolf, ein weltweiter Anbieter von Security Operations, hat seinen jährlichen Arctic Wolf Threat Report veröffentlicht. Demnach setzen Cyberkriminelle verstärkt auf Datendiebstahl und verfeinern die Kompromittierung von geschäftlichen E-Mails. Laut Studie stahlen Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten.

Wie Artic Wolf mitteilt, zeigen die Ergebnisse der neuesten Auflage des Berichts die Anpassung der Methoden von Cyberkriminellen. So käme es bei Ransomware-Attacken verstärkt zu Datendiebstahl und einer Verfeinerung bei der Kompromittierung von geschäftlichen E-Mails (Business E-Mail Compromise, BEC). Die Angreifer würden bekannte Schwachstellen ausnutzen, um Unternehmen weltweit zu infiltrieren. Aufgrund der Kombination aus hohem Geldfluss, sensiblen Daten und intensiver Nutzung von E-Mail-Kommunikation sei die Finanz- und Versicherungsbranche ein besonders lukratives Ziel für solche Angriffe.

Die meisten Angriffe erfolgen durch Ransomware

Trotz verstärkter Strafverfolgung machten Ransomware-Attacken mit 44 Prozent den größten Teil der erfassten IR-Fälle aus, so die Studienautoren. Da Unternehmen immer bessere Backup-Strategien aufbauten und so eine schnellere Recovery möglich sei, hätten Cyberkriminelle ihre Strategie angepasst und setzten bei ihren Angriffen nahezu immer auch auf Datenexfiltration.

So hätten die Angreifer in 96 Prozent der analysierten Ransomware-Fälle Daten gestohlen. Diese könnten die Täter dann weiterverkaufen oder dem Unternehmen mit der Veröffentlichung von Kunden- oder anderen sensiblen Geschäftsdaten drohen. Wie Artic Wolf weiter mitteilt, lagen die durchschnittlichen Lösegeldforderungen bei 600.000 US-Dollar.

Ransomware-Gruppen haben ihr Geschäftsmodell weiterentwickelt: Selbst bei einer guten Backup-Strategie setzt die Drohung, gestohlene Kunden- und Geschäftsdaten zu veröffentlichen oder weiterzuverkaufen, Unternehmen massiv unter Druck. Oft mit verheerenden finanziellen und reputativen Folgen. Diese Taktik macht klassische Backups als alleiniges Schutzmittel wirkungslos. Unternehmen müssen daher verstärkt auf umfassende Bedrohungserkennung, Zero-Trust-Strategien und proaktive Security-Operations-Ansätze setzen, um Angriffe frühzeitig zu identifizieren und Datenabflüsse zu verhindern.“

Dr. Sebastian Schmerl, Regional Vice President Security Services EMEA bei Arctic Wolf

Business E-Mail Compromise: Angreifer folgen dem Geld

Business E-Mail Compromise ist eine Art von Phishing-Betrug per E-Mail. Dabei versucht ein Bedrohungsakteur, Mitglieder einer Organisation dazu zu bringen, beispielsweise Geldmittel oder vertrauliche Daten zu übermitteln. BEC Incidents machten 27 Prozent der beobachteten IR-Fälle aus und seien damit weiterhin die zweithäufigste Betrugstaktik, teilt Artic Wolf mit.

Im Fokus dieser Art des Cyberbetrugs stünden Organisationen, die im großen Stil Geld sowie Zahlungsdaten per E-Mail austauschen: Auf die Finanz- und Versicherungsbranche seien daher 26,5 Prozent der BEC-IR-Fälle entfallen, etwa doppelt so viele wie auf das Rechtswesen und die Verwaltung. BEC-Angriffe hätten damit sogar mehr als die Hälfte der IR-Fälle im Finanz- und Versicherungswesen ausgemacht. Dies sei die einzige Branche, in der BEC die Zahl der Ransomware-Vorfälle übertroffen habe.

Intrusions seien mit 24 Prozent die dritthäufigste Ursache der aufgezeichneten IR-Fälle gewesen. Ein Anstieg gegenüber dem Vorjahr um 14,8 Prozent. So seien 2024 über 40.000 Sicherheitslücken verzeichnet worden. Auch bei den kritischen und schwerwiegenden Schwachstellen habe es einen Anstieg um 134,5 Prozent gegeben. Besonders betroffen seien auch hier wieder die Finanz- und Versicherungsbranche mit 15,3 Prozent gewesen.

In 76 Prozent der Intrusion-Fälle nutzten die Angreifer nur zehn spezifische Schwachstellen aus. Davon seien alle bereits bekannte Sicherheitslücken gewesen, für die bereits entsprechende Patching-Maßnahmen verfügbar gewesen wären, betont Artic Wolf (Website).

Die meisten dieser Vorfälle hätten in Verbindung mit Remote-Access-Tools und von außen zugänglichen Systemen und Services gestanden. In einigen Fällen hätten die Angreifer beispielsweise Fehlkonfigurationen, wie offene Ports, von außen zugängliche interne Websites oder für Brute-Force-Taktiken anfällige administrative Konten ausgenutzt, um sich Zugang zu verschaffen. Dies zeige deutlich, wie wichtig proaktives Patch-Management sei.

Der vollständige Report steht hier zur Verfügung.dw