Der Dezember 2024 war geprägt von einer Welle an Ransomware-Angriffen, die sich gezielt gegen Unternehmen und Organisationen richteten. Gruppen wie Clop, Black Basta und Akira nutzten nicht nur klassische Angriffsmethoden, sondern auch innovative Vektoren wie QR-Code-Phishing und gefälschte Docusign-E-Mails. Besonders besorgniserregend war die Zunahme von Supply-Chain-Angriffen, die darauf abzielen, Schwachstellen in Softwarelieferketten auszunutzen.

1. Ransomware-Gruppen und ihre Aktivitäten im Dezember:

Clop Ransomware:

Clop bleibt eine der aktivsten Ransomware-Gruppen und zielt verstärkt auf Dateitransferlösungen wie Cleo File Transfer. Im Dezember meldeten Sicherheitsforscher Angriffe auf mehrere Unternehmen, bei denen nicht nur sensible Daten gestohlen, sondern auch komplette Dateisysteme verschlüsselt wurden. Die Angriffe erfolgten meist durch ungepatchte Sicherheitslücken in der Cleo-Software.

• Beispiel: Clop beanspruchte die Verantwortung für mehrere Angriffe auf Cleo-Server weltweit, bei denen Daten exfiltriert und für Lösegeldforderungen missbraucht wurden.
• Quelle: Cleo Security Bulletin
• CVSS-Score der Schwachstelle: 9.0 (Kritisch)

Empfohlene Maßnahmen:

• Alle Cleo-Instanzen müssen umgehend auf Sicherheitsupdates geprüft werden.
• Netzwerke sollten segmentiert werden, um den Zugriff auf Dateitransferlösungen zu beschränken.
• Tägliche Backups und Notfallwiederherstellungspläne sind essenziell.

Black Basta:

Black Basta hat sich durch gezielte Phishing-Kampagnen und E-Mail-Bombing-Angriffe hervorgetan. Besonders alarmierend war der Missbrauch von QR-Codes in gefälschten Microsoft-Authentifizierungs-E-Mails. Diese Angriffe zielen darauf ab, Anmeldedaten zu stehlen und Netzwerke zu kompromittieren.

• Beispiel: In einem Fall wurde ein Finanzdienstleister durch eine QR-Code-E-Mail kompromittiert, die zu einer nachgebauten Microsoft-Login-Seite führte.
• Quelle: Black Basta Campaign Report

Empfohlene Maßnahmen:

• Unternehmen sollten den Einsatz von QR-Codes in geschäftlichen E-Mails stark einschränken.
• Multi-Faktor-Authentifizierung (MFA) ist zwingend erforderlich, um Identitätsdiebstahl zu verhindern.
• IT-Abteilungen sollten Mitarbeiterschulungen zu diesem neuen Angriffsvektor durchführen.

Akira Ransomware:

Akira setzte im Dezember verstärkt auf Social-Engineering-Techniken und gefälschte Docusign-E-Mails. Diese Mails enthalten Links zu bösartigen Webseiten oder Anhängen, die zur Installation der Ransomware führen.

• Beispiel: In einem Angriff auf eine Gesundheitsorganisation gelang es Akira, durch gefälschte Vertragsmails Zugang zu sensiblen Patientendaten zu erlangen.
• Quelle: Akira Campaign Analysis

Empfohlene Maßnahmen:

• Docusign-basierte E-Mails sollten sorgfältig geprüft und verifiziert werden.
• Filter zur Identifizierung und Blockierung gefälschter Docusign-Domains müssen eingerichtet werden.
• Mitarbeiterschulungen zur Erkennung von Phishing-Versuchen sind unerlässlich.

2. Besondere Angriffsvektoren im Dezember:

QR-Code-Phishing:

Die vermehrte Nutzung von QR-Codes als Phishing-Instrument ist eine gefährliche Entwicklung. Angreifer nutzen diesen Vektor, um Filter und URL-Schutzmechanismen zu umgehen.

• Beispiel: Im Dezember wurde eine Angriffswelle dokumentiert, bei der QR-Codes zur Verbreitung von Malware führten.
• Quelle: QR Code Phishing Report von CISA

Empfohlene Maßnahmen:

• Interne QR-Code-Scanner sollten implementiert werden, um URLs zu prüfen, bevor Nutzer sie öffnen.
• QR-Codes in internen Systemen sollten auf bekannte Domains beschränkt werden.

Fake-Docusign-Kampagnen:

Cyberkriminelle setzen verstärkt auf gefälschte Docusign-Kampagnen, um Opfer zu täuschen. Diese Mails wirken täuschend echt und verleiten zum Herunterladen von Malware.

• Beispiel: Eine große Bank fiel im Dezember einer solchen Kampagne zum Opfer, wodurch vertrauliche Kundendaten kompromittiert wurden.
• Quelle: Docusign Security Alerts

Empfohlene Maßnahmen:

• E-Mails von Docusign sollten immer auf Echtheit überprüft werden.
• Unternehmen sollten Docusign-Domains explizit whitelisten und verdächtige Absender blockieren.

Google-Kalender-Missbrauch:

Angreifer nutzen automatisierte Kalendereinladungen, um Phishing-Seiten zu verbreiten.

• Beispiel: Im Dezember wurden Kalender-Spam-Angriffe gemeldet, die auf Führungskräfte abzielten.
• Quelle: Google Security Blog

Empfohlene Maßnahmen:

• Automatische Kalendereinträge sollten deaktiviert werden.
• IT-Abteilungen müssen sicherstellen, dass externe Kalender-Links geprüft werden.

Fazit:

Die Entwicklungen im Dezember zeigen, dass Ransomware-Angriffe und Supply-Chain-Bedrohungen weiter zunehmen. Unternehmen müssen ihre Sicherheitsmaßnahmen verstärken, um solche Angriffe frühzeitig zu erkennen und abzuwehren.

Comp4U bietet spezialisierte Lösungen im Bereich Endpoint Detection and Response (EDR) sowie Managed Services zur Prävention und Abwehr von Ransomware.
Kontaktieren Sie uns für eine individuelle Sicherheitsberatung:

Telefon: 06103 9707-500
E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.