Cybersecurity Jahresrückblick 2022

Wenn die Cybersecurity Community auf das Jahr 2022 zurückblickt, werden einige Vorfälle sicher lang im Gedächtnis bleiben. Einige Trends des Jahres resultierten direkt aus Ereignissen des Vorjahres, andere Trends waren klare Folgen des russischen Angriffskrieges gegen die Ukraine. Welche Cyber-Phänomene den IT-Sicherheitsexpert:innen von Complion im Gedächtnis bleiben werden, das erfahren Sie in diesem Blog Post.

Das Cybersecurity-Jahr 2022 begann eigentlich schon im Dezember 2021, als durch einen Tweet die Lawine der „Log4Shell“ Sicherheitslücke (CVE-2021-44228) in Apache Log4j ausgelöst wurde. Die Lücke wurde mit einem CVSS Highscore von 10,0 gewertet und ermöglicht einem unauthentifizierten Angreifer eine Schadcodeausführung aus der Ferne. Ausgenutzt wurde die Lücke, mit einem wurmfähigen Exploit, direkt von nationalstaatlichen Hackergruppen aus Russland, China, Iran, Nordkorea und der Türkei. Nach der Adaption durch staatliche Schadakteure mit Spionageauftrag folgten finanziell motivierte Schadakteure mit Ransomware-Operationen (u.a. Conti). Zur Hochzeit der Ausnutzung wurden 100.000 Angriffe pro Sekunde verzeichnet. Regierungen hielten noch vor Weihnachten 2021 Notfallsitzungen ab, Behörden weltweit wurden zur Identifikation und Schließung der Lücken mit Updates gedrängt.

Im Dezember 2022 wird die Log4Shell-Lücke immer noch in Produkten entdeckt und geschlossen. Das liegt daran, dass das betroffene Produkt, Apache Log4j ein sog. „Supply-Chain“ Produkt ist, welches sich vielen Softwares befindet. Genau dies sollte für den Rest des Jahres bei mehreren Produkten als Trend durchsetzen: Schwachstellen in Produkten und Code-Bestandteilen, welche in anderen Anwendungen verbaut sind. Die Ausnutzung derartiger Sicherheitslücken baut auf die Tatsache, dass Organisationen meist wenig Visibilität über die Code-Bestandteile ihrer eingesetzten Produkte haben und so oft nicht auf einem ausreichenden Patch-Level sind.

Wer die Cyber-Operationen von Schadakteuren mit mutmaßlichen Verbindungen zur russischen Föderation und Belarus verfolgt, der konnte bereits im Januar eine Renaissance von sog. „Wiper“ Malware beobachten. Diese Malware verhält sich ähnlich zur allseits bekannten Ransomware, da sie Dateien für User unbenutzbar macht. Im Gegensatz zu ihrem datenverschlüsselnden Cousin überschreibt oder löscht Wiper Malware eine Datei allerdings, sodass diese unwiederbringlich unbrauchbar oder gar verschwunden ist.

Dieser Typus Malware wird also weniger zur Erpressung von Opfern nach einer erfolgreichen Kompromittierung eingesetzt, sondern dient vornehmlich der Zerstörung von digitaler Infrastruktur. Die erhöhte Nutzung dieser Malware gegen ukrainische Systeme, insbesondere gegen Behörden und kritische Infrastruktur, war der erste digitale Vorbote der Invasion vom 24. Februar.

Nach dem offiziellen Kriegsbeginn verstärkte sich die pro-russische Cyber-Aktivität mit Wipern und DDoS noch einmal. Die Zerstörungskraft der Malware wurde jedoch um ein Vielfaches von der Brutalität und Effektivität konventioneller Waffensysteme überschattet – eine Rakete vermag Ergebnisse schneller und langfristiger zu liefern, als es eine Malware mit vorhergehender Phishing-Kampagne derzeit könnte.

Insgesamt scheint der totale Cyberkrieg, vor dem einige Experten in Vorjahren noch warnten, auszubleiben. Dies scheint darauf zurückzuführen zu sein, dass komplexe Cyber-Operationen viel Zeit und Geld Kosten – beides ist derzeit Mangelware auf russischer Seite. Gleichzeitig hat die russische Föderation ihr letztes Feigenblatt des Friedens endgültig verloren und kann ohne Furcht um weitere Reputationsverluste konventionelle Waffensysteme gegen ihre Ziele einsetzen.

Ukrainische Hacker aller Hutfarben und andere Cyber-Akteure der Welt ließen die russische Aggression nicht unbeantwortet. So formte sich in den ersten Wochen des Krieges die „Ukrainian IT Army“, welche mit dem Ziel, russische Cyber-Aktivitäten zu stören und selbst offensive Operationen durchzuführen, ins Feld zog.  

Die Attacken gegen russische Systeme zeigten sich von Erfolg, insbesondere ist die Kampagne bis heute geprägt von Datenexfiltrationen aus russischen Behörden sowie von DDoS-Attacken gegen russische Institutionen. Seit Ende des Jahres befinden sich zudem nun auch Wiper-Kampagnen im Arsenal der Ukrainian IT Army, mit denen derzeit Gerichte und Ämter in Russland attackiert werden (u.a. CryWiper).

Das Jahr 2023 wird uns voraussichtlich weiter mit Krieg und allgemeiner Verunsicherung begleiten. Durch die Weiterführung des russischen Angriffskrieges werden auch Cyberoperationen gegen die Ukraine und NATO-Staaten weiter laufen, insbesondere DDoS wird weiterhin in der EU zu spüren sein, so wie es unlängst beim EU-Parlament der Fall war. Auch das Wachstum im Ransomware-Markt, angetrieben durch „as-a-Service“ Geschäftsmodelle wird nicht abbrechen. Die Supply Chain ist und bleibt ein verwundbarer Fleck in vielen Softwares und Schwachstelle wie Log4Shell werden nach der Entdeckung und einstweiliger Bekämpfung mit Patches zu einem gewissen Grad Endemisch werden.

All dies bedeutet, dass die Zukunft erhöhte Wachsamkeit von IT-Sicherheitsverantwortlichen fordern wird. Schadakteure rasten nicht, sind kampferprobt und das Geschäft mit der Internetkriminalität professionalisiert sich stetig. Zur Unternehmensabsicherung zählen penibles Patch Management, Incident Response Pläne sowie eine gute Versorgung mit Threat Intelligence, wie das Voice Cyber Security Competence Center. Auch die Expert:innen von Complion werden das Jahr 2023 mit Wachsamkeit begehen und stehen Ihnen jederzeit für Konsultationen zur Seite.

Verfasser: Tobias Philipsen