Der Sophos Lively Adversary Report wird dieses Jahr zum fünften Mal veröffentlicht. Entstanden ist er aus einer einfachen Frage: Was passiert nach einem Angriff auf ein Unternehmen? Denn wenn man weiß, wie die Gegner vorgehen – welchem Playbook sie folgen –, kann man ihre Angriffe schneller stoppen. (Nicht umsonst hießen wir anfangs „Lively Adversary Playbook“.)  Während wir bei Sophos diskutierten, wie wir eine Testumgebung zur Beantwortung dieser Frage einsetzen könnten, waren wir passenderweise an anderer Stelle mit der Einführung eines Incident-Response-Service (IR) beschäftigt. Schon conflict ein teamübergreifendes Projekt geboren. 

Seit fünf Jahren veröffentlichen wir nun unsere Daten – anfangs nur die aus dem entstandenen IR-Service, aber nach und nach kamen Informationen aus einem verbundenen Staff hinzu, das sich um unsere MDR-Bestandskunden kümmert. Allerdings reichen Daten allein natürlich nicht. Eine Analyse ist unbedingt Teil des Pakets. Unseren Prozess dafür verfeinern wir auch nach einem halben Jahrzehnt noch. Im aktuellen Report finden Sie einige wichtige Beobachtungen und Analysen zu den Daten aus dem Jahr 2024, die hoffentlich helfen, eine breitere Diskussion anzustoßen. Weitere Informationen zu den genutzten Daten finden Sie am Ende des Stories.

Kernaussagen 

• Die Unterschiede zwischen den MDR- und IR-Ergebnissen zeigen quantitativ den statistischen Mehrwert eines aktiven Monitorings. 

• Erstzugriffe erfolgen weiterhin vor allem über kompromittierte Zugangsdaten. MFA ist essenziell. 

• Die Verweildauer verringert sich (erneut!). 

• Die Nutzung von „Dwelling-off-the-Land“-Binärdateien (LOLBins) explodiert. 

• Distant-Ransomware ist eine einzigartige Herausforderung/Likelihood für aktiv verwaltete Systeme. 

• Aus den Auswirkungen lassen sich Erkenntnisse über potenzielle Erkennungen von Angriffen ableiten.

Der Ursprung der Daten
Wie bei unserem vorherigen Lively Adversary Report stammen die Daten für diese Ausgabe aus ausgewählten Fällen, die 2024 von zwei Sophos-Groups gehandhabt wurden:  a) vom Sophos-Staff für Incident Response (IR) und b) vom Response-Staff für kritische Fälle bei unseren MDR-Kunden (Managed Detection and Response). In diesem Report nennen wir diesen beiden Groups das „IR-Staff“ und das „MDR-Staff“. Sofern zutreffend, vergleichen wir die Ergebnisse aus den 413 für diesen Report ausgewählten Fällen mit Daten aus älteren Sophos-X-Ops-Fällen, die bis zur Einführung des IR-Companies im Jahr 2020 zurückreichen. 

Für diesen Report wurden 84 % der Datensätze aus Unternehmen mit unter 1.000 Beschäftigten gezogen. Dieser Wert ist geringer als im letzten Report (88 %). Der Unterschied liegt hauptsächlich (wenn auch nicht ausschließlich) darin, dass wir die MDR-Fälle hinzugenommen haben. Intestine die Hälfte (53 %) der Unternehmen, die uns um Hilfe bitten, haben 250 Angestellte oder weniger. 

Aus welchen Bereichen kommen diese Unternehmen? Wie immer in unseren bisherigen Lively Adversary Stories zeigte sich, dass der Produktionssektor am häufigsten nach unseren Sophos-X-Ops-Response-Companies fragt, auch wenn dieser Prozentsatz von 25 % im Jahr 2023 auf 16 % im Jahr 2024 gefallen ist. Bildung (10 %), Bauwesen (8 %), Informationstechnologie (7 %) und das Gesundheitswesen (6%) runden die High 5 ab. Insgesamt sind 32 Branchen in den Daten enthalten. 

Weitere Hinweise zu den Daten und der Methodologie für die Auswahl der Fälle finden Sie im Anhang. Daten zu SecureWorks Incident Response sind in diesem Report nicht enthalten. 

Der größte Unterschied: MDR und IR
Schon während der Zusammenstellung und Normalisierung der IR- und MDR-Daten vermutete das Lively-Adversary-Staff, dass wir bei Unternehmen, in denen bereits von Fachleuten geleitetes aktives Monitoring und Logging stattfand, vermutlich bessere Sicherheitsergebnisse sehen würden – anders ausgedrückt: bei den MDR-Fällen. Das magazine offensichtlich sein, aber wie groß diese Unterschiede waren, hat uns doch verblüfft. Und darüber sprechen wir in diesem Report.

Ransomware und Verweildauer gehören zusammen
Im letzten Reportzyklus hatten wir bereits beobachtet (aber nicht davon berichtet), dass die MDR-Kunden ganz andere Angriffsarten erleben als die IR-Kunden. Das conflict ein erstes deutliches Anzeichen für den Unterschied zwischen den zwei Datensätzen, und den wollen wir in diesem Report in den Fokus rücken.  

In allen bisherigen Stories stand Ransomware ganz oben in den Charts, wie man gemäß den IR-Daten schon erwarten konnte. Ein Ransomware-Angriff richtet einfach so große Schäden an, dass viele Unternehmen ihn nicht allein in den Griff bekommen – insbesondere kleinen Unternehmen fehlen die Ressourcen für eine umfassende Reaktion. 

In den vergangenen vier Jahren, in denen wir nur IR-Daten untersucht hatten, conflict Ransomware in 68 % bis 81 % die Ursache für unser Eingreifen. Im Jahr 2024 ist dieser Anteil auf 40 % gefallen, und den ersten Platz nehmen jetzt Netzwerk-Sicherheitsverletzungen mit 47 % der Fälle ein. Wenn wir die beiden Datensätze jedoch getrennt betrachten, sieht es bei den IR-Fällen ähnlich aus wie in allen vorherigen Jahren. Ransomware (65 %) ist die dominante Angriffsart, gefolgt von Netzwerk-Sicherheitsverletzungen (27 %). Aber die MDR-Daten zeigen eben ein anderes Bild: Netzwerk-Sicherheitsverletzungen (56 %) sind quick doppelt so häufig wie Ransomware (29 %).

Abbildung 1: Die Veränderung bei den Angriffsarten ist verblüffend: 2024 überholten die Netzwerk-Sicherheitsverletzungen Ransomware als die am häufigsten beobachtete Angriffsart. Und am unteren Rand des Diagramms findet sich ein weiterer interessanter Faktor: Unabhängig vom Datensatz und vom Jahr steigt keine einzige Angriffsart über 10 % aller Fälle. Diese spielen additionally keine große Rolle, unabhängig davon, ob Ransomware oder Netzwerk-Sicherheitsverletzungen den ersten oder zweiten Platz einnehmen.

Auch die Verweildauer haben wir in diesen Datensätzen unter die Lupe genommen. Allgemein gesehen hat sich die Verweildauer verringert, blieb aber in den letzten Jahren stabil. (Eine detaillierte Analyse dazu finden Sie in unserem Report zum 1. Halbjahr 2024.) Unter diesen Voraussetzungen haben uns die Statistiken für dieses Jahr überrascht. 

Kurz gesagt:https://www.merriam-webster.com/wordplay/bury-the-lede-versus-lead Die durchschnittliche Verweildauer für alle Fälle 2024 betrug nur zwei Tage. In den IR-Fällen sehen wir ein vertrautes Muster: Der allgemeine Durchschnitt liegt bei 7 Tagen. Bei Ransomware-Fällen sind es durchschnittlich 4 Tage und bei allen anderen Fällen durchschnittlich 11,5 Tage. Die MDR-Verweildauer conflict jedoch in allen Bereichen geringer und die Reihenfolge umgekehrt: bei Ransomware 3 Tage, bei allen anderen Fällen 1 Tag.  

Das liegt unserer Meinung nach daran, dass bestimmte Dinge (zum Beispiel das Exfiltrieren von Daten) nicht schneller gehen, weil Menschen eingreifen müssen oder der Datendurchsatz Begrenzungen hat. Allerdings bedeutet es nicht, dass die Angriffe nicht schneller sein könnten. Das ist durchaus möglich, aber die Daten zeigen trotzdem, dass Ransomware-Angriffe üblicherweise länger dauern als andere. Einen großen Unterschied in der Verweildauer bei Ransomware zwischen den verschiedenen Diensten gibt es deshalb auch nicht. 

Bei anderen Fällen jedoch sind die Begrenzungen geringer, und dementsprechend finden sich größere Unterschiede zwischen den Diensten. Bei IR-Fällen kann ein Angreifer zum Beispiel länger unerkannt im Netzwerk bleiben, bis ein Ereignis auftritt, das auffällig genug ist. Angreifer mit gültigen Anmeldeinformationen, die unerkannt über erwartete Kanäle Daten aus dem Netzwerk exfiltrieren, werden vielleicht erst erkannt, wenn sie das Opfer kontaktieren. Falls sie das tun. (Man sollte auch beachten, dass im Ransomware-Bereich viele Amateure ihr Glück versuchen, die „lauter“ unterwegs sind und ihre Spuren nicht verwischen können. Bei Ransomware handelt es sich immer noch um ein Zahlenspiel, und es gehört wohl einfach zum Geschäftsmodell, oft keinen Erfolg zu haben.) 

Im Gegensatz dazu werden MDR-Fälle für Nicht-Ransomware (oder Prä-Ransomware) schneller gemeldet, weil die technische Erkennung besser greift und die Aufmerksamkeit kontinuierlich größer ist. Verdächtige Ereignisse werden früher untersucht und bei Bedarf eskaliert. Kurz gesagt: Eine schnellere Erkennung führt dazu, dass Ransomware gestoppt wird, was bedeutet, dass eine größere Anzahl an Angriffen als Netzwerk-Sicherheitsverletzungen eingeordnet wird. Das bringt bessere Ergebnisse für die Opfer mit sich. 

Kein großer Unterschied bei der Ursache
Was die Grundursache angeht, konnten wir bei den IR- und MDR-Fällen jedoch keinen großen Unterschied feststellen. Erneut sehen wir ganz oben die vertraute Kombination aus kompromittierten Anmeldedaten (41 %) und der Ausnutzung von Schwachstellen (22 %), gefolgt von Brute-Drive-Angriffen (21 %) auf dem dritten Platz, wie Abbildung 2 zeigt. 

Abbildung 2: Die Grundursache der MDR- und IR-Fälle variiert, aber in beiden Datensätzen sind weiterhin kompromittierte Anmeldedaten die größte Schwachstelle.

Bei den IR-Daten spielen Brute-Drive-Angriffe wie immer keine große Rolle, in den MDR-Daten zeigt sich jedoch ein beachtlicher Anstieg für 2024. Das kann aber auch an der Verfügbarkeit der Daten liegen: Für IR-Analysen stehen oft keine Protokolle zur Verfügung, sodass die Grundursache nicht bestimmt werden kann. Für die MDR-Analysen haben wir konsistentere Datenquellen, die wir gründlicher untersuchen können. 

 Bei einem Jahresvergleich (siehe Abbildung 3) zeigt sich die Veränderung der Prozentsätze bis 2024. 

Abbildung 3: Der Anteil der kompromittierten Anmeldedaten als häufigste Grundursache für Probleme ist 2024 gesunken, aber immer noch hoch. (Daten für 2020 werden in diesem Diagramm nicht angezeigt, weil wir die Datenkennzeichnung für diese Kategorie geändert haben.) 

Im Jahr 2024 konnten wir in 47 % der Fälle keine Protokolle berücksichtigen – 66 % bei IR, 39 % bei MDR. Der häufigste Grund dafür conflict, dass sie den Analysten während der Untersuchung einfach nicht zur Verfügung standen (20 %). In anderen Fällen wurden die Protokolle von den Angreifern gelöscht (17 %) oder nicht lange genug aufbewahrt (7 %).  

(Ein Device zum Löschen von Protokollen ist übrigens die Microsoft-Binärdatei wevtutil.exe [Windows Event Utility]. Dadurch werden die Home windows-Ereignisprotokoll-IDs 1102 [für Sicherheitsprotokolle] und 104 [für Systemprotokolle] ausgegeben. Unternehmen sollten ihre Sicherheitswerkzeuge und Menace-Searching-Instruments so konfigurieren, dass sie auf diese Aktivität hingewiesen werden.) 

Der Anstieg von Brute-Drive-Angriffen als Grundursache stimmt mit den Statistiken für den Erstzugriff überein (TA0001). Am häufigsten wurden Exterior Distant Companies (T1133) verwendet (71 %). Wie bereits erwähnt, ist das häufig eng mit Legitimate Accounts (T1078) verbunden – in diesem Jahr in 78 % der Fälle. Die am zweithäufigsten genutzte Methode für den Erstzugriff conflict eine Public-Dealing with Utility (T1190). Die schlimmste Schwachstelle dahingehend conflict CVE-2023-4966 (Citrix Bleed, 5 %). Andere Faktoren waren exponierte Distant-Desktop-Infrastruktur (18 %), anfällige VPNs (12 %) und exponierte interne Companies (11 %). 

Die Rolle von TTP
In einem früheren Report haben wir gezeigt, dass es hinsichtlich der TTPs kaum Unterschiede zwischen Angriffen mit kurzer (5 Tage oder weniger) und langer (über 5 Tage) Verweildauer gab. Diese Daten stammten nur aus IR-Fällen. Wenn wir uns die diesjährigen Zahlen ansehen, ist der Vergleich zwischen IR und MDR besonders interessant.  

In den MDR-Fällen waren geringfügig mehr Artefakte zu entdecken (+24 %), obwohl der MDR-Datensatz etwa 240 % größer conflict als der IR-Datensatz. Hinsichtlich der zehn von Angreifern am häufigsten genutzten Instruments gab es eine Überschneidung von 60 %. Zu den am häufigsten missbrauchten legitimen Instruments gehörten einige bekannte: SoftPerfect Community Scanner, AnyDesk, WinRAR und Superior IP Scanner (siehe Abbildung 4).

Abbildung 4: Die Instruments, die für IR- und MDR-Fälle missbraucht wurden, sind auf den obersten Plätzen der Rangliste relativ ähnlich. Doch es gibt verblüffende Unterschiede, und einige fehlen ganz überraschend. 

Bei den Microsoft-Binärdateien zeigt sich eine engere Korrelation zwischen den Datensätzen. Die High Ten der missbrauchten LOLBins überschneiden sich in 70 % der Fälle (siehe Abbildung 5). Auf dem MDR-Spitzenplatz löste cmd.exe den ehemaligen Gewinner RDP als die am häufigsten missbrauchte LOLBin ab. Das ist nicht besonders überraschend, da viele MDR-Fälle einen begrenzten Radius haben: Wenn Analysten die Erlaubnis haben, isolieren sie automatisch die betroffenen Hosts und begrenzen damit die möglichen Seitwärtsbewegungen der Angreifer. 

 

Abbildung 5: LOLBin-Missbrauch zeigt sich in beiden Bereichen recht gleichförmig. Hinsichtlich RDP ist zwar ein Unterschied vorhanden, aber nicht bedeutend. 

Im letzten Vergleich sehen wir uns die „anderen“ Ergebnisse an, additionally diejenigen Techniken und Spuren, die nicht in die beiden Hauptkategorien fallen. In den High Ten gibt es 80 % Überschneidungen zwischen IR- und MDR-Fällen. Abbildung 6 zeigt, dass das Erstellen von Konten, das Löschen von Dateien, das Installieren von Companies, das Ausführen schädlicher Skripte und das Bearbeiten der Registry die dominanten Techniken ausmachten. Andere – wie SAM-Dumping (Safety Account Supervisor) – waren in einem Datensatz häufiger als im anderen. 

Abbildung 6: In über der Hälfte der Fälle nutzten die Angreifer bekannte, ähnliche TTPs.  (Der Gesamtprozentsatz liegt über 100 %, da die meisten Fälle in dieser Kategorie mehrere Ergebnisse haben.) 

The Chew from Inside (zur Wiedervorlage)
Wie üblich sehen wir uns gern noch einmal einige Ergebnisse aus den vorherigen Stories an, insbesondere wenn der berücksichtigte Datenzeitraum damals unter 12 Monaten lag. Im folgenden Abschnitt besprechen wir noch einmal die Kernaussagen unseres letzten Stories (die für das erste Halbjahr 2024 galten) und vergleichen sie mit dem Datensatz für das ganze Jahr. 

LOLBins
Der Missbrauch von Microsoft-Binärdateien ging in der zweiten Hälfte des Jahres 2024 ungehindert weiter, und auch der Anteil eindeutiger LOLBins im Vergleich zu vorherigen Jahren stieg. In der ersten Jahreshälfte 2024 conflict ein Anstieg von 51 % bei der Anzahl eindeutiger LOLBins zu verzeichnen, und bis zum Ende des Jahres waren wir bei 126 % mit über 2023 Vorkommen. Im zweiten Halbjahr gab es einen Anstieg von 17 % an Fällen und von 24 % an missbrauchten eindeutigen Binärdateien. Es gab keine bedeutsamen Unterschiede bei den individuellen Binärdateien, die im Laufe des Jahres Ziel der Angreifer waren. In der ersten und zweiten Hälfte gab es Überschneidungen von 95 % in Bezug auf die 20 am häufigsten missbrauchten Instruments bei IR- und MDR-Fällen. Instruments, die für Enumerationen genutzt werden können, sind weiterhin in beiden Datensätzen stark vertreten und machen 50 % der 20 am häufigsten missbrauchten Binärdateien aus. 

Notepad.exe conflict dieses Jahr zum ersten Mal in den High Ten vertreten. Eingesetzt wurde es von den Angreifern hauptsächlich zum Durchsuchen von Dateien im Netzwerk, auch von solchen, in denen Passwörter in Klartext gespeichert waren (5 %). Instruments wie Notepad können übrigens helfen, Angriffe zu erkennen. Es gibt zum Beispiel verschiedene Möglichkeiten, Notepad zu öffnen: indem man auf das Notepad-Icon klickt, indem man „notepad“ in die Home windows-Suche eingibt oder „notepad.exe“ in die Befehlszeile. Wenn man sich über diese drei Startmethoden im Klaren ist, kann man auf die Absicht der Verwendung des Programms schließen. 

Das gilt auch für Instruments wie PowerShell. Wir schlagen hier nicht vor, dass solche Instruments von der IT nicht mehr verwendet werden sollten, aber es gibt einige schnelle Heuristiken, die man im Erkennungs-Engineering anwenden kann. Struggle das PowerShell-Skript beispielsweise stark verschleiert, und hat es eine Verbindung zum Web hergestellt? Wenn ja, sollte es vermutlich untersucht werden. 

Das größte Downside mit LOLBins: Sie erzeugen generell viel Lärm, und die IT-Groups müssen jedes Mal herausfinden, von wo das Sign kommt. 

Distant Desktop Protocol (RDP)
RDP steht weiterhin ganz oben bei den am häufigsten missbrauchten Microsoft-Instruments. Im Jahr 2024 wurde es von den Angreifern in 84 % der Fälle genutzt, davon in 67 % der Fälle nur für interne laterale Bewegungen und in 3 % der Fälle nur extern. Dazu kommen die Fälle, in denen es intern und extern eingesetzt wurde. Damit kommen wir auf 83 % bzw. 19 %.  

Obwohl RDP so oft missbraucht wird und es eigentlich verbannt werden sollte, verstehen wir auch, warum es immer noch in Netzwerken zu finden ist. So haben wir zumindest die Gelegenheit zu erforschen, wie wir seine Nutzung beschränken und es für die Erkennung von Angreifern instrumentalisieren können. 

Idealerweise wird jegliche RDP-Nutzung durch Netzwerkengpässe und Benutzeridentitäten beschränkt. Wo möglich, sollte dem Authentifizierungsablauf eine MFA hinzugefügt und das Prinzip der geringsten Privilegien angewendet werden. Durch eine solche Verwendungsbeschränkung und detailliertes Wissen dazu, wie RDP normalerweise aussehen sollte, wird es einfacher, Anomalien zu erkennen. 

Es gibt mehrere Möglichkeiten, Authentifizierungsereignisse zu erkennen, aber grob gesagt hilft es, nach den Home windows-Protokollierungsereignissen mit den IDs 4624 und 4625 zu suchen. 4623 ist ein erfolgreiches Authentifizierungsereignis, 4625 ein fehlgeschlagenes. Erfolgreiche Anmeldeereignisse können zum Beispiel helfen, einen Angreifer mit gültigen Anmeldedaten außerhalb der normalen Verwendung zu erwische, während mehrfache fehlgeschlagene Versuche eine frühzeitige Warnung vor Brute-Drive-Aktivitäten sind. 

Ebenfalls als Indikator lässt sich die Benennung von Geräten nutzen: Viele Firmen folgen dafür einem unternehmensweiten Customary. Erfolgreiche Authentifizierungen, die diesem Customary nicht entsprechen, sollten immer untersucht werden. Falls Ihr Unternehmen keinen solchen Customary hat, sollten Sie darüber nachdenken, einen umzusetzen, um damit einen weiteren passiven Stolperdraht für die Angreifer zu spannen. Ebenfalls aufmerksam werden sollten Sie, wenn der Hostname „kali“ in Ihrem Netzwerk auftaucht (wie in 6 % unserer Fälle). 

Und schließlich können Sie sich auf den Zeitzonen-Bias in der RDP-Protokollierung stützen. Das ist der Zeitunterschied des Distant-Shopper (UTC). Ein Beispiel: Wenn sich die meisten Ihrer Benutzer in UTC-6 befinden, sich aber ein anderweitig unauffälliger Distant-Shopper mit gültigen Anmeldedaten und einem regular aussehenden Hostnamen anmeldet, aber der Zeitzonen-Bias um drei Stunden versetzt ist, sollten Sie sofort Nachforschungen anstellen. (Es gab übrigens auch Fälle, in denen harmlos aussehende Maschinen eine Verbindung herstellten, aber aus irgendeinem Grund einen Drucker mit einem russischen Namen freigaben …) 

Der Gedanke hinter diesen Erkennungsmöglichkeiten? Wir lauschen auf unzusammenhängende, manchmal laute, manchmal leise Signale und kombinieren sie so, dass wir ein stärkeres, zuverlässigeres Sign erhalten.   

Wenn Sie mehr über RDP und Möglichkeiten zur Erkennung von Missbrauch erfahren möchten, werden Sie hier fündig. 

Seine Gegner kennen
Im letzten Report hatten wir vorhergesagt, dass es 2024 nicht den einen dominanten Ransomware-Gegner geben würde – früh im Jahr conflict LockBit zerschlagen worden, was 2023 am meisten Unheil angerichtet hatte, und so conflict das Spielfeld für die nächsten Angreifer weit offen. Wie Abbildung 7 zeigt, hatten wir recht: Akira ist nach oben geklettert, aber ohne großen Abstand zu den Nachfolgenden. (LockBit conflict hingegen Anfang letzten Jahres so dominant, dass es trotz seiner Zerschlagung immer noch Spitzenreiter conflict.) Im zweiten Halbjahr machte Fog sich breit und übernahm den ersten Platz von Akira. (Das MDR-Staff hatte zu Beginn des zweiten Halbjahres noch hier und da mit LockBit zu tun, aber zum Ende hin conflict das wirklich vorbei.) Dieses Muster kann 2025 (unter anderem) durch Veränderungen in der Koordination der Strafverfolgungsbehörden noch aufgebrochen werden – auch weil LockBit ein Comeback verspricht. Wir werden sehen. 

Abbildung 7: Ruhm ist vergänglich, wie LockBit in der zweiten Jahreshälfte 2024 erkennen musste. Und schon gibt es einen Nachfolger: Fog. 

In gewisser Weise ist es beruhigend, wenn man Angriffe einem bestimmten Gegner zuordnen kann. Aber oft kämpfen Experten gegen Kräfte, die eigentlich auf ihrer Seite stehen sollten – zum Beispiel, wenn im Unternehmen als Ganzem Entscheidungen getroffen werden, die für die IT nur noch einen Konflikt mehr bedeuten. In der folgenden Case Research sehen wir, wie das bei einem MDR-Kunden ausging. 

Case Research: Ungeklärte Prioritäten
Wir erklären natürlich wieder und wieder, dass es ohne grundlegende Sicherheit nicht geht (additionally: „Schließen Sie Ihre exponierten RDP-Ports“, „Nutzen Sie MFA“, „Patchen Sie anfällige Systeme“), aber wenn sich auf Geschäftsseite etwas ändert, auf das die IT-Experten keinen Einfluss haben, ist das nicht immer so einfach. So kämpfen sie nicht nur mit Bedrohungen von außen, sondern auch mit neuen geschäftlichen Prozessen und dem Change Administration. Und manchmal hat das schwerwiegende Folgen, wie auch einer unserer MDR-Kunde erfahren musste: Über eine VPN-Schwachstelle drang ein Angreifer in das Netzwerk ein – die Ransomware wartete additionally praktisch schon hinter den Kulissen. Erkannt wurde der Angriff zwar, doch es gab einen Konflikt zwischen denen, die die Sicherheit so schnell wie möglich wiederherstellen wollten, und dem Unternehmen im Allgemeinen, das andere Prioritäten hatte.  

Wenn zwei sich streiten
Dieser Fall ist noch nicht lange her. Das Sophos MDR-Staff wurde zur Hilfe gerufen und konnte einen der üblichen Verdächtigen ausfindig machen, über den der Erstzugriff erfolgt conflict: eine ungepatchte VPN-Equipment. Genauer gesagt: Eine FortiGate-Firewall lief mit Firmware-Model 5.6.11 aus dem Juli 2010. Die Firewall selbst hatte im Oktober 2021 ihr Finish-of-Life erreicht. Zudem gab es eine Fehlkonfiguration in den VPN-Benutzerzugriffssteuerungen.  

Nach dem Erstzugriff bewegte sich der Angreifer lateral bis zum Domänen-Controller, nutzte AV-Killer-Instruments und Enumerationen und erlangte auf verschiedenen Geräten im System Persistenz. In diesem Standing unterbracht das MDR-Response-Staff die Aktivitäten des Angreifers, und es kehrte Ruhe ein.  

Es empfahl dem Kunden als dringende Mindestmaßnahme, die 14 Jahre alte VPN-Firmware zu patchen und in der Zwischenzeit das SSL-VPN zu deaktivieren. Doch die Geschäftsprozesse sprachen dagegen – eine völlige Deaktivierung würde sich ungünstig auf die Geschäftstätigkeiten auswirken. Und so konnten die Patches zwei Monate (!) lang nicht angewendet werden. Die Fehlkonfiguration, so schätzte der Kunde, könne man innerhalb einer Woche beseitigen. 

Wir können niemanden zwingen
Leider können wir als Incident Response nur Empfehlungen abgeben. Wir können niemanden zwingen. Und manchmal muss man dann dabeistehen und zusehen, wie sich die Geschichte wiederholt. Denn genau das geschah: Nur 14 Monate zuvor hatte derselbe Kunde schon einmal einen ähnlichen Angriff erfahren, in dem dasselbe anfällige VPN eine Rolle gespielt hatte. Damals hatte er noch keine MFA für die VPN-Anmeldungen aktiviert. Mit einem Brute-Drive-Angriff wurden Schutzvorrichtungen deaktiviert und Anmeldedaten missbraucht. Dabei conflict auch ein wichtiges Dienstkonto, sodass der Kunde, obwohl es geholfen hätte, seine Anmeldedaten nicht zurücksetzen konnte. Auch das conflict wegen bestimmter Anforderungen des Geschäftsbereichs geschehen. (Auf dieses Dienstkonto werden wir übrigens noch einmal zurückkommen.) 

Zwischen dem ersten und dem zweiten Angriff lagen, wie gesagt, 14 Monate. Der dritte erfolgte dann viel schneller. 

Aller guten Dinge sind drei
Der zweite Angriff conflict additionally vorbei. Die VPN-Fehlkonfiguration, das VPN und das Dienstkonto warteten geduldig darauf, dass die Geschäftsprozesse ein Patching erlaubten. Ebenso die Experten. Die Angreifer hingegen warteten nicht. Nur neun Tage nach Beendigung des zweiten Angriffs stürzte CryTOX sich auf die Schwachstellen – auf das kompromittierte Dienstkonto und das ungepatchte, immer noch fehlkonfigurierte VPN. Die Ransomware verbreitete sich rasend schnell lateral im System, machte den Endpoint-Safety-Prozessen den Garaus und verschlüsselte schließlich die gesamte Umgebung. 

Ein positives Ergebnis hatte der dritte Angriff immerhin: Das VPN wurde deaktiviert. (Auch wenn die betroffenen Konten immer noch ohne Zurücksetzen der Zugangsdaten reaktiviert wurden.) Nicht alle Unternehmen haben so viel Pech. Aber in diesem Fall conflict der Kunde das Risiko eingegangen, seine Geschäftsprozesse über die IT-Sicherheit zu stellen – und hatte haushoch verloren.

Das Beste vom Relaxation
Eine interessante Statistik haben wir noch.  

Zusätzlich zum generellen Anstieg der Fälle sehen wir im Datensatz 2024 im Jahresvergleich den höchsten Anstieg bei TTPs. Im Vergleich zu 2023 stieg die Anzahl der missbrauchten Instruments um 80 %. Bei den LOLBins sogar um 126 % und bei allen anderen um 28 %. Interessant daran ist der lange Rattenschwanz der jeweiligen Kategorie – additionally die Anzahl der Instruments, LOLBins oder anderen Elemente, die im Datensatz zehnmal oder weniger auftraten. Wenn wir alle Einzelfunde zusammenzählen, kommen diese seltenen Fälle auf 35 % insgesamt (689 Funde von 1945 insgesamt; 334 eindeutige Elemente), 12 % aller LOLBins (508 Funde von 4357 insgesamt; 184 eindeutige Elemente) und 12 % aller anderen (476 Funde von 4036 insgesamt; 189 eindeutige Elemente).  Für uns haben diese Fälle eine geringere Analysepriorität als die dominanten Angriffsarten ganz oben in der TTP-Rangliste. 

Keine Zeit zu verschwenden
Angreifer trödeln nicht. 2023 haben wir zum ersten Mal darüber gesprochen, dass es immer schneller geht, das Lively Listing zu kompromittieren. Und tatsächlich gibt uns die Statistik Recht: Inzwischen sind die Angreifer bei 0,46 Tagen gelandet. Anders ausgedrückt: Wenn sie einmal in die Umgebung eingedrungen sind, dauert es nur noch 11 Stunden, bis sie den AD-Server erreicht haben. Auf den meisten (62 %) der kompromittierten Server liefen Betriebssysteme, für die es keinen Mainstream-Help mehr gibt. 

Spiele ohne Grenzen
Ebenfalls 2023 berichteten wir zum ersten Mal, dass die Angreifer sich bestimmte Zeiten für die Ausführung ihrer Ransomware-Payloads aussuchen. Mit mehr Daten werden diese Werte zwar etwas unschärfer, aber die Aussage stimmt noch immer. Im Jahr 2024 wurden 83 % der Ransomware-Binärdateien außerhalb der Geschäftszeiten des Opfers – additionally abends und nachts – ausgeführt. (Der höchste Wert betrug 88 %.) Was den Wochentag angeht, gibt es anscheinend keine Präferenz. 

Häufig missbrauchte Instruments
Die Anzahl und Artwork der (legitimen und bösartigen) Instruments in dieser Kategorie sind schon seit vielen Jahren gleich. In diesem Jahr gab es, zusätzlich zu den bereits besprochenen Problemen, einige Highlights. 

Die Anzahl der Angriffe mit Cobalt Strike ist deutlich zurückgegangen. Von 2020 bis 2022 hatte das Device ganz oben gestanden und 2023 noch auf dem zweiten Platz. Aber 2024 steht es nur noch auf Platz 13 mit nur 7,51 % aller Fälle. Weil es jedoch so lange das Lieblingstools der Angreifer conflict und in den letzten fünf Jahren 25 % der Angriffe ausgemacht hat, steht es auf der ewigen Rangliste immer noch ganz oben. Der Rückgang liegt unserer Meinung nach an den besseren Präventions- und Erkennungskapazitäten. Cobalt Strike conflict so beliebt, weil es effektiv conflict. Jetzt ist es weniger effektiv – und somit weniger beliebt. Das sind zwar gute Neuigkeiten, aber natürlich wird irgendein anderes Device seinen Platz einnehmen. 

Ein Device, das wir nun deutlich häufiger sehen, ist Impacket. Impacket-Instruments sind nicht neu und können ganz verschieden eingesetzt werden, zum Beispiel zum Manipulieren von Netzwerkprotokollen, für Credential Dumping und Auskundschaftungen. Ihr Missbrauch ist von 0,69% im Jahr 2021 auf 21,43 % im Jahr 2023 angestiegen. 2024 hat es dann alle anderen Instruments überholt und steht nun an erster Stelle.  Das am häufigsten verwendete Impacket-Device conflict wmiexec.py. Es spielte in 35 % der Angriffe eine Rolle. (Wir geben in unseren Statistiken wann immer möglich die spezifische Impacket-Unterklasse an. Ist die Unterklasse nicht klar, wird der Fall einfach als Impacket klassifiziert.) 

Altehrwürdig, aber von Jahr zu Jahr weniger wichtig geworden ist mimikatz, ein Device für den Diebstahl von Zugangsdaten, das in den letzten Jahren etwa ein Viertel der Fälle ausmachte, aber 2024 nur noch bei 15 % landete. Wodurch dieser Rückgang verursacht wird, können wir nicht klar sagen. Er kann aber durchaus mit der häufigeren Verwendung der Impacket-Instruments zu tun haben, insbesondere mit dem Skript secretsdump.py, mit dem man Hashes von Distant-Systemen auslesen kann.+++ Das entspräche dem im Jahresvergleich ansteigenden Distant-Registry-Dumping und der Halbierung von LSASS-Dumps (die in unseren Daten meist mimikatz zugewiesen sind). Secretsdump.py conflict in mindestens 6 % der Angriffe aktiv und nach wmiexec.py das am zweithäufigsten genutzte Impacket-Device. 

Von den 15 am häufigsten missbrauchten Instruments werden 47 % häufig für die Exfiltrierung von Daten verwendet. Zu diesen Instruments gehören bekannte Archivierungs- und Dateiübertragungsprogramme. 

Andere Ergebnisse
Seit wir die Verfügbarkeit einer Multi-Faktor-Authentifizierung (MFA) in betroffenen Unternehmen mitverfolgen, können wir auch hier die Auswirkungen analysieren. 2022 hatten 22 % der Opfer keine MFA. Dieser Anteil hat sich bis 2024 verdreifacht (63 %). Hier gab es keinen wesentlichen Unterschied zwischen den IR-Fällen (66 %) und den MDR-Fällen (62 %). Das zeigt, dass Unternehmen trotz gründlicher Erkennungs- und Reaktionsprogramme immer noch Angriffen ausgesetzt sind.  

Eine weitere Kennzahl ist der Anteil ungeschützter Systeme, die wir in betroffenen Unternehmen gefunden haben: Es gab sie in 40 % der analysierten Fälle. Wenn wir anfällige VPNs (12 %), anfällige Systeme (11 %) und Finish-of-Life-Systeme (5 %) in einigen dieser Umgebungen hinzuzählen – in der Case Research dieses Stories fanden wir zum Beispiel alle drei –, ist es kein Wunder, dass die Angreifer sich fühlen wie der Fuchs im Hühnerstall. 

Man magazine sich fragen, warum wir im MDR-Bereich immer noch Ransomware-Fälle haben. Ein wichtiger Grund: ungeschützte Systeme und ihre Anfälligkeit für Distant-Ransomware. Die schädlichen Aktivitäten (Eindringen, Payload-Ausführung und Verschlüsselung) erfolgen auf nicht verwalteten Geräten und werden daher selbst von den Sicherheitslösungen des Unternehmens nicht erkannt. Einzig die Übertragung von Dokumenten von einem System auf ein anderes weist dann auf eine Kompromittierung hin. Unsere Telemetrie zeigt, dass es seit 2022 zu einem jährlichen Anstieg von 141 % bei absichtlichen Distant-Verschlüsselungsangriffen gekommen ist (siehe Abbildung 8). (Wir haben bereits über den Kampf gegen Distant-Ransomware gesprochen, unter anderem in einem Deep Dive zu unserer CryptoGuard-Technologie. Da sich die Fälle mehren, könnte Distant-Ransomware in einem späteren Lively Adversary Report noch eine größere Rolle spielen.)

Abbildung 8: Laut Sophos X-Ops ist die Anzahl der Distant-Ransomware-Angriffe seit 2022 um 141 % gestiegen. In den letzten 18 Monaten ist das besonders zu beobachten. 

Was die Exfiltrationsstatistiken angeht, leidet ihre Genauigkeit darunter, dass oft der Einblick fehlt, wie Daten im Netzwerk verschoben werden. Auch Protokolle sind nicht vorhanden. 2024 kam es in 27 % unserer Fälle zu einer Exfiltration. Wenn wir die Beweise für Daten-Staging und eine mögliche Exfiltration hinzuziehen, sind wir bei 36 %. Bei Ransomware-Opfern wurden die Daten in 43 % der analysierten Fälle exfiltriert. Bei weiteren 14 % fanden sich Hinweise auf eine mögliche Exfiltration oder Beweise für Daten-Staging. Exfiltrationen finden generell am Ende eines Angriffs statt, anders als die Kompromittierung des AD, die möglichst schnell gehen soll. Die durchschnittliche Dauer bis zur Exfiltration betrug 72,98 Stunden (3,04 Tage) ab Beginn des Angriffs, aber nur 2,7 Stunden (0,11 Tage) von der Exfiltration bis zur Erkennung eines Ransomware-, Datenexfiltrations- oder Datenerpressungsangriffs. 

MITRE
Für diesen Report sehen wir uns üblicherweise die auch die MITRE-Auswirkungen an (TA0040). Da Ransomware dieses Jahr einen so wichtigen Platz einnimmt, ist es nicht verwunderlich, Knowledge Encrypted for Affect (T1486) weiterhin ganz oben zu sehen. Doch hinsichtlich des Rests sehen wir eine Likelihood für die Verteidiger: Die Ursachen von vielen der anderen Auswirkungen sind Ereignisse, die man intestine erkennen kann.

Abbildung 9: Die MITRE-Auswirkungskategorien ändern sich im Laufe der Zeit, aber Knowledge Encrypted for Affect hat sich in den letzten fünf Jahren nicht vom ersten Platz bewegt und gilt auch 2024 für IR- und MDR-Fälle als Spitzenreiter. (Der Gesamtprozentsatz liegt über 100 %, da die meisten Fälle mehrere Auswirkungen haben.) 

Zum Beispiel wird Inhibit System Restoration (T1490) oft aufgerufen, weil die Angreifer Volumen-Schattenkopien löschen. Dabei werden Instruments wie vssadmin.exe, das Schattenkopie-Verwaltungstool (10 % der Fälle) oder die WMI-Befehlszeile (24 % der Fälle) eingesetzt. Man erkennt auch, wenn vssadmin zur Erstellung von Schattenkopien eingesetzt wird, was vor der Exfiltration geschieht. In 26 % der Fälle haben Angreifer Dateien gelöscht. Hier kann eine unerwartete Nutzung von del.exe auf einen Angriff hinweisen. Für solche verdächtigen Ereignisse lässt sich das Erkennungs-Engineering einsetzen, das auf den Lärm der Angreifer lauscht. 

Fazit
Den IT-Praktikern möchten wir zum Schluss sagen: Wir sehen Sie. Sie machen die Arbeit und Sie kennen das Geschäft. Sie wissen auch, welche Grenzen es gibt. Die gute Nachricht: Sie müssen nicht hilflos darauf warten, bis alles besser wird. Insbesondere nicht mit der richtigen Unterstützung.  

Für die Geschäfts- und Tech-Führungskräfte haben wir auch eine Empfehlung: Geben Sie Ihren IT-Groups eine Likelihood. Ja, Geld und Ressourcen sind knapp, und deshalb muss die IT oft mehr Arbeit und Verantwortung übernehmen, als sie leisten kann. Es magazine eigennützig klingen, wenn das Forschungsteam eines Anbieters für Sicherheitslösungen so etwas sagt, aber wir sind davon überzeugt, dass die IT sich darauf konzentrieren sollte, den Geschäftsbereich bestmöglich zu unterstützen. Den Schutz vor Angreifern hingegen sollten sie Experten überlassen können. Denn die Daten zeigen eine Sache ganz genau: Wenn jemand aufmerksam die IT-Umgebung im Blick behält und schnell und entschlossen handeln kann, verbessern sich die Ergebnisse ganz beachtlich. Ansonsten werden viel zu oft Fehler gemacht und wiederholt. Sie haben die Wahl und können Ihre Probleme versuchen intern zu lösen – oder sich Hilfe von außen holen. Die Daten sprechen für sich. 

Anmerkungen
Die Autoren und Autorinnen möchten sich bei den IR- und MDR-Groups von Sophos sowie Mark Loman, Chester Wisniewski, und Matt Wixey für ihren Beitrag bedanken. 

Anhang: Demografie und Methodologie
Für diesen Report haben wir 413 Fälle als Grundlage genommen, aus denen sinnvolle Informationen zum Zustand der Bedrohungslandschaft 2024 gezogen werden konnten. Da wir viel Wert auf die vertrauensvolle Beziehung zu unseren Kunden legen, steht die Sicherheit ihrer sensiblen Daten für uns an erster Stelle. Dementsprechend haben wir die genutzten Daten mehrfach im Prozess überprüft, sodass sich keine individuellen Kunden erkennen lassen – und auch sodass die Daten eines einzigen Kunden den Durchschnitt der Daten nicht unangemessen verzerrt. Wenn es bei bestimmten Fällen Zweifel gab, haben wir die entsprechenden Daten nicht in unseren Datensatz eingeschlossen.

Methodologie
Die Daten für diesen Report wurden im Laufe einzelner Analysen der Sophos-X-Ops-Groups für Incident Response und MDR erfasst. Für diesen ersten Report 2025 haben wir Fallinformationen von allen Analysen, die die Groups 2024 bereits durchgeführt haben, zusammengefasst und über 52 Bereiche normalisiert. Jeder Fall wurde darauf geprüft, ob er gemäß dem Fokus des geplanten Stories im Element und Umfang angemessen für eine zusammenfassende Berichterstattung conflict. Zudem haben wir die Daten zwischen den MDR- und IR-Reportingprozessen normalisiert. 

Wenn Daten unklar oder nicht verfügbar waren, haben wir mit individuellen IR- und MDR-Fällen gearbeitet, um Fragen zu klären. Vorfälle, die für den Zweck des Stories nicht ausreichend geklärt werden konnten oder bei denen wir glaubten, dass die Beziehung zum Kunden unter einer Veröffentlichung oder anderweitig leiden könnte, wurden nicht mit aufgenommen. Anschließend wurde der zeitliche Ablauf der Fälle einzeln untersucht, um Particulars wie Erstzugriff, Verweildauer, Exfiltration usw. zu festzustellen. 413 Fälle hielten den Untersuchungen stand und wurden als Grundlage für den Report verwendet. Die Daten im herunterladbaren Datensatz wurden weiterhin verfeinert, um die Anonymität unserer Kunden sicherzustellen.