Jenseits des Horizonts: Wachstum von Cyberangriffen in den 2010er Jahren

Hinweis: Dieser Beitrag wurde ursprünglich auf SmarterMSP veröffentlicht.

Im Rahmen unserer fünfteiligen Serie über die Entwicklung der Cybersecurity geht es in unserem vierten Artikel um IoT-Geräte und ihre Schwachstellen für Bitcoin-gesteuerte Ransomware in den 2010er Jahren.

In den 2000er Jahren sahen wir das zunehmende Wettrüsten zwischen Sicherheitsexperten und Hackern zu Beginn des Jahrhunderts. Darüber hinaus haben die Entwicklung von Smartphones mit Internetzugang, cloudbasierten Diensten und das anhaltende Wachstum des elektronischen Handels die Bedrohungslage erheblich verschärft. 

In den 2010er Jahren wuchs die Cyberkriminalität zusammen mit der Zahl der Internetnutzer und einer Vielzahl von neuen vernetzten Geräten. 

Mehrere Trends waren für die Cybersecurity-Landschaft von entscheidender Bedeutung: Die Nutzung von Cloud-basierter Software und Cloud-basierten Diensten in Unternehmen nahm weiter zu und verdoppelte sich bis zum Ende des Jahrzehnts, die zunehmende Nutzung mobiler Geräte und der Aufstieg von Smartwatches, ein Markt, der nach der Veröffentlichung der ersten Apple Watch im Jahr 2015 expandierte. Diese Trends förderten die Entwicklung von Angriffsvektoren und Angriffen auf die Lieferketten.  

Das Zeitalter der vernetzten Geräte

Zwischen 2008 und 2009 entstand das Internet der Dinge (IoT). Ursprünglich bestand das Konzept darin, Objekte zu Verfolgungszwecken zu kennzeichnen (mittels Radiofrequenzidentifizierung). Dies weitete sich jedoch bald auf ansonsten stumme Geräte aus, die plötzlich über eine Internetverbindung ohne herkömmliche Benutzeroberfläche verfügten. Alles, von Verkaufsautomaten bis hin zu medizinischen Geräten, wurde bald vernetzt. Neue Geräte (wie die Ring-Türklingel, die 2011 auf den Markt kam, und verschiedene Babyphone-Systeme) wurden von Grund auf mit Konnektivität entwickelt. Auch webbasierte Sicherheitslösungen für Ihr Zuhause sind auf dem Vormarsch und ermöglichen den Verbrauchern den Fernzugriff auf Sicherheitskameras, Schlösser und Garagentore. Amazon führte Alexa im Jahr 2014 ein und fügte dem Netzwerk noch mehr Geräte hinzu.

Schon bald wurden Büros und Haushalte mit einer Vielzahl von Geräten überschwemmt, die sich in Unternehmens- und Privatnetzwerke einklinken und GPS-Koordinaten, Zugang zu Zahlungsdaten und (vor allem) relativ ungeschützte Verbindungen zu bestehenden Netzwerken bereitstellen. Während Unternehmen und Benutzer viel in Antiviren-Software für ihre Desktops investiert hatten, war ein solcher Schutz für Verkaufsautomaten oder Überwachungskameras unbekannt.

Wenn diese neuen vernetzten Geräte auf den Markt kommen und Daten über öffentliche Mobilfunk- und WLAN-Verbindungen übertragen, können Sie es den Cybersecurity-Experten nicht verdenken, wenn sie die Hände über dem Kopf zusammenschlagen und rufen: „Es geht schon wieder los!“

Cyberkriminelle nutzten Geräte aus dem Internet der Dinge, um Denial-of-Service-Angriffe (DDoS) zu starten und auf Unternehmensnetzwerke zuzugreifen. Es gab natürlich auch das klassische Hacking – Berichte über Außenstehende, die sich in verbundene Babyphone einklinken und schlaflose Eltern in Angst und Schrecken versetzen. Aber ehrgeizige Kriminelle heckten viel größere Pläne aus.

Zu den bemerkenswerten Vorfällen zählen der Bashlite-Botnet-Angriff, der 2014 Millionen von Geräten infizierte, Schwachstellen in Insulinpumpen, Ampeln und vernetzten Fahrzeugen (einschließlich BMWs, Fiats und Teslas), die es Dritten ermöglichten, diese Geräte mit potenziell tödlichen Folgen zu übernehmen, das Mirai-Botnet, das den schwachen Passwortschutz von Überwachungskameras und anderen Geräten für einen DDoS-Angriff ausnutzte, der 2016 weite Teile des Internets zum Erliegen brachte, das Reaper-Botnet, das Amnesia-Botnet und andere, die folgten. 

Einer der wichtigsten Angriffe auf IoT-Geräte war der Stuxnet-Angriff. Stuxnet ist ein leistungsstarker Computerwurm, der von US-amerikanischen und israelischen Geheimdiensten entwickelt wurde, um einen wichtigen Teil des iranischen Atomprogramms zu deaktivieren. Er zielte auf eine luftüberwachte Einrichtung ab, verbreitete sich aber unerwartet auf Computersysteme außerhalb dieser Einrichtung.

Stuxnet nutzte mehrere bisher unbekannte Windows Zero Days aus. Es wurde für speicherprogrammierbare Steuerungen (PLCs) entwickelt, industrielle Digitalcomputer, die in der Fertigung eingesetzt werden. In diesem Fall gab es ein spezifisches PLC-Ziel: die Computer, die das iranische Atomprogramm steuern. Das Ziel von Stuxnet war es, die für die Kontrolle der Urananreicherungszentrifugen verantwortlichen Steuerungssysteme zu stören und sie bis zur Zerstörung außer Kontrolle geraten zu lassen.

Berichten zufolge soll Stuxnet fast ein Fünftel der iranischen Atomzentrifugen zerstört haben. Der Wurm, der auf industrielle Steuerungssysteme abzielte, infizierte mehr als 200.000 Computer und führte zum physischen Ausfall von 1.000 Maschinen. Er war äußerst effektiv und hat das iranische Atomprogramm erheblich zurückgeworfen. Die optimistischste Einschätzung von Stuxnet ist, dass es die iranische Uranentwicklung ausreichend verzögert und verlangsamt hat, um Israel von einem einseitigen Angriff abzuhalten und Zeit für nachrichtendienstliche und diplomatische Bemühungen zu gewinnen.

Dieser Angriff unterstrich das Potenzial von IoT-Geräten, für groß angelegte Cyberangriffe ausgenutzt zu werden, und machte deutlich, wie wichtig robuste Cybersicherheitsmaßnahmen für IoT-Geräte sind.

Ransomware: Der vom Bitcoin getriebene Anstieg

Aber eine andere Technologie, die zu dieser Zeit nur selten von Verbrauchern oder Unternehmen genutzt wurde, erwies sich als das wertvollste Werkzeug für Cyberkriminelle. Blockchain und die Kryptowährung Bitcoin entstanden im Jahr 2008, die erste Transaktion fand im darauffolgenden Jahr statt. Diese anonyme digitale Währung gab Kriminellen ein Werkzeug an die Hand, auf das sie gewartet hatten: eine Möglichkeit, digital ein Lösegeld von einem Malware- oder Phishing-Opfer zu erpressen, ohne das Risiko, dass die Transaktion zu einem Bankkonto oder einem physischen Standort zurückverfolgt werden kann. Groß angelegte Angriffe konnten nun viel effektiver monetarisiert werden.

Mit dem steigenden Wert von Bitcoin nahmen auch die Ransomware-Angriffe zu. Die Zahl der Ransomware-Angriffe stieg zwischen 2015 und 2020 exponentiell an und spiegelte in etwa das Wachstum der Bewertung von Bitcoin im gleichen Zeitraum wider. 

Im Jahr 2017 spitzte sich die Lage mit dem Ransomware-Angriff WannaCry zu, der die EternalBlue-Schwachstelle für Windows ausnutzte und schließlich 300.000 Computer betraf, bevor der Forscher Marcus Hutchins einen Kill-Switch entdeckte, der eine weitere Verbreitung verhinderte. Der Kryptowurm verlangte Lösegeldzahlungen in Bitcoin. Der Angriff betraf bis zu 70.000 Geräte in den Krankenhäusern des National Health Service im Vereinigten Königreich, darunter MRT-Scanner und Kühlschränke für die Aufbewahrung von Blut.

Sicherheitsspezialisten erkannten die Notwendigkeit, über Antivirenprogramme hinauszugehen und sich mit dem Begriff Endpoint Detection and Response (EDR) zu befassen, der 2013 von Gartner geprägt wurde. Herkömmliches Scannen reichte nicht mehr aus, da Angreifer bösartigen Code ohne Installation von Software (unter Verwendung von ausführbaren Dateien) bereitstellen konnten. Cyberkriminelle können sich auch seitlich durch ein Netzwerk bewegen, sobald sie sich im Netzwerk befinden. Unternehmen benötigten Netzwerktransparenz, um verdächtige Aktivitäten innerhalb von Anwendungen an diesen Endpunkten zu erkennen. Angriffe können anhand des Verhaltens identifiziert werden – Anwendungen werden geändert oder Dateien gelöscht. 

Diese Lösungen erforderten jedoch eine Menge Ressourcen (sowohl technisch als auch personell), um die im Rahmen von EDR bereitgestellten Daten zu überwachen und zu analysieren. So entstand Managed Detection and Response (MDR), das eine Möglichkeit bietet, diese Funktion auszulagern und gleichzeitig den Überblick zu behalten.

Aufgrund der schnellen Entwicklung und Komplexität von Cyberangriffen erwiesen sich EDR und MDR als unzureichend. Im Jahr 2018 wurde der Begriff Extended Detection & Response (XDR) geprägt, um eine ganzheitlichere Sichtweise zu ermöglichen, die Transparenz über den gesamten digitalen Besitz, einschließlich Endpunkten, Netzwerken, Cloud-Ressourcen, Hardware und Anwendungen, bietet und eine neue Ära der Cybersicherheit einläutet – eine Ära, die wir im nächsten Beitrag dieser Serie untersuchen werden.

Das war's für den vierten Teil unserer Serie über die Entwicklung der Cybersecurity. Falls Sie den dritten Teil verpasst haben sollten, sehen Sie ihn sich hier an und halten Sie Ausschau nach Teil fünf, der in Kürze erscheinen wird!