CrowdStrike OverWatch Report 2019 zeigt aktuelle Trends in der Cyberkriminalität

  • Massive Steigerung finanziell motivierter Angriffe (E-Crime)
  • Einzelhandel rückt verstärkt ins Visier der Cyberkriminalität
  • China bleibt einer der aktivsten Angreifer unter den staatlichen Akteuren
Sunnyvale, USA, 1. Oktober 2019 – Das OverWatch Team von CrowdStrike, einem führenden Anbieter von cloud-basiertem Endgeräteschutz, hat heute seinen Falcon OverWatch-Halbjahresbericht für 2019 herausgegeben. Er fasst die Erkenntnisse des OverWatch Threat Hunting Teams im ersten Halbjahr 2019 zusammen und zeigt aktuelle Trends bei Cyberattacken. Des Weiteren liefert er anhand von Beispielen Einblicke in die gängigen Werkzeuge, Techniken und Verfahren staatlich organisierter sowie kriminell motivierter Hackergruppen und gibt Empfehlungen für einen wirksamen Schutz. Datenbasis: Pro Woche zwei Billionen Vorfälle auf Endgeräten Das OverWatch Team besteht aus interdisziplinären Spezialisten und überwacht mehr als 120 staatsnahe und kriminelle Hackergruppen, die es auf die Netzwerke von CrowdStrikes Kunden abgesehen haben. Auf den Endgeräten der Nutzer werden dabei mit Hilfe der cloud-basierten und KI-gestützten Falcon-Plattform mehr als zwei Billionen sicherheitsrelevanter Vorfälle pro Woche erfasst, untersucht und gestoppt. Anhand dieser riesigen Datenmengen lassen sich mit intelligenten Algorithmen Bedrohungsmuster und Angriffstrends erkennen und wirksam verteidigen. Im OverWatch Report 2019 werden die wichtigsten Trends und Erkenntnisse aus diesen massiven Datensets vorgestellt und wirksame Abwehrmaßnahmen aufgezeigt. Hier einige der wichtigsten Beobachtungen des OverWatch Reports:
  • Massive Steigerung gezielter, finanziell motivierter Angriffe (E-Crime): Im ersten Halbjahr 2019 machten diese Aktivitäten – anders als bisher – die Mehrheit der beobachteten Attacken aus. Dies bedeutet nicht, dass nationalstaatlich motivierte Angriffe gesunken sind, sondern vielmehr, dass kriminell motivierte Hacker(gruppen) sich gezielt lohnende Ziele suchen, statt weit gestreute aber leicht verpuffende Angriffe zu fahren.
  • Der Einzelhandel rückt verstärkt ins Visier von Cyberkriminalität: E-Crime-Kampagnen, ganz besonders mit erpresserischer Ransomware, sind überall auf dem Vormarsch. Bewegte sich der Einzelhandel in den vergangenen Jahren noch unter dem Radar cyberkrimineller Akteure, hat er sich in 2019 zu einem lukrativen Angriffsobjekt entwickelt. Insgesamt am häufigsten wurden sowohl in 2018 als auch in 2019 Unternehmen der Branchen Technologie, Telekommunikation und Finanzdienstleistung angegriffen.
  • China bleibt einer der aktivsten Angreifer: Ähnlich wie in den letzten Jahren waren staatlich organisierte Angreifer aus China die aktivsten. Es war zu beobachten, dass dabei fast alle Branchen ins Visier genommen wurden – darunter Chemie, Gaming, Gesundheit, Industrie, Technologie und Telekommunikation.
„Sowohl kriminell als auch nationalstaatlich motivierte Angreifer sind in Netzwerken ihrer Angriffsziele durch heimliche Attacken oft gut positioniert. Im ersten Halbjahr 2019 hat OverWatch immer wieder beobachtet, wie Angreifer gültige Benutzerkonten dazu genutzt haben, um in kompromittierte Endgeräte einzudringen“, so Jennifer Ayers, Vice President of OverWatch and Security Response bei CrowdStrike. „Angreifer werden auch künftig dreist agieren und zu ausgeklügelten Mitteln greifen. Angesichts sich ständig verändernder IT-Architekturen und der Nutzung mobiler Endgeräte, die oft nicht durch ein Unternehmens-VPN geschützt werden können, ist es für Unternehmen essentiell, modernste Möglichkeiten zur Gefahrenabwehr zu nutzen.“ Endgeräte als Einfallstore für Cyberkriminalität Die gesammelten Daten zeigen, dass ungeschützte mobile Endgeräte oft die Einfallstore für Angreifer sind und herkömmliche Schutzmechanismen nicht mehr ausreichen. Es gilt, sich gegen raffinierte Bedrohungen zu schützen, die über klassische Malware wie dateilose Angriffe, Zero Day Exploit-Attacken (ZETA) oder andere ausgeklügelte Techniken hinausgehen. EDR-Lösungen (Endpoint Detection & Response), die cloud-basiert mit intelligenten Algorithmen auf den Endgeräteschutz konzentriert sind, kombiniert mit interdisziplinären Threat Hunting Teams aus erfahrenen Spezialisten helfen dabei, auch raffinierteste Bedrohungen schnell zu entdecken, zu analysieren und unschädlich zu machen. CrowdStrike bietet seinen Kunden mit Falcon eine Plattform für Endgeräteschutz, die auch von Gartner als „Leader“ ausgezeichnet wurde.   Über CrowdStrike CrowdStrike ist der führende Anbieter von Cloud-basiertem Schutz für Endgeräte. Die CrowdStrike Falcon Plattform verhindert mithilfe von künstlicher Intelligenz Angriffe auf Endgeräte im oder außerhalb des Netzwerks und bietet sofortigen Schutz und Transparenz im gesamten Unternehmen. Sie ist in wenigen Minuten einsatzbereit. Durch ihre Cloud-Infrastruktur und die Single-Agent-Architektur reduziert die Plattform Komplexität, erleichtert die Verwaltung und erhöht die Skalierbarkeit. CrowdStrike betreut Kunden aus fast allen Industrien und Branchen, darunter führende Finanzinstitutionen, Energieunternehmen und Gesundheitsversorger. Insgesamt werden Lösungen des Unternehmens in 176 Ländern eingesetzt. CrowdStrike wurde 2011 gegründet, hat seinen Hauptsitz in Sunnyvale, Kalifornien, und ist am NASDAQ gelistet. New CrowdStrike Threat Hunting Report Reveals Prolific Adversary Trends and Tactics 2019 Mid-year OverWatch report provides insights into detects massive uptick in eCrime cyber activity; retail comes back as one of the top targeted industries this year Sunnyvale, CA October 1, 2019 ​CrowdStrike® Inc. (Nasdaq: CRWD), a leader in cloud-delivered endpoint protection, today announced the release of the Falcon OverWatchT​ M2019 Mid-Year Report: ​Observations From the Front Lines of Threat Hunting​. T​he report is comprised of threat data from CrowdStrike ​Falcon OverWatch​, CrowdStrike’s industry-leading managed threat hunting team. ​The annual report details several of the sophisticated intrusions the team has encountered and provides insights into notable targeted, state-sponsored and criminal campaigns the team investigated during the first half of 2019. The report also includes information on key trends in adversary activity and offers recommendations for defending against the prevalent tools, techniques and procedures (TTPS) attackers are using. As Gartner states in the ​2019 Magic Quadrant for Endpoint Protection Platform​ i​, “The skills requirement of EDR solutions compounded by the skills gap in most organizations is an impediment to the adoption of EDR in the mainstream market. As a result, product vendors are increasingly offering a fusion of products and services ranging from light incident response and monitoring through full managed detection and response and consultative incident response services.” OverWatch is comprised of an elite team of cross-disciplinary specialists that offer customers full managed detection and response, harnessing the massive power of theCrowdStrike Falcon®​ platform’s cloud-native architecture to gain rapid visibility into the CrowdStrike Security Cloud community. Armed with massive datasets collected and analyzed by CrowdStrike Threat Graph,®​ ​combined with contextualized threat intelligence, CrowdStrike’s team of threat hunters continuously tracks, investigates and stops sophisticated threat activity in customer environments. OverWatch is comprised of an elite team of cross-disciplinary specialists that harness the massive power of the ​CrowdStrike Falcon​ platform’s cloud-native architecture to gain rapid visibility into the CrowdStrike Security Cloud community. Armed with massive datasets collected and analyzed by CrowdStrike Threat Graph, combined with contextualized threat intelligence, CrowdStrike’s team of threat hunters continuously tracks, investigates and stops sophisticated threat activity in customer environments. With CrowdStrike’s industry-leading cloud-scale telemetry of over two trillion endpoint events collected per week and detailed tradecraft on more than 120 adversary groups, OverWatch provides organizations with the comprehensive ability to see and stop the most sophisticated breaches. “Over the first half of 2019, OverWatch has regularly observed attackers using valid accounts to access compromised endpoints. Upon entry, ​we’ve seen both eCrime and nation-state actors maintain a strong foothold in networks through the use of stealthy tactics. It’s obvious that attackers are continuing to ramp up in both their brazen behavior and sophisticated means,” said Jennifer Ayers, vice president of OverWatch and Security Response. “In the continually changing IT environment, where end users are no longer behind the VPN, it’s critical for organizations to adopt modernized threat prevention to defend against more sophisticated threats that go beyond malware with fileless attacks, zero-days and other advanced techniques.” Some of the most notable report findings include:
  • A massive uptick in targeted intrusions from eCrime adversaries.​ OverWatch has seen a large increase in intrusion activity from eCrime actors in the first half of 2019, accounting for the majority of detected intrusions. This is in stark difference from last year, but does not indicate a reduction in state-sponsored activity overall. Rather, it reflects a continued shift in eCrime adversary behavior to focus more on leveraging nation-state style intrusions versus targeted spray and pray attacks in pursuit of more and larger payouts.
  • Retail replaces hospitality as one of the top ten targets within the first half of 2019.A quiet player in the past, a clear focus has moved this industry to one of the most lucrative targets. eCrime campaigns, and in particular, ransomware, overall are on the rise and the retail vertical has received a significant share of new attention from eCrime actors.
○ Other industries such as technology, telecommunications, financial and Non-governmental organizations (NGOs) remain some of the most highly targeted verticals in both 2018 and 2019.
  • China remains one of the most active adversaries.​ Similar to prior years, Chinese nation-state adversaries were the most active out of all the nation-state actors observed so far this year. CrowdStrike has observed China target the most industries across the board including chemical, gaming, healthcare, hospitality, manufacturing, technology and telecom.
As we move into the latter half of 2019, OverWatch continues to observe targeted adversaries employ creative techniques to avoid detection and perform actions on objectives. The threat hunting endpoint data ​collected via the cloud-native technology of the Falcon​ platform provides invaluable information and actionable insights to identify sophisticated adversaries, the TTPs they employ, and the evasion techniques they commonly turn to. It’s imperative that organizations looking to increase their security hygiene deploy threat hunting teams to rapidly detect, investigate and remediate intrusions. For additional information on this report, read a blog from Jennifer Ayers on Observations From the Front Lines of Threat Hunting report. You can also download a complimentary copy of the full report on the CrowdStrike website. This August, CrowdStrike was positioned by Gartner, Inc. in the Leaders quadrant of the ​Magic Quadrant for Endpoint Protection Platforms.i​ The report, which evaluates vendors based on completeness of vision and their ability to execute, positioned CrowdStrike furthest for completeness of vision in the entire Magic Quadrant. [i] Gartner “Magic Quadrant for Endpoint Protection Platforms” by Peter Firstbrook, Dionisio Zumerle, Prateek Bhajanka, Lawrence Pingree, Paul Webber, 20 August 2019. Disclaimer Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose. About CrowdStrike CrowdStrike​® Inc. (Nasdaq: CRWD), a global cybersecurity leader, is redefining security for the cloud era with an endpoint protection platform built from the ground up to stop breaches. The CrowdStrike Falcon® platform’s single lightweight-agent architecture leverages cloud-scale artificial intelligence (AI) and offers real-time protection and visibility across the enterprise, preventing attacks on endpoints on or off the network. Powered by the proprietary CrowdStrike Threat Graph®, CrowdStrike Falcon correlates over two trillion endpoint-related events per week in real time from across the globe, fueling one of the world’s most advanced data platforms for security.