Die FortiGuard Labs-Bedrohungsdaten des ersten Halbjahres 2020 zeigen, in welch dramatischem Ausmaß sich Cyber-Kriminelle und nationalstaatliche Akteure die globale Pandemie zunutze gemacht haben, um Cyber-Angriffe auf der ganzen Welt durchzuführen. Dabei nutzten die Angreifer die Furcht und Unsicherheit aufgrund der aktuellen Ereignisse sowie die plötzliche Fülle von Telearbeitern außerhalb des Unternehmensnetzwerks aus.
Angreifer haben schon früher Schlagzeilen als Social-Engineering-Köder genutzt, doch in der ersten Hälfte 2020 hat dies eine neue Dimension erreicht. Von opportunistischen Phishing-Angriffen bis hin zu hinterhältigen nationalstaatlichen Operationen fanden Cyber-Gegner vielfältige Möglichkeiten, um aus der globalen Pandemie ihren Vorteil zu ziehen.
Dazu gehören Phishing- und Kompromittierungs-Angriffe auf geschäftliche E-Mails, von Nationalstaaten unterstützte Kampagnen sowie Ransomware-Angriffe. Sie haben sowohl den globalen Charakter der Pandemie als auch die gleichzeitige Erweiterung der digitalen Angriffsfläche durch die plötzlich sehr hohe Anzahl an Heimarbeitsplätzen ausgenutzt.
Die Zunahme der Fernarbeit führte fast über Nacht zu einer dramatischen Veränderung der Unternehmensnetzwerke, die Cyber-Gegner sofort als Chance genutzt haben. Im ersten Halbjahr 2020 standen Ausbeutungsversuche gegen Router und IoT-Geräte der Endverbraucherklasse ganz oben auf der Liste der IPS-Erkennungen. Darüber hinaus dominierten Mirai und Gh0st die am weitesten verbreiteten Botnet-Erkennungen.
Dies ist auf ein wachsendes Interesse von Angreifern zurückzuführen, alte und neue Schwachstellen in IoT-Produkten ins Visier zu nehmen. Diese Trends sind insofern bemerkenswert, als sie zeigen, wie sich der Netzwerkrand, das Perimeter, bis nach Hause ausgedehnt hat. Cyber-Kriminelle versuchen hier über Geräte, mit denen Remote-Mitarbeiter eine Verbindung zu den Netzwerken ihres Unternehmens herstellen könnten, ins Unternehmensnetzwerk zu gelangen.
Für Angreifer war der Umstieg auf Telearbeit eine noch nie dagewesene Gelegenheit, Nutzer auf verschiedene Arten ins Visier zu nehmen. Beispielsweise hat Web-basierte Malware, die bei Phishing-Kampagnen und anderen Betrügereien eingesetzt wurde, Anfang dieses Jahres den traditionellen Vektor der E-Mail-Zusendung verdrängt.
Tatsächlich rangierte eine Malware-Familie, die alle Varianten Web-basierter Phishing-Locks und -Betrügereien nutzte, im Januar und Februar an der Spitze der Malware und fiel erst im Juni aus den Top fünf heraus. Dies deutet darauf hin, dass Cyber-Kriminelle ihre Angriffe gezielt dann durchzuführen, wenn Nutzer am anfälligsten sind und zu Hause arglos im Internet surfen. Nicht nur Geräte, sondern auch Webbrowser sind also die Hauptziele von Cyber-Betrügern.
Bekannte Bedrohungen wie Ransomware nehmen nicht ab. COVID-19-themenbezogene Nachrichten und Anhänge wurden in verschiedenen Ransomware-Kampagnen als Köder eingesetzt. Eine andere Ransomware überschrieb den Master Boot Record (MBR) des Computers, bevor die Daten verschlüsselt wurden.
Darüber hinaus gab es eine Zunahme von Ransomware-Angriffen, bei denen die Erpresser die Daten der Opfer nicht nur sperrten, sondern auch stahlen und die Drohung einer groß angelegten Veröffentlichung als zusätzliches Druckmittel nutzten, um eine Lösegeldzahlung zu erpressen. Dieser Trend erhöht das Risiko, dass Unternehmen bei künftigen Ransomware-Angriffen wertvolle Informationen oder sensible Daten verlieren.
Im Juni jährte sich Stuxnet zum zehnten Mal. Stuxnet war maßgeblich an der Entwicklung der Bedrohungen und der Sicherheit der Operational Technology beteiligt. Heute sind OT-Netzwerke immer noch Ziele von Cyber-Kriminellen. Die EKANS-Ransomware zeigte zu Beginn dieses Jahres, wie Angreifer den Fokus bei Ransomware-Angriffen weiterhin auf OT-Umgebungen ausweiten.
Auch der Ramsay-Spionageapparat, der für die Sammlung und Exfiltration sensibler Dateien in geschlossenen oder stark abgeschotteten Netzwerken entwickelt wurde, zeigt, dass Bedrohungsakteure nach neuen Wegen suchen, um OT-Netzwerke zu infiltrieren. Die Prävalenz von Bedrohungen, die auf Überwachungs-, Kontroll- und Datenerfassungssysteme (SCADA) und andere Arten industrieller Kontrollsysteme (ICS) abzielen, ist zwar geringer als die von IT-Systemen, doch das schmälert die Bedeutung dieses Trends nicht.
Der Bedarf an sicheren Telearbeitslösungen war noch nie so groß wie heute. Unternehmen müssen konkrete Schritte unternehmen, um all ihre Anwender, Geräte und Informationen ähnlich wie im Firmennetzwerk zu schützen. Bedrohungsaufklärungs- und Forschungsunternehmen können unterstützen, indem sie das Cyber-Wissen von Unternehmen aufbessern.
Sie können einen Einblick in die Entwicklung der Bedrohungslandschaft geben sowie eine eingehende Analyse verschiedener Angriffsmethoden, Akteure sowie aktueller Bedrohungstaktiken liefern. Unternehmen muss es gelingen, einen sicheren Zugang zu kritischen Ressourcen zu ermöglichen und gleichzeitig skalierbar zu sein, um den Anforderungen der gesamten Belegschaft gerecht zu werden.
Nur eine Cybersecurity-Plattform, die umfassende Sichtbarkeit in und Schutz für die gesamte Angriffsfläche bietet – einschließlich vernetzter, anwendungsbezogener, Multi-Cloud- und mobiler Umgebungen – ist in der Lage, die sich schnell weiterentwickelnden Netzwerke von heute zu sichern.
Über die Studie:
Der Fortinet Global Threat Landscape Report bildet die kollektiven Bedrohungsinformationen der FortiGuard Labs ab. Er basiert auf Milliarden von Bedrohungsereignissen, die die FortiGuard Labs-Sensoren in der ersten Hälfte des Jahres 2020 weltweit beobachtet haben. Der Bericht beinhaltet globale und regionale Erkenntnisse und erforscht drei zentrale und komplementäre Aspekte von Bedrohungen: Exploits, Malware und Botnets.