Fortinet hat den neuesten halbjährlichen FortiGuard Labs Global Threat Landscape Report veröffentlicht. Die Bedrohungsdaten aus der zweiten Hälfte des Jahres 2021 zeigen, dass die Automatisierung und die Geschwindigkeit der Angriffe zunehmen. Die Strategien der Cyberkriminalität sind weiter fortgeschritten, zerstörerischer und unvorhersehbarer.
Darüber hinaus legen die Cyberangreifer einen Schwerpunkt auf die wachsende Angriffsfläche von hybriden Mitarbeitern und hybrider IT.
Die Highlights des Berichts 2H 2021:
- Log4j zeigt dramatische Geschwindigkeit der Angriffe auf Unternehmen
Die Ende 2021 aufgetretenen Log4j-Schwachstellen zeigen, wie schnell Cyberkriminelle eine Schwachstelle zu ihrem Vorteil auszunutzen. Obwohl die Schwachstelle erst in der zweiten Dezemberwoche auftrat, eskalierten die darauf basierten Angriffe in weniger als einem Monat so schnell, dass sie die am häufigsten von Intrusion-Prevention-Systemen (IPS) erkannte Gefahr in der gesamten zweiten Jahreshälfte 2021 wurde.
Darüber hinaus war das Aktivitätsvolumen von Log4j fast 50-mal so hoch wie das der Angriffe auf die ProxyLogon-Schwachstelle zu einem früheren Zeitpunkt 2021. Unternehmen haben angesichts dieser Angriffsgeschwindigkeit heute nur sehr wenig Zeit, um auf Bedrohungen zu reagieren oder Patches zu installieren.
Unternehmen benötigen durch Künstliche Intelligenz (KI) und Machine Learning (ML) gestützte Intrusion-Prevention-Systeme (IPS), aggressive Patch-Management-Strategien und einen Einblick in die Bedrohungsdaten, um die Bedrohungslage nach Verbreitungsgeschwindigkeit zu priorisieren und das Gesamtrisiko zu senken.
- Angreifer reagieren schnell auf neue Angriffsmöglichkeiten
Einige kleinere oder unbedeutende Bedrohungen haben das Potenzial, in Zukunft größere Probleme zu verursachen und sollten näher beobachtet werden. Dazu gehört eine neu entwickelte Malware, die Linux-Systeme ausnutzen soll, oft in Form von Executable and Linkable Format (ELF-) Binärdateien.
Die Back-End-Systeme vieler Netzwerke verwenden Linux, aber auch Container-basierte Lösungen für IoT-Geräte und unternehmenskritische Anwendungen. Das macht das Betriebssystem verstärkt zu einem beliebten Ziel für Angreifer.
Tatsächlich hat sich die Zahl der neuen Linux-Malware-Signaturen im vierten Quartal gegenüber dem ersten Quartal 2021 vervierfacht, wobei die ELF-Variante Muhstik, RedXOR-Malware und sogar Log4j Beispiele für Linux-fokussierte Bedrohungen sind. Im Jahr 2021 verdoppelten sich die Meldungen von erkannter ELF- und anderen Linux-Malware.
Die steigende Menge der Varianten und des Volumens deutet darauf hin, dass Linux-Malware zunehmend ein Teil des Angreifer-Arsenals ist. Linux muss wie jeder andere Endpunkt im Netzwerk durch automatisierten Schutz sowie Endpoint Detetection and Response (EDR) gesichert, überwacht und verwaltet werden.
Darüber hinaus sollte die IT-Hygiene eine hohe Priorität erhalten, um Systeme aktiv zu schützen, die von geringfügigen Bedrohungen betroffen sein könnten.
- Botnetz-Trends zeigen die Entwicklung immer ausgefeilterer Angriffsmethoden
Die Bedrohungstrends zeigen eine Weiterentwicklung der Botnetze, die neuere und ausgefeiltere Angriffstechniken von Cyberkriminellen übernehmen. Anstatt sich hauptsächlich auf DDoS-Angriffe zu konzentrieren, sind Botnetze jetzt Mehrzweck-Angriffsvehikel, die eine Vielzahl ausgeklügelter Angriffstechniken einsetzen, einschließlich Ransomware.
So haben beispielsweise Bedrohungsakteure, darunter Betreiber von Botnetzen wie Mirai, Exploits für die Log4j-Schwachstelle in ihre Angriffspakete integriert. Außerdem wurden Botnetz-Aktivitäten im Zusammenhang mit einer neuen Variante der RedXOR-Malware entdeckt, die Daten aus Linux-Systemen exfiltrieren soll.
Zudem ist Anfang Oktober die Anzahl der gemeldeten Entdeckungen von Botnetzen in die Höhe geschossen, die eine Variante der RedLine Stealer Malware verbreiten und dabei mit einer COVID-thematischen Datei neue Ziele suchen. Zum Schutz von Netzwerken und Anwendungen müssen Unternehmen Zero-Trust-Access-Lösungen implementieren.
Dabei sollten sie zum Schutz alle IoT-Endpunkte und Endgeräte, die sich mit dem Netzwerk verbinden, mit den minimal möglichen Zugriffsrechten ausstatten. Darüber hinaus sind automatische Detection-and-Response-Funktionen wichtig, um anomales Verhalten beobachten zu können.
- Malware-Trends zeigen, dass Cyberkriminelle „Remote Everything“ maximieren
Die Auswertung der Verbreitung von Malware-Varianten nach Regionen zeigt: Cyberangreifer sind besonders nachhaltig interessiert daran, Remote Work und Remote Learning als bestmögliches Einfallstor zu nutzen. Besonders weit verbreitet waren unterschiedliche Formen browserbasierter Malware. Dies passiert häufig über Phishing oder mit Skripten, die Code einschleusen oder Benutzer auf bösartige Websites umleiten.
Die Auswertungen variieren von Region zu Region, lassen sich aber weitgehend in drei große Verbreitungsmechanismen einteilen: Ausführbare Microsoft Office-Dateien (MS Excel/, MS Office/), PDF-Dateien und Browser-Skripte (HTML/, JS/). Diese Techniken sind nach wie vor eine beliebte Methode für Cyberkriminelle, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.
Sie nutzen dafür den Drang der Menschen aus, die neuesten Nachrichten über die Pandemie, Politik, Sport oder weitere spektakuläre Themen lesen zu wollen. Da hybrides Arbeiten und Lernen nach wie vor Alltag sind, gibt es weniger schützende Ebenen zwischen Malware und potenziellen Opfern.
Unternehmen müssen einen „Work-from-anywhere“-Ansatz für ihre Sicherheit verfolgen, indem sie Lösungen einsetzen, die in der Lage sind, Benutzer nachzuverfolgen und zu schützen, egal wo sie sich befinden. Sie benötigen moderne Sicherheit am Endpunkt (EDR) in Kombination mit Zero-Trust-Access-Lösungen, inklusive Zero Trust Network Access (ZTNA). Secure SD-WAN ist ebenfalls entscheidend, um eine sichere WAN-Konnektivität für das erweiterte Netzwerk zu gewährleisten.
- Ransomware-Aktivitäten bleiben auf hohem Niveau und werden immer zerstörerischer
Die Daten der FortiGuard Labs zeigen, dass das Aufkommen von Ransomware im letzten Jahr vom hohen Niveau nicht zurückgegangen ist. Zudem haben die Raffinesse, Aggressivität und Auswirkungen von Ransomware weiter zugenommen. Bedrohungsakteure greifen Unternehmen weiterhin mit einer Vielzahl neuer und bereits bekannter Ransomware-Stämme an und hinterlassen dabei oft eine Spur der Verwüstung.
Alte Ransomware wird aktiv aktualisiert und verbessert, manchmal mit Wiper-Malware, während andere Ransomware genutzt wird, um Ransomware-as-as-Service (RaaS)-Geschäftsmodelle zu entwickeln. RaaS ermöglicht es einem größeren Kreis von Bedrohungsakteuren, die Malware zu nutzen und zu verbreiten – ohne die Ransomware selbst erstellen zu müssen.
Die FortiGuard Labs beobachteten ein konstantes Niveau schädlicher Aktivitäten mit mehreren Ransomware-Stämmen, darunter neue Versionen von Phobos, Yanluowang und BlackMatter. Die Betreiber von BlackMatter erklärten zwar, dass sie keine Organisationen im Gesundheitswesen und anderen kritischen Infrastrukturbereichen angreifen würden, taten dies aber dennoch.
Ransomware-Angriffe bleiben eine ernsthafte Bedrohung für Organisationen aller Branchen und Größen. Unternehmen müssen einen proaktiven Ansatz verfolgen, der Echtzeit-Transparenz, Analyse, Schutz und Widerherstellungsmöglichkeiten abdeckt, aber auch Zero-Trust-Access-Lösungen und Segmentierung sowie regelmäßige Datensicherungen beinhaltet.
- Umfassenderes Verständnis von Angriffstechniken kann helfen, Kriminelle schneller zu stoppen
Die Angriffsziele von Widersachern zu analysieren ist wichtig, um die Abwehr besser auf die sich schnell verändernden Angriffstechniken ausrichten zu können. Um die schädlichen Auswirkungen verschiedener Angriffe zu beobachten, analysierten die FortiGuard Labs die Funktionalität der entdeckten Malware. Sie nahmen die im Laufe des Jahres gesammelten Malware-Proben genau unter die Lupe.
Das Ergebnis war eine Liste der einzelnen Taktiken, Techniken und Prozeduren (TTPs), die die Malware erreicht hätte, wenn sie ausgeführt worden wären. Diese granularen Informationen zeigen, dass es wichtiger denn je ist, einen Angreifer früher zu stoppen, und dass ein Unternehmen in manchen Situationen die Angriffsmethoden einer Malware wirksam unterbinden kann, wenn es sich auf einige dieser identifizierten Techniken konzentriert.
So entfallen auf die drei wichtigsten Techniken der Ausführungsphase („execution“) beispielsweise 82% der Aktivitäten. Die beiden wichtigsten Techniken, um in der Bestandsphase („persistence“) Fuß zu fassen, machen fast 95% der beobachteten Funktionalität aus. Diese Analyse zu nutzen, kann einen dramatischen Einfluss auf die Priorisierung von Sicherheitsstrategien haben, sodass Unternehmen ihre Bedrohungsabwehr maximieren können.
Über den Bericht
Der aktuelle Global Threat Landscape Report wertet die Erkenntnisse FortiGuard Labs aus, gesammelt mit den Sensoren von Fortinet. Diese haben in der zweiten Hälfte des Jahres 2021 Milliarden von Bedrohungsereignissen auf der ganzen Welt erfasst.
Ähnlich wie das MITRE ATT&CK-Framework die Taktiken und Techniken von Angreifern klassifiziert, wobei die ersten drei Gruppen die Erkundung, die Entwicklung von Ressourcen und den Erstzugriff umfassen, nutzt der FortiGuard Labs Global Threat Landscape Report dieses Modell, um zu beschreiben, wie Bedrohungsakteure Schwachstellen finden, eine Infrastruktur für Angriffe aufbauen und ihre Ziele ausnutzen.
Der Bericht deckt auch globale und regionale Perspektiven ab.