Die Zunahme von Ransomware-Varianten zeigt, wie sich Cybercrime-Ökosysteme entwickeln: Ransomware bleibt eine der größten Bedrohungen und Cyberangreifer stecken weiterhin signifikante Ressourcen in die Entwicklung neuer Angriffstechniken. In den vergangenen sechs Monaten entdeckten die FortiGuard Labs insgesamt 10.666 Ransomware-Varianten.
In den sechs Monaten davor waren es gerade einmal 5.400. Die Anzahl der Ransomware-Varianten hat sich also innerhalb eines halben Jahres nahezu verdoppelt. Die Beliebtheit von RaaS bringt daher eine ganze Industrie von Cyberkriminellen mit sich. Die zwingen Unternehmen dazu, Lösegeldzahlungen in Betracht zu ziehen.
Um sich vor Ransomware zu schützen, benötigen Unternehmen, unabhängig von ihrer Branche oder Größe, einen proaktiven Ansatz. Echtzeit-Transparenz, Schutz und Remediation in Verbindung mit Zero-Trust Network Access (ZTNA) und fortschrittlicher Endpunkt-Detection and Response (EDR) sind dabei entscheidend.
Exploit-Trends zeigen, dass OT und Endpoint nach wie vor unwiderstehliche Ziele sind: Die digitale Konvergenz von IT und OT sowie die für mobiles Arbeiten genutzten Endpunkte bleiben wichtige Angriffsvektoren. Bei vielen Attacken auf Schwachstellen am Endpunkt verschaffen sich unbefugte Benutzer Zugang zu einem System mit dem Ziel, tiefer in Unternehmensnetzwerke einzudringen.
So wurden beispielsweise eine Spoofing-Schwachstelle (CVE 2022-26925) und eine RCE-Schwachstelle (CVE 2022-26937) besonders häufig ausgenutzt. Auch die Analyse von Endpunkt-Schwachstellen nach Umfang und Entdeckungen zeigt den Weg von Cyberangreifern, die versuchen, sich Zugang zu verschaffen, indem sie alte und neue Schwachstellen nutzen.
Auch bei der Betrachtung der OT-Schwachstellentrends zeigt sich keine Ausnahme. Bei einer Vielzahl von Geräten und Plattformen wurden Schwachstellen ausgenutzt. Das verdeutliche die alltägliche Situation der Cybersecurity durch die zunehmende Zusammenführung von IT und OT.
Moderne Endpoint-Technologie kann dazu beitragen, infizierte Geräte in einem frühen Stadium eines Angriffs zu entdecken und die Bedrohung effektiv abzuwehren. Darüber hinaus können Dienste wie ein Digital Risk Protection Service (DRPS) genutzt werden, um externe Bedrohungsanalysen durchzuführen, Sicherheitsprobleme zu finden und zu beheben sowie kontextbezogene Erkenntnisse über aktuelle und drohende Gefahren zu gewinnen.
Zerstörerische Bedrohungen fassen durch Wiper-Malware immer mehr Fuß: Wiper-Malware-Trends zeigen eine verstörende Entwicklung zerstörerischer und ausgefeilterer Angriffstechniken durch Schadsoftware, die Daten vollständig löscht. Der Krieg in der Ukraine sorgte für einen massiven Anstieg der Wiper-Malware unter Angreifern, die sich primär kritischen Infrastrukturen widmeten.
FortiGuard Labs identifizierten mindestens sieben neue Wiper-Varianten in den ersten sechs Monaten 2022, die von Angreifern in verschiedenen gezielten Kampagnen gegen staatliche, militärische und private Organisationen eingesetzt wurden. Diese Zahl ist wichtig, denn sie ist fast so hoch wie die Gesamtzahl der Wiper-Varianten, die seit 2012 öffentlich entdeckt wurden.
Zudem waren die Wiper nicht regional beschränkt, sondern wurden neben der Ukraine in 24 weiteren Ländern entdeckt. Um die Auswirkungen von Wiper-Angriffen zu minimieren, ist Network Detection and Response (NDR) mit selbstlernender Künstlicher Intelligenz (KI) hilfreich, um Eindringlinge besser zu erkennen. Außerdem müssen Backups außerhalb des Firmengeländes und offline gespeichert werden.
Die Abwehr zu umgehen bleibt weltweit die beliebteste Angriffstaktik: Die Untersuchung der Strategien von Widersachern gibt Aufschluss darüber, wie sich Angriffstechniken und -taktiken weiterentwickeln. FortiGuard Labs analysierte die Funktionalität entdeckter Malware, um die gängigsten Ansätze der letzten sechs Monate zu ermitteln.
Unter den acht wichtigsten auf den Endpunkt fokussierten Taktiken und Techniken war die Umgehung der Verteidigung die von Malware-Entwicklern am häufigsten eingesetzte Taktik. Dabei nutzen sie häufig die Ausführung von System-Binärproxys. Eines der wichtigsten Ziele der Angreifer ist, die bösartigen Absichten zu verbergen. Daher versuchen sie, diese zu verschleiern und die Abwehrmaßnahmen zu umgehen.
Dafür verwenden sie ein legitimes Zertifikat, um einen vertrauenswürdigen Prozess auszuführen und so ihre schädlichen Absichten umzusetzen. Die zweitbeliebteste Technik war die Prozessinjektion, bei der Kriminelle versuchen, Code in das Adressfeld eines anderen Prozesses einzuschleusen, um Verteidigungsmaßnahmen zu umgehen und die Tarnung zu verbessern.
Unternehmen werden besser in der Lage sein, sich gegen das breite Instrumentarium von Angreifern zu schützen, wenn sie über diese verwertbaren Informationen verfügen. Integrierte, KI- und ML-gesteuerte Cybersecurity-Plattformen mit fortschrittlichen Erkennungs- und Reaktionsfunktionen, die auf praxisbezogenen Bedrohungsdaten basieren, sind wichtig, um alle Bereiche hybrider Netzwerke zu schützen.
KI-gestützte Security schützt die erweiterte Angriffsfläche:
Wenn Unternehmen praxisbezogene Bedrohungsdaten nutzen, um ein besseres Verständnis für die Ziele und Taktiken von Angreifern zu entwickeln, können sie ihre Abwehrmaßnahmen besser aufstellen. So können sie angesichts sich schnell weiterentwickelnder Techniken ihre Abwehrmaßnahmen frühzeitig aktiv anpassen.
Bedrohungsdaten sind entscheidend wichtig, um Patch-Strategien leichter priorisieren zu können und so die Umgebungen besser abzusichern. Darüber hinaus sind das Bewusstsein für Cybersecurity und entsprechende Trainings besonders wichtig, um Mitarbeitende und Security-Teams in einer wandelnden Bedrohungslandschaft auf dem neusten Stand zu halten.
Unternehmen benötigen einen Security-Betrieb, der mit maschineller Geschwindigkeit laufen kann, um mit dem Umfang, der Raffinesse und Häufigkeit der heutigen Cyberbedrohungen mitzuhalten.
KI- und Machine-Learning-gestützte Prävention sowie Bedrohungserkennung und Reaktionsmaßnahmen auf Basis einer Cybersecurity-Mesh-Architektur ermöglichen eine engere Integration, einen erhöhten Automatisierungsgrad und eine schnellere, besser koordinierte, effektive Bedrohungsabwehr über das gesamte Netzwerk hinweg.
Über den Bericht
Der aktuelle Global Threat Landscape Report wertet die Erkenntnisse der FortiGuard Labs aus, gesammelt mit den Sensoren von Fortinet. Diese haben in der ersten Hälfte des Jahres 2022 Milliarden von Bedrohungsereignissen auf der ganzen Welt erfasst.
Ähnlich wie das MITRE ATT&CK-Framework die Taktiken und Techniken von Angreifern klassifiziert, wobei die ersten drei Gruppen die Erkundung, die Entwicklung von Ressourcen und den Erstzugriff umfassen, nutzt der FortiGuard Labs Global Threat Landscape Report dieses Modell, um zu beschreiben, wie Bedrohungsakteure Schwachstellen finden, eine Infrastruktur für Angriffe aufbauen und ihre Ziele ausnutzen.