Fortinet: Ransomware immer noch hoch im Kurs und brandgefährlich

Unser Technologiepartner Fortinet hat den neuesten halbjährlichen FortiGuard Labs Global Threat Landscape Report veröffentlicht. Die Bedrohungsdaten aus der zweiten Hälfte des Jahres 2021 zeigen, dass die Automatisierung und die Geschwindigkeit der Angriffe zunehmen und fortschrittlichere Strategien der Cyberkriminalität, die zerstörerischer und unvorhersehbarer sind, zum Einsatz kommen.

Darüber hinaus ist die wachsende Angriffsfläche von hybriden Mitarbeitern und hybrider IT ein Schwerpunkt, den Cyberangreifer auszunutzen versuchen. Einen detaillierten Überblick über den Bericht sowie einige wichtige Erkenntnisse finden Sie in diesem Blog. Es folgen die Highlights des Berichts 2H 2021:

Log4j demonstriert die dramatische Geschwindigkeit, mit der sich Unternehmen ausbeuten lassen

Die Log4j-Schwachstellen, die Ende 2021 auftraten, zeigen die rasant zunehmende Geschwindigkeit, mit der Cyberkriminelle versuchen, die Schwachstelle zu ihrem Vorteil auszunutzen. Obwohl die Schwachstelle erst in der zweiten Dezemberwoche auftrat, eskalierte die Ausbeutungsaktivität in weniger als einem Monat so schnell, dass sie zur häufigsten IPS-Erkennung der gesamten zweiten Jahreshälfte 2021 wurde. Darüber hinaus hatte Log4j fast das 50-fache Aktivitätsvolumen im Vergleich zu dem bekannten Ausbruch ProxyLogon, der Anfang 2021 stattfand. Die Realität ist, dass Unternehmen angesichts der Geschwindigkeit, mit der Cyber-Angreifer neue Chancen nutzen, heute nur sehr wenig Zeit haben, um zu reagieren oder Patches zu installieren. Unternehmen benötigen KI- und ML-gestützte Intrusion-Prevention-Systeme (IPS), aggressive Patch-Management-Strategien und einen Einblick in die Bedrohungsdaten, um diejenigen Bedrohungen zu priorisieren, die sich am schnellsten in der freien Wildbahn verbreiten, um das Gesamtrisiko zu verringern.

Angreifer zielen schnell auf neue Vektoren in der Angriffsfläche

Einige kleinere oder unbedeutende Bedrohungen haben das Potenzial, in Zukunft größere Probleme zu verursachen, und sind es wert, beobachtet zu werden. Ein Beispiel dafür ist neu entwickelte Malware, die auf die Ausnutzung von Linux-Systemen abzielt, oft in Form von ELF-Binärdateien (executable and linkable format). Auf Linux laufen die Back-End-Systeme vieler Netzwerke und Container-basierte Lösungen für IoT-Geräte und unternehmenskritische Anwendungen, und es wird immer mehr zu einem beliebten Ziel für Angreifer. Tatsächlich hat sich die Zahl der neuen Linux-Malware-Signaturen im vierten Quartal gegenüber dem ersten Quartal 2021 vervierfacht, wobei die ELF-Variante Muhstik, RedXOR-Malware und sogar Log4j Beispiele für Bedrohungen sind, die auf Linux abzielen. Die Häufigkeit von ELF- und anderen Linux-Malware-Erkennungen verdoppelte sich im Jahr 2021. Diese Zunahme an Varianten und Volumen deutet darauf hin, dass Linux-Malware zunehmend zum Arsenal der Angreifer gehört. Linux muss wie jeder andere Endpunkt im Netzwerk durch fortschrittlichen und automatisierten Endpunktschutz, Erkennung und Reaktion gesichert, überwacht und verwaltet werden. Darüber hinaus sollte der Sicherheitshygiene Vorrang eingeräumt werden, um Systeme, die von geringfügigen Bedrohungen betroffen sein könnten, aktiv zu schützen.

Botnet-Trends zeigen eine immer ausgefeiltere Entwicklung der Angriffsmethoden

Die Bedrohungstrends zeigen, dass sich Botnets weiterentwickeln und neuere und ausgefeiltere Angriffstechniken der Cyberkriminellen übernehmen. Anstatt in erster Linie monolithisch zu sein und sich hauptsächlich auf DDoS-Angriffe zu konzentrieren, sind Botnets jetzt Mehrzweck-Angriffsvehikel, die eine Vielzahl von ausgefeilteren Angriffstechniken, einschließlich Ransomware, einsetzen. So haben beispielsweise Bedrohungsakteure, darunter auch Betreiber von Botnets wie Mirai, Exploits für die Log4j-Schwachstelle in ihre Angriffspakete integriert. Außerdem wurden Botnet-Aktivitäten im Zusammenhang mit einer neuen Variante der RedXOR-Malware verfolgt, die auf Linux-Systeme zur Datenexfiltration abzielt. Die Entdeckungen von Botnets, die eine Variante der RedLine Stealer-Malware verbreiten, stiegen Anfang Oktober ebenfalls stark an und suchten sich mit einer COVID-ähnlichen Datei neue Ziele. Um Netzwerke und Anwendungen zu schützen, müssen Unternehmen Zero-Trust-Zugangslösungen implementieren, um insbesondere IoT-Endpunkte und -Geräte, die in das Netzwerk eindringen, mit den geringsten Zugriffsrechten auszustatten, sowie automatisierte Erkennungs- und Reaktionsfunktionen zur Überwachung anomalen Verhaltens.

Malware-Trends zeigen, dass Cyberkriminelle „Remote Everything“ maximieren

Die Auswertung der Verbreitung von Malware-Varianten nach Regionen zeigt ein anhaltendes Interesse von Cyber-Angreifern an der Maximierung des Angriffsvektors „Remote Work and Learning“. Vor allem verschiedene Formen von browserbasierter Malware waren weit verbreitet. Dies geschieht häufig in Form von Phishing-Ködern oder Skripten, die Code einschleusen oder Benutzer auf bösartige Websites umleiten. Die spezifischen Erkennungen variieren von Region zu Region, lassen sich aber weitgehend in drei große Verbreitungsmechanismen einteilen: Ausführbare Microsoft Office-Dateien (MSExcel/, MSOffice/), PDF-Dateien und Browser-Skripte (HTML/, JS/). Diese Techniken sind nach wie vor ein beliebter Weg für Cyberkriminelle, um das Verlangen der Menschen nach den neuesten Nachrichten über Pandemien, Politik, Sport oder andere Schlagzeilen auszunutzen und sich dann Zugang zu Unternehmensnetzwerken zu verschaffen. Da hybrides Arbeiten und Lernen nach wie vor Realität sind, gibt es weniger Schutzschichten zwischen Malware und potenziellen Opfern. Unternehmen müssen einen „Work-from-anywhere“-Ansatz für ihre Sicherheit verfolgen, indem sie Lösungen einsetzen, die in der Lage sind, Benutzer zu verfolgen, zu aktivieren und zu schützen, egal wo sie sich befinden. Sie benötigen fortschrittliche Sicherheit am Endpunkt (EDR) in Kombination mit Zero-Trust-Access-Lösungen, einschließlich ZTNA. Ein sicheres SD-WAN ist ebenfalls wichtig, um eine sichere WAN-Konnektivität für das erweiterte Netzwerk zu gewährleisten.

Ransomware-Aktivitäten bleiben hoch und werden immer zerstörerischer

Die Daten von FortiGuard Labs zeigen, dass die Ransomware-Aktivitäten im letzten Jahr nicht nachgelassen haben, sondern immer ausgefeilter, aggressiver und zerstörerischer geworden sind. Bedrohungsakteure greifen Unternehmen weiterhin mit einer Vielzahl neuer und bereits bekannter Ransomware-Stämme an und hinterlassen oft eine Spur der Verwüstung. Alte Ransomware wird aktiv aktualisiert und verbessert, manchmal mit Wiper-Malware, während andere Ransomware sich zu Ransomware-as-a-Service (RaaS)-Geschäftsmodellen weiterentwickelt. RaaS ermöglicht es mehr Bedrohungsakteuren, die Malware zu nutzen und zu verbreiten, ohne die Ransomware selbst erstellen zu müssen. FortiGuard Labs beobachtete ein konstantes Niveau bösartiger Aktivitäten mit mehreren Ransomware-Stämmen, darunter neue Versionen von Phobos, Yanluowang und BlackMatter. Die Betreiber von BlackMatter erklärten, dass sie keine Organisationen im Gesundheitswesen und anderen kritischen Infrastrukturbereichen angreifen würden, taten dies aber dennoch. Ransomware-Angriffe bleiben eine Realität für alle Organisationen, unabhängig von ihrer Branche oder Größe. Unternehmen müssen einen proaktiven Ansatz mit Echtzeit-Transparenz, Analyse, Schutz und Abhilfemaßnahmen in Verbindung mit Zero-Trust-Zugangslösungen, Segmentierung und regelmäßigen Datensicherungen verfolgen.

Tieferes Verständnis von Angriffstechniken kann helfen, Kriminelle schneller zu stoppen

Die Analyse der Angriffsziele von Angreifern ist wichtig, um die Verteidigung besser auf die sich schnell verändernden Angriffstechniken ausrichten zu können. Um die bösartigen Ergebnisse verschiedener Angriffe zu beobachten, analysierten die FortiGuard Labs die Funktionalität der entdeckten Malware, indem sie die im Laufe des Jahres gesammelten Malware-Samples zur Explosion brachten. Das Ergebnis war eine Liste der einzelnen Taktiken, Techniken und Prozeduren (TTPs), die die Malware ausgeführt hätte, wenn die Angriffs-Nutzlasten ausgeführt worden wären. Diese hochauflösenden Informationen zeigen, dass es wichtiger denn je ist, einen Angreifer früher zu stoppen, und dass ein Unternehmen in manchen Situationen die Angriffsmethoden einer Malware wirksam unterbinden kann, wenn es sich auf eine Handvoll dieser identifizierten Techniken konzentriert. So entfallen beispielsweise 82 % der Aktivitäten auf die drei wichtigsten Techniken für die Ausführungsphase. Die beiden wichtigsten Techniken, um in der „Persistenz“-Phase Fuß zu fassen, machen fast 95 % der beobachteten Funktionalität aus. Die Nutzung dieser Analyse kann einen dramatischen Einfluss darauf haben, wie Unternehmen ihre Sicherheitsstrategien priorisieren, um ihre Verteidigung zu maximieren.

Schutz vor schnelllebigen und raffinierten Cyber-Angreifern

Da die Angriffe immer raffinierter werden und die gesamte Angriffsfläche mit immer höherer Geschwindigkeit abdecken, benötigen Unternehmen Lösungen, die so konzipiert sind, dass sie zusammenarbeiten, anstatt isoliert zu funktionieren. Der Schutz vor sich entwickelnden Angriffstechniken erfordert intelligentere Lösungen, die in der Lage sind, Bedrohungsdaten in Echtzeit zu erfassen, Bedrohungsmuster und Fingerabdrücke zu erkennen, riesige Datenmengen zu korrelieren, um Anomalien zu erkennen, und automatisch eine koordinierte Reaktion einzuleiten. Punktuelle Produkte müssen durch eine Cybersecurity-Mesh-Plattform ersetzt werden, die eine zentralisierte Verwaltung, Automatisierung und integrierte Lösungen bietet, die zusammenarbeiten.

Überblick über den Bericht

Der aktuelle Global Threat Landscape Report ist eine Darstellung der kollektiven Intelligenz der FortiGuard Labs, die auf der Grundlage der umfangreichen Sensoren von Fortinet erstellt wurde, die in der zweiten Jahreshälfte 2021 weltweit Milliarden von Bedrohungsereignissen erfasst haben. Ähnlich wie das MITRE ATT&CK-Framework die Taktiken und Techniken von Angreifern klassifiziert, wobei die ersten drei Gruppen die Erkundung, die Entwicklung von Ressourcen und den ersten Zugriff umfassen, nutzt der FortiGuard Labs Global Threat Landscape Report dieses Modell, um zu beschreiben, wie Bedrohungsakteure Schwachstellen finden, eine bösartige Infrastruktur aufbauen und ihre Ziele ausnutzen. Der Bericht deckt auch globale und regionale Perspektiven ab.