Der Internet Security Report von WatchGuard Technologies für das dritte Quartal des Jahres 2023 ist online. Darin weisen die Forscher des WatchGuard Threat Lab erneut die wichtigsten Malware-Trends und Bedrohungen für die Netzwerk- und Endpunktsicherheit aus. Ein wesentliches Ergebnis ist vor allem die – im Vergleich zum Vorquartal – nahezu verdoppelte Anzahl von Ransomware-Angriffen auf Endgeräte. Gleichzeig fällt der Rückgang von Malware, die über verschlüsselte Verbindungen übertragen wird, ins Auge. Darüber hinaus zeigen die Daten, dass sich der Missbrauch von Fernzugriffssoftware ganz neuer Beliebtheit erfreut und Cyberangreifer zunehmend auf Password- bzw. Info-Stealer vertrauen, um an wertvolle Anmeldedaten zu kommen. Last but not least unterstreicht der aktuelle Report: Endpunktangriffe basieren seltener auf dem Missbrauch von Skripten, stattdessen kommen vermehrt andere Living-off-the-land-Techniken zum Einsatz.
„Bedrohungsakteure verwenden in ihren Angriffskampagnen immer wieder unterschiedliche Werkzeuge und Methoden. Daher ist es für Unternehmen entscheidend, sich im Hinblick auf die derzeit angesagten Taktiken regelmäßig zu informieren, um ihre Sicherheitsstrategie zu stärken“, sagt Corey Nachreiner, Chief Security Officer bei WatchGuard. „Moderne Sicherheitsplattformen, die Firewalls und Endpoint-Protection-Software umfassen, können den Schutz für Netzwerke und Geräte hochhalten. Wenn es jedoch um Angriffe geht, die Social-Engineering-Taktiken einsetzen, wird der Endanwender zur letzten Verteidigungslinie zwischen bösartigen Akteuren und ihrem Erfolg bei der Infiltration eines Unternehmens. Es ist darum wichtig, dass Unternehmen Schulungen zum Thema Social Engineering anbieten und einen einheitlichen Sicherheitsansatz verfolgen, der mehrere Verteidigungsebenen beinhaltet, die von Managed Service Providern effektiv verwaltet werden können.“
Zu den wichtigsten Ergebnissen des aktuellen Internet Security Report mit Daten aus dem dritten Quartal 2023 zählen:
Fernverwaltungstools und -software steigen in der Gunst der Hacker – Wie sowohl die zentrale Sicherheitsbehörde der USA, FBI (Federal Bureau of Investigation), als auch die US-amerikanischen Bundesbehörde CISA (Cybersecurity and Infrastructure Security Agency) bestätigen, versuchen Cyberkriminelle mithilfe von Remote Access Software immer häufiger, einer Erkennung durch Anti-Malware-Scans zu entgehen. Bei der Untersuchung der wichtigsten Phishing-Domänen identifizierte das Threat Lab beispielsweise einen Täuschungsversuch im Umfeld des Technischen Supports, der darauf ausgelegt war, dass das Opfer eine vorkonfigurierte, nicht autorisierte Version von TeamViewer herunterlädt, die dem Angreifer vollen Fernzugriff auf den Computer ermöglicht.
Ausbreitung der Ransomware-Variante Medusa führt zu einem Anstieg von 89 Prozent bei endgerätefokussierten Ransomware-Angriffen – Auf den ersten Blick sah es zunächst nach einem Ransomware-Rückgang in den Monaten Juli bis September 2023 aus. Dieses Bild veränderte sich jedoch mit der Ransomware-Variante Medusa, die zum ersten Mal in den Top 10 der Malware-Bedrohungen auftauchte und über eine generische Signatur vom Threat Lab identifiziert wurde. Damit legt die Zahl der Ransomware-Angriffe im Vergleich zum Vorquartal sogar um 89 Prozent zu.
Bedrohungsakteure wenden sich von skriptbasierten Angriffen ab und setzen zunehmend andere Living-off-the-land-Techniken ein – Bösartige Skripte als Angriffsvektor verzeichnen im dritten Quartal einen Rückgang von 11 Prozent, bereits im zweiten Quartal waren entsprechende Szenarien um 41 Prozent rückläufig. Dennoch machen skriptbasierte Angriffe mit 56 Prozent nach wie vor den Löwenanteil aller verzeichneten Vorfälle aus. Skriptsprachen wie PowerShell werden nach wie vor häufig für "Living-off-the-Land"-Attacken verwendet. Parallel dazu stieg die Zahl einschlägig missbrauchter Windows-Binärdateien um 32 Prozent deutlich. Diese Ergebnisse zeigen den Threat Lab-Forschern, dass Bedrohungsakteure weiterhin unterschiedlichste "Living-off-the-Land"-Techniken einsetzen – wahrscheinlich nicht zuletzt als Reaktion auf die verstärkten Schutzmaßnahmen gegenüber PowerShell und anderen Skriptsprachen.
Malware, die über verschlüsselte Verbindungen ans Ziel gelangt, geht um die Hälfte zurück – Nur noch knapp die Hälfte der identifizierten Malware wurde im dritten Quartal über verschlüsselte Verbindungen übertragen. Diese Zahl ist bemerkenswert, da sie im Vergleich zu den vorangegangenen Quartalen deutlich gesunken ist. Insgesamt stieg die Zahl der entdeckten Schadprogramme um 14 Prozent.
E-Mail-basierte Dropper-Familie dominiert Top 5 der verschlüsselt übertragenen Malware-Varianten – Vier von fünf Malware-Varianten in den besagten Top 5 lassen sich einer Dropper-Familie namens Stacked zuordnen. Im Zuge von Spear-Phishing versenden Bedrohungsakteure E-Mails mit bösartigen Anhängen, die scheinbar von einem bekannten Absender stammen und vorgeben, eine Rechnung oder ein wichtiges Dokument zur Überprüfung zu enthalten, um Endbenutzer zum Herunterladen von Malware zu verleiten.
Stealer-Malware ist im Kommen – Im Hinblick auf Top-Malware-Bedrohungen hat es eine neue Malware-Familie in die Bestenliste geschafft: Lazy.360502. Sie liefert die Adware-Variante 2345explorer sowie den Vidar Password Stealer und ist mit einer chinesischen Website verbunden, die offensichtlich ein „Password Stealer as a Service“-Angebot unterstützt. Auf diese Weise können Cyberkriminelle gestohlene Anmeldedaten ganz einfach käuflich erwerben.
Netzwerkangriffe verzeichnen einen Anstieg von 16 Prozent – ProxyLogon war dabei die am häufigsten adressierte Schwachstelle bei Netzwerkangriffen. Darauf lassen sich insgesamt 10 Prozent aller netzwerkspezifischen Erkennungen zurückführen.
Drei neue Signaturen schaffen es in die Top 50 der Netzwerkangriffe – Dazu gehört eine PHP Common Gateway Interface Apache-Schwachstelle aus dem Jahr 2012, über die sich ein Pufferüberlauf auslösen lässt. Hinzu kommt eine Microsoft .NET Framework 2.0-Schwachstelle aus dem Jahr 2016, die als Sprungbrett für Denial-of-Service-Angriffe dient. Komplett wird das Trio durch eine SQL-Injection-Schwachstelle im Open-Source-CMS Drupal aus dem Jahr 2014. Diese ermöglicht es Angreifern, ohne jegliche Authentifizierungsschranken von außen auf Drupal zuzugreifen.
Alle Erkenntnisse basieren – entlang des Konzepts der „WatchGuard Unified Security Platform“ und entsprechend der vorherigen vierteljährlichen Auswertungen – auf den anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz, deren Besitzer der Weitergabe der Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.
Der ausführliche Internet Security Report in englischer Sprache steht online zum Download zur Verfügung https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023