Fortinet veröffentlicht die Ergebnisse des aktuellen halbjährlichen FortiGuard Labs Global Threat Landscape Reports. Die Informationen aus der zweiten Hälfte des Jahres 2020 decken eine bislang beispiellose Cyber-Bedrohungslandschaft auf. Cyber-Kriminelle nutzten die sich kontinuierlich vergrößernde Angriffsfläche maximal aus, um ihre Bedrohungsaktivitäten weltweit auszuweiten.

Dabei erweisen sich die Angreifer als äußerst anpassungsfähig und führten Wellen von innovativen und fortschrittlichen Angriffen durch. Sie zielten auf die Vielzahl von Remote-Mitarbeitern oder -Lernenden außerhalb des traditionellen Netzwerks ab, zeigen aber auch erneut Aktivität bei ihren Versuchen, die digitale Lieferkette und sogar das Kernnetzwerk anzugreifen.

Die Highlights des Reports für das zweite Halbjahr 2020 sind:

  • Anhaltende Ransomware-Aktivitäten
    Die Daten von FortiGuard Labs zeigen einen siebenfachen Anstieg der gesamten Ransomware-Aktivität im Vergleich zum ersten Halbjahr 2020. Dabei wirken mehrere Trends bei der Zunahme der Aktivitäten zusammen. Die Entwicklung von Ransomware-as-a-Service (RaaS), der Fokus auf hohe Lösegelder für bedeutende Ziele und die Drohung, bei der Nichterfüllung von Forderungen die gestohlenen Daten offenzulegen, schaffen die Voraussetzungen für dieses große Wachstum.

    Bei unterschiedlichem Verbreitungsgrad zählen zu den aktivsten der untersuchten Ransomware-Familien Egregor, Ryuk, Conti, Thanos, Ragnar, WastedLocker, Phobos/EKING und BazarLoader. Zu den Branchen, die besonders häufig zum Ziel von Ransomware-Angriffen wurden, gehören das Gesundheitswesen, Fachdienstleister, Dienstleistungsunternehmen, Einrichtungen des öffentlichen Sektors und Finanzdienstleister.

    Um dem wachsenden Risiko durch Ransomware effektiv entgegenzutreten, müssen Unternehmen sicherstellen, dass Daten-Backups zeitnah, vollständig und sicher außerhalb des Unternehmensnetzwerks erfolgen. Zero-Trust-Netzwerkzugriffe und Segmentierungsstrategien sollten ebenfalls geprüft werden, um das Risiko zu minimieren.

  • Die Lieferkette rückt in den Vordergrund
    Attacken auf die digitale Lieferkette haben eine lange Tradition und der Angriff auf SolarWinds hat die Diskussion neu angefacht. Im Zuge des Angriffs wurden zahlreiche Informationen der betroffenen Unternehmen preisgegeben. FortiGuard Labs verfolgte die entstanden Daten genau und nutzte sie zur Erstellung von IoCs (Indicators of Compromise), um mit dem Angriff zusammenhängende Aktivitäten zu erkennen.

    Die Entdeckung einer Kommunikation mit Internet-Infrastruktur, die mit SUNBURST im Dezember 2020 in Zusammenhang gebracht wird, zeigt, dass die Aktivität wirklich global angelegt war. Dabei weisen die „Five Eyes“ einen besonders hohen Datenverkehr auf, der mit schädlichen IoCs in Verbindung stand. Es gibt auch Hinweise auf mögliche Spillover-Ziele, die den Umfang der Vernetzung moderner Angriffe auf die Lieferkette und die Bedeutung des Lieferketten-Risiko-Managements unterstreichen.

  • Angreifer nehmen Online-Aktivitäten ins Visier
    Die Untersuchung der häufigsten Malware-Kategorien zeigt die bei Cyber-Kriminellen beliebtesten Techniken, um in Unternehmen einzudringen. Das häufigste Angriffsziel sind Microsoft-Plattformen, wobei die Dokumente genutzt werden, die die meisten Menschen während eines Arbeitstages verwenden und abrufen. Webbrowser stellen nach wie vor eine weitere Gefahrenquelle dar.  Dazu gehören mit Malware versehene Phishing-Seiten und Skripte, die Schad-Codes einschleusen oder die Anwender auf böswillige Seiten umleiten.

    Diese Bedrohungsarten nehmen in Zeiten globaler Herausforderungen oder mit einem intensiven Online-Handel unweigerlich zu. Gerade Mitarbeiter, die beim Surfen vom Unternehmensnetzwerk aus normalerweise von Web-Filterdiensten profitieren, sehen sich einer höheren Gefahr ausgesetzt, wenn sie sich außerhalb dieses Schutzfilters online bewegen.

  • Das Home Office bleibt im Fokus
    Die Barrieren zwischen Zuhause und Büro sind 2020 spürbar geschrumpft. Angreifer, die auf das Home Office abzielen, gelangen so einen Schritt näher an das Unternehmensnetzwerk. In der zweiten Hälfte des Jahres 2020 standen Exploits an der Spitze, die auf Geräte im Internet der Dinge (Internet of Things, IoT) abzielen. Diese sind in vielen Haushalten vorhanden. Jedes IoT-Gerät bildet einen neuen Netzwerk-Edge, der verteidigt werden muss und eine Sicherheitsüberwachung und -Durchsetzung an jedem Gerät erfordert.

  • Eine Vielzahl von Akteuren betritt die globale Bühne
    Advanced-Persistent-Threat-(APT)-Gruppen nutzen weiterhin die COVID-19-Pandemie auf vielfältige Weise aus. Zu den häufigsten Angriffen gehörten solche, die sich auf das massenhafte Sammeln von persönlichen Daten, den Diebstahl von geistigem Eigentum und das Abgreifen von Informationen konzentrierten, die den nationalen Prioritäten der jeweiligen APT-Gruppe entsprachen.

    Ende 2020 zielten APT-Aktivitäten vermehrt auf Unternehmen ab, die sich an Projekten im Zusammenhang mit COVID-19 beteiligen. Dazu zählen unter anderem Projekte der Impfstoffforschung und der Entwicklung von nationalen oder internationalen Gesundheitsrichtlinien im Zusammenhang mit der Pandemie. Zu den anvisierten Organisationen gehörten Regierungsbehörden, Pharmaunternehmen, Universitäten und medizinische Forschungsunternehmen.

  • Vulnerability-Exploits bleiben konstant
    Patching und Fehlerbehebung bleiben fortlaufende Prioritäten für Unternehmen, da Cyber-Kriminelle weiterhin versuchen, Schwachstellen zu ihrem Vorteil auszunutzen. In den letzten zwei Jahren wurde die Entwicklung von 1.500 aktiven Exploits verfolgt. Die dabei gesammelten Daten veranschaulichen, wie schnell und weit sich Exploits verbreiten. Auch wenn dies nicht immer der Fall ist, scheinen sich Exploits nicht sehr rasch auszubreiten.

    Von allen Exploits, die in den letzten zwei Jahren verfolgt wurden, wurden nur fünf Prozent von mehr als zehn Prozent der Unternehmen entdeckt. Stimmen alle Parameter überein und wird eine Schwachstelle zufällig ausgewählt, so zeigen die Daten, dass die Chance, dass ein Unternehmen angegriffen wird, bei etwa eins zu 1.000 liegt. Etwa sechs Prozent der Exploits treffen innerhalb des ersten Monats mehr als ein Prozent der Unternehmen und selbst nach einem Jahr haben 91 Prozent der Exploits diese Ein-Prozent-Hürde noch nicht überschritten.

    Unabhängig davon ist es ratsam, sich auf die Behebung von Schwachstellen bereits bekannter Exploits zu konzentrieren. Dabei sollte die Schwachstellen-Behebung der Exploits priorisiert werden, die sich am schnellsten verbreiten.

Die Bekämpfung von Cyber-Kriminellen erfordert eine integrierte Strategie und umfassende Sensibilität
Unternehmen sehen sich mit einer Bedrohungslandschaft konfrontiert, die Angriffe an allen Fronten aufweist. Threat Intelligence ist nach wie vor von zentraler Bedeutung, um die Gefahren zu verstehen und sich gegen die sich weiterentwickelnden Bedrohungsvektoren zu verteidigen.

Die Sichtbarkeit ist insbesondere dann von entscheidender Bedeutung, wenn sich eine erhebliche Anzahl von Anwendern außerhalb des üblichen Netzwerks befindet. Jedes Gerät erschafft einen neuen Netzwerk-Edge, der überwacht und gesichert werden muss.

Der Einsatz von künstlicher Intelligenz (KI) und automatisierter Bedrohungserkennung ermöglicht Unternehmen, Angriffe unmittelbar, statt später zu bekämpfen. Das ist notwendig, um Attacken schnell und in großem Umfang über alle Edges hinweg abzufangen.

Trainings zur Sensibilisierung von Anwendern für Fragen der Cyber-Sicherheit sollten ebenfalls priorisiert werden, weil Cyber-Hygiene nicht nur die Aufgabe von IT- und Security-Teams ist. Jeder muss regelmäßig geschult und in Best Practices unterwiesen werden, um die Sicherheit der einzelnen Mitarbeiter und des Unternehmens zu gewährleisten.

Weitere Beiträge....