Fortinet hat den neuesten halbjährlichen Global Threat Landscape Report der FortiGuard Labs veröffentlicht. Sowohl Bedrohungslandschaft als auch die Angriffsfläche von Unternehmen verändern sich ständig, genauso wie die Fähigkeit von Cyberkriminellen, ihre Methoden an diesen Wandel anzupassen. Dies stellt weiterhin eine große Bedrohung für Unternehmen aller Größen, Branchen und Standorte dar.
Highlights des Global Threat Landscape Report für das zweite Halbjahr 2022:
- Die massenhafte Verbreitung von Wiper-Malware zeigt weiterhin die Entwicklung von zerstörerischen Cyberangriffen.
- Neue Erkenntnisse ermöglichen es CISOs, Maßnahmen zur Risikominderung zu priorisieren und die aktive Angriffsfläche durch die Ausweitung des „Red Zone“-Ansatzes zu minimieren.
- Die Bedrohung durch Ransomware bleibt weltweit auf einem Höchststand. Angesichts neuer Varianten, die durch Ransomware-as-a-Service (RaaS) ermöglicht werden, gibt es keine Anzeichen für eine Abschwächung.
- Die am weitesten verbreitete Malware war älter als ein Jahr und wurde mehrfach verändert und angepasst. Dies verdeutlicht die Effizienz und Wirtschaftlichkeit von recyceltem und wiederverwendetem Code.
- Log4j beeinflusst weiterhin Organisationen aller Regionen und Branchen, insbesondere in den Bereichen Technologie, öffentliche Verwaltung und Bildung.
Destruktive APT-ähnliche Wiper-Malware hat sich im Jahr 2022 weit verbreitet
Die Analyse von Wiper-Malware-Daten bekräftigt den Trend, dass Cyberangreifer immer häufiger destruktive Angriffsmethoden gegen ihre Ziele einsetzen. Da es im Internet keine Grenzen gibt, können Cyberkriminelle ihre Angriffe mit Hilfe des Cybercrime-as-a-Service-Modells (CaaS) problemlos skalieren und ausweiten.
Anfang 2022 meldeten die FortiGuard Labs mehrere neue Wiper-Schadprogramme, die zeitgleich mit dem Kriegsangriff auf die Ukraine durch Russland auftraten. Später im Jahr breitete sich Wiper-Malware auch auf andere Länder aus, was allein vom dritten auf das vierte Quartal zu einem Anstieg der Wiper-Aktivitäten um 53 Prozent führte. Einige dieser Aktivitäten wurden durch Wiper-Malware ermöglicht, die möglicherweise ursprünglich von am Krieg beteiligten staatlichen Akteuren entwickelt und eingesetzt wurde.
Inzwischen werden sie auch von cyberkriminellen Gruppen aufgegriffen und verbreiten sich auch außerhalb Europas. Leider scheint sich der Trend zu destruktiver Wiper-Malware angesichts der im vierten Quartal beobachteten Aktivitäten nicht zu verlangsamen. Dies bedeutet, dass jede Organisation ein potenzielles Ziel ist, nicht nur Organisationen in der Ukraine oder den Nachbarländern.
Finanziell motivierte Cyberkriminalität und Bedrohung durch Ransomware bleiben auf Höchstniveau
Die FortiGuard Labs Incident Response (IR)-Einsätze ergaben, dass finanziell motivierte Cyberkriminalität am häufigsten auftrat (73,9 Prozent), mit weitem Abstand gefolgt von Spionage (13 Prozent). Im Jahr 2022 beinhalteten 82 Prozent der finanziell motivierten Cyberkriminalität den Einsatz von Ransomware oder bösartigen Skripten.
Dies zeigt, dass die globale Bedrohung durch Ransomware nach wie vor hoch ist und es keine Anzeichen für eine Abschwächung gibt, was auf die wachsende Beliebtheit von Ransomware-as-a-Service (RaaS) im Dark Web zurückzuführen ist.
Das Ransomware-Aufkommen ist im Vergleich zum ersten Halbjahr 2022 um 16 Prozent gestiegen. Von den insgesamt 99 beobachteten Ransomware-Familien entfielen rund 37 Prozent aller Ransomware-Aktivitäten im zweiten Halbjahr 2022 auf die fünf größten Familien.
GandCrab, eine im Jahr 2018 entdeckte RaaS-Malware, war die aktivste darunter. Zwar kündigten die Cyberkriminellen hinter GandCrab ihren Rückzug an, nachdem sie mehr als 2 Milliarden US-Dollar Gewinn gemacht hatten, jedoch gab es während ihrer aktiven Zeit etliche Iterationen von GandCrab.
Es ist nicht auszuschließen, dass die Hinterlassenschaft dieser kriminellen Gruppe immer noch existiert oder dass der Code einfach weiterentwickelt, modifiziert und erneut veröffentlicht wurde. Dies zeigt, wie wichtig globale Partnerschaften zwischen allen Arten von Organisationen sind, um kriminelle Aktivitäten endgültig zu zerschlagen.
Eine wirksame Unterbrechung der Lieferketten von Cyberkriminellen erfordert eine globale gemeinsame Anstrengung mit starken, vertrauensvollen Beziehungen und Zusammenarbeit zwischen öffentlichen und privaten Organisationen und Branchen.
Die Wiederverwendung von Angreifercodes demonstriert Erfindungsreichtum von Cyberkriminellen
Cyberkriminelle sind von Natur aus geschäftstüchtig und stets darauf bedacht, ihre Investitionen und ihr Wissen zu maximieren, um ihre Angriffe effektiver und profitabler zu gestalten. Die Wiederverwendung von Code ist für sie eine effiziente und lukrative Methode, um auf erfolgreichen Ergebnissen aufzubauen und gleichzeitig iterative Änderungen vorzunehmen, um ihre Angriffe zu verfeinern und Abwehrmaßnahmen zu umgehen.
Eine Analyse der am weitesten verbreiteten Malware für das zweite Halbjahr 2022 zeigt, dass die meisten der erfolgreichsten Schadprogramme bereits älter als ein Jahr waren. Die FortiGuard Labs untersuchten auch eine Sammlung verschiedener Emotet-Varianten, um ihre Neigung zur Übernahme und Wiederverwendung von Code zu analysieren.
Die Untersuchung ergab, dass Emotet erhebliche Weiterentwicklungen durchlaufen hat, wobei sich die neuen Varianten in etwa sechs verschiedene Malware-„Arten“ unterteilen lassen. Dies zeigt, dass Cyberkriminelle nicht nur Bedrohungen automatisieren, sondern den Code auch aktiv anpassen, um ihn noch effektiver zu machen.
Wiederauferstehung eines alten Botnetzes zeigt die Widerstandsfähigkeit der Lieferketten von Cyberkriminellen
Neben der Wiederverwendung von Code nutzen Angreifer auch bestehende Infrastrukturen und ältere Bedrohungen, um ihre Erfolgschancen zu erhöhen. Bei der Untersuchung der Botnet-Bedrohungen nach ihrer Verbreitung haben die FortiGuard Labs festgestellt, dass viele der führenden Botnets nicht neu sind.
Das Botnet Morto beispielsweise, das erstmals 2011 entdeckt wurde, erlebte Ende 2022 einen Aufschwung. Andere Botnets wie Mirai und Gh0st.Rat sind nach wie vor in allen Regionen weit verbreitet. Überraschenderweise stammt von den fünf am häufigsten beobachteten Botnets nur RotaJakiro aus diesem Jahrzehnt.
Auch wenn es verlockend sein mag, alte Bedrohungen als Schnee von gestern abzutun, müssen Unternehmen aller Branchen wachsam bleiben. Diese „legacy“ Botnets sind immer noch präsent und sehr effektiv. Clevere Cyberkriminelle werden auch weiterhin bestehende Botnet-Infrastrukturen nutzen und sie mit hochspezialisierten Techniken zu immer langlebigeren Versionen weiterentwickeln, denn der ROI ist hoch.
In der zweiten Jahreshälfte 2022 gehörten Managed Security Service Provider (MSSP), der Telekommunikations-/Carrier-Sektor und die Fertigungsindustrie, die für ihre weit verbreitete Betriebstechnologie (OT) bekannt ist, zu den Hauptzielen von Mirai. Die Cyberkriminellen versuchen, diese Branchen mit bewährten Methoden ins Visier zu nehmen.
Log4j weiterhin weit verbreitet
Trotz der großen Aufmerksamkeit, die Log4j im Jahr 2021 und Anfang 2022 erhalten hat, haben viele Unternehmen immer noch keine Patches installiert oder die entsprechenden Sicherheitskontrollen eingeführt, um sich vor einer der größten Sicherheitslücken der Geschichte zu schützen.
In der zweiten Jahreshälfte 2022 war Log4j in allen Regionen weiterhin sehr aktiv und stand an zweiter Stelle der am häufigsten genutzten Sicherheitslücken. Laut der FortiGuard Labs, stellten 41 Prozent der Unternehmen Log4j-Aktivitäten fest, was zeigt, wie weit verbreitet diese Bedrohung nach wie vor ist. Die meisten IPS-Aktivitäten mit Log4j fanden in den Bereichen Technik, öffentliche Verwaltung und Bildung statt, was angesichts der Beliebtheit von Apache Log4j als Open-Source-Software nicht überraschend ist.
Analyse der Malware-Geschichte – Änderungen in der Verbreitung zeigen die Dringlichkeit einer User Sensibilisierung
Die Analyse der Angriffsstrategien liefert wertvolle Erkenntnisse darüber, wie sich Angriffsmethoden und -taktiken entwickeln, was einen besseren Schutz vor zukünftigen Angriffsszenarien ermöglicht. Die FortiGuard Labs hat die Funktionalität der entdeckten Malware anhand von Sandbox-Daten untersucht, um die gängigsten Verbreitungsmethoden zu identifizieren. Es ist wichtig zu beachten, dass hier nur die ausführbaren Muster betrachtet werden.
Bei der Untersuchung der acht wichtigsten Taktiken und Techniken beim Sandboxing, war Drive-by-Compromise die beliebteste Taktik, mit der sich Cyberkriminelle weltweit Zugang zu Unternehmenssystemen verschafften. Dies geschieht in erster Linie, wenn ein ahnungsloser Benutzer im Internet surft und unbeabsichtigt eine bösartige Datei herunterlädt, eine kompromittierte Website besucht, einen bösartigen E-Mail-Anhang öffnet oder auf einen Link oder ein betrügerisches Popup-Fenster klickt.
Die Herausforderung bei der Drive-by-Taktik besteht darin, dass es für den Benutzer oft zu spät ist, sich vor einer Bedrohung zu schützen, sobald er auf schädliche Nutzdaten zugegriffen und diese heruntergeladen hat. Die einzige Möglichkeit, sich zu schützen, ist ein ganzheitlicher Security-Ansatz.
Report Overview
Der aktuelle Global Threat Landscape Report ist eine Zusammenfassung der Erkenntnisse von FortiGuard Labs. Sie basieren auf einem breiten Spektrum an Sensoren von Fortinet, die im zweiten Halbjahr 2022 weltweit Milliarden von Bedrohungsvorfällen erfasst haben.
Basierend auf dem MITRE ATT&CK Framework, das die Taktiken, Techniken und Verfahren (TTVs) von Angreifern klassifiziert, beschreibt der FortiGuard Labs Global Threat Landscape Report, wie Bedrohungsakteure auf Schwachstellen abzielen, bösartige Infrastrukturen aufbauen und ihre Ziele ausbeuten. Der Bericht enthält auch globale und regionale Perspektiven sowie Bedrohungstrends, die sowohl IT- als auch OT-Umgebungen betreffen.