Ransomware-Angriffe auf Endgeräte nehmen um 89 Prozent zu

WatchGuard Internet Security Report zeigt Bild einer immer mannigfaltigeren Gefahrenlandschaft

Der Internet Security Report von WatchGuard Technologies für das dritte Quartal des Jahres 2023 ist online. Darin weisen die Forscher des WatchGuard Threat Lab erneut die wichtigsten Malware-Trends und Bedrohungen für die Netzwerk- und Endpunktsicherheit aus. Ein wesentliches Ergebnis ist vor allem die – im Vergleich zum Vorquartal – nahezu verdoppelte Anzahl von Ransomware-Angriffen auf Endgeräte. Gleichzeig fällt der Rückgang von Malware, die über verschlüsselte Verbindungen übertragen wird, ins Auge. Darüber hinaus zeigen die Daten, dass sich der Missbrauch von Fernzugriffssoftware ganz neuer Beliebtheit erfreut und Cyberangreifer zunehmend auf Password- bzw. Info-Stealer vertrauen, um an wertvolle Anmeldedaten zu kommen. Last but not least unterstreicht der aktuelle Report: Endpunktangriffe basieren seltener auf dem Missbrauch von Skripten, stattdessen kommen vermehrt andere Living-off-the-land-Techniken zum Einsatz.

„Bedrohungsakteure verwenden in ihren Angriffskampagnen immer wieder unterschiedliche Werkzeuge und Methoden. Daher ist es für Unternehmen entscheidend, sich im Hinblick auf die derzeit angesagten Taktiken regelmäßig zu informieren, um ihre Sicherheitsstrategie zu stärken“, sagt Corey Nachreiner, Chief Security Officer bei WatchGuard. „Moderne Sicherheitsplattformen, die Firewalls und Endpoint-Protection-Software umfassen, können den Schutz für Netzwerke und Geräte hochhalten. Wenn es jedoch um Angriffe geht, die Social-Engineering-Taktiken einsetzen, wird der Endanwender zur letzten Verteidigungslinie zwischen bösartigen Akteuren und ihrem Erfolg bei der Infiltration eines Unternehmens. Es ist darum wichtig, dass Unternehmen Schulungen zum Thema Social Engineering anbieten und einen einheitlichen Sicherheitsansatz verfolgen, der mehrere Verteidigungsebenen beinhaltet, die von Managed Service Providern effektiv verwaltet werden können.“

Zu den wichtigsten Ergebnissen des aktuellen Internet Security Report mit Daten aus dem dritten Quartal 2023 zählen:

Fernverwaltungstools und -software steigen in der Gunst der Hacker – Wie sowohl die zentrale Sicherheitsbehörde der USA, FBI (Federal Bureau of Investigation), als auch die US-amerikanischen Bundesbehörde CISA (Cybersecurity and Infrastructure Security Agency) bestätigen, versuchen Cyberkriminelle mithilfe von Remote Access Software immer häufiger, einer Erkennung durch Anti-Malware-Scans zu entgehen. Bei der Untersuchung der wichtigsten Phishing-Domänen identifizierte das Threat Lab beispielsweise einen Täuschungsversuch im Umfeld des Technischen Supports, der darauf ausgelegt war, dass das Opfer eine vorkonfigurierte, nicht autorisierte Version von TeamViewer herunterlädt, die dem Angreifer vollen Fernzugriff auf den Computer ermöglicht.

Ausbreitung der Ransomware-Variante Medusa führt zu einem Anstieg von 89 Prozent bei endgerätefokussierten Ransomware-Angriffen – Auf den ersten Blick sah es zunächst nach einem Ransomware-Rückgang in den Monaten Juli bis September 2023 aus. Dieses Bild veränderte sich jedoch mit der Ransomware-Variante Medusa, die zum ersten Mal in den Top 10 der Malware-Bedrohungen auftauchte und über eine generische Signatur vom Threat Lab identifiziert wurde. Damit legt die Zahl der Ransomware-Angriffe im Vergleich zum Vorquartal sogar um 89 Prozent zu.

Bedrohungsakteure wenden sich von skriptbasierten Angriffen ab und setzen zunehmend andere Living-off-the-land-Techniken ein – Bösartige Skripte als Angriffsvektor verzeichnen im dritten Quartal einen Rückgang von 11 Prozent, bereits im zweiten Quartal waren entsprechende Szenarien um 41 Prozent rückläufig. Dennoch machen skriptbasierte Angriffe mit 56 Prozent nach wie vor den Löwenanteil aller verzeichneten Vorfälle aus. Skriptsprachen wie PowerShell werden nach wie vor häufig für „Living-off-the-Land“-Attacken verwendet. Parallel dazu stieg die Zahl einschlägig missbrauchter Windows-Binärdateien um 32 Prozent deutlich. Diese Ergebnisse zeigen den Threat Lab-Forschern, dass Bedrohungsakteure weiterhin unterschiedlichste „Living-off-the-Land“-Techniken einsetzen – wahrscheinlich nicht zuletzt als Reaktion auf die verstärkten Schutzmaßnahmen gegenüber PowerShell und anderen Skriptsprachen.

Malware, die über verschlüsselte Verbindungen ans Ziel gelangt, geht um die Hälfte zurück – Nur noch knapp die Hälfte der identifizierten Malware wurde im dritten Quartal über verschlüsselte Verbindungen übertragen. Diese Zahl ist bemerkenswert, da sie im Vergleich zu den vorangegangenen Quartalen deutlich gesunken ist. Insgesamt stieg die Zahl der entdeckten Schadprogramme um 14 Prozent.

E-Mail-basierte Dropper-Familie dominiert Top 5 der verschlüsselt übertragenen Malware-Varianten – Vier von fünf Malware-Varianten in den besagten Top 5 lassen sich einer Dropper-Familie namens Stacked zuordnen. Im Zuge von Spear-Phishing versenden Bedrohungsakteure E-Mails mit bösartigen Anhängen, die scheinbar von einem bekannten Absender stammen und vorgeben, eine Rechnung oder ein wichtiges Dokument zur Überprüfung zu enthalten, um Endbenutzer zum Herunterladen von Malware zu verleiten.

Stealer-Malware ist im Kommen – Im Hinblick auf Top-Malware-Bedrohungen hat es eine neue Malware-Familie in die Bestenliste geschafft: Lazy.360502. Sie liefert die Adware-Variante 2345explorer sowie den Vidar Password Stealer und ist mit einer chinesischen Website verbunden, die offensichtlich ein „Password Stealer as a Service“-Angebot unterstützt. Auf diese Weise können Cyberkriminelle gestohlene Anmeldedaten ganz einfach käuflich erwerben.

Netzwerkangriffe verzeichnen einen Anstieg von 16 Prozent – ProxyLogon war dabei die am häufigsten adressierte Schwachstelle bei Netzwerkangriffen. Darauf lassen sich insgesamt 10 Prozent aller netzwerkspezifischen Erkennungen zurückführen.

Drei neue Signaturen schaffen es in die Top 50 der Netzwerkangriffe – Dazu gehört eine PHP Common Gateway Interface Apache-Schwachstelle aus dem Jahr 2012, über die sich ein Pufferüberlauf auslösen lässt. Hinzu kommt eine Microsoft .NET Framework 2.0-Schwachstelle aus dem Jahr 2016, die als Sprungbrett für Denial-of-Service-Angriffe dient. Komplett wird das Trio durch eine SQL-Injection-Schwachstelle im Open-Source-CMS Drupal aus dem Jahr 2014. Diese ermöglicht es Angreifern, ohne jegliche Authentifizierungsschranken von außen auf Drupal zuzugreifen.

Alle Erkenntnisse basieren – entlang des Konzepts der „WatchGuard Unified Security Platform“ und entsprechend der vorherigen vierteljährlichen Auswertungen – auf den anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz, deren Besitzer der Weitergabe der Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.

Der ausführliche Internet Security Report in englischer Sprache steht online zum Download zur Verfügung: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2023

Überblick: https://watchguard.widen.net/s/nzlbzbk7vf/overview_wg_threat_report_q3_2023
Infografik: https://watchguard.widen.net/s/jht6q9zxjt/internet_security_report_infographic_q3_2023

Kontakt:
WatchGuard Technologies GmbH
Paul Moll – Field Marketing Manager Central Europe
Wendenstr. 379, 20537 Hamburg
Tel.: +49 152 31795040
paul.moll@watchguard.com
www.watchguard.de

Presse- und Öffentlichkeitsarbeit:
Press’n’Relations Austria GmbH
Georg Dutzi
Lange Gasse 65/16, 1080 Wien
Tel.: +43 1 907614810
gd@press-n-relations.at
www.press-n-relations.at

Über WatchGuard Technologies
WatchGuard Technologies gehört zu den führenden Anbietern im Bereich IT-Sicherheit. Das umfangreiche Produktportfolio reicht von hochentwickelten UTM (Unified Threat Management)- und Next-Generation-Firewall-Plattformen über Multifaktor-Authentifizierung bis hin zu Technologien für umfassenden WLAN-Schutz und Endpoint Protection sowie weiteren spezifischen Produkten und intelligenten Services rund ums Thema IT-Security. Auf diesem Fundament wurde speziell für Managed Service Provider die „Unified Security Platform“ entwickelt, mit der diese ihren Kunden erstklassige Sicherheit bieten können, die sich jederzeit an individuelle Bedürfnisse anpassen lässt – bei gleichzeitig hoher betrieblicher Effizienz. Mehr als 17.000 Security-Reseller bzw. Managed Service Provider und 250.000 Kunden weltweit vertrauen auf die ausgeklügelten Schutzmechanismen auf Enterprise-Niveau und profitieren von einer einheitlichen Sicherheitsplattform, die folgende fünf Elemente vereint: weitreichende, aufeinander abgestimmte IT-Security-Funktionalität, kollektiver Wissensaustausch, Klarheit und Kontrolle, operative Ausrichtung und Automatisierung. Neben der Zentrale in Seattle im US-Bundesstaat Washington verfügt WatchGuard über Niederlassungen in ganz Nordamerika, Lateinamerika und Europa sowie im asiatisch-pazifischen Raum.

Aktuelle Informationen, Aktionen und Updates finden Sie auch auf Twitter, Facebook oder LinkedIn. Der deutschsprachige Unternehmensblog beleuchtet zudem regelmäßig aktuelle Trendthemen im Umfeld von IT-Sicherheit. Reinschauen lohnt sich. Oder Sie abonnieren den „443 – Security Simplified“-Podcast bei Secplicity.org bzw. wo immer Sie Ihre Lieblings-Podcasts finden.

Corey Nachreiner, Chief Security Officer WatchGuard Technologies