In unserem heutigen Beitrag befassen wir uns mit Malware-Reports aus dem Jahre 2021. Dabei fassen wir die Entwicklung der Malware-Bedrohungen zusammen und tragen dazu bei, dass Sie nicht selbst zum Opfer von Angriffen werden. In den verschiedenen Reports sehen Sie das Ausma\u00df der Malware-Angriffe, die in der Vergangenheit bereits zu erheblichen Sch\u00e4den gef\u00fchrt haben. Die Reports zeigen zudem deutlich auf, welche Einfallstore bei Cyberkriminellen besonders beliebt sind. Au\u00dferdem geben wir Tipps, wie Sie Ihre Organisation vor Malware und Angriffen sch\u00fctzen k\u00f6nnen.<\/p>\n
Wir haben uns f\u00fcr Sie durch die relevantesten Malware-Reports der j\u00fcngeren Zeit gew\u00fchlt und stellen Ihnen im Folgenden entsprechende Erkenntnisse vor:<\/p>\n
Das BeyondTrust Incident Response Team ver\u00f6ffentlichte im Oktober 2021 seinen ersten Malware Threat Report 2021. F\u00fcr diese Sicherheitsstudie wurden reale IT-Attacken ausgewertet, die im ersten Quartal 2020 bis zum ersten Quartal 2021 stattfanden. Das Team untersuchte 150 Angriffsketten. Dabei ist den Sicherheitsforschenden zun\u00e4chst aufgefallen, dass Cyberkriminalit\u00e4t ein \u201ewachstumsstarkes Gesch\u00e4ftsmodell\u201c geworden ist: Angriffswerkzeuge werden \u201everst\u00e4rkt als Malware-as-a-Service (MaaS) offeriert\u201c. Das Ziel der Angreifenden ist deutlich: Sie \u201ewollen den maximalen Schaden und die h\u00f6chsten L\u00f6segeldeinnahmen erzielen\u201c.<\/p>\n
Die Zeiten, in denen automatisierte W\u00fcrmer programmiert wurden, ist laut diesem Malware-Report vorbei. G\u00e4ngig ist vielmehr eine zunehmende Professionalisierung von Malware-Angreifenden, obendrein setzen neue Generationen von Malware auf mehrstufige Angriffe, sodass komplette Unternehmensumgebungen attackiert werden k\u00f6nnen. Ransomware-as-a-Service (RaaS) kann daf\u00fcr sorgen, \u201eeine T\u00fcr ins Netzwerk einer gro\u00dfen Organisation \u00f6ffnen zu k\u00f6nnen\u201c. Anschlie\u00dfend durchleuchten Angreifende das infiltrierte Netzwerk mit Pentest-Werkzeugen. Sind Sicherheitskontrollen deaktiviert, l\u00e4sst sich der Schutz von Endpunkten aushebeln, sodass Angreifende mit erh\u00f6hten Nutzerrechten weiter ins Firmennetz vordringen k\u00f6nnen. So erhalten Angreifende \u201eKontrolle \u00fcber kritische IT-Systeme, verschl\u00fcsseln und exfiltrieren sensible Daten\u201c.<\/p>\n
Zu den h\u00e4ufigsten Malware-St\u00e4mmen geh\u00f6ren laut Malware-Report Emotet (34 %), Trickbot\/ RYUK (19 %), Loki (14 %) und AgentTesla (13 %). Auff\u00e4llig waren zudem NJRat (9 %), Formbook (4 %), Nanocore (3 %), Maze (2 %) sowie MiniDuke und Loader (je 1 %).<\/p>\n
Entscheidend \u00fcber die erfolgreiche Abwehr der Schadprogramme sind laut dem Malware-Report das Kontrollieren von Berechtigungen sowie das Unterbinden ungepr\u00fcfter Anwendungen. Dies reduziert die Angriffsfl\u00e4che, stoppt die Code-Ausf\u00fchrung und unterbindet die \u00dcbernahme privilegierter Zugriffsrechte.<\/p>\n
Im November erschien der allj\u00e4hrliche Bedrohungsbericht \u201eSophos Threat Report 2022\u201c<\/a>, in dem Forschungsergebnisse sowie Bedrohungsdaten aus dem Hause Sophos aufgearbeitet werden. Der Malware-Report von Sophos skizziert verschiedene Haupttrends:<\/p>\n Weiter war laut Malware-Report von Sophos auff\u00e4llig, dass unterschiedliche Gruppen, die Ransomware-Angriffe durchf\u00fchren, eng mit kriminellen Kollegen zusammenarbeiten w\u00fcrden. Sie verhalten sich eher wie Kartelle der Cyberkriminalit\u00e4t; unabh\u00e4ngige Gruppen werden seltener. Haben Ransomware-Angriffe fr\u00fcher Wochen oder zumindest Tage gedauert, w\u00fcrden diese jetzt in wenigen Stunden gelingen.<\/p>\n Im Oktober 2021 erschien der Advanced Threat Research Report<\/a> aus dem Hause McAfee. In diesem Malware-Report wird deutlich, dass kriminelle Akteure nicht nur neue und aktualisierte Bedrohungen, sondern auch Taktiken in ihre Kampagnen integriert haben. Ransomware-Kampagnen sind immer noch weit verbreitet, doch die Gruppen entwickeln ihre Gesch\u00e4ftsmodelle weiter. So gelingt es ihnen, wertvolle Informationen sowie L\u00f6segelder in Millionenh\u00f6he von gro\u00dfen und kleineren Unternehmen zu erpressen.<\/p>\n F\u00fcr gemeinsame Zugangsvektoren und \u00e4hnliche Tools setzten Ryuk, REvil, Babuk und die Cuba Ransomware aktiv Gesch\u00e4ftsmodelle ein, um eine Beteiligung anderer Cyberkrimineller zu aktivieren. Im zweiten Quartal 2021 f\u00fchrte REvil<\/a> die McAfee-Liste der Ransomware-Bedrohungen an. Doch mit LockBit 2.0 wurde auch eine \u00e4ltere Ransomware Mitte 2021 neu entdeckt: Offenbar wurde die LockBit-Version aus dem Jahr 2020 mit neuen Funktionen gespickt, sodass nun eine aktualisierte Version vorliegt. Diese Variante verschl\u00fcsselt automatisch Ger\u00e4te in der gesamten Dom\u00e4ne, exfiltriert Daten und greift \u00fcber RDP auf Systeme zu.<\/p>\n M-Trends nennt sich der j\u00e4hrlich erscheinende Malware-Report von FireEye und Mandiant. Hier lesen wir auch eine positive Entwicklung: Mit einer Steigerung von 12 % gegen\u00fcber dem Vorjahr gelang es 2021 bei 59 Prozent der Sicherheitsvorf\u00e4lle, dass die betroffenen Unternehmen diese selbst aufdeckten. Auch hier zeigt sich jedoch, dass Ransomware immer h\u00e4ufiger f\u00fcr mehrstufige Erpressungen eingesetzt wird, wobei mehr als nur die betroffene Umgebung verschl\u00fcsselt wird. Mit FIN11 war eine finanziell motivierte Hackergruppe f\u00fcr gro\u00df angelegte Phishing-Kampagnen verantwortlich, die auf mehrstufige Erpressung setzt.<\/p>\n Dieser Malware-Report zeigt ebenfalls, dass Hackergruppen immer h\u00e4ufiger zusammenarbeiten, um bestimmte Ziele besser erreichen zu k\u00f6nnen. Es gab nicht nur Angriffe auf COVID19-Forschungsinstitute, sondern auch die z\u00fcgig eingef\u00fchrte Heimarbeit wurde h\u00e4ufig ausgenutzt (mehr dazu in unserem Beitrag \u201eHome-Office-Sicherheit: Das hat sich getan\u201c<\/a>). Dem FireEye-Team sind zudem verst\u00e4rkt Angriffe auf Lieferketten aufgefallen (s. unser Beitrag \u201eNeue Gefahr: Supply-Chain-Angriffe\u201c<\/a>).<\/p>\n Der Cloud and Threat Report von Netskope erschien im Juli 2021<\/a>. Dieser Cloud und Malware-Report zeigt, dass sagenhafte 97 Prozent der in Unternehmen eingesetzten Cloud-Apps Schatten-IT darstellen; sie sind also nicht verwaltet und werden eigenst\u00e4ndig von Mitarbeitenden eingesetzt. Dabei stellen App-Plugins von Drittanbietenden ernsthafte Datenrisiken dar: 97 Prozent der Nutzenden von Google Workspace gestatteten mindestens einer App eines Drittanbietenden Zugriff auf den Google-Unternehmensaccount. Dies hat zur Folge, dass Daten an Dritte weitergegeben werden k\u00f6nnen, beispielsweise durch die Erlaubnis zum \u201eAnzeigen und Verwalten der Dateien in Google Drive\u201c.<\/p>\n Der Cloud und Malware-Report zeigt au\u00dferdem, dass Angreifenden mit dem Anstieg von \u00f6ffentlich zug\u00e4nglichen Cloud-Umgebungen zahlreiche M\u00f6glichkeiten er\u00f6ffnet werden. \u00dcber 35 Prozent aller Workloads sind innerhalb von Azure, AWS und GCP \u00fcbers \u00f6ffentliche Internet zug\u00e4nglich. Mit 68 Prozent hat der Anteil der \u00fcber Clouds verbreiteten Malware ein neues Allzeithoch erreicht \u2013 Tendenz: weiter steigend! Dabei machen fast 67 Prozent davon Cloud-Speicher-Apps aus, w\u00e4hrend 43 Prozent s\u00e4mtlicher Malware-Downloads \u00fcber b\u00f6sartige Office-Dokumente erfolgen.<\/p>\n Fasst man die Studienergebnisse zusammen, wird deutlich, dass Ransomware ein gigantisches Risiko darstellt. Cyberkriminelle haben sich l\u00e4ngst professionalisiert \u2013 und sie schlie\u00dfen sich zusammen, um Ziele noch heftiger treffen und noch mehr L\u00f6segeld abgreifen zu k\u00f6nnen. Angriffe dauern nicht mehr Tage oder Wochen, sondern sind binnen weniger Stunden erledigt und Malware-as-a-Service erlaubt es auch weniger versierten Angreifenden, komplexe Attacken zu starten. Auch das Home-Office, die Cloud sowie Schatten-IT sind Einfallstore, die Cyberkriminelle weiter ausnutzen.<\/p>\n Abhilfe k\u00f6nnen Sie schaffen, indem Sie Ihre IT- und Datensicherheit gut durchplanen: Bleiben Sie aufmerksam und setzen Sie Tools wie Sicherheitssoftware sowie Zertifikate ein, um Ihre Sicherheit zu erh\u00f6hen. Schulen und sensibilisieren<\/a> Sie Ihre Mitarbeitenden, damit diese Angriffe erkennen k\u00f6nnen. Analysen und Zertifizierungen wie ISA+<\/a>, ISIS12<\/a> f\u00fcr KMU oder ISO\/IEC 27001<\/a> f\u00fcr gr\u00f6\u00dfere Unternehmen, Konzerne und Betreibende kritischer Infrastrukturen (KRITIS) sorgen daf\u00fcr, dass Sie den Stand Ihrer IT-Sicherheit kennen und stetig optimieren. Haben Sie Fragen zur Informationssicherheit in Ihrer Organisation, stehen unsere zertifizierten Experten gerne Rede und Antwort. Nehmen Sie einfach Kontakt<\/a> zu uns auf.<\/p>\n\n
McAfee Advanced Threat Research Report<\/h3>\n
FireEye M-Trends 2021<\/h3>\n
Netskope Cloud and Threat Report<\/h3>\n
Malware-Reports zeigen das Ausma\u00df der Cyberkriminalit\u00e4t<\/h2>\n