Neuer Internet Security Report von WatchGuard für das Q2 zeigt zudem einen enormen Anstieg bei Malware-, Netzwerk- und Ransomware-Angriffen
Im jüngsten Internet Security Report von WatchGuard Technologies für das zweite Quartal 2021 spiegelt sich der weltweit anhaltende Trend zu mobilen oder hybriden Arbeitsmodellen aus sicherheitstechnischer Sicht wider. Die Forscher des WatchGuard Threat Lab fanden beispielsweise heraus, dass 91,5 Prozent aller Malware in diesem Zeitraum über verschlüsselte Verbindungen verschickt wurde. Darüber hinaus stellten sie einen enormen Anstieg bei Malware-, Netzwerk- und Ransomware-Angriffen fest. Corey Nachreiner, Chief Security Officer bei WatchGuard, dazu: „Aufgrund der veränderten Situation und der Art und Weise, wie und wo Menschen arbeiten und sich mit dem Internet verbinden, haben sich auch die Prioritären beim Schutz der Anwender und Unternehmen verändert. Während eine starke Verteidigung der traditionellen Netzwerkperimeter noch immer einen wichtigen Teil einer mehrstufigen Sicherheitsstrategie darstellt, gewinnen insbesondere Endpoint Protection (EPP) sowie schnelle Endpoint Detection and Response (EDR) massiv an Stellenwert.“
Zu den bemerkenswertesten Ergebnissen des WatchGuard Q2 2021 Internet Security Report gehören:
Neun von zehn Malware-Angriffen erfolgen über HTTPS-Verbindungen – Im zweiten Quartal wurden 91,5 Prozent der Malware über verschlüsselte Verbindung verschickt, ein dramatischer Anstieg gegenüber dem vorherigen Quartal. Im Umkehrschluss bedeutet das, dass jedes Unternehmen, welches keine Lösung zur HTTPS-Inspektion einsetzt, neun von zehn Attacken am Perimeter unbemerkt passieren lässt.
Malware umgeht über PowerShell-Tools leistungsstarke Schutzmechanismen – Die Malware AMSI.Disable.A tauchte zum ersten Mal im ersten Quartal in der Liste der Top-Malware von WatchGuard auf. In Q2 konnte sie sofort Platz 2 der Liste nach Volumen und Platz 1 für verschlüsselte Bedrohungen insgesamt erobern. Diese Malware-Familie nutzt PowerShell-Tools, um verschiedene Sicherheitslücken in Windows-Betriebssystemen zu umgehen. Was sie jedoch besonders interessant macht, ist ihre Fähigkeit, dabei möglichst unentdeckt zu bleiben. WatchGuard fand heraus, dass AMSI.Disable.A einen Code verwendet, der die Antimalware-Scan-Schnittstelle (AMSI) in PowerShell deaktivieren kann. Dadurch bleibt die Malware inklusive der bösartigen Nutzlast von Sicherheitsüberprüfungen unbemerkt.
Dateilose Bedrohungen nehmen zu und agieren noch perfider – In den ersten sechs Monaten des Jahres 2021 haben Malware-Erkennungen, die von Skripting-Engines wie PowerShell ausgehen, bereits 80 Prozent des gesamten Angriffsvolumens des letzten Jahres in dieser Kategorie ausgemacht. Das bedeutet nicht nur einen erheblichen Anstieg gegenüber dem Vorjahr, sondern auch, dass sich bei der derzeitigen Steigerungsrate das Volumen im Vergleich zum Vorjahr insgesamt verdoppeln wird.
Netzwerkangriffe boomen trotz zunehmend primär dezentral arbeitender Mitarbeiter – WatchGuard-Appliances haben im Vergleich zum Vorquartal 22 Prozent mehr Netzwerkangriffe erkannt, die in der Summe das Volumen von Anfang 2018 erreichten. Von Januar bis März wurden insgesamt bereits 4,1 Millionen Netzwerkangriffe verzeichnet. Im darauffolgenden Quartal stieg diese Zahl knapp um eine weitere Million. Der aggressive Anstieg unterstreicht, dass die Perimetersicherheit keinesfalls hinter dem benutzerorientierten Schutz zurückbleiben sollte.
Ransomware-Angriffe kehren mit aller Macht zurück – Nachdem die Gesamtzahl der Ransomware-Erkennungen von 2018 bis 2020 rückläufig war, kehrte sich dieser Trend in der ersten Jahreshälfte 2021 um. In den ersten sechs Monaten lag die Summe nur knapp unter der Gesamtzahl des Jahres 2020. Sollten die täglichen Ransomware-Vorfälle für den Rest des Jahres auf einem konstanten Niveau bleiben, wird die Steigerungsrate im Vergleich zu 2020 über 150 Prozent betragen.
Große Einzelangriffe stellen breitangelegte Attacken in den Schatten – Der Angriff auf die Colonial Pipeline am 7. Mai 2021 hat überdeutlich und erschreckend klar gemacht, dass Ransomware eine dauerhafte Bedrohung darstellt. Als wichtigstes Sicherheitsereignis des Quartals unterstreicht der Fall Colonial, dass Cyberkriminelle nicht nur die lebenswichtigsten Bereiche – wie Krankenhäuser, Industrieanlagen und kritische Infrastrukturen – ins Fadenkreuz nehmen, sondern offenbar ihre Angriffe auf diese hochwertigen Ziele zunehmend verstärken. Die WatchGuard-Analyse von Vorfällen wie diesem befasst sich mit den Auswirkungen, der Zukunft der Sicherheit kritischer Infrastrukturen und den Maßnahmen, die Unternehmen in jedem Sektor ergreifen können, um sich dagegen zu schützen und eine Ausbreitung zu verlangsamen.
Alte Schwachstellen erweisen sich weiterhin als lohnende Ziele – Abweichend von den üblichen ein bis zwei Neuzugängen pro Quartal gab es in Q2 gleich vier bis dato unbekannte Signaturen unter den Top-10-Netzwerkangriffen. Die jüngste zielt auf eine Sicherheitslücke in der beliebten Web-Skriptsprache PHP aus dem Jahr 2020 ab, die anderen drei betreffen noch deutlich ältere Schwachstellen. Dazu gehören eine Oracle GlassFish Server-Lücke aus dem Jahr 2011, eine SQL-Injection-Schwachstelle in der Krankenaktenanwendung OpenEMR aus dem Jahr 2013 und eine offene Flanke im Rahmen der RCE (Remote Code Execution) in Microsoft Edge aus dem Jahr 2017. All diese Schwachstellen sind zwar veraltet, stellen aber bis zur Behebung nach wie vor ein Risiko dar.
Microsoft Office-basierte Bedrohungen erfreuen sich nach wie vor großer Beliebtheit – Im zweiten Quartal gab es einen Neuzugang in der Liste der 10 am weitesten verbreiteten Netzwerkangriffe, der sich erstmals ganz oben positionieren konnte. Bei der Signatur 1133630 handelt es sich um die oben erwähnte RCE-Schwachstelle von 2017, die Microsoft-Browser betrifft. Obwohl es sich um einen alten Exploit handelt und die meisten Systeme (hoffentlich) gepatcht sind, droht denjenigen, die das Update noch nicht eingespielt haben, ein böses Erwachen, sollte der Angreifer die Schwachstelle vor ihnen finden. Eine sehr ähnliche, ebenfalls hochgradig gefährliche RCE-Sicherheitslücke, die als CVE-2021-40444 bekannt ist, sorgte Anfang September für Schlagzeilen, als sie aktiv in gezielten Angriffen gegen Microsoft Office und Office 365 auf Windows 10-Computern ausgenutzt wurde. Office-basierte Bedrohungen via Malware sind nach wie vor sehr beliebt, weshalb WatchGuard diese Angriffsarten immer noch in freier Wildbahn entdeckt. Glücklicherweise werden sie von bewährten IPS-Schutzmaßnahmen erkannt.
Phishing-Domains geben sich als legitime Domains aus – WatchGuard hat in letzter Zeit eine Zunahme von Malware beobachtet, die auf Microsoft Exchange-Server und –ganz allgemein – E-Mail-Benutzer abzielt, um Remote-Access-Trojaner (RAT) an hochsensiblen Orten herunterzuladen. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass das 2. Quartal das zweite Quartal in Folge war, in dem Remote-Mitarbeiter entweder in hybride Büros und akademische Umgebungen zurückkehrten oder sich wieder wie gewohnt im Unternehmen befanden. In jedem Fall – oder an jedem Standort – ist es ratsam, bei den Anwendern ein starkes Sicherheitsbewusstsein zu entwickeln und auch die ausgehende Kommunikation von Geräten zu überwachen, die mit den angeschlossenen Endpunkten nicht direkt verbunden sind.
Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 16,6 Millionen Malware-Varianten (438 pro Gerät) und fast 5,2 Millionen Netzwerkbedrohungen (137 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem zweiten Quartal 2021, einen noch tieferen Einblick in die Bedrohungen, die in der ersten Jahreshälfte 2021 am Endpunkt erkannt wurden, empfohlene Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen und vieles mehr.
Der aktuelle Internet Security Report in englischer Sprache steht online zum Download zur Verfügung: https://www.watchguard.com/wgrd-resource-center/security-report-q2-2021