Share
Beitragsbild zu Ransomware-Varianten in sechs Monaten fast verdoppelt

Ransomware-Varianten in sechs Monaten fast verdoppelt

Exploit-Trends zeigen, dass Endpunkte weiterhin ein beliebtes Ziel bleiben

Fortinet hat den neuesten halbjährlichen FortiGuard Labs Global Threat Landscape Report veröffentlicht. Einen detaillierten Überblick über den Bericht sowie einige wichtige Erkenntnisse finden Sie in diesem Blogbeitrag. Es folgen die Highlights des Berichts 1H 2022:

  • Die Bedrohung durch Ransomware verändert sich stetig weiterRansomware as a Service (RaaS) schafft eine immer größere Bandbreite an Varianten.
  • Cyberangreifer zielen nach wie vor auf Work-from-Anywhere (WFA)-Endpunkte ab, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Umgebungen in Betriebstechnologie (OT) und Informationstechnik (IT) sind beide attraktive Ziele für Cyberkriminelle, da diese nach Angriffsvektoren in der wachsenden Angriffsfläche und der IT/OT-Konvergenz suchen.
  • Zerstörerische Bedrohungstrends entwickeln sich ständig weiter, wie die Verbreitung von Wiper-Malware als Teil von Angreifer-Toolkits zeigt.
  • Cyberkriminelle setzen verstärkt auf Technologien, mit denen sie Aufklärung betreiben und Abwehrmaßnahmen umgehen können, um so die Präzision und die zerstörerische Wirkung von Waffen in der gesamten Cyberangriffskette zu erhöhen.

Die Zunahme von Ransomware-Varianten zeigt, wie sich Cybercrime-Ökosysteme entwickeln: Ransomware bleibt eine der größten Bedrohungen und Cyberangreifer stecken weiterhin signifikante Ressourcen in die Entwicklung neuer Angriffstechniken. In den vergangenen sechs Monaten entdeckten die FortiGuard Labs insgesamt 10.666 Ransomware-Varianten. In den sechs Monaten davor waren es gerade einmal 5.400. Die Anzahl der Ransomware-Varianten hat sich also innerhalb eines halben Jahres nahezu verdoppelt. Die Beliebtheit von RaaS bringt daher eine ganze Industrie von Cyberkriminellen mit sich. Die zwingen Unternehmen dazu, Lösegeldzahlungen in Betracht zu ziehen. Um sich vor Ransomware zu schützen, benötigen Unternehmen, unabhängig von ihrer Branche oder Größe, einen proaktiven Ansatz. Echtzeit-Transparenz, Schutz und Remediation in Verbindung mit Zero-Trust Network Access (ZTNA) und fortschrittlicher Endpunkt-Detection and Response (EDR) sind dabei entscheidend.

Exploit-Trends zeigen, dass OT und Endpoint nach wie vor unwiderstehliche Ziele sind: Die digitale Konvergenz von IT und OT sowie die für mobiles Arbeiten genutzten Endpunkte bleiben wichtige Angriffsvektoren. Bei vielen Attacken auf Schwachstellen am Endpunkt verschaffen sich unbefugte Benutzer Zugang zu einem System mit dem Ziel, tiefer in Unternehmensnetzwerke einzudringen. So wurden beispielsweise eine Spoofing-Schwachstelle (CVE 2022-26925) und eine RCE-Schwachstelle (CVE 2022-26937) besonders häufig ausgenutzt. Auch die Analyse von Endpunkt-Schwachstellen nach Umfang und Entdeckungen zeigt den Weg von Cyberangreifern, die versuchen, sich Zugang zu verschaffen, indem sie alte und neue Schwachstellen nutzen. Auch bei der Betrachtung der OT-Schwachstellentrends zeigt sich keine Ausnahme. Bei einer Vielzahl von Geräten und Plattformen wurden Schwachstellen ausgenutzt. Das verdeutliche die alltägliche Situation der Cybersecurity durch die zunehmende Zusammenführung von IT und OT. Moderne Endpoint-Technologie kann dazu beitragen, infizierte Geräte in einem frühen Stadium eines Angriffs zu entdecken und die Bedrohung effektiv abzuwehren. Darüber hinaus können Dienste wie ein Digital Risk Protection Service (DRPS) genutzt werden, um externe Bedrohungsanalysen durchzuführen, Sicherheitsprobleme zu finden und zu beheben sowie kontextbezogene Erkenntnisse über aktuelle und drohende Gefahren zu gewinnen.

Zerstörerische Bedrohungen fassen durch Wiper-Malware immer mehr Fuß: Wiper-Malware-Trends zeigen eine verstörende Entwicklung zerstörerischer und ausgefeilterer Angriffstechniken durch Schadsoftware, die Daten vollständig löscht. Der Krieg in der Ukraine sorgte für einen massiven Anstieg der Wiper-Malware unter Angreifern, die sich primär kritischen Infrastrukturen widmeten. FortiGuard Labs identifizierten mindestens sieben neue Wiper-Varianten in den ersten sechs Monaten 2022, die von Angreifern in verschiedenen gezielten Kampagnen gegen staatliche, militärische und private Organisationen eingesetzt wurden. Diese Zahl ist wichtig, denn sie ist fast so hoch wie die Gesamtzahl der Wiper-Varianten, die seit 2012 öffentlich entdeckt wurden. Zudem waren die Wiper nicht regional beschränkt, sondern wurden neben der Ukraine in 24 weiteren Ländern entdeckt. Um die Auswirkungen von Wiper-Angriffen zu minimieren, ist Network Detection and Response (NDR) mit selbstlernender Künstlicher Intelligenz (KI) hilfreich, um Eindringlinge besser zu erkennen. Außerdem müssen Backups außerhalb des Firmengeländes und offline gespeichert werden.

Die Abwehr zu umgehen bleibt weltweit die beliebteste Angriffstaktik: Die Untersuchung der Strategien von Widersachern gibt Aufschluss darüber, wie sich Angriffstechniken und -taktiken weiterentwickeln. FortiGuard Labs analysierte die Funktionalität entdeckter Malware, um die gängigsten Ansätze der letzten sechs Monate zu ermitteln. Unter den acht wichtigsten auf den Endpunkt fokussierten Taktiken und Techniken war die Umgehung der Verteidigung die von Malware-Entwicklern am häufigsten eingesetzte Taktik. Dabei nutzen sie häufig die Ausführung von System-Binärproxys. Eines der wichtigsten Ziele der Angreifer ist, die bösartigen Absichten zu verbergen. Daher versuchen sie, diese zu verschleiern und die Abwehrmaßnahmen zu umgehen. Dafür verwenden sie ein legitimes Zertifikat, um einen vertrauenswürdigen Prozess auszuführen und so ihre schädlichen Absichten umzusetzen. Die zweitbeliebteste Technik war die Prozessinjektion, bei der Kriminelle versuchen, Code in das Adressfeld eines anderen Prozesses einzuschleusen, um Verteidigungsmaßnahmen zu umgehen und die Tarnung zu verbessern. Unternehmen werden besser in der Lage sein, sich gegen das breite Instrumentarium von Angreifern zu schützen, wenn sie über diese verwertbaren Informationen verfügen. Integrierte, KI- und ML-gesteuerte Cybersecurity-Plattformen mit fortschrittlichen Erkennungs- und Reaktionsfunktionen, die auf praxisbezogenen Bedrohungsdaten basieren, sind wichtig, um alle Bereiche hybrider Netzwerke zu schützen.

KI-gestützte Security schützt die erweiterte Angriffsfläche:

Wenn Unternehmen praxisbezogene Bedrohungsdaten nutzen, um ein besseres Verständnis für die Ziele und Taktiken von Angreifern zu entwickeln, können sie ihre Abwehrmaßnahmen besser aufstellen. So können sie angesichts sich schnell weiterentwickelnder Techniken ihre Abwehrmaßnahmen frühzeitig aktiv anpassen. Bedrohungsdaten sind entscheidend wichtig, um Patch-Strategien leichter priorisieren zu können und so die Umgebungen besser abzusichern. Darüber hinaus sind das Bewusstsein für Cybersecurity und entsprechende Trainings besonders wichtig, um Mitarbeitende und Security-Teams in einer wandelnden Bedrohungslandschaft auf dem neusten Stand zu halten. Unternehmen benötigen einen Security-Betrieb, der mit maschineller Geschwindigkeit laufen kann, um mit dem Umfang, der Raffinesse und Häufigkeit der heutigen Cyberbedrohungen mitzuhalten. KI- und Machine-Learning-gestützte Prävention sowie Bedrohungserkennung und Reaktionsmaßnahmen auf Basis einer Cybersecurity-Mesh-Architektur ermöglichen eine engere Integration, einen erhöhten Automatisierungsgrad und eine schnellere, besser koordinierte, effektive Bedrohungsabwehr über das gesamte Netzwerk hinweg.

Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs

„Cyberkriminelle entwickeln ihre Playbooks weiter, um Abwehrmechanismen zu umgehen und ihre Operationen zu skalieren. Sie setzen auf aggressive Strategien wie Erpressung oder Datenlöschung und eine ausführlichere Erkundungsphase vor dem eigentlichen Angriff. So können sie durch ihre Investitionen in Bedrohungen höhere Gewinne erzielen. Um diese ausgeklügelten Angriffe zu bekämpfen, benötigen Unternehmen integrierte Security-Lösungen, die Bedrohungsdaten in Echtzeit verarbeiten und Bedrohungsmuster erkennen können. Sie müssen massive Datenmengen korrelieren, um Anomalien zu entdecken und automatisch eine koordinierte Antwort über hybride Netzwerke hinweg anstoßen.“

 

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden