
Analyse zeigt außerdem Verdreifachung bei Angriffen via Log4Shell, die Rückkehr des Emotet-Botnets und eine Zunahme bei Kryptomining-Aktivitäten
Die Bedrohung durch Ransomware wächst unaufhaltsam weiter: Laut Analyse des WatchGuard Threat Lab gab es bereits im ersten Quartal 2022 doppelt so viele einschlägige Angriffsversuche wie im gesamten Vorjahr.
Dazu Corey Nachreiner, Chief Security Officer bei WatchGuard: „Basierend auf dem extrem hohen Niveau von Ransomware gleich zu Jahresbeginn und unseren Daten aus den vorangegangenen Quartalen gehen wir davon aus, dass 2022 im Hinblick auf Ransomware alle bisherigen Rekorde brechen wird. Aus diesem Grund empfehlen wir jedem Unternehmen – und vor allem denjenigen in der besonders betroffenen EMEA-Region – dringend, wirksame Maßnahmen für einen weitreichenden Schutz der IT-Infrastrukturen umzusetzen. Ganzheitlichkeit spielt in dem Zusammenhang eine entscheidende Rolle, denn nur mithilfe von Unified Security kann den sich stetig weiterentwickelnden Bedrohungen dauerhaft effizient begegnet werden.“
Als wäre die Gefahr durch Ransomware nicht schon genug, verzeichnete das WatchGuard Threat Lab darüber hinaus im ersten Quartal 2022 eine Rückkehr des Emotet-Botnets in großem Stil, die Verdreifachung von Angriffen auf die Log4Shell-Schwachstelle und eine Zunahme von bösartigen Kryptomining-Aktivitäten.
Wichtige Erkenntnisse aus dem Internet Security Report für das erste Quartal 2022 im Überblick:
Anzahl der Ransomware-Attacken explodiert – Noch im vierten Quartal 2021 notierte der WatchGuard Internet Security Report eine rückläufige Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr. Dieser Trend kehrte sich im ersten Quartal 2022 dramatisch um. Auffallend ist, dass die Anzahl der im ersten Quartal erkannten Ransomware-Angriffe bereits doppelt so hoch ist wie die Gesamtzahl der Entdeckungen im Jahr 2021.
EMEA-Region weiterhin ein Hotspot für Malware-Bedrohungen – Die regionale Zuordnung im Hinblick auf einfache wie evasive Malware zeigt, dass Firebox-Aplliances in Europa, dem Nahen Osten und Afrika (EMEA) mit 57 Prozent Anteil in der Gesamtstatistik deutlich stärker unter Beschuss standen als die Appliances in Nord-, Mittel- und Südamerika (AMER, hier 22 Prozent) oder der Region Asien-Pazifik (APAC, 21 Prozent).
REvil ist Geschichte, dafür kommt LAPSUS$ – Zwar wurde im vierten Quartal 2021 die berüchtigte Cybergang REvil aufgelöst, dafür macht nun mit LAPSUS$ eine andere Erpressergruppe negativ auf sich aufmerksam. Erste Analysen von WatchGuard deuten darauf hin, dass diese in Verbindung mit vielen neuen Ransomware-Varianten wie BlackCat, der ersten in der Programmiersprache Rust geschriebenen Schadsoftware, zu einer konsequenten Ausdehnung der Ransomware-Bedrohungslandschaft beitragen könnte.
Log4Shell neu auf der Top-10-Liste der Netzwerkangriffe – Die Apache Log4j2-Schwachstelle, auch bekannt als Log4Shell, wurde Anfang Dezember 2021 bekannt und tauchte im besagten Quartal erst spät auf der Top-10-Liste der Netzwerkangriffe auf. Im Vergleich zu allen IPS-Erkennungen in diesem Zeitraum hat sich der Anteil der Log4Shell-Signatur im ersten Quartal dieses Jahres jedoch fast verdreifacht. Log4Shell wurde im letzten Internet Security Report aufgrund der höchstmöglichen 10,0-Punktzahl im Common Vulnerability Scoring System (CVSS) als Top-Sicherheitsvorfall hervorgehoben. Die Gründe dafür finden sich in der breiten Verwendung von Java-Programmen und der einfachen Ausführung von beliebigem Code.
Comeback von Emotet – Emotet machte in den ersten drei Monaten dieses Jahres gleich mit drei der Top-10-Erkennungen auf sich aufmerksam und stellt nach seiner Rückkehr im vierten Quartal 2021 die am weitesten verbreitete Malware in Q1/2022 dar. Die entdeckten Varianten Trojan.Vita (diese hatte es vor allem auf Japan abgesehen und taucht in der Liste der fünf meistverschlüsselten Malware-Varianten auf), und Trojan.Valyria nutzen beide Exploits in Microsoft Office, um das Botnetz Emotet herunterzuladen. Das dritte mit Emotet in Verbindung stehende Malware-Sample MSIL.Mensa.4 kann sich über angeschlossene Speichergeräte verbreiten und zielte hauptsächlich auf Netzwerke in den USA ab. Die Daten des WatchGuard Threat Lab zeigen, dass Emotet als Dropper fungiert und die Datei von einem Malware-Delivery-Server herunterlädt und installiert.
PowerShell-Skripte an der Spitze der zunehmenden Angriffe auf Endpunkte – Die Gesamtzahl der identifizierten Endpunkt-Attacken im ersten Quartal ist gegenüber dem Vorquartal um 38 Prozent gestiegen. Skripte, insbesondere PowerShell-basierte, stellten in diesem Zeitraum den dominierenden Angriffsvektor dar. Mit einem Anteil von 88 Prozent trieben sie die Zahl der gesamten Endpunkt-fokussierten Ereignisse im Vergleich zum vorherigen Quartal deutlich nach oben. PowerShell-Skripte waren für 99,6 Prozent der Skript-bezogenen Vorfälle in den ersten drei Monaten verantwortlich. Daraus lässt sich ein klarer Trend ablesen: Angreifer setzen zunehmend auf dateilose und Living-off-the-land-Attacken mit legitimen Tools. Obwohl sich diese Skripte einer hohen Beliebtheit erfreuen, zeigen die Daten von WatchGuard, dass auch andere Quellen für Malware nicht übersehen werden sollten.
Legales Kryptomining mit bösartigen Hintergrundaktivitäten – Die drei Neuzugänge in der Liste der Top-Malware-Domänen im ersten Quartal standen in Zusammenhang mit Nanopool. Auf dieser beliebten Kryptomining-Plattform werden unterschiedliche Kryptowährungen gebündelt, um einen stetigen Ertragsfluss zu gewährleisten. Technisch gesehen sind diese Domänen legitim und mit einer legal arbeitenden Organisation verbunden. Die Verbindungen zu diesen Mining-Pools entstehen jedoch fast immer in einem Unternehmens- oder Bildungsnetzwerk durch Malware-Infektionen und nicht durch legitime Mining-Aktivitäten.
Unternehmen sehen sich nach wie vor mit einer Vielzahl einzigartiger Netzwerkangriffe konfrontiert – Während die Top-10-IPS-Signaturen 87 Prozent aller Netzwerkangriffe ausmachten, erreichte die Zahl der einzigartigen Erkennungen den höchsten Stand seit Anfang 2019. Dieser Anstieg deutet darauf hin, dass sich automatisierte Angriffe auf eine kleinere Teilmenge potenzieller Exploits konzentrieren, anstatt auf Masse zu setzen. In Summe prasselt auf Unternehmen jedoch immer noch eine große Bandbreite an Angriffen ein.
All diese Erkenntnisse des vierteljährlichen Forschungsberichts von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im ersten Quartal 2022 blockierte WatchGuard insgesamt mehr als 21,5 Millionen Malware-Varianten (274 pro Gerät) und rund 4,7 Millionen Netzwerkbedrohungen (60 pro Gerät). Der vollständige Bericht enthält neben den vielfältigen Einblicken in die Malware- und Netzwerktrends aus dem ersten Quartal 2022 adäquate Hinweise zu empfohlenen Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen.
Der Internet Security Report in englischer Sprache steht online zum Download zur Verfügung: https://www.watchguard.com/de/wgrd-resource-center/security-report-q1-2022
Fachartikel

ChatGPT bei der Arbeit nutzen? Nicht immer eine gute Idee

Das Aktualisieren von Software-Agenten als wichtige Praktik der Cyberhygiene auf MSP-Seite

Kosteneinsparungen und Optimierung der Cloud-Ressourcen in AWS

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aufkommende Trends in der externen Cyberabwehr

Cyber-Sicherheit für das Management – Handbuch erhöht Sicherheitsniveau von Unternehmen

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich
Unter4Ohren

Optimierung der Cloud-Ressourcen und Kosteneinsparungen in AWS

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit
