Watchguard Technologies hat den neuen Internet Security Report für das dritte Quartal 2023 veröffentlicht. Die Forscher haben erneut die wichtigsten Malware-Trends und Bedrohungen für die Netzwerk- und Endpunktsicherheit identifiziert. Ein wesentliches Ergebnis ist vor allem die - im Vergleich zum Vorquartal - nahezu verdoppelte Anzahl von Ransomware-Angriffen auf Endgeräte.
Auffallend ist auch der Rückgang von Malware, die über verschlüsselte Verbindungen übertragen wird. Darüber hinaus zeigen die Daten, dass sich der Missbrauch von Fernzugriffssoftware neuer Beliebtheit erfreut und Cyber-Angreifer vermehrt auf Passwort- und Info-Stealer setzen, um an wertvolle Zugangsdaten zu gelangen. Last but not least unterstreicht der aktuelle Bericht: Endpunktangriffe basieren weniger auf dem Missbrauch von Skripten, stattdessen werden vermehrt andere Living-off-the-land-Techniken eingesetzt.
Die wichtigsten Ergebnisse:
Fernverwaltungstools und -software steigen in der Gunst der Hacker – Wie sowohl die zentrale Sicherheitsbehörde der USA, FBI (Federal Bureau of Investigation), als auch die US-amerikanischen Bundesbehörde CISA (Cybersecurity and Infrastructure Security Agency) bestätigen, versuchen Cyberkriminelle mithilfe von Remote Access Software immer häufiger, einer Erkennung durch Anti-Malware-Scans zu entgehen. Bei der Untersuchung der wichtigsten Phishing-Domänen identifizierte das Threat Lab beispielsweise einen Täuschungsversuch im Umfeld des Technischen Supports, der darauf ausgelegt war, dass das Opfer eine vorkonfigurierte, nicht autorisierte Version von TeamViewer herunterlädt, die dem Angreifer vollen Fernzugriff auf den Computer ermöglicht.
Ausbreitung der Ransomware-Variante Medusa führt zu einem Anstieg von 89 Prozent bei endgerätefokussierten Ransomware-Angriffen – Auf den ersten Blick sah es zunächst nach einem Ransomware-Rückgang in den Monaten Juli bis September 2023 aus. Dieses Bild veränderte sich jedoch mit der Ransomware-Variante Medusa, die zum ersten Mal in den Top 10 der Malware-Bedrohungen auftauchte und über eine generische Signatur vom Threat Lab identifiziert wurde. Damit legt die Zahl der Ransomware-Angriffe im Vergleich zum Vorquartal sogar um 89 Prozent zu.
Bedrohungsakteure wenden sich von skriptbasierten Angriffen ab und setzen zunehmend andere Living-off-the-land-Techniken ein – Bösartige Skripte als Angriffsvektor verzeichnen im dritten Quartal einen Rückgang von 11 Prozent, bereits im zweiten Quartal waren entsprechende Szenarien um 41 Prozent rückläufig. Dennoch machen skriptbasierte Angriffe mit 56 Prozent nach wie vor den Löwenanteil aller verzeichneten Vorfälle aus. Skriptsprachen wie PowerShell werden nach wie vor häufig für "Living-off-the-Land"-Attacken verwendet. Parallel dazu stieg die Zahl einschlägig missbrauchter Windows-Binärdateien um 32 Prozent deutlich. Diese Ergebnisse zeigen den Threat Lab-Forschern, dass Bedrohungsakteure weiterhin unterschiedlichste "Living-off-the-Land"-Techniken einsetzen – wahrscheinlich nicht zuletzt als Reaktion auf die verstärkten Schutzmassnahmen gegenüber PowerShell und anderen Skriptsprachen.
Malware, die über verschlüsselte Verbindungen ans Ziel gelangt, geht um die Hälfte zurück – Nur noch knapp die Hälfte der identifizierten Malware wurde im dritten Quartal über verschlüsselte Verbindungen übertragen. Diese Zahl ist bemerkenswert, da sie im Vergleich zu den vorangegangenen Quartalen deutlich gesunken ist. Insgesamt stieg die Zahl der entdeckten Schadprogramme um 14 Prozent.
E-Mail-basierte Dropper-Familie dominiert Top 5 der verschlüsselt übertragenen Malware-Varianten – Vier von fünf Malware-Varianten in den besagten Top 5 lassen sich einer Dropper-Familie namens Stacked zuordnen. Im Zuge von Spear-Phishing versenden Bedrohungsakteure E-Mails mit bösartigen Anhängen, die scheinbar von einem bekannten Absender stammen und vorgeben, eine Rechnung oder ein wichtiges Dokument zur Überprüfung zu enthalten, um Endbenutzer zum Herunterladen von Malware zu verleiten.
Stealer-Malware ist im Kommen – Im Hinblick auf Top-Malware-Bedrohungen hat es eine neue Malware-Familie in die Bestenliste geschafft: Lazy.360502. Sie liefert die Adware-Variante 2345explorer sowie den Vidar Password Stealer und ist mit einer chinesischen Website verbunden, die offensichtlich ein „Password Stealer as a Service“-Angebot unterstützt. Auf diese Weise können Cyberkriminelle gestohlene Anmeldedaten ganz einfach käuflich erwerben.
Netzwerkangriffe verzeichnen einen Anstieg von 16 Prozent – ProxyLogon war dabei die am häufigsten adressierte Schwachstelle bei Netzwerkangriffen. Darauf lassen sich insgesamt 10 Prozent aller netzwerkspezifischen Erkennungen zurückführen.
Drei neue Signaturen schaffen es in die Top 50 der Netzwerkangriffe – Dazu gehört eine PHP Common Gateway Interface Apache-Schwachstelle aus dem Jahr 2012, über die sich ein Pufferüberlauf auslösen lässt. Hinzu kommt eine Microsoft .NET Framework 2.0-Schwachstelle aus dem Jahr 2016, die als Sprungbrett für Denial-of-Service-Angriffe dient. Komplett wird das Trio durch eine SQL-Injection-Schwachstelle im Open-Source-CMS Drupal aus dem Jahr 2014. Diese ermöglicht es Angreifern, ohne jegliche Authentifizierungsschranken von aussen auf Drupal zuzugreifen.
Alle Erkenntnisse basieren - gemäss dem Konzept der „Watchguard Unified Security Platform“ und in Übereinstimmung mit den bisherigen Quartalsauswertungen - auf anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen zum Schutz von Netzwerken und Endgeräten, deren Besitzer der Weitergabe von Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Labs zugestimmt haben.