Im dritten Quartal 2023 nahmen laut der aktuellen Analyse der Cisco Talos weltweite Bedrohungsvektoren für Web-Applikationen stark zu. Besonders stark von Angriffen betroffen waren die Telekommunikations- und Bildungsbranche. Eine der grössten Schwachstellen bleibt das Fehlen der Multi-Faktor-Authentifizierung.
Cisco Talos hat seinen vierteljährlichen Bericht über die Bedrohungslage im dritten Quartal 2023 veröffentlicht. Während dieses Zeitraums waren 30 Prozent aller Vorfälle auf Angriffe auf Web-Applikationen zurückzuführen, was im Vergleich zum Vorquartal (8 Prozent) einen deutlichen Anstieg darstellt. In diesen Angriffen waren vor allem Injektionsangriffe wie SQL Injection sowie Web Shells im Einsatz. Ransomware bleibt weiterhin eine ernsthafte Bedrohung und war für 10 Prozent der Vorfälle verantwortlich. Im dritten Quartal, welches die Monate Juli, August und September umfasste, waren die Ransomware-Familien LockBit und BlackByte erneut aktiv, wie auch in den vorherigen Quartalen. Allerdings hat das Talos-Team erstmals eine neue Variante der BlackByte-Ransomware namens BlackByte NT beobachtet.
Die Analyse zeigt, dass ungepatchte oder falsch konfigurierte Anwendungen und das Fehlen von Multi-Faktor-Authentifizierung (MFA) die beiden wichtigsten Sicherheitsschwachstellen darstellen. «Alle Organisationen sollten irgendeine Form von MFA implementieren, da sie einen wirksamen Schutzmechanismus darstellt, um den unbefugten Zugriff auf Systeme und Daten zu verhindern», sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz. Er weist aber darauf hin, dass man dennoch aufpassen muss. «Angreifer versuchen mit sogenannten Erschöpfungsangriffen, also vielen Push-Nachrichten gleichzeitig, die Nutzer auszutricksen. Es ist entscheidend, wachsam zu bleiben.»
Telekommunikation und Bildung im Visier
Telekommunikation und Bildung waren laut Talos die am stärksten angegriffenen Branchen, da sie jeweils 20 Prozent der Vorfälle ausmachten. Einzelne Bedrohungsakteure sowie Gruppen mit verschiedenen Motiven und unterschiedlichem Know-how waren dabei aktiv. Telekommunikationsunternehmen sind aufgrund ihrer Kontrolle über kritische Infrastrukturanlagen attraktive Ziele. Sie dienen als Einfallstor für Angreifer, um auf andere Unternehmen, Abonnenten oder Drittanbieter zuzugreifen. Diese Organisationen haben oft umfangreiche Mengen an Kundendaten, die von finanziell motivierten Cyberkriminellen wie Ransomware-Gruppen häufig ins Visier genommen werden. Bildungseinrichtungen sind ein attraktives Ziel für Cyberkriminelle, da sie Zugang zu grossen Mengen persönlich identifizierbarer Daten von Studierenden sowie wertvollem geistigem Eigentum von Forschungsinstituten haben. Vielen Bildungsorganisationen fehlt jedoch das Budget für ausreichende Cybersicherheitsmassnahmen, was ihre Verteidigungsfähigkeiten einschränken kann.
Im dritten Quartal 2023 wurde die bisher unbekannte APT-Gruppe "ShroudedSnooper" entdeckt. Diese Gruppe hat es auf Telekommunikationsunternehmen abgesehen und folgt somit einem Trend zu hochentwickelten Angriffen in diesem Sektor. Im Rahmen ihrer Aktivitäten hat "ShroudedSnooper" zwei neue Backdoor-Implantate namens "HTTPSnoop" und "PipeSnoop" eingesetzt. Diese Backdoors interagieren mit Windows-HTTP-Kern-Treibern und Geräten, um eingehende Anfragen für spezifische HTTP(S)-URLs zu überwachen und den darin enthaltenen Inhalt auf dem infizierten Endpunkt auszuführen. Den vollständigen Quartalsbericht Q3 2023 finden Sie hier.