Thought Leadership
Die IT-Sicherheitsprofis von Rapid7 stellen heute den neuen Quarterly Threat Report vor. Im zweiten Quartal 2018 haben wir weiterhin ein hohes Maß an Aktivitäten beobachtet, die darauf abzielten, für die Cyberangreifer attraktive Systeme zu identifizieren und zu kompromittieren.
Dies erfolgte unabhängig davon, ob der Plan darin bestand, Finanzinformationen zu stehlen oder, wie wir es immer häufiger sehen, andere sensible Informationen zu stehlen, wie z.B. Zugangsdaten, die für eine Vielzahl von informationsbasierten Operationen verwendet werden können.
Die gute Nachricht ist, dass sich viele der Taktiken, die zur Erreichung dieser Ziele eingesetzt werden, nicht so drastisch verändert haben. Die Motivationen und die Art und Weise, wie gestohlene Informationen verwendet werden, sind gleichgeblieben.
Weitere wichtige Beobachtungen im zweiten Quartal 2018 waren:
- Rapid7 hat anhaltende Aktivitäten von Identitätsdiebstahl und Datenlecks in Benutzerkonten in allen Branchen festgestellt, zusammen mit einer Zunahme von Fernzugriffsversuchen.
- Zusätzlich zu Microsofts Server Message Block (SMB)-Protokoll zeigten die Angreifer Interesse an Microsofts Remote-Desktop-Protokoll (RDP), wobei die Angreifer bei vielen Zugriffsversuchen Brute-Force-Methoden anwendeten.
- Botnet-Wrangler haben sich im zweiten Quartal definitiv keine Urlaubszeit genommen. Unsere Heisenberg Honeypot Nodes haben in diesem Zeitraum zahlreiche Versuche identifiziert, verschiedene Geräte und Dienste zu erfassen und zu kapern. Hierzu zählen Kampagnen gegen verschiedene Router, Android-Debugger-fähige Systeme, Drupal und WebLogic.
- Insgesamt zeigte das zweite Quartal 2018 eine Rückkehr zu den erwarteten Aktivitätsmustern. Die Angreifer konzentrierten sich dabei auf die Sektoren und Datentypen, die sie seit Jahren kennen und lieben: Finanzdaten, Kundendaten und sensible Informationen, die – nur begrenzt durch die Phantasie des Angreifers – vielfältig genutzt werden können. Krypto-Mining hat sich auch fest etabliert. So beobachten wir von Quartal zu Quartal eine Zunahme von Krypto-Minern auf Systemen sowie neue Bot-basierte Kampagnen wie die jüngsten MikroTik-, WebLogic- und ADB-Aktivitäten.
- Der Fernzugriff ist sowohl beim Diebstahl von Informationen als auch beim Schürfen von Krypto-Währungen von höchster Bedeutung. Diebstahl von Zugangsdaten, Credential Dumping und Brute-Force-Taktiken dienen allesamt dazu, sich den Zugang zu Systemen zu verschaffen. Durch die Überwachung und Erkennung von Brute-Force-Angriffen, verdächtiger Authentifizierung aus verschiedenen Ländern und Authentifizierung von verschiedenen Unternehmen ist es möglich, diese Art von Aktivitäten zu identifizieren. Die Implementierung von Multi-Faktor-Authentifizierung und die Überwachung, ob Zugangsdaten kompromittiert wurden, können Unternehmen dabei helfen, sich aktiv vor diesen Bedrohungen zu schützen.
Das Verständnis der Risiken ist ein weiterer wichtiger Aspekt bei der Bekämpfung der Bedrohungen, die wir von Quartal zu Quartal erleben. Extern exponiertes RDP (Remote Desktop Protocol), selbst wenn es nur für einen kurzen Zeitraum offenliegt, kann verheerende Auswirkungen auf ein Unternehmen haben. Dies konnten wir bei mehreren RDP-fähigen Ransomware-Angriffen im zweiten Quartal beobachten.
Die Exposition kann sich nicht nur auf die herkömmliche IT-Infrastruktur eines Unternehmens auswirken, sondern kann auch bedeuten, dass dessen eingebetteten Systeme, einschließlich Kameras, Türklingeln und Bewegungssensoren, zu Botnets hinzugefügt werden. Diese werden zur Durchführung zusätzlicher Angriffe verwendet, während sie an den fremden Ressourcen zehren. Das Wissen über Bedrohungen und über die eigene Umgebung sowie ein aktiver Ansatz zur Behebung von Bedrohungen und Schwachstellen tragen wesentlich dazu bei, dass Unternehmen und deren Netzwerke sicher bleiben.
Weitere Informationen:
Sie finden den Report zum Download hier.
