Anzeige

Malware

Der aktuelle Internet Security Report von WatchGuard Technologies für das zweite Quartal 2020 offenbart einen bemerkenswerten Trend: Einerseits verzeichnet er einen achtprozentigen Rückgang über alle Malware-Formen hinweg. Anderseits erfolgten mehr als zwei Drittel solcher Angriffe über Zero-Day-Malware, die von signaturbasierten Antivirus-Lösungen nicht erkannt wird.

Insgesamt stieg die Anzahl dieser speziellen Malware-Varianten im Vergleich zum ersten Quartal um eindrucksvolle zwölf Prozent. Dazu Corey Nachreiner, CTO von WatchGuard: „Unternehmen sind offensichtlich nicht die einzigen, die ihre Abläufe aufgrund der globalen COVID-19-Pandemie angepasst haben – auch Cyberkriminelle haben ihr Vorgehen geändert. Die Zunahme von sogenannten ‚Sophisticated Attacks‘ lässt vermuten, dass die Angreifer – im Zuge der generellen Verlagerung zum dezentralen Arbeiten – darauf bauen, mit Zero-Day-Malware im Homeoffice-Umfeld noch schneller punkten zu können.“ Aus diesem Grund rät WatchGuard jedem Unternehmen zu einem mehrschichtigen Sicherheitskonzept, das nicht zuletzt eine moderne Gefahrenerkennung mithilfe fortschrittlicher Verhaltensanalysen ermöglicht und cloudbasiertes Sandboxing integriert.

Auch diesmal bietet der seit 2017 vierteljährlich veröffentlichte Internet Security Report von WatchGuard einen detaillierten Einblick zu den neuesten Trends bei Malware und Netzwerkangriffen. Die Daten basieren auf den anonymisierten Firebox-Feed-Daten von knapp 42.000 aktiven WatchGuard UTM-Appliances weltweit, deren Anwender dem Daten-Sharing zur Unterstützung des WatchGuard Threat Labs zugestimmt haben. Insgesamt blockierten die Appliances im zweiten Quartal 2020 über 28,5 Millionen Malware-Varianten (684 pro Gerät) und rund 1,75 Millionen Netzwerkangriffe (42 pro Gerät).

Zu den wichtigsten Ergebnissen des Berichts Q2 2020 gehören die folgenden Punkte. Dazu ein wichtiger Hinweis: Rufen Sie keinen der bösartigen Links auf, die in diesem Bericht genannt werden. Damit diese nicht automatisch anklickbar sind, wurden absichtlich Klammern um die Punkte in der URL gesetzt (z.B. www[.]site[.]com).

  • Cyberkriminelle setzen weiterhin auf getarnte (evasive) und verschlüsselte Angriffsmethoden:

    Zero-Day-Malware machte im zweiten Quartal mehr als zwei Drittel aller registrierten Malware-Attacken aus. Der Anteil von Angriffen, die über HTTPS-Verbindungen gesendet wurden, lag bei 34 Prozent. Organisationen, die nicht in der Lage sind, diese verschlüsselten Datenübertragungen zu überprüfen, agieren somit bei einem guten Drittel der darüber eingehenden Bedrohungen praktisch im Blindflug. Vor allem das Volumen der HTTPS-verschlüsselten Malware stieg in dem Zusammenhang dramatisch an. Es wurde jedoch auch deutlich, dass sich der Gesamtanteil der verschlüsselungsbasierten Gefahren verringert. Das deutet darauf hin, dass immer mehr Administratoren die HTTPS-Prüfung in ihren Firebox-Appliances aktivieren – trotzdem zeigen die 34 Prozent, dass es in diesem Bereich durchaus noch Luft nach oben gibt.
     
  • JavaScript-basierte Angriffe auf dem Vormarsch:

    Das Scam-Script Trojan.Gnaeus hat sein Debüt an der Spitze der WatchGuard-Top-10-Malware-Liste für das zweite Quartal gegeben und zeichnete für fast jede fünfte Malware-Erkennung verantwortlich. Gnaeus-Malware ermöglicht es Angreifern, mit verschleiertem Code die Kontrolle über den Browser des Opfers zu übernehmen. Anschließend werden eingegebene Web-Adressen gewaltsam zu Domains unter der Kontrolle des Angreifers umgeleitet. Berühmtheit erlangte darüber hinaus ein weiterer Popup-ähnlicher JavaScript-Angriff: J.S. PopUnder. Hierbei werden über ein verschleiertes Script die Systemeigenschaften des Rechners gescannt und Debugging-Versuche blockiert. Zum Schutz gegen diese Art von Bedrohungen sollten Unternehmen ihre Anwender daran hindern, Browser-Erweiterungen aus unbekannten Quellen zu installieren. Darüber hinaus ist wichtig, dass sowohl die Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sind und nur seriöse Adblocker zum Einsatz kommen.
     
  • Excel-Dateien als trojanisches Pferd für Malware:

    XML-Trojan.Abracadabra ist ein Neuzugang in der Liste der Top 10 der Malware-Erkennungen von WatchGuard. Seit dem erstmaligen Auftauchen der Technik im April hat sie rapide an Popularität zugenommen. Bei Abracadabra handelt es sich um eine Malware-Variante, die als verschlüsselte Excel-Datei mit dem Standard-Passwort für Excel-Dokumente „VelvetSweatshop“ ausgeliefert wird. Nach dem Öffnen entschlüsselt Excel die Datei automatisch, ein VBA-Makro-Script innerhalb des Arbeitsblatts lädt eine Datei herunter und führt sie aus. Aufgrund der Verwendung eines Standardkennworts umgeht diese Malware viele grundlegende Antiviren-Lösungen, da die Datei direkt von Excel verschlüsselt und dann entschlüsselt wird. Unternehmen sollten daher niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und cloudbasiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.
     
  • Comeback eines alten und hochgradig effizienten DoS-Angriffs:

    Eine sechs Jahre alte DoS-Schwachstelle (Denial-of-Service) in WordPress und Drupal tauchte im zweiten Quartal auf der WatchGuard-Liste der 10 volumenmäßig häufigsten Netzwerkangriffe auf. Diese Schwachstelle ist besonders schwerwiegend, da sie jede ungepatchte WordPress- und Drupal-Installation betrifft. Damit lassen sich DoS-Szenarien erzeugen, die von der zugrundeliegenden Hardware eine hohe CPU- und Speicherlast abverlangen. Trotz des hohen Volumens dieser Angriffe ließ sich der Fokus auf ein paar Dutzend Netzwerke in Deutschland eingrenzen. Da derartige DoS-Szenarien eine permanente Verbindung erfordern, haben die Angreifer ihre Ziele mit großer Wahrscheinlichkeit absichtlich ausgewählt.
     
  • Malware-Domains nutzen Command-and-Control-Server, um Schaden anzurichten:

    In die Liste der Top-Malware-Domains wurden von WatchGuard im 2. Quartal zwei neue Ziele aufgenommen. An der Spitze stand die Website findresults[.]site, die einen C&C-Server für eine Dadobra-Trojaner-Variante verwendet. Dabei kommt eine verschleierte Datei samt zugehörigem Registry-Eintrag zum Einsatz. So wird sichergestellt, dass der Angriff beim Start des Windows-Systems ausgeführt wird und sensible Daten exfiltriert sowie zusätzliche Malware heruntergeladen werden können. Ein Benutzer meldete dem WatchGuard-Team zudem die Domäne Cioco-froll[.]com. Dahinter verbirgt sich ein C&C-Server, der die Asprox-Botnet-Variante unterstützt, welche oft in PDF-Dokumenten mitreist. Ein zugehöriger C&C-Beacon informiert den Angreifer, wenn der Übergriff erfolgreich war und einer Teilnahme am Botnetz nichts mehr im Wege steht. DNS-Firewalling kann Organisationen dabei helfen, diese Art von Bedrohungen unabhängig vom Anwendungsprotokoll zu erkennen und zu blockieren.

Weitere Informationen:

Der vollständige Bericht mit vielen weiteren Details und Empfehlungen für adäquate Sicherheitsvorkehrungen auf Unternehmensseite steht hier zum Download bereit.

www.watchguard.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Malware
Sep 15, 2020

Fileless Malware: Meister der Tarnung

Für Cyberkriminelle ist Fileless Malware ein beliebtes Mittel, um unbemerkt Systeme zu…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…
Cybercrime Schloss
Jun 26, 2020

Von wegen sicher: HTTPS-Kommunikation gehört auf den Prüfstand

Der aktuell veröffentlichte WatchGuard Internet Security Report für das erste Quartal…

Weitere Artikel

Cybercrime

BSI-Lagebericht: Corona verschärft Cyber-Gefährdungslage

Die Corona-Pandemie hat großen Einfluss auf die Cyber-Sicherheitslage in Deutschland. Corona hat für einen Digitalisierungsschub in Deutschland gesorgt, den es nachhaltig zu gestalten, aber auch abzusichern gilt.
Phishing

Coronavirus-bezogene Phishing-E-Mail-Angriffe hören nicht auf

KnowBe4, Anbieter einer Plattform für die Schulung des Sicherheitsbewusstseins und simuliertes Phishing, stellt die Ergebnisse seines Q3 Phishing Reports vor. Der Bericht enthüllt, dass E-Mail-Betreffzeilen im Zusammenhang mit dem Coronavirus COVID-19 nach…
Ransomware

Ransomware - aktuelle Formen und wie sie sich weiterentwickeln werden

Auch in jüngster Zeit sind wieder etliche Ransomware-Vorfälle publik geworden. Aber wie werden sich die Angriffe weiterentwickeln und welche Risiken bergen sie für Unternehmen? Wie gehen CISOs und Vorstände das Dilemma "zahlen oder nicht zahlen" im Vorfeld…
Passwort

Hacker mit Passwortraten überraschend erfolgreich

Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am…
Schwachstelle

Nicht alle Schwachstellen sind eine Bedrohung

Die Computernetzwerke von Organisationen werden ständig erweitert: IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die die moderne Angriffsfläche darstellt. Mit jedem neuen Gerät, jeder neuen Verbindung oder Anwendung vergrößert sich diese…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!