Anzeige

Zero Day

WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021 nochmals eine deutliche Zunahme bei der Verbreitung von Zero-Day-Malware festgestellt.

In dem Zusammenhang trat insbesondere die Schwäche signaturbasierter Antivirenlösungen offen zutage: Denn knapp 75 Prozent der entdeckten Bedrohungen dieser Art konnten von herkömmlichen Anwendungen zum Zeitpunkt der Veröffentlichung nicht erkannt werden. „Im letzten Quartal wurde die höchste Anzahl an Zero-Day-Malware-Attacken verzeichnet, die wir je registriert haben. Dies ist ein weiteres Zeichen dafür, dass Unternehmen ihre Abwehrmaßnahmen weiterentwickeln müssen, um den immer raffinierteren Bedrohungsakteuren einen Schritt voraus zu sein", sagt Corey Nachreiner, Chief Security Officer bei WatchGuard, und ergänzt: „Traditionelle Anti-Malware-Lösungen sind dieser Bedrohung gegenüber beinahe blind und reichen für die heutige Bedrohungslage einfach nicht mehr aus. Jedes Unternehmen benötigt eine mehrschichtige, proaktive Sicherheitsstrategie, die maschinelles Lernen und Verhaltensanalysen einschließt, um neue und fortschrittliche Bedrohungen zu erkennen und zu blockieren."

Der Internet Security Report von WatchGuard Q1 2021 enthält zudem neues Datenmaterial zu den gestiegenen Angriffsraten auf Netzwerke sowie den wichtigsten Malware-Attacken, und informiert darüber, auf welche Weise Angreifer alte Exploits tarnen und neu verwenden:

Dateilose Malware-Variante explodiert in der Popularität 

XML.JSLoader ist ein bösartiger Payload, der zum ersten Mal sowohl in WatchGuards Top-Malware nach Volumen als auch in der Liste der am weitesten verbreiteten Malware auftauchte. Diese Variante wurde von WatchGuard darüber hinaus im ersten Quartal am häufigsten via HTTPS-Inspektion entdeckt. Die Schadsoftware nutzt einen XML External Entity (XXE)-Angriff, um in einer Shell Befehle auszuführen, mit der die lokale PowerShell-Ausführungsrichtlinie umgangen wird. Der Vorgang läuft ohne jegliche Interaktion des Anwenders und damit vollständig im Hintergrund ab. XML.JSLoader ist ein weiteres Beispiel für die zunehmende Verbreitung von dateiloser Malware und den Bedarf an fortschrittlichen Lösungen für einen wirksamen Schutz am Endpunkt.

Einfacher Dateinamen-Trick hilft Hackern dabei, Ransomware-Loader als legitime PDF-Anhänge auszugeben 

Der Ransomware-Loader Zmutzy nimmt im ersten Quartal 2021 Platz 2 im Ranking der verschlüsselten Malware-Variante nach Volumen ein. Im Zusammenhang mit der Nibiru-Ransomware tritt diese Bedrohung als Anhang in Form einer gezippten Datei in E-Mails oder als Download von einer bösartigen Website auf. Beim Öffnen der Zip-Datei wird eine ausführbare Datei heruntergeladen, die sich jedoch als legitime PDF-Datei präsentiert. Die Angreifer verwenden im Dateinamen ein Komma anstelle eines Punktes sowie ein manuell angepasstes Symbol, um die bösartige ZIP-Datei als PDF auszugeben. Diese Art von Angriff unterstreicht die Wichtigkeit von Schulungen zum Thema Phishing sowie die Implementierung von Backup-Lösungen für den Fall, dass eine Variante wie diese eine Ransomware-Infektion auslöst.

IoT-Geräte weiter im Visier 

Die Variante Linux.Ngioweb.B wurde zwar nicht in die Top-10-Malware-Liste von WatchGuard für das erste Quartal aufgenommen, aber in letzter Zeit für den Angriff auf IoT-Geräte genutzt. Die erste Version zielte auf Linux-Server mit WordPress ab und nutzte das EFL (Extended Format Language)-Dateiformat. Eine andere Version dieser Malware verwandelt die IoT-Geräte in ein Botnet mit rollierenden Command-and-Control-Servern.

Netzwerkangriffe steigen um mehr als 20 Prozent 

WatchGuard-Appliances erkannten mehr als vier Millionen Netzwerkangriffe. Das entspricht einem Anstieg um 21 Prozent im Vergleich zum Vorquartal und stellt das höchste Volumen seit Anfang 2018 dar. Unternehmensserver und Assets vor Ort sind trotz der Verlagerung auf Remote- und hybride Arbeit immer noch hochwertige Ziele für Angreifer. Aus diesem Grund müssen Unternehmen neben benutzerorientierten Schutzmaßnahmen gleichzeitig die Perimetersicherheit aufrechterhalten.

Comeback einer alten Directory-Traversal-Angriffstechnik 

WatchGuard entdeckte im ersten Quartal eine neue Bedrohungssignatur, die einen Directory-Traversal-Angriff über Cabinet (CAB)-Dateien beinhaltet. Dieses von Microsoft entwickelte Archivierungsformat ist für verlustfreie Datenkompression und eingebettete digitale Zertifikate gedacht. Über diesen Exploit, der neu in die Top-10-Liste der Netzwerkangriffe von WatchGuard aufgenommen wurde, werden Benutzer entweder dazu verleitet, eine bösartige CAB-Datei mit konventionellen Techniken zu öffnen oder er täuscht einen mit dem Netzwerk verbundenen Drucker vor, damit Benutzer einen Druckertreiber über eine kompromittierte CAB-Datei installieren.

Die Lehren aus den HAFNIUM-Zero-Days: Lektionen zu Bedrohungstaktiken und Best Practices für die Reaktion 

Im letzten Quartal berichtete Microsoft, dass Angreifer die vier HAFNIUM-Schwachstellen in verschiedenen Exchange Server-Versionen ausnutzen, um vollständige, nicht authentifizierte System-Remotecode-Ausführung und beliebigen Dateischreibzugriff auf jeden ungepatchten Server zu erlangen, der mit dem Internet verbunden ist – was bei den meisten E-Mail-Servern den Normalzustand darstellt. Die Analyse von WatchGuard geht auf die Schwachstellen ein und unterstreicht die Bedeutung von HTTPS-Inspektionen, rechtzeitigem Patching und dem Austausch von Altsystemen.

Angreifer nutzen legitime Domains für Cryptomining-Kampagnen 

Im ersten Quartal blockierte der DNSWatch-Service von WatchGuard mehrere kompromittierte und bösartige Domains, die mit Cryptomining-Bedrohungen in Verbindung stehen. Kryptominer-Malware ist aufgrund der jüngsten Preisspitzen auf dem Kryptowährungsmarkt und der Leichtigkeit, mit der Bedrohungsakteure Ressourcen von ahnungslosen Opfern abschöpfen können, immer beliebter geworden.

Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 17,2 Millionen Malware-Varianten (461 pro Gerät) und fast 4,2 Millionen Netzwerkbedrohungen (113 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem 1. Quartal 2021, eine detaillierte Analyse der HAFNIUM-Microsoft-Exchange-Server-Exploits, wichtige Verteidigungstipps für die Leser und vieles mehr.

www.watchguard.de


Artikel zu diesem Thema

Hacker
Jun 23, 2021

Arbeitsteilung bei Ransomware: Die Zusammenarbeit cyberkrimineller Gruppen

Die Bedrohungslage in Sachen Ransomware hat sich in den letzten Wochen und Monaten…
Malware
Jun 22, 2021

Kuriose Malware vertreibt Softwarepiraten und blockiert ThePirateBay

Der jüngste Sophos-Fund ist eine Malware, die Filesharing-Nutzer angreift und den Zugang…
Update
Apr 09, 2021

Microsoft Exchange Server-Hack: Nach dem Angriff ist vor dem Angriff

Derzeit werden tausende Microsoft Exchange Server mit Updates gepatcht. Die…

Weitere Artikel

Exploit

Hacker nutzen Zero-Day-Schwachstelle aus

HP analysiert in seinem neuesten HP Wolf Security Threat Insights Report reale Cybersecurity-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Herzmonitor

Ransomware-Angriffe auf Krankenhäuser - Sind Leben in Gefahr?

Krankenhäuser in den USA wurden zuletzt verstärkt von Ransomware-Gruppen angegriffen. Statistische Berechnungen zeigen nun, dass dabei durchaus Gefahr für Leib und Leben besteht.
Bitcoin Smartphone

iPhone-Krypto-Betrug eskaliert nun auch in Europa

Neue Erkenntnisse von Sophos deuten darauf hin, dass der internationale Cyber-Betrug mit Kryptowährung eskaliert. Cyberkriminelle nutzen beliebte Dating-Apps wie Tinder und Bumble, um iPhones von arglosen Nutzern:innen für ihre betrügerischen Machenschaften…
Hacker

Wenn Prometheus das Feuer stiehlt

Moderne Versionen der Open-Source-Lösung Prometheus unterstützen Sicherheitsmechanismen wie Basisauthentifizierung und TLS, die explizit konfiguriert werden müssen und nicht standardmäßig aktiviert sind. Andernfalls können Hacker leicht sensible Informationen…
Hackerangriff

Reaktionszeit auf Cyberangriffe dauert mehr als zwei Arbeitstage

Deep Instinct, Entwickler eines Deep-Learning-Framework für Cybersicherheit, veröffentlicht mit der zweiten Ausgabe des halbjährlichen Voice of SecOps Reports neue Zahlen zur aktuellen Cyber-Bedrohungslage zu der weltweit Cybersicherheitsexperten befragt…
Ransomware

1 von 5 Unternehmen war schon Opfer von Ransomware

Eine kürzlich durchgeführte Umfrage der Cybersecurity-Experten von Hornetsecurity unter mehr als 820 Unternehmen ergab, dass 21 % der Befragten bereits Opfer eines Ransomware-Angriffs wurden. Ransomware ist eine der häufigsten und effektivsten Formen der…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.