Anzeige

Log4Shell

Die Log4Shell-Schwachstelle wird seit ihrer Offenlegung am 9. Dezember 2021 von Apache als CVE-2021-44228 aktiv ausgenutzt. Die Ergebnisse sind dabei erstaunlich.

Die meisten Angriffsversuche kommen scheinbar aus westlichen Industrieländern wie Deutschland, den USA und den Niederlanden, verschleiern aber ihre Herkunft offenbar teilweise hinter Exit-Nodes des Tor-Netzes. Dass legt die Vermutung nahe, dass die Angreifer tatsächlich aus anderen Ländern heraus agieren. Fast jedes zweite Opfer weltweit befindet sich in den USA. Das ergibt die Datenanalyse der Bitdefender Labs Honeypots und der Bitdefender Telemetrie von mehreren 100 Millionen Endpunkten vom 9 bis zum 16. Dezember. Bitdefender stellt aktuell im Darknet ein hohes Interesse an den neuen Angriffsmöglichkeiten fest.

Weiter dynamische Bedrohungslage und aktive Hacker-Szene

Da es Monate dauern wird, Schwachstellen zu schließen oder auch nur das Ausmaß der Bedrohung zu verstehen, haben die Hacker nun ein großes Zeitfenster, die Schwachstelle auszunutzen. Zwar haben die Bitdefender Labs noch keine Aktivitäten bekannter Ransomware-as-a-Service-Banden oder APT-Hintermänner entdeckt. Aber viele suchen nach Möglichkeiten, jetzt einen Fuß in die Netzwerke zu setzen, um später aktiv zu werden. Bitdefender geht davon aus, dass professionelle Angreifer diese Lücke als erstes Vehikel für ihre langfristige Attacken auf hochrelevante Ziele nutzen werden. Danach werden sie die Schachstelle heimlich schließen, um andere Angreifer auszuschließen und ihr Eindringen vor dem Abwehr-Scan zu verbergen. Die Attacken werden kommen, wenn sich der Sturm gelegt hat. Vermutlich werden die Angreifer bis Weihnachten oder den Jahreswechsel mit ihren tatsächlichen Angriffen warten.

Woher kommen die Angriffe?

Laut Telemetriedaten stammen mit 34 % die meisten Angriffe auf echte Endpunkte scheinbar aus Deutschland, vor den USA mit 26 %  (Bild 1). Hier ist aber die Verschleierung des Ursprungsortes über das Tor-Netzwerk zu berücksichtigen.

Bild 1: Ursprungsländer der Log4Shell-Angriffe auf echte Endpunkte – Bitdefender Telemetrie-Daten. (Quelle: Bitdefender)

Bei den in den letzten sieben Tagen gezählten 36.000 Honeypot-Attacken ergibt sich ein anderes Bild: Hier kommen die Angriffe am häufigsten aus den USA (21 %). Dahinter liegen Indien (20 %), Deutschland und Hong Kong mit jeweils 12 % - dicht gefolgt von China (10 %) und Russland (9 %)  (Bild 2).

Bild 2: Ursprungsländer der Log4Shell-Angriffe auf Honeypots – Bitdefender Honeypot-Daten. (Quelle: Bitdefender)

Fast jedes zweite angegriffene Netzwerk befindet sich laut Bitdefender-Telemetrie in den USA (48 %), gefolgt von Kanada und Großbritannien (jeweils 8 %) und Rumänien (7 %). Deutschland liegt hier auf Platz Fünf mit 6 %. (Bild 3).

Bild 3: Ziele der Angreifer – Echte Endpunkte – Bitdefender Telemetrie-Daten. (Quelle: Bitdefender)

Verschleierung der Herkunft bei Angriffen auf echte Endpunkte

Die hohe Rate vermeintlich aus Deutschland und westlichen Industrienationen stammender Angriffe auf wirkliche Endpunkte in der Bitdefender Telemetrie ergibt sich dabei nicht aus dem zunächst vermutetem Grund, dass einmalig eingerichtete virtuelle Maschinen von Infrastructure-as-a-Service-Rechenzentren der Ausgangspunkt sind. Nur ein geringer Prozentsatz der Attacken haben eine Quelladresse, die auf Cloud-Provider wie AWS, Azure oder die Google Cloud Platform (GCP) hindeuten. Über 50 % der Quell-IPs konnten aber Exit-Nodes des Tor-Netzes (Onion Router) zugeordnet werden. Die Hacker nutzen also ein Netzwerk aus virtuellen Tunneln, um ihre Identität und Herkunft zu verschleiern. Beim Routing ihrer Attacken wählen sie Maschinen, die sich näher an den Zielopfern befinden, als Ausgangspunkt.

Bild 4: Die Hacker-Szene bekundet reges Interesse an der Schwachstelle. Diese Video  auf der Youtube-ähnlichen Video-Stream-Plattform Invidious im Darknet vom 16.12.2021 wurde über 200.000 mal aufgerufen und 1.500 mal kommentiert. (Quelle: Bitdefender)

Die Bedrohung wird ernst genommen

Erfreulicherweise ergab die Analyse auch den Beleg, wie gewissenhaft und betriebsam Unternehmen ihre eigene IT überprüfen und die Bedrohung ernstnehmen. Im Vorfeld der Telemetrie-Analyse filterten die Experten rund 75 Prozent der Attacken auf Endpunkte heraus, die offensichtlich von den IT-Verantwortlichen gestartet wurden, um das eigene System auf Schwachstellen zu überprüfen. 

Den vollständigen Blog mit weiteren Informationen hier.

www.bitdefender.de
 


Weitere Artikel

Ukraine Hack

Der Angriff und das Defacement von Webseiten der ukrainischen Regierung

Am Freitagmorgen wurden mehrere Webseiten der ukrainischen Regierung und Botschaft angegriffen. Im Folgenden finden Sie einen Kommentar von John Hultquist, VP of Intelligence Analysis, Mandiant, zu diesem Vorfall.
Cyberangriff

Noch vor Pandemie: Cyberangriffe die größte Gefahr für Unternehmen

Manager und Sicherheitsfachleute weltweit sehen in Cyberangriffen die größte Gefahr für Unternehmen. Im am Dienstag veröffentlichten «Risikobarometer» des zur Allianz gehörenden Industrieversicherers AGCS liegen kriminelle Hacker mit ihren Aktivitäten auf…
Windows

Über 3 Millionen unsichere Windows-PCs am Netz

In deutschen Haushalten gibt es rund 48 Millionen Computer, die mit dem Betriebssystem Windows laufen. Die Corona-Pandemie hat dazu geführt, dass Privatnutzer ihre Altgeräte erneuert und sogar mehr Geräte gekauft haben.
Corona Hacker

Dridex-Malware: Geschmacklose Omikron Phishing-Kampagne

„Eine bösartige Phishing-Kampagne verhöhnt die Opfer, nachdem sie ihre Geräte mit Dridex-Malware infiziert“, so Lawrence Abrams von BleepingComputer.
Malware

Malware-Downloads erfolgten im Jahr 2021 meist über Cloud-Apps

Mehr als zwei Drittel der Malware-Downloads im Jahr 2021 stammen von Cloud-Apps. Google Drive wurde dabei als die App mit den meisten Malware-Downloads identifiziert und löst damit Microsoft OneDrive ab.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.