Thought Leadership
Große Einzelangriffe stellen breitangelegte Attacken in den Schatten
Der Angriff auf die Colonial Pipeline am 7. Mai 2021 hat überdeutlich und erschreckend klar gemacht, dass Ransomware eine dauerhafte Bedrohung darstellt. Als wichtigstes Sicherheitsereignis des Quartals unterstreicht der Fall Colonial, dass Cyberkriminelle nicht nur die lebenswichtigsten Bereiche – wie Krankenhäuser, Industrieanlagen und kritische Infrastrukturen – ins Fadenkreuz nehmen, sondern offenbar ihre Angriffe auf diese hochwertigen Ziele zunehmend verstärken. Die WatchGuard-Analyse von Vorfällen wie diesem befasst sich mit den Auswirkungen, der Zukunft der Sicherheit kritischer Infrastrukturen und den Maßnahmen, die Unternehmen in jedem Sektor ergreifen können, um sich dagegen zu schützen und eine Ausbreitung zu verlangsamen.
Alte Schwachstellen erweisen sich weiterhin als lohnende Ziele
Abweichend von den üblichen ein bis zwei Neuzugängen pro Quartal gab es in Q2 gleich vier bis dato unbekannte Signaturen unter den Top-10-Netzwerkangriffen. Die jüngste zielt auf eine Sicherheitslücke in der beliebten Web-Skriptsprache PHP aus dem Jahr 2020 ab, die anderen drei betreffen noch deutlich ältere Schwachstellen. Dazu gehören eine Oracle GlassFish Server-Lücke aus dem Jahr 2011, eine SQL-Injection-Schwachstelle in der Krankenaktenanwendung OpenEMR aus dem Jahr 2013 und eine offene Flanke im Rahmen der RCE (Remote Code Execution) in Microsoft Edge aus dem Jahr 2017. All diese Schwachstellen sind zwar veraltet, stellen aber bis zur Behebung nach wie vor ein Risiko dar.
Microsoft Office-basierte Bedrohungen erfreuen sich nach wie vor großer Beliebtheit
Im zweiten Quartal gab es einen Neuzugang in der Liste der 10 am weitesten verbreiteten Netzwerkangriffe, der sich erstmals ganz oben positionieren konnte. Bei der Signatur 1133630 handelt es sich um die oben erwähnte RCE-Schwachstelle von 2017, die Microsoft-Browser betrifft. Obwohl es sich um einen alten Exploit handelt und die meisten Systeme (hoffentlich) gepatcht sind, droht denjenigen, die das Update noch nicht eingespielt haben, ein böses Erwachen, sollte der Angreifer die Schwachstelle vor ihnen finden. Eine sehr ähnliche, ebenfalls hochgradig gefährliche RCE-Sicherheitslücke, die als CVE-2021-40444 bekannt ist, sorgte Anfang September für Schlagzeilen, als sie aktiv in gezielten Angriffen gegen Microsoft Office und Office 365 auf Windows 10-Computern ausgenutzt wurde. Office-basierte Bedrohungen via Malware sind nach wie vor sehr beliebt, weshalb WatchGuard diese Angriffsarten immer noch in freier Wildbahn entdeckt. Glücklicherweise werden sie von bewährten IPS-Schutzmaßnahmen erkannt.
Phishing-Domains geben sich als legitime Domains aus
WatchGuard hat in letzter Zeit eine Zunahme von Malware beobachtet, die auf Microsoft Exchange-Server und –ganz allgemein – E-Mail-Benutzer abzielt, um Remote-Access-Trojaner (RAT) an hochsensiblen Orten herunterzuladen. Dies ist höchstwahrscheinlich darauf zurückzuführen, dass das 2. Quartal das zweite Quartal in Folge war, in dem Remote-Mitarbeiter entweder in hybride Büros und akademische Umgebungen zurückkehrten oder sich wieder wie gewohnt im Unternehmen befanden. In jedem Fall – oder an jedem Standort – ist es ratsam, bei den Anwendern ein starkes Sicherheitsbewusstsein zu entwickeln und auch die ausgehende Kommunikation von Geräten zu überwachen, die mit den angeschlossenen Endpunkten nicht direkt verbunden sind.
Über den Report:
Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 16,6 Millionen Malware-Varianten (438 pro Gerät) und fast 5,2 Millionen Netzwerkbedrohungen (137 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem zweiten Quartal 2021, einen noch tieferen Einblick in die Bedrohungen, die in der ersten Jahreshälfte 2021 am Endpunkt erkannt wurden, empfohlene Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen und vieles mehr.
Weitere Informationen:
Der aktuelle Internet Security Report in englischer Sprache steht online zum Download zur Verfügung.
www.
