Fortinet Threat Report

Cyberkriminelle ändern Angriffstaktiken und manipulieren Edge-Dienste

, München, Fortinet | Autor: Herbert Wieler

Cyberkriminelle ändern Angriffstaktiken und manipulieren Edge-Dienste

Cyber-Angreifer umgehen gängige Phishing-Taktiken, um Code in öffentlich zugängliche Dienste einzuschleusen

Diese und weitere Erkenntnisse stellt Fortinet, Anbieter von automatisierten Cyber-Security-Lösungen, in seinem neuesten Global Threat Landscape Report vor.

Die wichtigsten Ergebnisse der Studie im Überblick:

Verlagerung der Taktiken, um Unternehmen aus dem Hinterhalt zu treffen

Ein Großteil an Malware wird per E-Mail verbreitet. Viele Unternehmen gehen daher inzwischen gegen Phishing-Angriffe mit Mitarbeiterschulungen und leistungsfähigen E-Mail-Security-Lösungen vehement vor. Cyber-Kriminelle regieren und verbreiten Schadsoftware auch auf andere Weise. Beispielsweise zielen sie auf öffentlich zugängliche Edge-Dienste wie Web-Infrastrukturen und Netzwerk-Kommunikationsprotokolle ab und umgehen Ad Blocker-Tools. Hierfür nutzen sie kein Phishing, sondern eher unübliche Taktiken. Beispielsweise wurden in diesem Quartal in den FortiGuard Labs Angriffe auf Schwachstellen verzeichnet, die ferngesteuert Code auf Edge-Dienste ausführen. Diese Form des Cyber-Angriffs lag im vergangenen Quartal in Bezug auf die Prävalenz in allen Regionen an der Spitze. Eine Taktik-Änderung ist bei Cyber-Kriminellen nicht neu, aber erfolgversprechend. Unternehmen sind bei diesen Angriffsvektoren möglicherweise nicht so aufmerksam und werden überraschend getroffen. Das erhöht die Erfolgsaussichten für Cyber-Kriminelle. Dies kann in einer Online-Shopping-Saison, in der Aktivitäten in Webshops sehr hoch sind, besonders problematisch sein.

Maximierung des Ertragspotenzials

Nach der lukrativen Ransomware-as-a-Service (RaaS)-Lösung GandCrab-Ransomware, die im Dark Web verfügbar war, nutzen Cyber-Kriminelle neue Dienstleistungs-Modelle. Das Ziel: das Ertragspotential steigern. Sie bauen ein Netzwerk von Affiliate-Partnern auf und sind so in der Lage, ihre Ransomware weiträumig zu verbreiten und die Erträge zu steigern. Die FortiGuard Labs beobachteten mindestens zwei bedeutende Ransomware-Familien: Sodinokibi und Nemty. Beide werden als RaaS-Lösungen eingesetzt. Dies ist möglicherweise erst der Anfang. Weitere As-a-Service-Varianten werden folgen.

Verfeinerung von Malware

Cyber-Kriminelle verfeinern Malware, um der Erkennung zu entgehen und immer ausgefeiltere und bösartigere Angriffe zu starten, wie beispielsweise die Weiterentwicklung der Emotet Malware. Dies ist ein beunruhigender Trend für Unternehmen, da Cyber-Kriminelle zunehmend Malware einsetzen, um zusätzliche Schadsoftware auf infizierten Systemen einzuschleusen und somit ihre Chancen auf finanzielle Gewinne zu maximieren. Unlängst haben Angreifer damit begonnen, Emotet als Transportmittel für Ransomware, Datendiebstahl und Banktrojaner wie TrickBot, IcedID und Zeus Panda zu nutzen. Darüber hinaus erhöhen Kriminelle die Wahrscheinlichkeit, dass diese bösartigen Anhänge geöffnet werden, indem sie E-Mail-Threads aus vertrauenswürdigen Quellen ziehen und Malware in diese E-Mail-Threads einfügen.

Höhere Chancen mit älteren Schwachstellen und Botnetzen

Ältere, anfällige Systeme, die nicht ordnungsgemäß gesichert wurden, sind nach wie vor eine effektive Angriffsstrategie. Die FortiGuard Labs beobachteten, dass Cyber-Kriminelle zwölf Jahre alte und ältere Schwachstellen häufiger anvisierten als neue Schwachstellen. Und tatsächlich zielen die Angreifer in jedem Jahr seither mit der gleichen Häufigkeit auf alte Vulnerabilities wie auf neue. Ebenso erstreckt sich dieser Trend auf Botnets. Mehr als jede andere Art der Cyber-Bedrohung übertragen sich Top-Botnets von Quartal zu Quartal und von Region zu Region ohne große Veränderung. Dies deutet darauf hin, dass die Kontrollinfrastruktur beständiger ist als bestimmte Werkzeuge oder Fähigkeiten. Cyber-Kriminelle folgen nicht nur neuen Möglichkeiten, sondern nutzen wie seriöse Unternehmen auch bestehende Strukturen, um die Effizienz zu steigern und Kosten zu senken.

So schützen sich Unternehmen: umfassende, integrierte und automatisierte Security

Dynamische, proaktive und in Echtzeit verfügbare Bedrohungsinformationen unterstützen Unternehmen dabei, Trends zu identifizieren und die Entwicklung von Angriffsmustern zu beobachten. So können sie Prioritäten in ihrer Security-Strategie setzen. Allerdings ist dies nur eingeschränkt möglich, wenn Bedrohungsinformationen nicht in Echtzeit auf jedem angebundenen Sicherheits-Tool verfügbar sind. Nur eine umfassende Security-Architektur, eine Security Fabric, die breit angelegt und integriert ist sowie automatisiert arbeitet, kann die gesamte Netzwerkumgebung – IoT, Edge, Netzwerk-Kern und Multi-Cloud – schützen und Skalierbarkeit sowie Geschwindigkeit bieten. Unternehmen können so ihr Netzwerk umfassend schützen und raffinierte Bedrohungen durch KI-gesteuerte Prävention vorbeugen. Gleichzeitig wird die Komplexität durch automatisierte Operationen und Orchestrierung reduziert.

"Cyber-Kriminelle versuchen nach wie vor, IT-Sicherheitsfachkräften einen Schritt voraus zu sein. Während sie einerseits neue Malware- und Zero-Day-Angriffe entwickeln, arbeiten sie andererseits mit alten erfolgreichen Taktiken, um ihre Erfolgschancen auf der gesamten Angriffsfläche zu maximieren. Zusätzlich zu den wesentlichen Strategien wie Patchen, Segmentieren und Mitarbeitersensibilisierung müssen Unternehmen auch Automatisierung und Künstliche Intelligenz nutzen, um Bedrohungsinformationen zu korrelieren und auf Bedrohungen in Echtzeit zu reagieren. Dieser Ansatz wird jedoch nur dann erfolgreich sein, wenn Unternehmen alle ihre Security-Ressourcen in eine Sicherheitsarchitektur integrieren, die den Überblick behält und sich an ihr schnell wachsendes Netzwerk anpasst." Derek Manky, Chief, Security Insights & Global Threat Alliances, Fortinet .

Über den Report

Der aktuelle Fortinet Threat Landscape Report ist ein Überblick der gesammelten Daten aus den weltweiten Sensoren der FortiGuard Labs für das dritte Quartal 2019. Die Forschungsdaten decken globale und regionale Perspektiven ab. Ebenfalls im Bericht enthalten ist der Fortinet Threat Landscape Index (TLI), der sich aus einzelnen Indizes für drei zentrale und komplementäre Aspekte der Bedrohungslandschaft zusammensetzt: Exploits, Malware und Botnets. Der TLI zeigt die Prävalenz und das Volumen der einzelnen Aspekte im jeweiligen Quartal an.