Studie von WithSecure Intelligence
Massenangriffe auf Edge-Dienste werden zum Ransomware-Trend
Eine neue Studie von WithSecure Intelligence untersucht den Trend zur massenhaften Ausnutzung von Schwachstellen in Edge-Diensten und Edge-Infrastrukturen. Sie liefert außerdem mehrere Erklärungsansätze, warum diese so stark ins Visier von Angreifern geraten sind und so erfolgreich ausgenutzt werden.
Die Cyber-Bedrohungslandschaft in den Jahren 2023 und 2024 wird von Massenangriffen dominiert. Ein früherer WithSecure-Bericht über die Professionalisierung der Cyberkriminalität wies bereits auf die wachsende Bedeutung der massenhaften Ausnutzung von Schwachstellen als Infektionsvektor hin. Jetzt sind Umfang und Schwere dieser Massenangriffe explodiert.
Messbar ist die Ausbreitung über die Anzahl an Common Vulnerabilities and Exposures (CVE – „Gemeinsame Schwachstellen und Gefährdungen“), die dem Known Exploited Vulnerability Catalogue (KEV – „Katalog der bekannten, aktuell ausgenutzten Sicherheitslücken“) pro Monat hinzugefügt werden. Die Zahl monatlich zum KEV hinzugefügter CVEs, die Edge-Dienste und Edge-Infrastrukturen betrafen, stieg 2024 im Vergleich zum Vorjahr um 22 Prozent. Bei sonstigen CVEs sank die monatliche Zahl im Vergleich zu 2023 um 56 Prozent. Außerdem sind die in den letzten zwei Jahren zum KEV hinzugefügten CVEs für Edge-Dienste und Infrastrukturen schwerwiegender geworden: Im Durchschnitt stieg der Schweregrad um 11 Prozent.
Mehrere aktuelle Berichte deuten darauf hin, dass Massenangriffe Botnets als primären Vektor für Ransomware-Vorfälle überholt haben könnten. Das Tempo der Sicherheitsvorfälle ist rasant gestiegen – verursacht durch die massenhafte Ausnutzung anfälliger Softwares wie MOVEit, CitrixBleed, Cisco XE, FortiOS von Fortiguard, Ivanti ConnectSecure, PAN-OS von Palo Alto, Junos von Juniper und ConnectWise ScreenConnect.
Edge-Dienste sind äußerst attraktive Ziele für Angreifer. Sie sind mit dem Internet verbunden und sollen kritische Dienste für Remote-Benutzer bereitstellen. Deswegen können sie auch von Remote-Angreifern missbraucht werden.
„Es braucht nur eine einzige Voraussetzung für einen Massenangriff: Ein anfälliger Edge-Service, ein Stück Software, das über das Internet zugänglich ist“, sagt Stephen Robinson, Senior Threat Analyst bei WithSecure Intelligence. „Viele angegriffene Edge-Services haben eins gemeinsam: Es handelt sich um Infrastrukturgeräte wie Firewalls, VPN-Gateways oder E-Mail-Gateways. Das sind in der Regel geschlossene Blackboxen. Geräte wie diese sollen ein Netzwerk eigentlich sicherer machen. Aber immer wieder werden genau dort Schwachstellen entdeckt und von Angreifern ausgenutzt. Das ist der perfekte Einstieg in das Zielnetzwerk.“
Die Forschung zeigt: Massenangriffe sind der neue primär beobachtete Angriffsvektor für Ransomware-Attacken und für nationalstaatliche Angreifer zu Spionagezwecken. Die notwendigen Fähigkeiten und Fachkenntnisse für die Ausnutzung von Zero- und One-Day-Schwachstellen sind für finanziell motivierte Cyber-Kriminelle leichter zu erlangen als je zuvor.
„Wir nehmen an, dass Massenangriffe zum primären Angriffsvektor werden. Entweder weil es so viele anfällige Edge-Dienste gibt – oder weil Angreifer und Verteidiger aufgrund der Häufigkeit der massenhaften Ausnutzung von diesen Schwachstellen sich jetzt noch mehr auf anfällige Edge-Dienste fokussieren“, so Robinson abschließend.