McAfee Threats Report

McAfee Labs Threats Report 3/2017

Austausch von Bedrohungsintelligenz ist extrem wichtig

Ransomware wächst um 88 Prozent // Mobile Malware ist 2016 um 99 Prozent gestiegen // Mirai-Botnetz hat bis Ende 2016 geschätzt 2,5 Millionen IoT-Geräte infiziert

McAfee stellt im aktuellen McAfee Labs Threats Report Herausforderungen vor, die beim Austausch von Bedrohungsintelligenz auftreten. Außerdem untersucht der Bericht die Architektur und Arbeitsweise von Mirai-Botnetzen, wertet industrieübergreifend dokumentierte Angriffe aus und zeigt Wachstumstrends von Malware, Ransomware, mobiler Malware und anderen Bedrohungen aus dem letzten Quartal (Q4) von 2016 auf.

Ein Kernthema des Reports ist der Austausch von Bedrohungsdaten, durch den eine höhere Sicherheit gewährleistet werden kann. „Die Sicherheitsindustrie steht schweren Herausforderungen gegenüber, wenn es darum geht, Bedrohungsintelligenz zwischen einzelnen Unternehmensbereichen, den Lösungen einzelner Anbieter und sogar innerhalb der Portfolios von Anbietern auszutauschen,“ sagt Vincent Weafer, Vice President der McAfee Labs. „Zusammenarbeit wird immer wichtiger. Diese Herausforderungen zu adressieren bestimmt, wie effektiv Cyber-Sicherheits-Teams Entdeckungen automatisieren und Gegenmaßnahmen orchestrieren können – wovon jede einzelne den entscheidenden Vorteil für die Verteidiger bringen kann.“

„Cyber-Sicherheit ist die größte Herausforderung unserer Zeit“, sagt auch Hans-Peter Bauer, Vice President Central Europe von McAfee. „Die Anzahl neuer Bedrohungen steigt jeden Tag. Nur wenn die Industrie zusammenarbeitet und sich über neue Angriffsmuster austauscht, kann sie mit den Angreifern mithalten.“

Wichtige Herausforderungen beim Austausch von Bedrohungsintelligenz

Der Report untersucht Hintergründe und wichtige Komponenten des Austausches von Bedrohungsintelligenz und beurteilt den Nutzungsgrad geteilter Daten für Sicherheitsabläufe sowie die wichtigsten Hürden, die die Industrie bewältigen muss. Dazu gehören:

  • Volumen: Das große Signal-Rauschen stellt Verteidiger immer noch vor Herausforderungen, hochpriorisierte Sicherheitsvorfälle zu sichten, weiterzuverarbeiten und Gegenmaßnahmen einzuleiten.
  • Überprüfung: Angreifer können falsche Bedrohungsberichte konstruieren, um Bedrohungsintelligenz-Systeme irrezuführen oder zu überlasten. Schlecht verwaltete Daten aus echten Quellen lassen sich wiederum fälschen.
  • Qualität: Sensoren müssen die richtigen Daten sammeln, um in der Lage zu sein, Schlüsselstrukturen anhaltender Angriffen identifizieren zu können. Wenn Anbieter sich nur darauf fokussieren, Bedrohungsdaten zu sammeln und zu teilen, besteht das Risiko, dass sich vieles davon dupliziert, wodurch wertvolle Zeit verschwendet wird.
  • Geschwindigkeit: Werden Informationen zu spät gesammelt, lassen sie sich nicht mehr verwenden, um einen Angriff zu verhindern, sondern nur noch für den anschließenden Säuberungsprozess. Sicherheitssensoren und -systeme müssen Bedrohungsintelligenz möglichst in Echtzeit austauschen, um mit Angriffen mithalten zu können.
  • Zusammenhang: Nur wenn relevante Muster und wichtige Datenpunkte in Bedrohungsdateien identifiziert und in Beziehung gesetzt werden, können operative Sicherheitsteams daraus einen Mehrwert ziehen und Maßnahmen ableiten.

„Besonders raffinierte Angreifer machen sich Schwachstellen in eigenständigen Verteidigungssystemen zunutze. Silo-Systeme wiederum tauschen keine Informationen aus und wissen so nicht, wie andere Systeme die Bedrohung gestoppt hätten,“ so Weafer weiter. „Der Austausch von Bedrohungsintelligenz ermöglicht es, von den Erfahrungen jedes einzelnen zu lernen, Einblicke zu gewinnen, die auf einer Vielzahl von Merkmalen basieren und ein kompletteres Bild vom Kontext eines Cyber-Vorfalls zeichnen.“

Ausbreitung des Mirai-Botnetzes

Mirai war im vierten Quartal 2016 verantwortlich für die DDoS-Attacke auf Dyn, einen großen DNS Service Provider. Mirai ist deshalb gefährlich, weil es schlecht gesicherte IoT-Geräte erkennt und infiziert und dadurch in Bots verwandelt, um seine Ziele anzugreifen.

Seit der Mirai-Quellcode im Oktober veröffentlicht wurde, breiteten sich immer mehr weiterentwickelter Bots aus. Zwar ist zu erwarten, dass die Mehrzahl von Script Kiddies entwickelt wurden und eine geringe Auswirkung haben, aber die Veröffentlichung des Source Codes führte auch zu „DDoS-as-a-service“-Angeboten, die auf Mirai basieren. Das befähigt auch ungeschulte, aber motivierte Angreifer, DDoS-Angriffe auszuführen. Auf dem Cyberkriminellen Marktplatz erhält man DDoS-Angriffe auf Basis des Mirai-Quellcodes für Preise zwischen 50 und 7.500 US-Dollar am Tag.

Die McAfee Labs schätzen, dass 2,5 Millionen IoT-Geräte am Ende von Q4 2016 von Mirai infiziert und in dieser Zeit ungefähr fünf IP-Adressen von IoT-Geräten pro Minute zum Mirai-Botnetz hinzugefügt wurden.

Weitere Trends aus dem vierten Quartal 2016:

  • Malware-Wachstum: Das Wachstum neuer Malware-Samples ging im vierten Quartal um 17 Prozent zurück. Im ganzen Jahr 2016 wuchs die Anzahl um 24 Prozent auf 638 Millionen Samples. Die Anzahl neuer mobiler Malware-Samples ging um 17 Prozent zurück, während die Gesamtzahl in 2016 um 99 Prozent stieg.
  • Ransomware: Die Anzahl neuer Ransomware-Samples fiel um 71 Prozent in Q4, während die Gesamtzahl im vergangenen Jahr um 88 Prozent stieg.
  • Mac OS Malware: Die Anzahl neuer Mac OS Malware-Samples wuchs in Q4 um 245 Prozent und im gesamten Jahr 2016 um 744 Prozent.
  • Angriffe auf Banken und Gaming-Plattformen: Ein Anstieg von Vorfällen im Bereich der Software-Entwicklung seit Q3 ist auf die vermehrte Anzahl von Vorfällen auf Gaming-Plattformen zurückzuführen. Im Finanzsektor führten SWIFT-Angriffe zu einem sprunghaften Anstieg von Vorfällen seit Q2.