In unserem vierteljährlichen Bericht teilen wir unsere Einschätzung der aktuellen Cyberbedrohungslage basierend auf unseren Beobachtungen und blicken mit von uns prognostizierten Trends in die nahe Zukunft. Der Quartalsbericht beruht auf eigenen Recherchen relevanter Quellen sowie auf den Milliarden (!) von IT-Sicherheitsvorfällen, die wir im Laufe der letzten drei Monate in den IT-Umgebungen unserer Kunden beobachten konnten.
„Don’t let your guard down!“ – so lautet die Cybersicherheitsmaxime in Zeiten der Corona-Pandemie. Denn zusätzlich zur aktuellen weltweiten Rezession und einem unsicheren Konjunkturausblick sind Unternehmen einem sprunghaft angestiegenen Risiko von Cyberattacken ausgesetzt. Ein IT Security Health Check empfiehlt sich daher dringend.
Covid-19: Gesundheitswesen doppelt bedroht
Wenn in den letzten Monaten seit Beginn der Corona-Pandemie die ganze Welt ein besonderes Augenmerk auf Entwicklungen im Gesundheitswesen gelegt hat, so haben dies auch Internetkriminelle getan. Rund um den Globus haben sich Angreifer auf kritische Infrastrukturen wie etwa Krankenhäuser unter der Androhung, heikle personenbezogene Daten zu veröffentlichen, konzentriert. Dies ruft uns in Erinnerung, welche Bedeutung der IT-Sicherheit vor allem in Zusammenhang mit essentieller Infrastruktur zukommt, wo der Verlust der Kontrolle über Daten oder Systemfunktionen auf sehr vielen Ebenen direkte und immense Auswirkungen hat.
Ein IT Security Gesundheitscheck sei allerdings allen Organisationen nahegelegt, denn die „neue Normalität“ umfasst zunehmend raffiniertere Angriffe jeder Art sowie anhaltende Cyberattacken auf unzureichend gesicherte VPN-Lösungen im Unternehmensumfeld.
Aktuelle Malware-Situation
Sind Sie der ewigen Ransomware-Attacken schon überdrüssig? Dem „Ransomware-Überdruss“, der aktuell in Unternehmen Einzug zu halten scheint, steht ein Rekordhoch derartiger Attacken gegenüber. Die Angreifer haben ihre Distributionskanäle geändert und greifen inzwischen auch Air-Gap-basierte Umgebungen an. Was auf den ersten Blick wie ein bekannter Angriff unter einem vertrauten Namen daherkommt, ist in Wirklichkeit viel hochentwickelter und komplexer. Die Emotet-Schadsoftware des Jahres 2018, beispielsweise, ist nicht mit der gegenwärtigen Emotet-Bedrohung vergleichbar. Aufgrund dieser verbesserten Methodik können sämtliche Unternehmen – ungeachtet ihrer Größe oder Organisationsreife – derartigen Angriffen zum Opfer fallen.
Ransomware-Betreiber entwickeln eine neue Dimension von Ausweichmanövern und finden laufend Möglichkeiten, um verhaltensbasierte Tools zur Bekämpfung von Ransomware erfolgreich zu umgehen. Eine Schutzstrategie, die ausschließlich auf EDR (Endpoint Detection and Response) und künstlicher Intelligenz aufgebaut ist, ist daher inzwischen unzureichend. Menschliche Intelligenz ist notwendig, um frühe Indikatoren laufender hochentwickelter Attacken zu erkennen und zu neutralisieren.
Die raffinierteste Ransomware der letzten Monate war „WastedLocker“. Es handelt sich dabei um ein Schadprogramm mit dem Ziel, so lange wie möglich unbemerkt in Firmennetzwerken zu verweilen, um so viel Schaden wie nur möglich anzurichten. Die Top 3 der gegenwärtig beliebtesten Methoden, um in Netzwerke einzudringen, sind RDP-Endpunkte, E-Mail-Phishing und die Nutzung firmeneigener VPN-Anwendungen.
Zero-Day-Angriffe und kritische Schwachstellen
DDoS-Angriffe (Distributed Denial-of-Services) haben im Laufe des Jahres 2020 drastisch an Aggressivität und Volumen zugenommen. Die Attacken zielen darauf ab, ein einzelnes ausgewähltes Ziel zu überwältigen und so eine Service-Blockade für User des angegriffenen Systems zu verursachen. Beobachtet wurde eine steigende Anzahl von Reflection-Amplification-Vektoren, darunter DNS, CLDAP und NTP, sowie ein Anstieg bei Multi-Vektor-Attacken, die schwieriger abzuwehren sind. DDoS-Angriffe aus der Cloud verliefen in den meisten Fällen über Microsoft Azure, AWS und Google Cloud.
An der Spitze der häufigsten und gefährlichsten Schwachstellen liefert das Cross-Site Scripting (XSS) Angreifern derzeit ein leicht auffindbares und einfach zu nutzendes Tool, um DDoS-Attacken auszulösen, sensitive Daten zu stehlen und die vollständige Kontrolle über vulnerable Systeme zu übernehmen.
Allgemeine Bedrohungen & Trends
Zahlen oder nicht zahlen? Mit dieser unwillkommenen Frage könnten Organisationen konfrontiert werden, die gegen Ransomware-Angriffe nicht ausreichend geschützt sind. In diesem Bereich wird weiterhin viel Aktivität erwartet, da derartige Cyberattacken ein fortwährend attraktives Geschäftsmodell für Kriminelle bleiben. Während die Frage im Anlassfall für jedes Unternehmen mit Sorgfalt beantwortet werden muss, empfiehlt es sich, etwaige Auswirkungen und den Umgang mit einer solchen Situation bereits im Voraus im Zuge einer Krisenplanung abzuwägen und dabei auch die Möglichkeit von Angriffen ohne vorgesehene Entschlüsselung in Betracht zu ziehen.
Der anhaltende Trend zu immer diversifizierteren und aggressiveren DDoS-Attacken steht jedenfalls außer Frage, genauso wie der kontinuierlich signifikante Anstieg von Ransomware-Attacken auf Spitäler, Finanzinstitute, Schulen und andere Organisationen der kritischen Infrastruktur in G7-Ländern. Letzteres in einem Ausmaß, dass sogar die G7-Finanzminister ihre Sorge über diese Entwicklung im Rahmen der Covid-19-Pandemie zum Ausdruck gebracht haben. Als besonders besorgniserregend gilt dabei die Nutzung von Cryptowährungen für diese Angriffe, um die erbeutete Summe einer Geldwäsche zu unterziehen.