In unserem vierteljährlichen Bericht teilen wir unsere Einschätzung der aktuellen Cyberbedrohungslage basierend auf unseren Beobachtungen und blicken mit von uns prognostizierten Trends in die nahe Zukunft. Der Quartalsbericht beruht auf eigenen Recherchen relevanter Quellen sowie auf den Milliarden (!) von IT-Sicherheitsvorfällen, die wir im Laufe der letzten drei Monate in den IT-Umgebungen unserer Kunden beobachten konnten.
Eine der verstörendsten aktuellen Entwicklungen ist jene, dass Cyberkriminelle die Tragödie der Coronavirus-Pandemie für ihre Zwecke ausnützen.
Covid-19: Wie Cyberkriminelle die globale Bedrohung ausnützen
Während die Welt mit dem Ausbruch der Coronavirus-Pandemie kämpft, nützen Cyberkriminelle die damit verbundene Angst und Neugierde der Menschen, um Schadprogramme in Umlauf zu bringen – mit verheerenden Folgen für deren Opfer. Meist erfolgt dies in Form von Phishing-Mails, die zunächst im Betreff einen Bezug zum Corona Virus vortäuschen. Verwiesen wird etwa auf Medikamente, die Online zu erwerben wären, oder auf eine App mit Informationen und Statistiken zum Thema. Dahinter steckt in Wirklichkeit dann Ransomware und die Aufforderung zur Zahlung von Bitcoins um die Kontrolle über Kontakte und Daten auszulösen.
Aufgrund der weltweiten „Lockdowns“ waren die meisten Organisationen dazu gezwungen, Ihre Mitarbeiter sehr rasch auf Home-Office-Settings umzustellen. Unter Zeitdruck haben Unternehmen sich damit entweder aufgrund schlecht implementierter VPN-Lösungen, fehlender Penetrationstests und dergleichen einer ganzen Reihe neuer Angriffsvektoren ausgesetzt. Im Home-Office ist schließlich auch weniger sichtbar, wer sich in der Nähe der Mitarbeiter befindet und was sie gerade tun. Datenschutzrisiken bestehen damit in einem größeren Ausmaß als je zuvor. Glücklich schätzen dürfen sich all jene, die bereits USB-Port-Control-Lösungen, eine solide VPN-Lösung mit 2-Faktor-Authentifizierung, Netzwerkszugangskontrollen und E-Mail-Sandboxing-Lösungen oder sogar Content Disarm and Reconstruction-Lösungen („CDR-Lösungen“) implementiert hatten.
Aktuelle Malware-Situation
Erstmals im Jahr 2014 identifiziert, ist Emotet nach wie vor und in stets neuen Inkarnationen und Varianten in Umlauf. Eines der bekanntesten Opfer war das „Heise Magazin“, eine deutsche IT-Publikation.
Eine neue Hintertür für Attacken haben Angreifer mit „Mozart“ gefunden. Hier wird das DNS-Protokoll dazu verwendet, mit Angreifern zu kommunizieren, Sicherheitssoftware sowie Angriffserkennungssysteme zu umgehen und schlussendlich Befehle auszuführen mit denen diverse Schadprogramme heruntergeladen und installiert werden.
Die jüngste Ransomware bedient sich des Wake-On-LAN-Features, um abgeschaltete Geräte in einem kompromittierten Netz einzuschalten und Offline-Geräte sodann zu verschlüsseln. Wieder andere veröffentlichen gestohlene Daten von nichtzahlenden Ransomware-Opfern oder verwenden Spam-Nachrichten und bösartige E-Mail-Anlagen, um deren Opfer zu infizieren. Eine weitere neue Ransomware startet infizierte Windows-Systeme im abgesicherten Modus neu, um zunächst den Virenschutz zu umgehen und danach die Dateien der Opfer zu verschlüsseln. Eine spezielle Form von Ransomware greift gezielt industrielle Kontrollsysteme an und verschlüsselt alle damit verbundenen Windows-Geräte.
Zero-Day-Angriffe und kritische Schwachstellen
Prominente Beispiele für derartige Schwachstellen in den letzten drei Monaten waren etwa ein Fehler im Citrix NetScaler ADC und Citrix NetScaler Gateway, wodurch 80.000 Unternehmen auf der ganzen Welt gefährdet wurden, aber auch Dropbox für Windows und diverse kritische Microsoft-Schwachstellen. Kontinuierlich beobachtet werden konnten auch Angriffe auf ungepatchte Pulse Secure VPN-Umgebungen zur Installation von Ransomware.
Eine neu aufgedeckte Zero-Day-Schwachstelle erlaubte es Angreifern, unter anderem „.com“ sowie „.net“ Homographen zu registrieren und so gefälschte Domains zu erstellen. Es ist davon auszugehen, dass dies im Zuge von Phishing- und Social-Engineering-Attacken gegen Unternehmen vermehrt eingesetzt wird. Die Schwachstelle betraf Verisign sowie mehrere SaaS Dienste, darunter Google, Amazon und DigitalOcean.
Allgemeine Bedrohungen & Trends
Cyberkriminelle professionalisieren ihre Attacken zunehmend. Sie arbeiten sehr gezielt, passen ihre Attacken aktuellen Entwicklungen wie etwa der Situation rund um den Corona Virus rasch an und sind immer besser ausgestattet, um herkömmliche Sicherheitstools zu umgehen.
Während dieser Bericht entstand, wurden darüber hinaus 12 potentiell schwerwiegende Sicherheitsschwachstellen, zusammengefasst unter dem Namen „SweynTooth“, entdeckt. Solcherlei ungepatchte Schwachstellen können binnen kürzester Zeit Millionen von Bluetooth-fähigen Geräten beeinträchtigen. Ein Umstand der uns zeigt, wie angreifbar die vernetzte Welt 2020 ist.
Tipps, um sicher zu bleiben
- Bewusstseinsbildung für Ihre Mitarbeiter bezüglich Phishing- und Ransomware-Angriffe – lesen Sie den Cybersecurity Trend Report
- Bewusstseinsbildung für Ihre Mitarbeiter hinsichtlich Datenschutz bzw. EU-DSGVO insbesondere im Home Office
- Managen Sie Ihre Schwachstellen: Patchen Sie frühzeitig, patchen Sie häufig, patchen Sie rasch – und halten Sie Lösungen bereit, wo Patching nicht funktioniert
- Informieren Sie sich über Advanced Threat Detection Sandboxing-Technologie
- Informieren Sie sich über Logdatenanalyse (LDA)