Angriffe aus jeder Richtung: Sicherheitsüberblick zur Jahresmitte 2021

Ransomware hat sich zu einer der gefährlichsten Cyberbedrohungen weiterentwickelt, mit zusammengenommen mehr als sieben Millionen E-Mail-, URL- und Dateibedrohungserkennungen. Die Cyberkriminellen in diesem Bereich agieren schnell und aggressiv. Sie greifen kritische Sektoren an, etwa das Bankwesen, den öffentlichen Sektor und die Produktion.

Während einige Strategien von Betreibern konstant blieben, z. B. ihre Neigung, maßgebliche Branchen anzugreifen, entwickelten sich einige ihrer Taktiken stark und schnell weiter. Varianten bekannter Ransomware verschärften die Lage noch, da neue Familien mehr Risiken mit sich brachten. Einige Bedrohungsakteure nutzten die Gelegenheit schnell und gaben sich als Ransomware-Gangs aus, z. B. bei der fake DarkSide campaign.

Beachtenswerte Ransomware-Familien

Solche Vorfälle führten zu Diskussionen über die komplizierten Probleme mit willkürlichen Zahlungen, Cyber-Versicherungen und der möglichen Gesetzgebung. Es gab auch intensive Bemühungen seitens der Behörden und Sicherheitsexperten, Ransomware-Gangs zu zerschlagen. Das resultierte in einer Reihe von Festnahmen hochrangiger Krimineller, z. B. der Drahtzieher von Egregor und Clop.

Verfeinerte Technologien

Ransomware-Betreiber weiteten ihren Einsatz legitimer Tools aus. Sie verstärkten auch den Einsatz ihrer Erpressungstechniken – von der Verschlüsselung bis hin zur Aufdeckung gestohlener Daten, der Durchführung von DDoS-Angriffen (Distributed Denial-of-Service) und der direkten Bedrohung von Kunden und Stakeholdern der angegriffenen Organisationen.

Multi-Erpessungstechniken in Zusammenhang mit Ransomware

APTs waren auch aktiv, als in der ersten Jahreshälfte mehrere Kampagnen gestartet wurden.

Die Bedrohungsgruppen hinter diesen APTs setzten sowohl altbewährte Techniken als auch innovative Taktiken ein. Erstere beinhalteten die Verwendung von Spear-Phishing-E-Mails und schädlichen Skripten, während Letztere neue legitime Plattformen, Malware-Varianten und Remote Access Tools (RATs) umfassten, z. B. den PlugX loader.

Beachtenswerte APTs

Beachtenswerte APTs im ersten Halbjahr 2021

Der Angriffsfluss der Operation Earth Wendigo

Beachtenswerte Schwachstellen sorgten für Schlagzeilen, als die Forscher unter Hochdruck den Schaden an betroffenen Systemen behoben, bevor diese Sicherheitslücken eine Gefahr darstellen und die Arbeit, einschließlich der Remote-Arbeit, unterbrechen konnten.

ProxyLogon

Ein Hacking-Angriff, der auf die Hafnium-Gruppe zurückgeführt wird, nutzte vier Zero-Day-Schwachstellen in den On-Premises-Versionen von Microsoft Exchange Server. Diese Schwachstellen sind CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065, zusammen als ProxyLogon bezeichnet.

Microsoft SharePoint-Schwachstellen

Fünf beachtenswerte RCE-Schwachstellen (Remote Code Execution) betrafen auch Microsoft SharePoint, eine Online-Plattform für die Dokumentenverwaltung und -speicherung, die auch in Remote-Arbeitsumgebungen eingesetzt werden kann.

Microsoft SharePoint RCE-Schwachstellen im ersten Halbjahr 2021

VPN-Schwachstellen

Da weiterhin viele Menschen von zu Hause aus arbeiten, bleiben VPNs (Virtual Private Networks) ein entscheidendes Tool dafür, Sicherheit zu gewährleisten. Diese Schwachstellen wurden immer häufiger erkannt, wobei einige Spitzen mit dem entsprechenden Zeitraum des Vorjahres verglichen wurden.

Erkennungen von VPN-Schwachstellen, in der ersten Hälfte des Jahres 2020 und der ersten Hälfte des Jahres 2021

PrintNightmare

„PrintNightmare“ ist der Name von CVE-2021-1675, einer kritischen Windows Print-Spooler-Schwachstelle, die die Ausführung von willkürlichen Codes mit Berechtigungen auf Systemebene zulässt. Die versehentliche Preisgabe eines Proof-of-Concept-Exploit-Codes führte zu einem Wettrennen, um diese Schwachstelle baldmöglichst zu beheben.

Insgesamt ging die Zahl der Schwachstellenerkennungen leicht zurück, mit einem bemerkenswerten Rückgang kritischer Schwachstellen.

Halbjahresvergleich zur Aufschlüsselung nach Schweregrad, basierend auf den CVSS der Schwachstellen, die über das ZDI-Programm (Zero Day Initiative) offengelegt wurden.
Quelle: Trend Micro ZDI-Programm

Selbst inmitten einer Pandemie arbeiten viele Angreifer normal weiter, indem sie entweder neue Bedrohungen kreieren oder bestehende weiterentwickeln. Einige Cyberkriminelle nutzen die Pandemie direkt, indem sie die Unsicherheit und die Not, die durch diese Situation entsteht, als Social Engineering-Munition für ihre Angriffe nutzten.

Bedrohungen in Zusammenhang mit Covid-19

Während weltweit Impfprogramme durchgeführt werden, nehmen auch die Bedrohungen in Zusammenhang mit den Covid-19-Impfungen zu. Sie umfassen schädliche Dateien, E-Mails, Textnachrichten, Webseiten mit falschen Informationen und Phishing-Seiten. Die üblichen Ziele sind der Telekommunikationssektor, das Bankwesen, der Einzelhandel, der öffentliche Sektor und das Finanzwesen.

Aktive Bedrohungen

XCSSET

XCSSET richtet sich an Mac-Anwender und infiziert Xcode-Projekte. Im Frühjahr wurde XCSSET aktualisiert und umfasst nun Funktionen, durch die es sich sowohl an ARM64 als auch an x86_x64 Macs anpassen kann. Die Malware ist jetzt auch in der Lage, sensible Informationen von bestimmten Internetseiten abzurufen, einschließlich Plattformen für den Handel mit Kryptowährungen.

PandaStealer

PandaStealer ist ein neues Programm für Informationsdiebstahl, das sensible Daten wie private Schlüssel und Aufzeichnungen vergangener Transaktionen von Geldbörsen mit digitalen Währungen abrufen kann. Es kann auch Anmeldedaten von anderen Anwendungen erfassen, Screenshots aufnehmen und Daten aus Browsern herausfiltern. Das Programm verbreitet sich hauptsächlich durch Spam-E-Mails, in denen Angebote angefordert werden.

Die Umstände, die durch die Pandemie hervorgerufen wurden, beschleunigten die Einführung von Onlinesystemen, die durch Technologien wie die Cloud und das IoT betrieben werden. Diese Bereiche sind jedoch mit eigenen Bedrohungen und Risiken behaftet.

Cloud

Einige bekannte Bedrohungen in diesem Jahr umfassen TeamTNT-Angriffe. Zu Jahresbeginn ließ sich beobachten, dass die Kriminellen hinter TeamTNT auf bestimmte Cloud-Systeme abzielten:

• AWS-Anmeldeinformationen. TeamTNT konnte AWS-Anmeldedaten mithilfe eines Binärcodes stehlen, der ein hartkodiertes Shell-Skript umfasste. Mehr als 4.000 Instanzen waren betroffen.
• Kubernetes-Cluster. TeamTNT kompromittierte aktiv Kubernetes-Cluster. Fast 50.000 IP-Adressen auf mehreren Clustern waren betroffen.

Das IoT

In verschiedenen Facetten des IoT zeigten sich Risiken, einschließlich des Long Range Wide Area Network (LoRaWAN), 5G und Router.

LoRaWAN

Auch wenn sie in Unternehmen und Smart-Cities praktisch sind, erweisen sich LoRaWAN-Geräte sehr wohl als anfällig für Missbrauch. Nach der Entdeckung ausnutzbarer Schwachstellen auf diesen Geräten entwickelte Trend Micro das LoRaPWN-Tool zur Analyse der Sicherheit von LoRaWAN-Kommunikationen.

5G

Die Schaffung von 4G/5G-Campus-Netzwerken ist für Unternehmen mit Risiken behaftet. Um diese Gefahren zu untersuchen, ließen sich verschiedene Angriffsszenarien identifizieren, einschließlich DNS-Übernahme, MQTT-Übernahme, Modbus/TCP-Übernahme, Herunterladen oder Zurücksetzen ungeschützter programmierbarer Logic-Controller (PLCs), Remote-Desktop und SIM-Swapping.

Router

Router waren immer von Sicherheitsproblemen geplagt. In einer Analyse von Router-Infektionen zeigte sich, dass VPNFilter, ein IoT-Botnet, die größte Bedrohung darstellt. Um Router und Speichergeräte zu missbrauchen, verwendet VPNFilter Backdoor-Konten und verschiedene Exploits.

40,956,909,973

Gesamtzahl der blockierten Bedrohungen in der ersten Jahreshälfte 2021

Laden Sie den vollständigen Bericht herunter, um Einblick in die dringendsten Cyberbedrohungen und -risiken zu erhalten, von denen das erste Halbjahr 2021 geprägt war, und erfahren Sie mehr über die Sicherheitsempfehlungen der Experten von Trend Micro für Anwender und Unternehmen.