Gefangen im Netz: Das Zusammenspiel alter und neuer Bedrohungen besser verstehen

Die wesentlichen Themen waren 2018 die geänderten Strategien der Cyberkriminalität und die anhaltenden Sicherheitsbedrohungen. Unternehmen waren mit zahlreichen Herausforderungen konfrontiert.
  • Messaging-Bedrohungen
  • Ransomware
  • Kritische Schwachstellen
  • IoT-Angriffe
  • Trend Micro Research
  • Bedrohungslage
  • PDF-Download

Unternehmen wurden 2018 mit einer Kombination aus alten und neuen Cybersicherheitsproblemen überflutet. Forscher fanden heraus, dass nahezu alle aktiven Computer ernsthafte Hardwaremängel aufwiesen. Das Ransomware-Problem hatte weiterhin Bestand, unbefugtes Kryptowährungs-Mining breitete sich weiter aus und nahm neue Formen an. Anfällige, vernetzte Geräte in Privathaushalten waren von effektiven neuen Angriffen betroffen. Darüber hinaus wechselten Cyberkriminelle angesichts einer immer größeren Vielfalt von Betriebssystemen und Geräten von Exploit-Kit-Angriffen zu einer alten, aber weiterhin effektiven Methode: Social Engineering. Exploit-Kits und automatische Methoden funktionierten effizient, als zahlreiche Anwender anfällige Software verwendeten. Aber 2018 versuchten viele Bedrohungsakteure stattdessen, menschliche Schwachstellen auszunutzen. 

In unsererm jährlichen Sicherheitsüberblick untersuchen wir diese und weitere wichtige Sicherheitsprobleme. Wir geben wertvolle Einblicke für Unternehmen und Anwender, damit sie kritische Bedrohungen erkennen und sich darauf vorbereiten können

. . .

Messaging-Bedrohungen

Als Medium für wichtige ein- und ausgehende Kommunikation eines Unternehmensnetzwerks stellen geschäftliche E-Mails eine attraktive Plattform für Cyberkriminelle dar. Folglich bereiten Phishing und andere Social-Engineering-Systeme Cybersicherheitsmitarbeitern die größten Sorgen. Professionell gestaltete und formulierte betrügerische E-Mails können Empfänger, die häufig ähnliche E-Mails erhalten, leicht in die Irre führen.  

2018 ließ sich ein verstärktes Auftreten verschiedener Arten von Messaging-Bedrohungen erkennen. Insbesondere nahmen blockierte Zugriffe auf Phishing-URLs von eindeutigen Client-IP-Adressen im Vergleich zum Vorjahr um 82 Prozent zu. Phishing-Angriffe werden üblicherweise per E-Mail vorgenommen, da E-Mail-basierte Bedrohungen weniger von der Plattform abhängen als andere Angriffsarten, die sich beispielsweise auf bestimmte Exploits stützen.

2017
11,340,408
2018
20,617,181

Jahresvergleich blockierter Zugriffe auf Phishing-URLs mit eindeutiger Client-IP-Adresse (Beispiel: Ein Gerät, das dreimal auf einen Link zugriff, wurde nur einmal gezählt.)

In jüngster Zeit wurden Phishing-Angriffe nicht nur per E-Mail, sondern auch über Chats, SMS und andere Kommunikationswege ausgeführt. Die steigende Anzahl sowie die verschiedenen Arten von Phishing-Angriffen zeigen, wie sich Cyberkriminelle an die sich verändernde Umgebung anpassen. Angesichts von immer mehr vernetzten Geräten und einem immer breiteren Spektrum von Betriebssystemen werden Cyberkriminelle mit dem Exploit eines bestimmten Betriebssystems nicht mehr so erfolgreich sein wie in der Vergangenheit. Folglich besinnen sie sich wieder auf eine alte, in der Regel aber immer noch effektive Methode.

28%
2017-2018

Business Email Compromise (BEC) stellt eine weitere Art von Messaging-Angriffen dar, für die sich 2018 eine Steigerung erkennen ließ. Bei einem typischen BEC-Angriff schickt oder fängt ein Angreifer eine Nachricht ab, um einen Unternehmensmitarbeiter zu kompromittieren, der befugt ist, Gelder freizugeben oder zu überweisen.


  • CEO

  • Managing Director/Director

  • President

  • General Manager/Manager

  • Chairman

  • Sonstiges

Mitarbeiter in Führungspositionen, die sich täuschen ließen

Auch wenn es nur eine geringe Anzahl an BEC-Angriffen gab, könnte ein erfolgreicher Versuch hohe finanzielle Verluste für das betroffene Unternehmen mit sich bringen. Im Gegensatz dazu wurden Phishing-Angriffe breit gestreut, denn selbst wenn nur wenige Anwender auf den Betrug hereinfallen, lohnt sich dieses Vorgehen für die Angreifer.

. . .

Ransomware

Die Bedrohungen durch Ransomware gingen von 2017 bis 2018 um insgesamt 91 Prozent zurück. Die Anzahl der entdeckten Ransomware-Familien ging im selben Zeitraum ebenfalls zurück. Diese deutliche und kontinuierliche Abnahme setzte den bereits in unserem Sicherheitsüberblick zur Jahresmitte erkannten Trend fort. Dieser lässt sich auf verbesserte Lösungen gegen Ransomware, ein wachsendes Bedrohungsbewusstsein und auch ein Stück weit auf die Erkenntnis zurückführen, dass Verhandlungen mit den Angreifern sinnlos wären.

2017
631,128,278
2018
55,470,005

Bedrohungen durch Ransomware

2017
327
2018
222

Neue Ransomware-Familien

Da der Profit, den die Kriminellen mit ihren Angriffen erzielen, den damit verbundenen Aufwand überwiegt, setzen sie auch weiterhin auf Ransomware. Die Erkennung von WannaCry, der für den berüchtigten Ransomware-Ausbruch im Mai 2017 verantwortlich war, blieb mit 616.399 konstant und übertraf alle anderen Ransomware-Familien damit bei Weitem.

Das Kryptowährungs-Mining erreichte seinerseits 2018 mit mehr als 1,3 Millionen Entdeckungen einen neuen Spitzenwert – dies entspricht einem Wachstum von 237 Prozent im Vergleich zum Vorjahr. 

1,350,951
2018
400,873
2017

Entdeckungen von Kryptowährungs-Mining

Abgesehen von der zunehmenden Verwendung von Kryptowährungs-Mining ließen sich dabei auch die unterschiedlichsten Angriffsmethoden erkennen: das Eindringen in Werbeplattformen, Pop-up-Werbung, bösartige Browser-Erweiterungen, Mobiltelefone, Botnets, die Bündelung mit seriöser Software, Exploit-Kits und umfunktionierte Ransomware

819%
in dateilosen Bedrohungen
August 2017 bis Dezember 2018

Darüber hinaus kam es zu einem plötzlichen Anstieg einer der Angriffsmethoden zur Umgehung der herkömmlichen Blacklisting-Funktionen: dateilose Bedrohungen. Diese speziellen Bedrohungen versuchen, herkömmliche Lösungen zu umgehen. In der Regel lassen sie sich nur auf anderem Weg wie beispielsweise der Überwachung des Datenverkehrs, Verhaltensanalysen oder Sandboxing erkennen.

. . .

Kritische Schwachstellen

In Bezug auf die Sicherheit begann das Jahr mit der bahnbrechenden Bekanntgabe von Meltdown und Spectre, Schwachstellen auf Prozessorebene, die sich auf Fehler in der spekulativen Ausführung von CPU-Anweisungen stützten. Diese neuen Fehlerklassen betrafen verschiedene Mikroprozessoren und lösten neue CPU-Angriffe sowie viele Eindämmungsprobleme aus. Auch am Ende des Jahres gab es noch keine direkte Lösung für diese Schwachstellen in der Mikroarchitektur.

Darüber hinaus wurde 2018 erstmal eine kritische Schwachstelle in der Open-Source-Cloudorchestrierungssoftware Kubernetes erkannt. Glücklicherweise wurde dieser Fehler schnell behoben.

Die meisten Schwachstellen werden von Sicherheitsforschern und -anbietern entdeckt und verantwortungsvoll bekannt gegeben, sodass sie nicht für breitgestreute Angriffe verwendet werden können. Durch die öffentliche Bekanntgabe von Schwachstellen werden jedoch auch Bedrohungsakteure darauf aufmerksam. Daher ist es unerlässlich, vor einer solchen Bekanntgabe zunächst eine Fehlerbehebung zu erstellen. Bedrohungsakteure nutzen Schwachstellen gezielt aus, um einsatzfähige Exploits zu entwickeln.

Anders als in der Vergangenheit, als zwei oder drei umfangreiche Zero-Day-Exploits pro Jahr auftraten, wurden in der jüngsten Zeit keine breitgestreuten Angriffe erkannt. Vielmehr hatten die 2018 entdeckten Angriffe eine begrenzte Reichweite. Cyberkriminelle nutzten auch Schwachstellen aus, die bereits beseitigt worden waren. Dabei setzten sie darauf, dass viele Anwender die verfügbaren Fehlerbehebungen nicht zeitnah oder gar nicht übernehmen würden. 

*Mit dem Mauszeiger zum Datum des Angriffs wechseln

*Tippen, um zum Datum des Angriffs zu wechseln

Für die Verbreitung von Kryptowährungs-Minern verwendete Drupal-Schwachstellen

CVE-2018-7602
PATCHDATUM:
25. April 2018

DATUM DES ANGRIFFS:
5 Stunden nach Patch-Veröffentlichung

Für die Verbreitung von Kryptowährungs-Minern verwendete Apache CouchDB-Schwachstellen

CVE-2017-12635,
CVE-2017-12636
PATCHDATUM:
14. November 2017

DATUM DES ANGRIFFS:
15. Februar 2018
3 Monate später

Für Kryptowährungs-Mining verwendete Oracle WebLogic WLS-WSAT-Schwachstelle

CVE-2017-10271
PATCHDATUM:
16. Oktober 2017

DATUM DES ANGRIFFS:
26. Februar 2018
4 Monate später

Schwachstelle, die ständiges Rooting von Android-Telefonen in AndroRat zulässt

CVE-2015-1805
PATCHDATUM:
16. März 2016

DATUM DES ANGRIFFS:
13. Februar 2018
23 Monate später

Wichtige Angriffe 2018, die Exploits für bekannte und reparierte Schwachstellen umfassten

Ein beträchtlicher Prozentsatz der 2018 gefundenen Schwachstellen zielte auf in industriellen Steuerungssystemen (Industrial Control Systems, ICSs) eingesetzte Software ab. Die meisten dieser Schwachstellen wurden in HMI-Software (Human-Machine Interface, Anwenderschnittstelle) für ICSs und SCADA-Umgebungen (Supervisory Control And Data Acquisition) gefunden. Die HMI ist der zentrale Punkt für die Überwachung, Verwaltung und Implementierung der verschiedenen Prozesse in Anlagen. Durch Exploits von kritischen HMI-Schwachstellen könnte die Funktionalität der physischen Komponenten in einem Unternehmen gefährdet werden. 

. . .

IoT-Angriffe

Trotz der Folgen für die Entwickler von Mirai und Satori fanden routerbasierte Angriffe unvermindert statt. 2018 stellten wir fest, dass aufbereiteter Mirai-Code weiter für Angriffe auf Router eingesetzt wurde. Und VPNFilter, eine andere Art von Router-Malware, wurde um zusätzliche Funktionen ergänzt, wie beispielsweise Erkundungs- und Persistenzkomponenten. Dies ermöglichte den Missbrauch von Routern über Distributed Denial of Service (DDoS) hinaus. Dazu stießen wir auf Router, die für Kryptowährungs-Mining und Pharming-Angriffe verwendet wurden. Damit setzte sich der Trend der erweiterten Funktionen fort, auf den wir in unserem Sicherheitsüberblick zur Jahresmitte hingewiesen hatten.

2018 gab es zwei Beispiele für Angriffe:


  1. Cryptojacking

    Angreifer nutzten einen behobenen Sicherheitsfehler in MikroTik-Routern in Brasilien aus, um schädliches Coinhive-Script einzuschleusen und Monero zu schürfen.


  2. Schädliche Umleitung

    Das Exploit-Kit Novidade konnte DNS-Einstellungen (Domain Name System) so ändern, dass ahnungslose Anwender auf gefälschte Seiten umgeleitet wurden, die vom Angreifer kontrolliert wurden.

Immer mehr smarte Geräte werden mit dem Internet der Dinge (Internet of Things, IoT) vernetzt, sodass immer mehr Haus- und Wohnungsbesitzer zu „Smart-Home-Netzwerkadministratoren“ werden. Damit ist es ihre Verantwortung, dafür zu sorgen, dass ihre Router keine Eintrittspunkte für Angreifer werden. Da Router als zentraler Punkt für die Steuerung von Verbindungen mit den verschiedenen Geräten dienen, die auf das Internet zugreifen müssen, ist ihr Schutz von zentraler Bedeutung.

. . .

Trend Micro Research


Machine-Learning-Lösungen

  • Immer einen Schritt voraus: ein tieferes Verständnis der Netzwerkbedrohungen durch Machine Learning
  • Erzeugung von konfrontativen Beispielen: Machine-Learning-Systeme robust und sicher machen
  • Aufdecken von unbekannten Bedrohungen mit menschenlesbarem Machine Learning

Vernetzte Krankenhäuser, Energieversorger, Wasserwerke

  • Gefährdete und anfällige kritische Infrastruktur: Wasser- und Energiebranchen
  • Die Unsicherheit des Datenbackbone des Industrial IoT
  • Schutz von vernetzten Krankenhäusern: eine Studie zu gefährdeten medizinischen Systemen und Lieferkettenrisiken

Aufspüren und Eliminieren von Cyberkriminellen

  • Aufstieg und Untergang von Scan4You
  • Die Entwicklung von Cyberkriminalität und Cyberabwehr

. . .

Bedrohungslage

48387151118

Gesamtzahl der blockierten Angriffe 2018

Blockierte Angriffskomponenten1. Jahreshälfte 20182. Jahreshälfte 20182018 insgesamt
E-Mail-Bedrohungen16,997,711,54724,521,948,29741,519,659,844
Schädliche Dateien2,956,153,1122,867,738,6535,823,891,765
Schädliche URLs534,534,550509,064,9591,043,599,509
Allgemeine Bedrohungen20,488,399,20927,898,751,90948,387,151,118

Halbjahresvergleich der blockierten Angriffe durch E-Mails, Dateien und URLs


JahrWannaCry-FamilieAndere Ransomware-Familien
2017321,814244,716
2018616,399126,518

Jahresvergleich zu WannaCry-Erkennungen gegenüber anderen kombinierten Ransomware-Erkennungen



Monatsvergleich zur Erkennung von dateilosen Bedrohungen


  •  
  • 147%
  • 33%
  • 35%
  • 38%
  • 94%
  • 27%

Jahresvergleich zu Schwachstellen von ausgewählten Softwareanbietern

Laden Sie unseren jährlichen Sicherheitsbericht herunter, um mehr über die wichtigsten Cybersicherheitsprobleme 2018 zu erfahren.

. . .

KOMPLETTEN BERICHT HERUNTERLADEN

. . .
HIDE

Like it? Add this infographic to your site:
1. Click on the box below.   2. Press Ctrl+A to select all.   3. Press Ctrl+C to copy.   4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.