Cyberkriminelle haben es immer öfter auf Zugangsdaten abgesehen

iStock_000086447103_Double

Neuer Internet Security Report von WatchGuard zeigt aktuelle Malware-Trends auf und liefert eine umfassende Analyse von WannaCry

Auch diesmal sprechen die Ergebnisse des jüngsten WatchGuard Internet Security Reports, der vierteljährlich die relevantesten Bedrohungen für kleine und mittlere Unternehmen sowie dezentral agierende Organisationen ermittelt, eine klare Sprache: Danach waren im zweiten Quartal 2017 insbesondere kriminelle Taktiken zum Diebstahl von Benutzerdaten (Credential Theft) auf dem Vormarsch. Weitere alarmierende Erkenntnis: Bei 47 Prozent aller Malware handelt es sich um neue oder Zero-Day-Varianten, an denen sich signaturbasierte Antiviren-Lösungen die Zähne ausbeißen.

„Die Firebox-Log-Daten des zweiten Quartals belegen, dass Angreifer stärker als je zuvor auf den Diebstahl von Zugangsdaten fokussiert sind“, berichtet Corey Nachreiner, Chief Technology Officer bei WatchGuard Technologies. „Von JavaScript-basierten Phishing-Angriffen über Versuche, Linux-Passwörter zu stehlen, bis hin zu Brute-Force-Attacken auf Webserver – das Ziel ist stets das gleiche: Es geht darum, persönliche Login-Daten abzugreifen.“ Entsprechend dieser Erkenntnisse sollten Unternehmen nach Aussage Nachreiners nicht nur die gefährdeten Server nachhaltig absichern, sondern auch Multifaktor-Authentifizierung ernsthaft in Erwägung ziehen. Zudem sei es wichtig, fortschrittliche Lösungen zum Schutz der wertvollen Daten zu implementieren und Anwender soweit zu schulen, dass sie Phishing-Angriffe erkennen.

Im WatchGuard Security Report fließen aktuelle Bedrohungsinformationen, darüber hinausgehende Forschungsergebnisse sowie Securitity-Best-Practices effektiv zusammen. Auf diese Weise können sich Unternehmen ein eindeutiges Bild zu den gegenwärtigen Gefahren verschaffen und ihre Organisation auf Basis der Fakten besser schützen. Hier die wichtigsten Ergebnisse des Q2 Security Reports im Überblick:

  • Das für den Diebstahl von Zugangsdaten bekannte Open-Source-Werkzeug Mimikatz zeichnet für 36 Prozent der insgesamt gefundenen Malware verantwortlich. Das Tool wird dazu verwendet, Windows-Passwörter auszulesen und zu ersetzen. Aufgrund der Häufigkeit schaffte es Mimikatz erstmals überhaupt unter die Top 10 der Malware und konnte sich im zweiten Quartal 2017 gleich Platz 1 sichern. Dieser Neuzugang in der Top-Bedrohungsliste macht deutlich, dass die Angreifer ihre Taktik ständig anpassen.
  • Phishing-Angriffe setzen auf schadhaftes JavaScript, um Benutzer zu täuschen. Bereits die Ergebnisse der letzten Quartale zeigten, dass JavaScript-Code und -Downloader genutzt werden, um Malware sowohl via Web als auch per E-Mail zu verbreiten. Im zweiten Quartal setzten die Angreifer vor allem auf JavaScript in HTML-Anhängen von Phishing-E-Mails, um Login-Seiten für bekannte und häufig genutzte Angebote von Google, Microsoft und anderen zu imitieren. Dies soll Benutzer dazu zu verleiten, bereitwillig ihre Anmeldeinformationen zu verraten.
  • In Nordeuropa standen Linux-Passwörter im Fokus der Cyberkriminellen. Es wurde auf eine alte Linux-Anwendungslücke zurückgegriffen, um insbesondere in den nordischen Ländern und den Niederlanden Passwort-Hash-Dateien zu stehlen. Mehr als 75 Prozent der Angriffe, die im Rahmen des Zugriffs auf /etc/passwd auf einer File-Inclusion-Schwachstelle beruhten, wurden in Norwegen (62,7 Prozent) und Finnland (14,4 Prozent) verzeichnet. Bei einer so hohen Anzahl von Übergriffen ist es für Anwender von Linux-Servern und -Geräten grundsätzlich ratsam, diese auf den neuesten Stand zu bringen.
  • Brute-Force-Angriffe auf Server nehmen zu. Es kamen vermehrt automatisierte Tools zum Einsatz, um den Zugang zu Webservern zu knacken. Durch die starke Verbreitung schafften es die sogenannten Brute-Force-Anmeldungen auf Webservern unter die Top 10 der Netzwerkbedrohungen. Webserver, bei denen fehlgeschlagene Anmeldungen nicht überwacht und gegebenenfalls geprüft werden, sind meist machtlos gegenüber solch automatisierten Angriffen, bei denen pro Sekunde Tausende von Passwörtern ausprobiert werden.
  • Fast die Hälfte aller Malware-Varianten ist in der Lage, ältere AV-Lösungen zu umgehen. Neue oder Zero-Day-Malware-Varianten machten in Summe 47 Prozent aus – mehr als je zuvor. Die Daten belegen, dass ältere, signaturbasierte AV-Systeme zunehmend an Wirksamkeit verlieren, wenn es darum geht, moderne Bedrohungen abzufangen.

Der Internet Security Report von WatchGuard basiert auf anonymisierten Firebox-Feeds von über 33.500 aktiven WatchGuard UTM-Appliances weltweit. Insgesamt blockierten diese im zweiten Quartal mehr als 16 Millionen Malware-Varianten, durchschnittlich 488 pro Gerät. WatchGuards Gateway AV-Lösung konnte dabei nahezu 11 Millionen Malware-Typen den Garaus machen (ein Anstieg von 35 Prozent gegenüber Q1), während APT Blocker weitere 5.484.320 Varianten aufspürte (eine 53-prozentige Steigerung gegenüber Q1). Zusätzlich haben WatchGuard Firebox-Appliances im zweiten Quartal fast drei Millionen Netzwerkangriffe verhindert, das macht 86 Angriffe pro Gerät.

Der vollständige Bericht enthält neben dem Überblick zu den wichtigsten Malware- und sonstigen Gefahrentrends des zweiten Quartals 2017 eine umfassende Zusammenfassung der berüchtigten WannaCry-Ransomware-Angriffe sowie nützliche Hinweise zur Umsetzung wirkungsvoller IT-Sicherheitsmaßnahmen. Zudem wird auf das neueste Forschungsprojekt von WatchGuards Threat Lab eingegangen, das sich mit den automatisierten Angriffen auf SSH- und Telnet-Honeypots beschäftigt. In diesem Zusammenhang ergeben sich wichtige Erkenntnisse hinsichtlich der Gefahren, die mit standardisierten Zugangsdaten einhergehen. Gleichzeitig wird deutlich, wie wichtig der Schutz von IoT-Anwendungen ist.

Der vollständige Report steht hier zum Download zur Verfügung: https://www.watchguard.com/wgrd-resource-center/security-report