Mit der umfassenden Analyse von Ransomware, COTS-Malware und Angriffen auf die Cloud lassen sich Bedrohungen schneller erkennen und Sicherheits-Strategien optimieren.
SAN FRANCISCO, Kalifornien, 18. Oktober 2023 –Ransomware ist weiterhin auf dem Vormarsch und diversifiziert sich zudem immer mehr. Über 50 Prozent aller beobachteten Malware-Infektionen fanden auf Linux-Systemen statt, und Credential-Access-Verfahren bei Einbrüchen in Cloud-Systeme gehören inzwischen zum Standard. Das ergab der zweite Elastic Global Threat Report von Elastic Security Labs. In seiner Studie analysierte Elastic® (NYSE: ESTC), das Unternehmen hinter Elasticsearch®, über eine Milliarde Datenpunkte aus den letzten zwölf Monaten.
Das sind die wichtigsten Erkenntnisse aus dem Bericht:
Trends bei Malware
Immer mehr finanziell motivierte Threat Communities setzen Malware-as-a-Service (MaaS)-Funktionen ein oder bieten sie sogar an. Um bisher unentdeckte Bedrohungen aufzudecken, sollten Unternehmen daher vorrangig in die Entwicklung von Security-Funktionen mit umfassend sichtbaren Low-Level-Verhaltensweisen investieren. Die beobachtete Malware bestand hauptsächlich aus einigen wenigen, weit verbreiteten Ransomware-Familien und sogenannten COTS-Tools (Commercial Off-the-Shelf).
- Die am weitesten verbreiteten Ransomware-Familien, die wir anhand von Signaturen identifiziert haben, sind BlackCat, Conti, Hive, Sodinokibi und Stop. Sie waren für etwa 81 Prozent aller Ransomware-Aktivitäten verantwortlich.
- COTS-Malware-Funktionen wie Metasploit und Cobalt Strike standen hinter 5,7 Prozent aller Signaturereignisse. Auf Windows-Systemen machten diese Familien etwa 68 Prozent aller Infektionsversuche aus.
- Etwa 91 Prozent der Malware-Signaturereignisse stammten von Linux-Endpoints, während die Zahl bei Windows-Endpoints nur bei etwa 6 Prozent lag.
Trends beim Endpoint-Verhalten
Unternehmen sollten mehr denn je die Manipulationssicherheit ihrer Endpoint-Security-Sensoren im Blick behalten oder – noch besser – ein automatisiertes Monitoring erwägen. Maßnahmen, die nie wichtiger waren als heute, weil Threat-Gruppen mit besonderem technischen Know-how Sicherheitsvorkehrungen umgehen, indem sie sich auf Edge-Geräte, Appliances und andere Plattformen mit sehr geringer Sichtbarkeit zurückziehen. Um solche grundlegenden Technologien zu deaktivieren, sollten Organisationen mit großen Windows-Umgebungen außerdem anfällige Gerätetreiber aufspüren. Einmal entdeckt, lassen sich diese durch Sicherheitstechnologien blockieren.
- Zusammen betrachtet gehen mehr als 70 Prozent aller Endpoint-Alerts auf Execution- und Defense-Evasion-Operationen zurück.
- Die unauffälligsten Methoden hat Elastic auf Windows-Endpoints beobachtet, die mit 94 Prozent aller Endpoint-Verhaltens-Alerts das Hauptziel von Angriffen waren, gefolgt von macOS-Endpoints mit 3
- Das macOS-spezifische Credential-Dumping war für erstaunliche 79 Prozent aller Credential-Access-Fälle verantwortlich – im Vergleich zum Vorjahr ein Anstieg von etwa 9 Unseren Beobachtungen zufolge wurden dabei in Windows-Umgebungen zu mehr als 78 Prozent der Zeit ProcessDump.exe, WriteMiniDump.exe und RUNDLL32.exe verwendet.
Trends bei der Cloud-Security
Fehlkonfigurationen, lockere Zugriffskontrollen, ungesicherte Anmeldedaten und nicht funktionierende PoLP-Modelle (Principle of Least Privilege) werden immer stärker ausgenutzt, je mehr Unternehmen von lokalen Infrastrukturen auf hybride oder vollständig cloudbasierte Umgebungen wechseln. Kontrollieren Organisationen ihre IT-Landschaften auf bereits bekannte Versuche des Credential-Missbrauchs, indem sie die von ihren Cloud-Anbietern bereits unterstützten Security-Features einbinden, lässt sich das Risiko eines erfolgreichen Angriffs erheblich verringern.
- Für Amazon Web Services zeichnet sich nach Auswertung der Bedrohungserkennungssignale bei der Häufigkeit der verschiedenen Taktiken die folgende Reihenfolge ab: Defense Evasion (38 Prozent), Credential Access (37 Prozent) und Execution (21 Prozent).
- 53 Prozent der Credential-Access-Ereignisse standen im Zusammenhang mit kompromittierten legitimen Microsoft Azure-Konten.
- Bei Microsoft 365 wurde mit 86 Prozent ein hoher Anteil von Credential-Access-Signalen festgestellt.
- 85 Prozent der Threat-Detection-Signale bei Google Cloud standen im Zusammenhang mit Defense Evasion.
- Etwa 61 Prozent aller Kubernetes-spezifischen Signale entfielen auf Discovery.Dabei handelte es sich überwiegend um unerwartete Dienstkontoanfragen, die abgelehnt wurden.
„In Zeiten, in denen Angreifende sich immer mehr zu kriminellen Unternehmen entwickeln, die ihre Angriffsstrategien zu Geld machen, kennt die Bedrohungslandschaft von heute wirklich keine Grenzen mehr“, so Jake King, Head of Security Intelligence und Director of Engineering bei Elastic „Open Source, handelsübliche Malware und der Einsatz von KI haben die Einstiegshürde für Angreifende gesenkt.Aaber wir beobachten auch den zunehmenden Einsatz von automatisierten Erkennungs- und Reaktionssystemen, mit denen das IT-Personal seine Infrastrukturen besser schützen kann. Das Ganze ist ein Katz-und-Maus-Spiel und unsere stärksten Waffen sind Wachsamkeit und kontinuierliches Investieren in neue Verteidigungstechnologien und ‑strategien.“
Weitere Ressourcen
Bericht herunterladen
Blogpost lesen
Webinar anhören
Über den Bericht
Im Elastic Global Threat Report 2023 werden Beobachtungen zusammengefasst und auf einige wenige Einzelkategorien heruntergebrochen. Er basiert auf Telemetriedaten von Elastic, öffentlichen Daten und Daten von Drittanbietern, die freiwillig zur Verfügung gestellt wurden, um Bedrohungen aufzuspüren. Für die Beobachtungen wurde mehr als 1 Milliarde Datenpunkte aus den letzten zwölf Monaten herangezogen. Sämtliche Informationen wurden gegebenenfalls sorgfältig bereinigt, um die Identität der beteiligten Personen zu schützen.