WatchGuard Blog

Konzernzentrale bis Homeoffice: Angreifer nutzen jede Front

Der gerade veröffentlichte Internet Security Report von WatchGuard Technologies für das dritte Quartal 2020 wartet im Hinblick auf die Bedrohungssituation mit einer überraschenden Erkenntnis auf: Denn obwohl im Zuge von Corona die Arbeit aus dem Homeoffice bei vielen Unternehmen weltweit nach wie vor gang und gäbe ist, führte dies auf Seiten der Cyberkriminellen in den Monaten Juli bis September nicht automatisch zu einer Verlagerung der Konzentration auf Endpunkte. Stattdessen standen die klassischen Unternehmensnetzwerke sogar noch stärker als in der Vergangenheit unter Beschuss. Insgesamt verzeichnen die Experten des WatchGuard Threat Lab für das dritte Quartal 2020 über 3,3 Millionen Netzwerkangriffe, was einer 90-prozentigen Steigerung gegenüber dem Vorquartal entspricht und den höchsten Stand seit zwei Jahren darstellt. Gleiches gilt auch hinsichtlich des Aufkommens ganz neuartiger (Zero-Day)-Bedrohungen. Der Aufwärtstrend bei Angriffsversuchen mit bisher nicht bekannter Signatur ist weiterhin ungebrochen. Daher sollten Unternehmen dem Schutz von Netzwerken und den darin befindlichen Anwendungen sowie Daten nach wie vor hohe Priorität einräumen und dabei gleichzeitig den spezifischen Anforderungen einer zunehmend mobilen bzw. dezentral arbeitenden Belegschaft Rechnung tragen.

„Unternehmen kommen künftig einfach nicht mehr umhin, sowohl Netzwerke als auch Endpunkte konsequent abzusichern", so Corey Nachreiner, Chief Technology Officer bei WatchGuard. „Wichtig ist in dem Zusammenhang ein ganzheitlicher Ansatz, bei dem unterschiedlichste Sicherheitsfunktionalitäten passgenau zusammenspielen. Nur so lässt sich den mannigfaltigen, fortschrittlichen Bedrohungen, die immer häufiger verschlüsselt daherkommen und sich gezielt zu tarnen wissen, Einhalt gebieten."

Wie der Report zeigt, nutzen Angreifer die Ängste rund um Corona weiterhin gezielt aus, gerade beim Phishing. So wurde beispielsweise Microsoft SharePoint von Cyberkriminellen missbraucht, um mit einer angeblich zu den Vereinten Nationen gehörigen, fingierten Anmeldeseite auf Beutezug zu gehen. Die entsprechende E-Mail stellte Hilfsmaßnahmen in Aussicht und sollte insbesondere kleine, von der Pandemie gebeutelte Unternehmen locken. Ebenfalls entdeckten die IT-Sicherheitsspezialisten von WatchGuard im dritten Quartal 2020 eine Adware-Kampagne, die auf legitimen Webseiten zur Unterstützung Pandemiebetroffener eingeschleust wurde, um auf diese Weise Gewinn aus einer erhöhten Aufmerksamkeit zu schlagen.

Alle im Report ausgewiesenen Erkenntnisse basieren auf den anonymisierten Firebox-Feed-Daten von knapp 48.000 aktiven WatchGuard UTM-Appliances weltweit, deren Anwender dem Daten-Sharing zur Unterstützung des WatchGuard Threat Labs zugestimmt haben. In Summe blockierten die Appliances im dritten Quartal 2020 über 21,5 Millionen Malware-Varianten (durchschnittlich 450 pro Gerät) und mehr als 3,3 Millionen Netzwerkangriffe (durchschnittlich 70 pro Gerät). Zudem wurden insgesamt 438 bisher unbekannte Angriffssignaturen identifiziert und abgewehrt, ein Höchstwert seit Ende 2018 und über 6,8 Prozent mehr als im vorangegangenen Quartal. Dank der umfassenden Datengrundlage ist es den WatchGuard-Analysten möglich, klare Trends aufzuzeigen und detaillierte Einblicke in die Gefahrenlandschaft zu geben, die Unternehmen gezielt dabei unterstützen sollen, ihre Abwehrmaßnahmen an aktuelle Gegebenheiten anzupassen.

Weitere wichtige Erkenntnisse des Internet Security Reports Q3 2020:

  • Mitarbeiter fallen zuhauf auf Phishing-Kampagnen rein und klicken auf bösartige Links: Im dritten Quartal blockierte der DNSWatch-Dienst von WatchGuard insgesamt 2.764.736 bösartige Domain-Verbindungen, was im Schnitt 499 blockierten Verbindungen pro Organisation entspricht. Eine genauere Aufschlüsselung verrät, dass jedes Unternehmen der Gefahr von durchschnittlich 262 Malware-Domains, 71 kompromittierten Websites und 52 Phishing-Kampagnen gegenüberstand. In Kombination mit der bereits erwähnten Zunahme überzeugender COVID-19-Betrügereien untermauern diese Ergebnisse, wie wichtig es ist, DNS-Filterdienste einzusetzen und Mitarbeiter gezielt zu schulen.
  • Angreifer haben es insbesondere in den USA auf SCADA-Systeme abgesehen: Hinsichtlich der am häufigsten verorteten Netzwerkangriffe vermeldet das WatchGuard Threat Lab eine bemerkenswerte neue Entwicklung: Obwohl bereits gepatched, hatten es Angreifer im dritten Quartal auf eine Authentifizierungslücke in einem bekannten Steuerungs- und Überwachungssystem für Industrieumgebungen abgesehen (SCADA – Supervisory Control and Data Acquisition). Obwohl diese Art von Schwachstelle nicht ganz so schwerwiegend ist wie eine Lücke zur Remote-Code-Ausführung, könnte sie es Cyberkriminellen dennoch ermöglichen, die Kontrolle über die auf dem Server laufende SCADA-Software zu übernehmen. Insgesamt waren im 3. Quartal fast 50 Prozent aller Netzwerke in den USA damit konfrontiert – es zeichnet sich ab, dass solche industriellen Steuerungssysteme künftig verstärkt im Fokus stehen.
  • LokiBot-Nachahmer schafft es auf Anhieb in die Malware-Top-5: Farelt, ein sogenannter „Password Stealer", erfreute sich im dritten Quartal hoher Beliebtheit. Auch wenn sich aktuell nicht klar bestimmen lässt, ob Farelt die gleiche Command-and-Control-Struktur wie die bekannte LokiBot-Malware nutzt, ist mit hoher Wahrscheinlichkeit davon auszugehen, dass sich beide Varianten auf den gleichen Urheber – eine Gruppe namens SilverTerrier – zurückführen lassen. Auffällig ist, wie ausgeklügelt dieses Botnet Antivirus-Kontrollen umgeht und Nutzer zur Installation verleitet. Bei genauerer Analyse dieser Bedrohung können die WatchGuard-Experten nicht ausschließen, dass die Malware noch viel mehr Ziele angegriffen hat, als die Daten bisher vermuten lassen.
  • Emotet treibt weiter sein Unwesen: Der bekannte Banking-Trojaner Emotet hat es im dritten Quartal 2020 erstmals in die Top-10-Malware-Liste von WatchGuard geschafft und verfehlte die Top 10 der Domains, die Malware verbreiten, nur ganz knapp. Aber auch auf Platz 11 dieser Liste sorgt die Bedrohung für Furore: Denn sowohl dem WatchGuard Threat Lab als auch anderen Forschungsteams ist aufgefallen, dass die derzeitigen Emotet-Infektionen ebenso mit der Verbreitung anderer Gefahren wie der Trickbot-Malware oder Ryuk-Ransomware in Verbindung stehen und es keinerlei Anzeichen für eine Trendwende gibt.

Der vollständige Bericht mit vielen weiteren Details und Empfehlungen für adäquate Sicherheitsvorkehrungen auf Unternehmensseite steht online zum Download bereit: https://www.watchguard.com/wgrd-resource-center/security-report-q3-2020.

Der Report beinhaltet dabei auch eine detaillierte Analyse des Twitter-Hacks vom Juli 2020, bei dem 130 Konten prominenter Personen im Zuge eines Bitcoins-Betrugs kompromittiert wurden.