Startseite > Security > Angriffstechniken immer raffinierter und aggressiver

FortiGuard Labs Global Threat Landscape Report 2H21

Angriffstechniken immer raffinierter und aggressiver

7. März 2022, 12:00 Uhr | Wilhelm Greiner

Automationsgrad und Geschwindigkeit der Cyberangriffe nehmen zu. Dies ist eines der Ergebnisse aus dem FortiGuard Labs Global Threat Landscape Report für das zweite Halbjahr 2021, den der US-Security-Anbieter Fortinet jüngst veröffentlicht hat. Eine weitere Erkenntnis: Die Vorgehensweisen der Cyberkriminellen entwickeln sich stetig weiter, nehmen an Zerstörungskraft zu und lassen sich schwerer vorhersehen.

Die Ende 2021 aufgetretenen Log4j-Schwachstellen zeigen laut den Fortinet-Experten, wie schnell Cyberkriminelle eine Schwachstelle zu ihrem Vorteil ausnutzen: Obwohl die Schwachstelle erst in der zweiten Dezemberwoche auftrat, eskalierten die darauf basierten Angriffe in weniger als einem Monat so schnell, dass sie die am häufigsten von Intrusion-Prevention-Systemen (IPS) erkannte Gefahr in der gesamten zweiten Jahreshälfte 2021 wurde. Das Aktivitätsvolumen war bei Log4j zudem fast 50-mal so hoch wie das der Angriffe auf die ProxyLogon-Schwachstelle zu einem früheren Zeitpunkt 2021. Ein weiterer Vergleich: In nur zehn Tagen hatte Log4j-DoS (Denial of Service) laut Fortinet-Erkenntnissen ein doppelt so hohes Volumen wie bei der Ausnutzung der Apache-Struts-Schwachstelle im gesamten ersten Jahr (siehe Bild oben).

Unternehmen haben angesichts dieser Angriffsgeschwindigkeit heute nur sehr wenig Zeit, um auf Bedrohungen zu reagieren oder Patches zu installieren, warnt Fortinet. Die Abwehr benötige deshalb KI- und ML-gestützte (Machine Learning) Intrusion-Prevention-Systeme, aggressive Patch-Management-Strategien und einen Einblick in die Bedrohungsdaten, um die Bedrohungslage nach Verbreitungsgeschwindigkeit zu priorisieren und das Gesamtrisiko zu senken.

Linux-Malware nimmt zu

Einige kleinere Bedrohungen haben laut den Fortinet-Fachleuten das Potenzial, in Zukunft größere Probleme zu verursachen, sodass man sie näher beobachten sollte. Dazu gehört eine neu entwickelte Malware, die Linux-Systeme ausnutzen soll, oft in Form von ELF-Binärdateien (Executable and Linkable Format). Denn die Backend-Systeme vieler Netzwerke verwenden Linux, ebenso containerbasierte Lösungen für IoT-Geräte und unternehmenskritische Anwendungen. Dies mache das Betriebssystem verstärkt zu einem beliebten Ziel für Angreifer, wobei die ELF-Variante Muhstik, RedXOR-Malware und Log4j Beispiele für Linux-fokussierte Bedrohungen sind.

Im Jahr 2021 verdoppelten sich laut dem Report die Meldungen von erkannter ELF- und anderen Linux-Malware. Die steigende Menge der Varianten und des Volumens deutet darauf hin, dass Linux-Malware zunehmend ein Teil des Angreiferarsenals ist. So habe sich die Zahl neuer Linux-Malware-Signaturen im vierten Quartal gegenüber dem ersten Quartal 2021 vervierfacht. Konkrete Zahlen nennt der Fortinet-Report hierzu jedoch nicht.

Auch Linux-Endpunkte im Netzwerk muss ein IT-Team, wie Fortinet betont, durch automatisierten Schutz sowie Endpoint Detetection and Response (EDR) sichern und überwachen, zudem sollte IT-Hygiene hohe Priorität erhalten.

Botnets entwickeln sich weiter

Des Weiteren zeigen die Bedrohungstrends laut dem Report eine Weiterentwicklung der Botnets, die neuere und ausgefeiltere Angriffstechniken von Cyberkriminellen übernehmen. Statt sich hauptsächlich auf DDoS-Angriffe zu konzentrieren, seien Botnets jetzt Mehrzweck-Angriffsvehikel, die eine Vielzahl ausgeklügelter Angriffstechniken einsetzen, darunter natürlich Ransomware.

So haben nach Fortinet-Erkenntnissen Bedrohungsakteure wie die Betreiber des Mirai-Botnets Exploits für die Log4j-Schwachstelle in ihre Angriffspakete integriert. Auch habe man Botnet-Aktivitäten im Zusammenhang mit einer neuen Variante der RedXOR-Malware entdeckt, die Daten aus Linux-Systemen exfiltrieren soll. Anfang Oktober sei die Anzahl gemeldeter Entdeckungen von Botnets in die Höhe geschossen, die eine Variante der RedLine-Stealer-Malware verbreiten und dabei mit COVID-Themen neue Ziele suchen.

Zum Schutz von Netzwerken und Anwendungen sollten Unternehmen laut Fortinet-Bekunden Zero-Trust-Access-Lösungen implementieren. Dabei sollten sie zum Schutz alle IoT-Endpunkte und Endgeräte, die sich mit dem Netzwerk verbinden, mit den geringstmöglichen Zugriffsrechten ausstatten. Des Weiteren seien auch hier automatische Detection-and-Response-Funktionen wichtig, um anomales Verhalten aufzuspüren.