Bitdefender Labs mit Log4Shell-Bilanz
Hacker suchen intensiv nach Schwachstellen
Seit der Offenlegung der Log4Shell-Schwachstelle nutzen Kriminelle diese aktiv aus. Die meisten Angriffsversuche kommen scheinbar aus westlichen Industrieländern wie Deutschland, den USA und den Niederlanden, verschleiern aber ihre Herkunft offenbar teilweise hinter Exit-Nodes des Tor-Netzes. Das legt die Vermutung nahe, dass die Angreifer tatsächlich aus anderen Ländern heraus agieren. Fast jedes zweite Opfer weltweit befindet sich in den USA. Das ergibt die Datenanalyse der Honeypots von Bitdefender Labs und der Bitdefender-Telemetrie von mehreren 100 Millionen Endpunkten vom 9. bis zum 16. Dezember. Der Security-Spezialist stellt aktuell im Darknet ein hohes Interesse an den neuen Angriffsmöglichkeiten fest.
Da es Monate dauern wird, Schwachstellen zu schließen oder auch nur das Ausmaß der Bedrohung zu verstehen, haben die Hacker nun ein großes Zeitfenster, die Schwachstelle auszunutzen. Zwar haben die Bitdefender Labs laut eigenem Bekunden noch keine Aktivitäten bekannter Ransomware-as-a-Service-Banden oder APT-Hintermänner entdeckt. Aber viele suchen nach Möglichkeiten, jetzt einen Fuß in die Netzwerke zu setzen, um zu einem späteren Zeitpunkt zu agieren. Bitdefender geht davon aus, dass professionelle Angreifer diese Lücke als erstes Vehikel für ihre langfristige Attacken auf hochrelevante Ziele nutzen werden. Danach werden sie die Schachstelle heimlich schließen, um andere Angreifer auszuschließen und ihr Eindringen vor dem Abwehr-Scan zu verbergen. Die Attacken sollen den Vermutungen des Security-Spezialisten zufolge kommen, wenn sich der Sturm gelegt hat.
Laut Telemetriedaten stammen mit 34 Prozent die meisten Angriffe auf echte Endpunkte scheinbar aus Deutschland, vor den USA mit 26 Prozent. Hier ist aber die Verschleierung des Ursprungsortes über das Tor-Netzwerk zu berücksichtigen.
Bei den in den letzten Tagen gezählten 36.000 Honeypot-Attacken ergibt sich ein anderes Bild. Hier kommen die Angriffe am häufigsten aus den USA (21 Prozent). Dahinter liegen Indien (20 Prozent), Deutschland mit zwölf Prozent, dicht gefolgt von China (zehn Prozent) und Russland (neun Prozent). Fast jedes zweite angegriffene Netzwerk befindet sich laut Bitdefender-Telemetrie in den USA (48 Prozent), gefolgt von Kanada und Großbritannien (jeweils acht Prozent). Deutschland liegt hier auf Platz Fünf mit sechs Prozent.
Die hohe Rate vermeintlich aus Deutschland und westlichen Industrienationen stammender Angriffe auf wirkliche Endpunkte in der Bitdefender-Telemetrie ergibt sich dabei nicht aus dem zunächst vermuteten Grund, dass einmalig eingerichtete virtuelle Maschinen von Cloud-Rechenzentren der Ausgangspunkt sind. Nur ein geringer Prozentsatz der Attacken haben eine Quelladresse, die auf Cloud-Provider wie AWS, Azure oder die Google Cloud Platform (GCP) hindeuten.
Über 50 Prozent der Quell-IPs konnten sich aber Exit-Nodes des Tor-Netzes zuordnen lassen. Die Hacker nutzen also ein Netzwerk aus virtuellen Tunneln, um ihre Identität und Herkunft zu verschleiern. Beim Routing ihrer Attacken wählen sie Maschinen, die sich näher an den Zielopfern befinden, als Ausgangspunkt.
Erfreulicherweise ergab die Analyse auch den Beleg, wie gewissenhaft und betriebsam Unternehmen ihre eigene IT überprüfen und die Bedrohung ernst nehmen. Im Vorfeld der Telemetrieanalyse filterten die Experten rund 75 Prozent der Attacken auf Endpunkte heraus, die offensichtlich die IT-Verantwortlichen gestartet haben, um das eigene System auf Schwachstellen zu überprüfen.
Lesen Sie mehr zum Thema
