Cybersecurity-Report 2021: Schwieriges Terrain
Unser jährlicher Cybersicherheits-Bericht zeigt, dass Unternehmen 2021 mit erheblichen Sicherheitsherausforderungen im Rahmen der digitalen Transformation zu kämpfen hatten. Ransomware, Schwachstellen und Fehlkonfigurationen standen im Vordergrund.
Originalartikel von Trend Micro Research
Die digitale Transformation, die es vielen Unternehmen ermöglichte, sich während der Covid-19-Krise zu behaupten, brachte aber auch erhebliche Herausforderungen für die Cybersicherheit mit sich, deren Auswirkungen auch 2021 deutlich zu spüren waren. Trend Micro erkannte und blockierte im vergangenen Jahr mehr als 94 Milliarden Bedrohungen und konnte damit böswilligen Akteuren, die darauf aus waren, weltweit jede Schwachstelle in den Sicherheitsvorkehrungen von Unternehmen auszunutzen, die Stirn bieten. In unserem jährlichen Cybersecurity-Bericht „Navigating New Frontiers“ blicken wir auf das Jahr 2021 zurück und zeigen die wichtigsten Sicherheitsprobleme und Trends auf, die die Bedrohungslandschaft geprägt haben.
Ransomware-Akteure immer gezielter auf kritische Branchen
Im Laufe unserer jahrelangen Verfolgung von Ransomware-Aktivitäten beobachteten wir, wie sich die Taktik der Ransomware-Betreiber von auf Quantität basierten Aktionen zu einer gezielten Auswahl profitablerer Opfer entwickelt hat. Moderne Ransomware wendet in der Regel mehr Zeit und Mühe für die Planung und Erkundung auf, was zu schwächeren Angriffen führt, die jedoch auf spezifische Systeme der Ziele zugeschnitten sind.
Behörden, Banken und Gesundheitswesen waren 2021 am stärksten von den Angriffen betroffen, wahrscheinlich aufgrund der wichtigen Rolle, die sie während der Pandemie gespielt haben. Allerdings beobachteten wir im Vergleich zum Vorjahr einen Rückgang der Ransomware-Erkennungen um 21 %. Dies bedeutet jedoch nicht zwangsläufig, dass es weniger Angriffe gab. Vielmehr könnte der Rückgang darauf zurückzuführen sein, dass wir mehr Malware-Tools erkannt und blockiert haben, die häufig von Ransomware-Akteuren verwendet werden, darunter der Cobalt Strike Beacon CoBeacon, der Trojaner Trickbot und der Information Stealer BazarLoader. Das Blocken dieser Partner-Tools, deren Vorhandensein ein frühes Anzeichen für eine Infektion ist, könnte Ransomware-Akteure daran gehindert haben, ihre Operationen zu umfassenden Angriffen auszuweiten.
Bild 1. Die drei wichtigsten von Ransomware-Angriffen betroffenen Branchen 2020 und 2021 (Quelle: Trend Micro™ Smart Protection Network™)
Fokus auf Fehlkonfigurationen in Cloud-Umgebungen
Immer mehr Unternehmen nutzen die Cloud, um ihre Geschäfte zu betreiben und zu erweitern. Doch die damit verbundene Komplexität der Einrichtung von Cloud-Infrastrukturen veranlasste böswillige Akteure dazu, schnell zu handeln und Fehlkonfigurationen in diesen Umgebungen auszunutzen. Insbesondere eine Fehlkonfiguration der rollenbasierten Zugriffskontrolle in Kubernetes ermöglichte es im vergangenen Jahr der Gruppe TeamTNT, im Rahmen einer groß angelegten, auf den Diebstahl von Zugangsdaten ausgerichteten Kampagne fast 50.000 IP-Adressen in den USA und in China zu kompromittieren. Ebenfalls 2021 nutzte TeamTNT falsch konfigurierte Server aus, um Metadaten von Cloud-Service-Anbietern zu stehlen.
Bild 2. TeamTNTs Angriffsablauf
Mail-basierte Angriffe werden zu komplexeren Bedrohungen
2021 fand und blockierte Trend Micro Cloud App Security mehr als 25 Millionen Mail-Bedrohungen. Insbesondere die Zahl der Phishing-Versuche hat sich gegenüber 2020 fast verdoppelt. Davon stammten 62 % aus Spam-Mails, der Rest bestanden aus Credential-Phishing-Versuchen. Organisationen im Finanz-, Gesundheits- und Bildungswesen waren am stärksten von Phishing-Versuchen betroffen.
Bild 3. Vergleich zwischen den Erkennungen von Spam Phishing- und Credential-Phishing-Versuchen 2020 und 2021 (Quelle: Trend Micro Cloud App Security)
Die Zahl der BEC-Versuche (Business Email Compromise) ging 2021 zurück. Dies dürfte jedoch auf eine Zunahme raffinierterer BEC-Mails zurückzuführen sein, die Antispam-Regeln umgehen können. Trend Micro Cloud App Security konnte 2021 der Entwicklung jedoch Rechnung tragen, indem die Lösung mithilfe der Urheberschaftsanalyse einen größeren Anteil dieser BEC-Versuche erkannte und blockierte als noch 2020.
Bild 4. Vergleich des Anteils der blockierten BEC-Versuche auf der Grundlage der Urheberschaftsanalyse und jener auf der Grundlage der Verhaltens- und Absichtsanalyse 2020 und 2021 (Quelle: Trend Micro Cloud App Security)
Mail war auch der bevorzugte Einstiegspunkt für Akteure, die die Entwicklungen der laufenden Pandemie ausnutzen wollten. Wir entdeckten 2021 über acht Millionen Bedrohungen im Zusammenhang mit Covid-19, vor allem in den USA und Deutschland. Der Großteil bestand aus Mails, entsprechend dem Aufwärtstrend bei Phishing-Versuchen, die die Kühlkette für Impfstoffe als Köder nutzten. Die ständige Berichterstattung über die Gesundheitskrise lieferte böswilligen Akteuren wahrscheinlich neue Themen für ihre Mail-Köder.
Bild 5. Vergleich der Erkennungen von Covid-19-bezogenen Bedrohungen in Form von bösartigen Mails, URLs und Dateien 2020 und 2021 (Quelle: Trend Micro Cloud App Security)
Die Ausnutzung alter und neuer Sicherheitslücken nimmt überhand
2021 veröffentlichte die Trend Micro™ Zero Day Initiative™ (ZDI) Advisories für 1.604 Schwachstellen, ein Anstieg von 10 % gegenüber dem Vorjahr. Neben den neu entdeckten Schwachstellen nutzten böswillige Akteure jedoch auch weiterhin bereits veröffentlichte Lücken für ihre Angriffe aus. Die Nachfrage nach diesen Schwachstellen blieb im cyberkriminellen Untergrund bestehen, wo fast 25 % der verkauften Schwachstellen mindestens drei Jahre alt waren.
Bild 6. Vergleich des Anteils der CVSS-Bewertungen (Common Vulnerability Scoring System) an den im Rahmen des ZDI-Programms 2020 und 2021 gemeldeten Schwachstellen (Quelle: Trend Micro™ Zero Day Initiative™)
Ungepatchte Systeme sind nach wie vor eine Gefahr für Unternehmen, wie das Beispiel Log4Shell (CVE-2021-44228) zeigt, eine hochgradig gefährliche Schwachstelle in Apache Log4j, die Apache erstmals im November 2021 privat gemeldet wurde. Ein Patch für diese Schwachstelle wurde einen Monat später zur Verfügung gestellt. Das aber hielt böswillige Akteure nicht davon ab, diese Schwachstelle für verschiedene Ransomware-, Datendiebstahl- und Kryptowährungs-Mining-Angriffe auszunutzen.
Auch die Microsoft Exchange Server-Schwachstellen ProxyLogon (CVE-2021-26855) und ProxyShell (CVE-2021-34473 und CVE-2021-34523) wurden von böswilligen Akteuren erfolgreich ausgenutzt, obwohl Patches vorhanden waren. Die Cyberkriminellen hinter dem Squirrelwaffle Loader nutzten beispielsweise ProxyLogon und ProxyShell, um die Mail-Konten ihrer Opfer zu kapern.
Mehrschichtige Verteidigung
Da sich ihre Angriffsflächen erweitern und weiterentwickeln, sind Unternehmen weltweit gezwungen, sich auf unbekanntes Sicherheitsterrain zu begeben, wo sie qualitativ hochwertige Daten mit einer einheitlichen Sicht auf ihr gesamtes digitales Ökosystem benötigen, um Risiken zu erkennen, zu bewerten und zu mindern.
Lesen Sie unseren jährlichen Cybersecurity-Bericht „Navigating New Frontiers“, um mehr über die wichtigen Sicherheitsthemen 2021 zu erfahren und wertvolle Einblicke zu erhalten, die dabei helfen können, latente, aufkommende und aktuelle Bedrohungen abzuwehren.