Im steten Wandel: Trend Micro – Jahresbericht zur Cybersicherheit 2020

23 Februar 2021

Im steten Wandel

Trend Micro – Jahresbericht zur Cybersicherheit 2020

$2$ „Im steten Wandel: Trend Micro – Jahresbericht zur Cybersicherheit 2020“ herunterladen

2020 war ein Jahr, das die Unternehmen ausgebremst und in vielerlei Hinsicht an ihre Grenzen gebracht hat. Folgenschwere Ereignisse, der Wechsel in Homeoffices und andere bedeutende Veränderungen führten Unternehmen weg von gewohnten Pfaden und hin zu einem neuen Bewusstsein. Die Herausforderungen, die damit einhergingen, ebneten den Weg für anpassungsfähige, alternative Lösungen, die sowohl den Menschen als auch technologische Aspekte in den Fokus rückten.

Für Cyberkriminelle ergaben sich 2020 zahlreiche neue Möglichkeiten für böswillige Aktivitäten. Sie konnten die Situation für ihre Machenschaften ausnutzen und sich unrechtmäßig bereichern. Mithilfe alter und neuer Methoden nutzten sie Schwachstellen, Fehlkonfigurationen und andere Sicherheitslücken, die unweigerlich entstanden, als sich Mitarbeiter und Unternehmen in aller Eile umstellen mussten, um sich an die neuen Gegebenheiten anzupassen.

Der Jahresbericht zur Cybersicherheit wirft einen Blick zurück auf dieses außergewöhnliche Jahr und untersucht die wichtigsten und vordringlichsten Sicherheitsprobleme, die sich 2020 zeigten. Der Bericht liefert Anwendern und Unternehmen Erkenntnisse, die sie brauchen, um sich in dieser drastisch veränderten Bedrohungslandschaft zurechtzufinden.

Zielgerichtete Angriffe

Welche Branchen waren von Ransomware-Angriffen am meisten betroffen?

Auf den öffentlichen Sektor, das Bankwesen, die Fertigungsindustrie und das Gesundheitswesen entfielen knapp 90.000 der Fälle.

Welche Ransomware wurde am häufigsten erkannt?

WannaCry wurde am häufigsten erkannt: 220.166 Mal.

Die Ransomware Ryuk war im Oktober mit über 2.000 erkannten Angriffen am aktivsten, nachdem von April bis August keine Aktivität festzustellen war.

Egregor und DoppelPaymer, zwei relativ neue Ransomware-Familien, rangieren unter den Top 10 der am häufigsten erkannten Angriffe.

Ransomware

Ransomware-Betreibern gelang es, ihren Gewinn in zweifacher Hinsicht zu maximieren. Die Angreifer forderten Geld, damit die Opfer wieder auf ihre verschlüsselten Daten zugreifen konnten (oder erhöhten das Lösegeld bei überfälliger Zahlung) und drohten gleichzeitig, bei Nichtzahlung sensible Informationen offenzulegen. Die betroffenen Unternehmen waren dabei dem Risiko ausgesetzt, sowohl Datenverluste als auch einen Reputationsschaden zu erleiden. Die gesellschaftliche Bedeutung der Organisationen, die besonders häufig Opfer von Ransomware-Angriffen wurden, zum Beispiel Behörden, Staatsbetriebe, Banken, Fertigungsunternehmen und Einrichtungen der Gesundheitsfürsorge, machte es umso dringlicher, auf die Forderungen der Ransomware-Betreiber einzugehen.

127

2019

2020

Anzahl neuer Ransomware-Familien 2019 und 2020 im Vergleich

Öffentlicher Sektor

31,906

Bankwesen

22,082

Fertigung

17,071

Gesundheitswesen

15,701

Finanzwesen

4,917

Wissenschaft und Bildung

4,578

Technologie

4,216

Lebensmittel und Getränke

3,702

Öl und Gas

2,281

Versicherungen

2,002

Die zehn am meisten von Ransomware-Angriffen betroffenen Branchen 2020

Die neue Ransomware Egregor, die sich besonders in den letzten Monaten des Jahres hervortat, setzte vor allem auf die oben genannte doppelte Erpressungsstrategie, denn die Angreifer hatten es auf bedeutende Organisationen abgesehen, zum Beispiel auf wichtige Unternehmen im Einzelhandel, Gaming-Sektor oder Personalwesen.

Von Egregor angewendete Methode der doppelten Erpressung

Angriffe auf Lieferketten

Auch wo Unternehmen ihre Sicherheitsvorkehrungen erhöht hatten, fanden die Angreifer Wege in deren Systeme, indem sie stattdessen ihre Partner entlang der Lieferkette kompromittierten. Sie nutzten die Geschäftsbeziehung und das langjährige Vertrauen zwischen dem Zielunternehmen und dessen Partnern, um sich Zugang zu den Systemen des Unternehmens zu verschaffen.

Einer der öffentlichkeitswirksamsten aktuellen Angriffe auf die Lieferkette war ein Angriff im Dezember, für den Orion eingesetzt wurde, eine weitverbreitete Systemsoftware für das Netzwerkmanagement von SolarWinds. Die böswilligen Akteure hinter diesem Angriff fügten in bestimmte Builds von Orion eine Schwachstelle ein, die es ihnen ermöglichte, die Server zu kompromittieren, auf denen diese Software ausgeführt wurde. Nachdem das betreffende Update an die Kunden ausgeliefert wurde, konnten die Angreifer Hintertüren einrichten, die ihnen kompletten Zugriff auf die betroffenen Netzwerke gewährten und ihnen erlaubten, verschiedene schädliche Aktivitäten auszuführen. Aufgrund der Bedeutung einiger Ziele, darunter wichtige US-Behörden, war der Angriff von großer Tragweite.

Pandemiebezogene Bedrohungen

Wie viele Bedrohungen hatten einen Bezug zu Covid-19?

Mehr als 16 Millionen Bedrohungen mit Bezug zu Covid-19 wurden erkannt.

Auf welche Art von Bedrohung entfiel der Großteil der Covid-19-bezogenen Fälle?

Fast 90 % der erkannten Bedrohungen waren schädlicher Spam.

Obwohl noch relativ neu, verzeichnete die VPN-Schwachstelle CVE-2019-11510 allein im Jahr 2020 knapp 800.000 Angriffe.

Mehr als 60 % der Angriffe mit Covid-19-Bezug hatten ihren Ursprung in den USA, Deutschland und Frankreich.

Angriffe mit Covid-19-Bezug

Während Covid-19 das Leben zahlreicher Menschen auf der ganzen Welt bedrohte, nutzten böswillige Akteure die allgemeine Verunsicherung rund um die Pandemie, um ihre illegalen Machenschaften voranzutreiben. Die große Mehrheit der erkannten Covid-19-bezogenen Bedrohungen traten in Form von schädlichen Spam-Mails auf, darunter zum Beispiel Phishing-E-Mails, die auf personenbezogene und finanzielle Informationen abzielten. Die meisten von ihnen stammten aus den USA, aus Deutschland und Frankreich, also aus Ländern, die mit am schwersten von der Pandemie betroffen waren. Die Angreifer verliehen diesen E-Mails eine gewisse Dringlichkeit und Aktualität, indem sie Verweise zu relevanten Themen ergänzten, etwa zu Covid-19-Konjunkturprogrammen und -Impfkampagnen. Auch für Business Email Compromise (BEC) wurde die Pandemie genutzt. So enthielten die Betreffzeilen der massenhaft versendeten BEC-Mails ebenfalls Hinweise auf Covid-19.

88,5 % – Spam

11,3 % – URLs

0,2 % – Malware

GESAMT: 16,393,564

Die Verteilung Covid-19-bezogener Bedrohungen 2020 nach Typen

38,4 % – USA

14,6 % – Deutschland

9,2 % – Frankreich

4,7 % – Australien

4,1 % – Großbritannien

29,0 % – Sonstige

GESAMT: 16,393,564

Die Verteilung Covid-19-bezogener Bedrohungen 2020 nach Ländern

Herausforderungen bei der Remote-Arbeit

Als die Unternehmen auf die Pandemie reagierten und auf Remote-Arbeitsplätze umstellten, wurden virtuelle private Netzwerke (VPNs) zum Schutz der Netzwerkverbindungen vor externen Bedrohungen zu einem wichtigen Werkzeug. Wie jede Software haben aber auch VPN-Lösungen ihre Schwachstellen, über die Angreifer firmeneigene Informationen stehlen und infiltrierte Systeme überwachen können. Auf eine VPN-Schwachstelle, CVE-2019-11510, entfielen allein 2020 fast 800.000 Angriffe. Im gleichen Jahr wurde sie außerdem zur Verbreitung von Ransomware genutzt. Böswillige Angreifer fanden jedoch auch noch andere Möglichkeiten, VPNs zu infiltrieren. So zeigte sich im September ein Fall, bei dem ein Angreifer ein Paket aus VPN-Installationsprogramm und der Hintertür Bladabindi geschnürt hatte, um über die infizierten Rechner auf Informationen zuzugreifen.

Die zunehmende Arbeit im Homeoffice führte auch zu einer verstärkten Nutzung von Kommunikationstools wie Zoom, Slack und Discord. Dies wiederum führte zu immer mehr Angriffen, die diese Anwendungen missbrauchten: von Zoombombing-Pranks und schädlichen Zoom-Installern bis hin zu einer Ransomware-Variante mit Slack-Webhooks und einer Spam-E-Mail-Kampagne, bei der über Discord Malware verbreitet wurde.

413,641

784,063

130

21,652

CVE-2018-13379

CVE-2019-11510

CVE-2019-11539

CVE-2019-19781

Anzahl erkannter bemerkenswerter VPN-Schwachstellen 2020

Risiken durch Cloud und IoT

Welche Methode wurde bei IoT-Angriffen am häufigsten verwendet?

Die meisten ein- und ausgehenden Angriffe nutzten Brute-Force-Anmeldungen.

Welche Cloud-basierten Services machten im Untergrund die Runde?

Als Cloud-basierte Services wurden einfache, dedizierte Hosting-Services angeboten, aber auch Nischenprodukte wie mobile Arbeitsbereiche.

Die Botnet-Malware Mirai brachte neue Varianten hervor, die sich Schwachstellen zunutze machten, zum Beispiel die Einspeisung von Befehlen und Remotecode.

Unter der Hand verkaufte Datensätze enthalten in der Regel personenbezogene Informationen und Anmeldedaten für verschiedene Cloudservices.

Cloudbedrohungen

2020 wurde die Cloud in vielen Unternehmen zu einem festen Bestandteil der Betriebsabläufe. Die richtige Konfiguration der Cloudressourcen und -services blieb jedoch eine große Herausforderung. Im April wurde etwa darüber berichtet, dass Angreifer über falsch konfigurierte Docker-Daemon-API-Ports mithilfe der Malware Kinsing Cryptominer einschleusen konnten. Und im Oktober wurde die Meldung eines Angriffs über offengelegte Docker-APIs öffentlich, bei denen der Shellcode Metasploit Framework (MSF) als Sprengladung missbraucht wurde – übrigens das erste Mal, dass sich eine solche Technik beobachten ließ.

2020 veröffentlichte Trend Micro auch Erkenntnisse dazu, wie böswillige Angreifer die Cloudinfrastruktur im Untergrund nutzen. Cyberkriminelle interagieren dort regelmäßig miteinander, um bestimmte Transaktionen durchzuführen. Gelegentlich werden im Untergrund auch Aufgaben für gängige Aktivitäten delegiert, wodurch die illegalen Services sozusagen kommerzialisiert werden. Einige Akteure im Untergrund verkaufen auch den Zugriff auf gestohlene Daten, die als „clouds of logs“ angepriesen werden.

Die Infektionskette der Kinsing-Malware

Verwendung des MSF-Shellcodes für den Angriff auf fehlkonfigurierte Container-APIs

IoT-Angriffe

Cyberkriminellen ist auch die zunehmende Abhängigkeit der Unternehmen und Mitarbeiter vom Internet der Dinge (Internet of Things, IoT) nicht entgangen. Bedenken sind durchaus berechtigt, da Angreifer private Netzwerke und Geräte dazu missbrauchen können, sich Zugriff auf die damit verbundenen Firmennetzwerke zu verschaffen. Dabei sind vor allem die Router anfällig, weil die Sicherheit im Homeoffice in der Regel nicht so hoch ist wie am Arbeitsplatz im Büro.

15.5%

Router wurden möglicherweise angegriffen.

5.1%

Router wurden möglicherweise kompromittiert.

Im Jahr 2020 stieg die Gesamtzahl eingehender Angriffe im Vergleich zu 2019 um mehr als das Dreifache, die Gesamtzahl ausgehender Angriffe verdoppelte sich nahezu.

929,084,564

2,878,216,479

2019

2020

Fälle potenzieller eingehender Angriffe 2019 und 2020 im Vergleich

99,266,382

196,012,782

2019

2020

Fälle potenzieller ausgehender Angriffe 2019 und 2020 im Vergleich

Die Bedrohungslandschaft

62,637,731,995

blockierte Angriffe 2020

57,262,610,930

Blockierte E-Mail-Bedrohungen

3,698,445,871‬

Blockierte schädliche Dateien

1,676,675,194

Blockierte schädliche URLs

79,743,156,637‬

E-Mail-Reputation-Abfragen

1,523,957,334,514‬

File-Reputation-Abfragen

2,338,754,688,044

URL-Reputation-Abfragen

Vergleich der Anzahl blockierter Bedrohungen durch E-Mails, Dateien und URLs sowie von Reputationsabfragen zu E-Mails, Dateien und URLs in der ersten und zweiten Jahreshälfte 2020

59,984,723

35,156,917

2019

2020

Vergleich der Anzahl blockierter schädlicher Android-Apps 2019 und 2020

88,121

73,093

2019

2020

Vergleich der erkannten BEC-Angriffe 2019 und 2020

Laden Sie den vollständigen Bericht herunter, um mehr über die wichtigsten Cybersicherheitsprobleme 2020 und die effektivsten Strategien gegen aktuelle und neue Bedrohungen zu erfahren.

$2$ „Im steten Wandel: Trend Micro – Jahresbericht zur Cybersicherheit 2020“ herunterladen

HIDE

Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).

Image will appear the same size as you see above.

Veröffentlicht in Roundup, Threat Reports, Ransomware, Spam, Vulnerabilities, Internet of Things, Cybersecurity