- Messaging-Bedrohungen
- Ransomware
- Kritische Schwachstellen
- IoT-Angriffe
- Trend Micro Research
- Bedrohungslage
- PDF-Download
Unternehmen wurden 2018 mit einer Kombination aus alten und neuen Cybersicherheitsproblemen überflutet. Forscher fanden heraus, dass nahezu alle aktiven Computer ernsthafte Hardwaremängel aufwiesen. Das Ransomware-Problem hatte weiterhin Bestand, unbefugtes Kryptowährungs-Mining breitete sich weiter aus und nahm neue Formen an. Anfällige, vernetzte Geräte in Privathaushalten waren von effektiven neuen Angriffen betroffen. Darüber hinaus wechselten Cyberkriminelle angesichts einer immer größeren Vielfalt von Betriebssystemen und Geräten von Exploit-Kit-Angriffen zu einer alten, aber weiterhin effektiven Methode: Social Engineering. Exploit-Kits und automatische Methoden funktionierten effizient, als zahlreiche Anwender anfällige Software verwendeten. Aber 2018 versuchten viele Bedrohungsakteure stattdessen, menschliche Schwachstellen auszunutzen.
In unsererm jährlichen Sicherheitsüberblick untersuchen wir diese und weitere wichtige Sicherheitsprobleme. Wir geben wertvolle Einblicke für Unternehmen und Anwender, damit sie kritische Bedrohungen erkennen und sich darauf vorbereiten können
Messaging-Bedrohungen
Als Medium für wichtige ein- und ausgehende Kommunikation eines Unternehmensnetzwerks stellen geschäftliche E-Mails eine attraktive Plattform für Cyberkriminelle dar. Folglich bereiten Phishing und andere Social-Engineering-Systeme Cybersicherheitsmitarbeitern die größten Sorgen. Professionell gestaltete und formulierte betrügerische E-Mails können Empfänger, die häufig ähnliche E-Mails erhalten, leicht in die Irre führen.
2018 ließ sich ein verstärktes Auftreten verschiedener Arten von Messaging-Bedrohungen erkennen. Insbesondere nahmen blockierte Zugriffe auf Phishing-URLs von eindeutigen Client-IP-Adressen im Vergleich zum Vorjahr um 82 Prozent zu. Phishing-Angriffe werden üblicherweise per E-Mail vorgenommen, da E-Mail-basierte Bedrohungen weniger von der Plattform abhängen als andere Angriffsarten, die sich beispielsweise auf bestimmte Exploits stützen.
Jahresvergleich blockierter Zugriffe auf Phishing-URLs mit eindeutiger Client-IP-Adresse (Beispiel: Ein Gerät, das dreimal auf einen Link zugriff, wurde nur einmal gezählt.)
In jüngster Zeit wurden Phishing-Angriffe nicht nur per E-Mail, sondern auch über Chats, SMS und andere Kommunikationswege ausgeführt. Die steigende Anzahl sowie die verschiedenen Arten von Phishing-Angriffen zeigen, wie sich Cyberkriminelle an die sich verändernde Umgebung anpassen. Angesichts von immer mehr vernetzten Geräten und einem immer breiteren Spektrum von Betriebssystemen werden Cyberkriminelle mit dem Exploit eines bestimmten Betriebssystems nicht mehr so erfolgreich sein wie in der Vergangenheit. Folglich besinnen sie sich wieder auf eine alte, in der Regel aber immer noch effektive Methode.
Business Email Compromise (BEC) stellt eine weitere Art von Messaging-Angriffen dar, für die sich 2018 eine Steigerung erkennen ließ. Bei einem typischen BEC-Angriff schickt oder fängt ein Angreifer eine Nachricht ab, um einen Unternehmensmitarbeiter zu kompromittieren, der befugt ist, Gelder freizugeben oder zu überweisen.
- CEO
- Managing Director/Director
- President
- General Manager/Manager
- Chairman
- Sonstiges
Mitarbeiter in Führungspositionen, die sich täuschen ließen
Auch wenn es nur eine geringe Anzahl an BEC-Angriffen gab, könnte ein erfolgreicher Versuch hohe finanzielle Verluste für das betroffene Unternehmen mit sich bringen. Im Gegensatz dazu wurden Phishing-Angriffe breit gestreut, denn selbst wenn nur wenige Anwender auf den Betrug hereinfallen, lohnt sich dieses Vorgehen für die Angreifer.
Ransomware
Die Bedrohungen durch Ransomware gingen von 2017 bis 2018 um insgesamt 91 Prozent zurück. Die Anzahl der entdeckten Ransomware-Familien ging im selben Zeitraum ebenfalls zurück. Diese deutliche und kontinuierliche Abnahme setzte den bereits in unserem Sicherheitsüberblick zur Jahresmitte erkannten Trend fort. Dieser lässt sich auf verbesserte Lösungen gegen Ransomware, ein wachsendes Bedrohungsbewusstsein und auch ein Stück weit auf die Erkenntnis zurückführen, dass Verhandlungen mit den Angreifern sinnlos wären.
Bedrohungen durch Ransomware
Neue Ransomware-Familien
Da der Profit, den die Kriminellen mit ihren Angriffen erzielen, den damit verbundenen Aufwand überwiegt, setzen sie auch weiterhin auf Ransomware. Die Erkennung von WannaCry, der für den berüchtigten Ransomware-Ausbruch im Mai 2017 verantwortlich war, blieb mit 616.399 konstant und übertraf alle anderen Ransomware-Familien damit bei Weitem.
Das Kryptowährungs-Mining erreichte seinerseits 2018 mit mehr als 1,3 Millionen Entdeckungen einen neuen Spitzenwert – dies entspricht einem Wachstum von 237 Prozent im Vergleich zum Vorjahr.
Entdeckungen von Kryptowährungs-Mining
Abgesehen von der zunehmenden Verwendung von Kryptowährungs-Mining ließen sich dabei auch die unterschiedlichsten Angriffsmethoden erkennen: das Eindringen in Werbeplattformen, Pop-up-Werbung, bösartige Browser-Erweiterungen, Mobiltelefone, Botnets, die Bündelung mit seriöser Software, Exploit-Kits und umfunktionierte Ransomware.
August 2017 bis Dezember 2018
Darüber hinaus kam es zu einem plötzlichen Anstieg einer der Angriffsmethoden zur Umgehung der herkömmlichen Blacklisting-Funktionen: dateilose Bedrohungen. Diese speziellen Bedrohungen versuchen, herkömmliche Lösungen zu umgehen. In der Regel lassen sie sich nur auf anderem Weg wie beispielsweise der Überwachung des Datenverkehrs, Verhaltensanalysen oder Sandboxing erkennen.
Kritische Schwachstellen
In Bezug auf die Sicherheit begann das Jahr mit der bahnbrechenden Bekanntgabe von Meltdown und Spectre, Schwachstellen auf Prozessorebene, die sich auf Fehler in der spekulativen Ausführung von CPU-Anweisungen stützten. Diese neuen Fehlerklassen betrafen verschiedene Mikroprozessoren und lösten neue CPU-Angriffe sowie viele Eindämmungsprobleme aus. Auch am Ende des Jahres gab es noch keine direkte Lösung für diese Schwachstellen in der Mikroarchitektur.
Darüber hinaus wurde 2018 erstmal eine kritische Schwachstelle in der Open-Source-Cloudorchestrierungssoftware Kubernetes erkannt. Glücklicherweise wurde dieser Fehler schnell behoben.
Die meisten Schwachstellen werden von Sicherheitsforschern und -anbietern entdeckt und verantwortungsvoll bekannt gegeben, sodass sie nicht für breitgestreute Angriffe verwendet werden können. Durch die öffentliche Bekanntgabe von Schwachstellen werden jedoch auch Bedrohungsakteure darauf aufmerksam. Daher ist es unerlässlich, vor einer solchen Bekanntgabe zunächst eine Fehlerbehebung zu erstellen. Bedrohungsakteure nutzen Schwachstellen gezielt aus, um einsatzfähige Exploits zu entwickeln.
Anders als in der Vergangenheit, als zwei oder drei umfangreiche Zero-Day-Exploits pro Jahr auftraten, wurden in der jüngsten Zeit keine breitgestreuten Angriffe erkannt. Vielmehr hatten die 2018 entdeckten Angriffe eine begrenzte Reichweite. Cyberkriminelle nutzten auch Schwachstellen aus, die bereits beseitigt worden waren. Dabei setzten sie darauf, dass viele Anwender die verfügbaren Fehlerbehebungen nicht zeitnah oder gar nicht übernehmen würden.
*Mit dem Mauszeiger zum Datum des Angriffs wechseln
*Tippen, um zum Datum des Angriffs zu wechseln
Für die Verbreitung von Kryptowährungs-Minern verwendete Drupal-Schwachstellen
CVE-2018-7602Für die Verbreitung von Kryptowährungs-Minern verwendete Apache CouchDB-Schwachstellen
CVE-2017-12635,CVE-2017-12636
3 Monate später
Für Kryptowährungs-Mining verwendete Oracle WebLogic WLS-WSAT-Schwachstelle
CVE-2017-102714 Monate später
Schwachstelle, die ständiges Rooting von Android-Telefonen in AndroRat zulässt
CVE-2015-180523 Monate später
Wichtige Angriffe 2018, die Exploits für bekannte und reparierte Schwachstellen umfassten
Ein beträchtlicher Prozentsatz der 2018 gefundenen Schwachstellen zielte auf in industriellen Steuerungssystemen (Industrial Control Systems, ICSs) eingesetzte Software ab. Die meisten dieser Schwachstellen wurden in HMI-Software (Human-Machine Interface, Anwenderschnittstelle) für ICSs und SCADA-Umgebungen (Supervisory Control And Data Acquisition) gefunden. Die HMI ist der zentrale Punkt für die Überwachung, Verwaltung und Implementierung der verschiedenen Prozesse in Anlagen. Durch Exploits von kritischen HMI-Schwachstellen könnte die Funktionalität der physischen Komponenten in einem Unternehmen gefährdet werden.
IoT-Angriffe
Trotz der Folgen für die Entwickler von Mirai und Satori fanden routerbasierte Angriffe unvermindert statt. 2018 stellten wir fest, dass aufbereiteter Mirai-Code weiter für Angriffe auf Router eingesetzt wurde. Und VPNFilter, eine andere Art von Router-Malware, wurde um zusätzliche Funktionen ergänzt, wie beispielsweise Erkundungs- und Persistenzkomponenten. Dies ermöglichte den Missbrauch von Routern über Distributed Denial of Service (DDoS) hinaus. Dazu stießen wir auf Router, die für Kryptowährungs-Mining und Pharming-Angriffe verwendet wurden. Damit setzte sich der Trend der erweiterten Funktionen fort, auf den wir in unserem Sicherheitsüberblick zur Jahresmitte hingewiesen hatten.
2018 gab es zwei Beispiele für Angriffe:
CryptojackingAngreifer nutzten einen behobenen Sicherheitsfehler in MikroTik-Routern in Brasilien aus, um schädliches Coinhive-Script einzuschleusen und Monero zu schürfen.
Schädliche UmleitungDas Exploit-Kit Novidade konnte DNS-Einstellungen (Domain Name System) so ändern, dass ahnungslose Anwender auf gefälschte Seiten umgeleitet wurden, die vom Angreifer kontrolliert wurden.
Immer mehr smarte Geräte werden mit dem Internet der Dinge (Internet of Things, IoT) vernetzt, sodass immer mehr Haus- und Wohnungsbesitzer zu „Smart-Home-Netzwerkadministratoren“ werden. Damit ist es ihre Verantwortung, dafür zu sorgen, dass ihre Router keine Eintrittspunkte für Angreifer werden. Da Router als zentraler Punkt für die Steuerung von Verbindungen mit den verschiedenen Geräten dienen, die auf das Internet zugreifen müssen, ist ihr Schutz von zentraler Bedeutung.
Trend Micro Research
Machine-Learning-Lösungen
-
Immer einen Schritt voraus: ein tieferes Verständnis der Netzwerkbedrohungen durch Machine Learning -
Erzeugung von konfrontativen Beispielen: Machine-Learning-Systeme robust und sicher machen -
Aufdecken von unbekannten Bedrohungen mit menschenlesbarem Machine Learning
Vernetzte Krankenhäuser, Energieversorger, Wasserwerke
-
Gefährdete und anfällige kritische Infrastruktur: Wasser- und Energiebranchen -
Die Unsicherheit des Datenbackbone des Industrial IoT -
Schutz von vernetzten Krankenhäusern: eine Studie zu gefährdeten medizinischen Systemen und Lieferkettenrisiken
Aufspüren und Eliminieren von Cyberkriminellen
-
Aufstieg und Untergang von Scan4You -
Die Entwicklung von Cyberkriminalität und Cyberabwehr
Bedrohungslage
48387151118
Gesamtzahl der blockierten Angriffe 2018
| Blockierte Angriffskomponenten | 1. Jahreshälfte 2018 | 2. Jahreshälfte 2018 | 2018 insgesamt |
| E-Mail-Bedrohungen | 16,997,711,547 | 24,521,948,297 | 41,519,659,844 |
| Schädliche Dateien | 2,956,153,112 | 2,867,738,653 | 5,823,891,765 |
| Schädliche URLs | 534,534,550 | 509,064,959 | 1,043,599,509 |
| Allgemeine Bedrohungen | 20,488,399,209 | 27,898,751,909 | 48,387,151,118 |
Halbjahresvergleich der blockierten Angriffe durch E-Mails, Dateien und URLs
| Jahr | WannaCry-Familie | Andere Ransomware-Familien |
| 2017 | 321,814 | 244,716 |
| 2018 | 616,399 | 126,518 |
Jahresvergleich zu WannaCry-Erkennungen gegenüber anderen kombinierten Ransomware-Erkennungen
Monatsvergleich zur Erkennung von dateilosen Bedrohungen
- 147%
- 33%
- 35%
- 38%
- 94%
- 27%
Jahresvergleich zu Schwachstellen von ausgewählten Softwareanbietern
Laden Sie unseren jährlichen Sicherheitsbericht herunter, um mehr über die wichtigsten Cybersicherheitsprobleme 2018 zu erfahren.
KOMPLETTEN BERICHT HERUNTERLADEN
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
- You Can't See Me: Achieving Stealthy Persistence in Azure Machine Learning
- Mitigating the Threat of Sidecar Container Injection
- Open RAN: Attack of the xApps
- Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
- Apache APISIX In-the-wild Exploitations: An API Gateway Security Study
MQTT and M2M: Do You Know Who Owns Your Machine’s Data?
Building Resilience: 2024 Security Predictions for the Cloud
Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
Mitigating the Threat of Sidecar Container Injection