FortiGuard Labs Global Threat Landscape Report 2H21
Angriffstechniken immer raffinierter und aggressiver
Fortsetzung des Artikels von Teil 1
Remote Work als Einfallstor
Die Angreiferseite ist, wie Fortinet betont, besonders interessiert daran, Remote Work und Remote Learning als Einfallstore zu nutzen. Besonders weit verbreitet waren demnach unterschiedliche Formen Browser-basierter Malware, verbreitet über Phishing oder mit Skripten, die Code einschleusen oder Benutzer auf bösartige Websites umleiten. Zwar variieren die Zahlen laut Fortinet je nach Region, doch gibt es drei große Verbreitungsmechanismen: Ausführbare Microsoft-Office-Dateien, PDF-Dateien und Browser-Skripte sind nach wie vor eine beliebte Methode, um sich Zugang zu Unternehmensnetzwerken zu verschaffen.
Die Kriminellen nutzen dafür, wie Fortinet warnt, den Drang der Menschen aus, die neuesten Nachrichten über die Pandemie, Politik, Sport etc. zu erfahren. Da hybrides Arbeiten und Lernen nach wie vor Alltag sind, gibt es weniger schützende Ebenen zwischen Malware und potenziellen Opfern. Unternehmen sollten deshalb laut dem Sicherheitsanbieter einen „Work from anywhere“-Ansatz für ihre Sicherheit verfolgen und Lösungen einsetzen, die Benutzer nachverfolgen und schützen können, egal wo sie sich befinden. Dies erfordere eine moderne Endpunkt-Sicherheitslösung (also EDR) in Kombination mit Zero-Trust-Lösungen inklusive Zero Trust Network Access (ZTNA). Auch eine sichere Weitverkehrsanbindung (Secure SD-WAN) sei von Bedeutung.
Ransomware mit immer mehr Zerstörungskraft
Wie die Daten der FortiGuard Labs zeigen, ist das Ransomware-Aufkommen im letzten Jahr auf hohem Niveau geblieben. Zugleich haben laut Fortinet Raffinesse, Aggressivität und Auswirkungen der Erpressungstrojaner weiter zugenommen: Die Kriminellen greifen Unternehmen weiterhin mit einer Vielzahl neuer und bekannter Ransomware-Stämme an und hinterlassen dabei oft eine Spur der Verwüstung, so die Security-Fachleute. Die Angreifergruppen aktualisieren zudem Ransomware manchmal mittels Wiper-Malware, als Schadcode, der nicht auf das Erpressen von Geldern, sondern ausschließlich auf Zerstörung ausgelegt ist.
Ein weiterer gefährlicher Trend, vor dem die Security-Anbieterschaft seit geraumer Zeit warnt: Ransomware as a Service (RaaS). Denn RaaS ermöglicht es einem größeren Kreis von Kriminellen, die Erpressungs-Malware zu nutzen und zu verbreiten, ohne aber den Schadcode selbst erstellen zu müssen. Zur Abwehr müssen Unternehmen, so Fortinets Rat, einen proaktiven Ansatz verfolgen, der Echtzeit-Transparenz, Analyse, Schutz und Datenwiederherstellung abdeckt, während sie zugleich Zero-Trust-Lösungen, Segmentierung und regelmäßige Datensicherungen nutzen.
Um die schädlichen Auswirkungen verschiedener Angriffe zu beobachten, analysierten die FortiGuard Labs – wie alle Threat-Intelligence-Teams namhafter Security-Anbieter – die Funktionalität der entdeckten Malware. Auf dieser Basis erstellte das Fortinet-Expertenteam eine Liste der Taktiken, Techniken und Vorgehensweisen (Tactics, Techniques, and Procedures, TTPs) von Malware-Akteuren. Die gute Nachricht: In bestimmten Situationen könne ein IT-Team die Angriffsmethoden einer Malware unterbinden, wenn es sich auf einige der identifizierten Techniken konzentriert.
So entfallen laut dem Fortinet-Bericht zum Beispiel 82 Prozent aller schädlichen Aktivitäten auf die drei wichtigsten Angriffstechniken, nämlich Ausführung mittels APIs, Nutzerinteraktion oder Scripting. In fast allen Fällen (95 Prozent) nutzen die Angreifer eine von zwei Techniken, um in einem kompromittierten Netzwerk längerfristig Fuß zu fassen (Persistenz): geplante Aufgaben (Scheduled Tasks) und Run-Registrierungsschlüssel sowie Startup-Ordner (Registry Run Keys/Start Folders) der Windows-Maschinen. Unternehmen sollten also laut Fortinet ihre Sicherheitsstrategien entsprechend priorisieren, um ihre Abwehr zu verbessern.
Der Schutz vor den sich weiterentwickelnden Angriffstechniken erfordert laut Fortinet-Bekunden intelligentere Lösungen, die Bedrohungsdaten in Echtzeit erfassen, Bedrohungsmuster und digitale Fingerabdrücke erkennen und riesige Datenmengen korrelieren können, um Anomalien zu erkennen und automatisch eine koordinierte Reaktion einzuleiten. Vor diesem Hintergrund rät der Security-Anbieter, Einzellösungen durch eine „Cybersecurity Mesh Platform“ zu ersetzen, soll heißen: durch eine Sicherheitsplattform, die auf der Basis integrierter Lösungen ein zentralisiertes Security-Management mit möglichst automatisierter Angriffsabwehr unterstützt.
- Angriffstechniken immer raffinierter und aggressiver
- Remote Work als Einfallstor
Lesen Sie mehr zum Thema
