WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021 nochmals eine deutliche Zunahme bei der Verbreitung von Zero-Day-Malware festgestellt.
In dem Zusammenhang trat insbesondere die Schwäche signaturbasierter Antivirenlösungen offen zutage: Denn knapp 75 Prozent der entdeckten Bedrohungen dieser Art konnten von herkömmlichen Anwendungen zum Zeitpunkt der Veröffentlichung nicht erkannt werden. „Im letzten Quartal wurde die höchste Anzahl an Zero-Day-Malware-Attacken verzeichnet, die wir je registriert haben. Dies ist ein weiteres Zeichen dafür, dass Unternehmen ihre Abwehrmaßnahmen weiterentwickeln müssen, um den immer raffinierteren Bedrohungsakteuren einen Schritt voraus zu sein“, sagt Corey Nachreiner, Chief Security Officer bei WatchGuard, und ergänzt: „Traditionelle Anti-Malware-Lösungen sind dieser Bedrohung gegenüber beinahe blind und reichen für die heutige Bedrohungslage einfach nicht mehr aus. Jedes Unternehmen benötigt eine mehrschichtige, proaktive Sicherheitsstrategie, die maschinelles Lernen und Verhaltensanalysen einschließt, um neue und fortschrittliche Bedrohungen zu erkennen und zu blockieren.“
Der Internet Security Report von WatchGuard Q1 2021 enthält zudem neues Datenmaterial zu den gestiegenen Angriffsraten auf Netzwerke sowie den wichtigsten Malware-Attacken, und informiert darüber, auf welche Weise Angreifer alte Exploits tarnen und neu verwenden:
Dateilose Malware-Variante explodiert in der Popularität
XML.JSLoader ist ein bösartiger Payload, der zum ersten Mal sowohl in WatchGuards Top-Malware nach Volumen als auch in der Liste der am weitesten verbreiteten Malware auftauchte. Diese Variante wurde von WatchGuard darüber hinaus im ersten Quartal am häufigsten via HTTPS-Inspektion entdeckt. Die Schadsoftware nutzt einen XML External Entity (XXE)-Angriff, um in einer Shell Befehle auszuführen, mit der die lokale PowerShell-
Einfacher Dateinamen-Trick hilft Hackern dabei, Ransomware-Loader als legitime PDF-Anhänge auszugeben
Der Ransomware-Loader Zmutzy nimmt im ersten Quartal 2021 Platz 2 im Ranking der verschlüsselten Malware-Variante nach Volumen ein. Im Zusammenhang mit der Nibiru-Ransomware tritt diese Bedrohung als Anhang in Form einer gezippten Datei in E-Mails oder als Download von einer bösartigen Website auf. Beim Öffnen der Zip-Datei wird eine ausführbare Datei heruntergeladen, die sich jedoch als legitime PDF-Datei präsentiert. Die Angreifer verwenden im Dateinamen ein Komma anstelle eines Punktes sowie ein manuell angepasstes Symbol, um die bösartige ZIP-Datei als PDF auszugeben. Diese Art von Angriff unterstreicht die Wichtigkeit von Schulungen zum Thema Phishing sowie die Implementierung von Backup-Lösungen für den Fall, dass eine Variante wie diese eine Ransomware-Infektion auslöst.
IoT-Geräte weiter im Visier
Die Variante Linux.Ngioweb.B wurde zwar nicht in die Top-10-Malware-Liste von WatchGuard für das erste Quartal aufgenommen, aber in letzter Zeit für den Angriff auf IoT-Geräte genutzt. Die erste Version zielte auf Linux-Server mit WordPress ab und nutzte das EFL (Extended Format Language)-Dateiformat. Eine andere Version dieser Malware verwandelt die IoT-Geräte in ein Botnet mit rollierenden Command-and-Control-Servern.
Netzwerkangriffe steigen um mehr als 20 Prozent
WatchGuard-Appliances erkannten mehr als vier Millionen Netzwerkangriffe. Das entspricht einem Anstieg um 21 Prozent im Vergleich zum Vorquartal und stellt das höchste Volumen seit Anfang 2018 dar. Unternehmensserver und Assets vor Ort sind trotz der Verlagerung auf Remote- und hybride Arbeit immer noch hochwertige Ziele für Angreifer. Aus diesem Grund müssen Unternehmen neben benutzerorientierten Schutzmaßnahmen gleichzeitig die Perimetersicherheit aufrechterhalten.
Comeback einer alten Directory-Traversal- Angriffstechnik
WatchGuard entdeckte im ersten Quartal eine neue Bedrohungssignatur, die einen Directory-Traversal-Angriff über Cabinet (CAB)-Dateien beinhaltet. Dieses von Microsoft entwickelte Archivierungsformat ist für verlustfreie Datenkompression und eingebettete digitale Zertifikate gedacht. Über diesen Exploit, der neu in die Top-10-Liste der Netzwerkangriffe von WatchGuard aufgenommen wurde, werden Benutzer entweder dazu verleitet, eine bösartige CAB-Datei mit konventionellen Techniken zu öffnen oder er täuscht einen mit dem Netzwerk verbundenen Drucker vor, damit Benutzer einen Druckertreiber über eine kompromittierte CAB-Datei installieren.
Die Lehren aus den HAFNIUM-Zero-Days: Lektionen zu Bedrohungstaktiken und Best Practices für die Reaktion
Im letzten Quartal berichtete Microsoft, dass Angreifer die vier HAFNIUM-Schwachstellen in verschiedenen Exchange Server-Versionen ausnutzen, um vollständige, nicht authentifizierte System-Remotecode-Ausführung und beliebigen Dateischreibzugriff auf jeden ungepatchten Server zu erlangen, der mit dem Internet verbunden ist – was bei den meisten E-Mail-Servern den Normalzustand darstellt. Die Analyse von WatchGuard geht auf die Schwachstellen ein und unterstreicht die Bedeutung von HTTPS-Inspektionen, rechtzeitigem Patching und dem Austausch von Altsystemen.
Angreifer nutzen legitime Domains für Cryptomining-Kampagnen
Im ersten Quartal blockierte der DNSWatch-Service von WatchGuard mehrere kompromittierte und bösartige Domains, die mit Cryptomining-Bedrohungen in Verbindung stehen. Kryptominer-Malware ist aufgrund der jüngsten Preisspitzen auf dem Kryptowährungsmarkt und der Leichtigkeit, mit der Bedrohungsakteure Ressourcen von ahnungslosen Opfern abschöpfen können, immer beliebter geworden.
Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 17,2 Millionen Malware-Varianten (461 pro Gerät) und fast 4,2 Millionen Netzwerkbedrohungen (113 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem 1. Quartal 2021, eine detaillierte Analyse der HAFNIUM-Microsoft-Exchange-
www.watchguard.de