NETSCOUT-Cybersicherheitsreport: Herausforderungen für Unternehmen

Neue DDoS-Angriffsvektoren entdeckt / IoT-Geräte sind in 5 Minuten kompromittiert  /  Gefahr vor staatlich unterstützten APT-Angriffen nimmt weiterhin zu / Hacker kommerzialisieren Crimeware

[datensicherheit.de, 28.02.2019] Im zweiten Halbjahr 2018 stieg die Anzahl der DDoS- (Distributed-Denial-of-Service)Angriffe weltweit um 26 Prozent gegenüber dem Vorjahr. Vor allem Attacken im Bereich von 100 bis 400 Gbps (Gigabit pro Sekunde) haben stark zugenommen. Ziel der Hacker, die DDoS-Angriffe einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die maximale Größe von DDoS-Offensiven stieg im zweiten Halbjahr 2018 gegenüber des Vergleichszeitraums 2017 um 19 Prozent. Dies sind Ergebnisse des weltweiten Threat Landscape Reports aus dem zweiten Halbjahr 2018 von NETSCOUT, ein Marktführer für Business-Assurance- und Cybersecurity-Lösungen. Die wichtigsten Erkenntnisse und Trends, in den Bereichen IoT-Sicherheit, staatlich unterstützte Angriffe und Kommerzialisierung von Malware, hat NETSCOUT nachstehend zusammengefasst:

• Gefahr vor staatlichen Angriffen nimmt zu
  Unternehmen und NGOs geraten zunehmend in das Visier staatlich unterstützter Cyberakteure. Vor allem DDoS-Angriffe auf Organisationen in internationalen Angelegenheiten sind im Zeitraum des 2. Halbjahres 2017 bis zum 2. Halbjahr 2018 um fast 200 Prozent gestiegen. Zu diesen Organisationen gehören beispielsweise die Vereinten Nationen, der Internationale Währungsfond (IWF) sowie Konsulate und Botschaften. Darüber hinaus hat die Anzahl der Aktivitäten durch nationalstaatliche APT-Gruppen im Laufe des letzten Jahres zugenommen, ebenso wie die Anzahl der Ziele. DDoS-Attacken werden von nationalstaatlichen Gruppen, Regierungen und Bedrohungsakteuren genutzt, um APT (Advanced Persistent Threat) -Angriffe zu tarnen. APTs sind komplexe, zielgerichtete und effektive Offensiven auf Basis verschiedener Angriffsvektoren. NETSCOUT überwacht aktuell die Aktivitäten von mindestens 35 APT-Gruppen in mehreren Ländern, darunter Iran, China, Russland und Nordkorea. Um ihre Reichweite und Wirkung weiter zu erhöhen, kombinieren diese Gruppen konventionelle Crimeware mit maßgeschneiderten Angriffswerkzeugen. Eine solche APT-Attacke (STOLEN PENCIL) erfolgte zum Beispiel im Dezember auf verschiedene Universitäten.
• Neue DDoS-Angriffsvektoren
  Die Mehrheit der DDoS-Angriffe auf Unternehmen wird immer noch mit Vektoren ausgeführt, die bereits seit geraumer Zeit existieren. Seit Ende 2017 nutzen Akteure jedoch verstärkt eine neue Variantevon Reflexions- oder Flooding-DDoS-Angriffen, das sogenannteCarpet Bombing. Anstatt die Attacke auf ein einzelnes Ziel zu konzentrieren, zielen die Hacker auf jedes Ziel innerhalb eines bestimmten Subnetzes oder CIDR-Blocks. Der Angriffsverkehr wird also auf alle IP-Adressen in den angegriffenen Netzwerken verteilt. Daher funktioniert traditionelle Flow-basierte Erkennung, die sich auf bestimmte Ziel-IP-Adressen konzentriert, bei diesen Attacken in der Regel nicht. Somit wird es für Unternehmen schwieriger, derartige Offensiven zu erkennen und abzuwehren.
• Kommerzialisierung von Crimeware
  Cyberkriminelle professionalisieren sich und ihre Werkzeuge zunehmend und setzen auf Arbeitsteilung. Die Macher des Bankentrojaners DanaBot nutzen zum Beispiel ein Affiliate-Modell, um die eigene Vertriebseffizienz zu steigern und Arbeitskosten zu senken. Dabei pflegen die DanaBot-Autoren die zentralisierte C2-Infrastruktur, lagern aber die Distribution der Malware an Drittakteure aus. Das Affiliate-Modell arbeitet mit einer Token-basierten Methode, sodass die Eigentümer weiterhin die Übersicht über das Botnetz behalten. Die Affiliates kümmern sich um die Malware-Installation. Damit kann eine viel größere Reichweite an potenziellen Opfer erzielt werden. Durch das Outsourcing der Malwareinstallation über Partnerunternehmen hat DanaBot in der zweiten Jahreshälfte 2018 weltweit Fuß gefasst, darunter auch in Deutschland und Österreich.
• IoT-Geräte in 5 Minuten gehackt
  Nur fünf Minuten haben Anwender vernetzter Geräte im Durchschnitt Zeit, um die Werkseinstellungen ihrer Geräte zu verändern. Ansonsten droht eine Übernahme durch Hacker. Mittels im Internet kursierender Listen von Standardbenutzernamen und Passwörtern sind diese schnell kompromittiert, ohne dass die Nutzer dies mitbekommen. Darüber hinaus werden die meisten IoT-Geräte innerhalb von 24 Stunden durch Exploits angriffen, die Schwachstellen in den Devices auszunutzen. Akteure kompromittieren IoT-Geräte vor allem, um über diese DDoS-Attacken auszuführen. Durch die Übernahme wird es Angreifern möglich, die Geräte in riesigen Botnetzen zu bündeln und ihre Rechenleistung für kriminelle Aktivitäten zu missbrauchen. Ebenso bedenklich sind bereits bekannte, aber nicht geschlossene Sicherheitslücken: Diese lassen sich vom Anwender nicht durch ein bloßes Ändern der Standard-Anmeldeinformationen schließen.

„Unternehmen und Organisationen dürfen digitale Bedrohungen nicht länger ignorieren. Angesichts der zunehmenden Größe und Häufigkeit von DDoS-Angriffen, der steigenden Gefahr durch nationalstaatliche Akteure sowie der mangelnden Sicherheit von IoT-Geräten, braucht es neue Sicherheitsstrategien“, sagt Hardik Modi, Senior Director, Threat Intelligence von NETSCOUT.

Weitere Informationen zum Thema:

NETSCOUT
NETSCOUT Threat Intelligence Report — Powered by ATLAS / Dawn of the Terrorbit Era

datensicherheit.de, 16.08.2018
Studie zu Reaktionsmaßnahmen auf Attacken gegen industrielle Kontrollsysteme

datensicherheit.de, 30.07.2018
Studie: Unternehmen vernachlässigen IoT-Sicherheit

datensicherheit.de, 04.07.2018
Cybersicherheit: Führungskräften in Europa müssen sensibilisiert werden