Aktuelles, Branche, Studien - geschrieben von am Dienstag, September 18, 2018 18:59 - noch keine Kommentare

Sicherheitsreport: Vorschau auf die Cybergefahren im Jahr 2019

Angriffsvolumen von DDoS-Attacken steigt dramatisch an / Krypto-Mining löst Ransomware ab / Hacker nutzen weiterhin bekannte Schwachstellen aus / Staatlich unterstützte APT-Angriffe nehmen zu

[datensicherheit.de, 18.09.2018] Im ersten Halbjahr 2018 mussten Unternehmen, Organisationen und Behörden weltweit rund 2,8 Milliarden DDoS-Angriffe abwehren. Ziel der Hacker, die DDoS-Angriffe (Distributed-Denial-of-Service) einsetzen, ist es, Internet-Services, IT-Komponenten oder die IT-Infrastruktur eines attackierten Unternehmens zu verlangsamen, gänzlich lahmzulegen oder zu schädigen. Die maximale Größe von DDoS-Attacken stieg im ersten Halbjahr 2018 gegenüber des Vergleichszeitraums 2017 um alarmierende 174 Prozent, die Häufigkeit sank geringfügig um 13 Prozent. Dies sind Ergebnisse des weltweiten Threat Intelligence Report aus dem ersten Halbjahr 2018 von NETSCOUT Arbor, einem Anbieter für DDoS-Abwehrlösungen. Die wichtigsten Erkenntnisse des Reports und Trends für 2019 hat NETSCOUT Arbor nachstehend zusammengetragen.

DDoS-Angriffe erreichen Terabit-Bereich

Trotz der leicht rückläufigen Häufigkeit von DDoS-Attacken gibt es für Unternehmen und Behörden keine Entwarnung. Die Angriffe mittels offener Memcached-Server Anfang 2018 bewiesen, dass Organisationen nun bereits in der Lage sein müssen, Attacken im Terabit-Bereich abzuwehren. Im Februar wurde der bisher größte DDoS-Angriff mit 1,7 Tbps (Terabit pro Sekunde) verzeichnet. Somit ist durch den neuen Memcached-Vektor das durchschnittliche Volumen von DDoS-Attacken um 37 Prozent gestiegen. Angriffe mit einem Volumen von über 300 Gbps (Gigabit pro Sekunde) sind in diesem Halbjahr im Vergleich zur ersten Jahreshälfte 2017 von 11 auf 91 Fälle gestiegen. Unternehmen sollten sich in den kommenden Monaten daher unbedingt auf weitere Angriffe im Terabit-Bereich vorbereiten und ihre Abwehrkapazitäten überprüfen.

Krypto-Mining löst Ransomware ab

Cyberangriffe werden von Kriminellenimmer noch primär über E-Mail-Kampagnen (etwa 90 Prozent) ausgeführt. Dennoch setzen die Hacker zunehmend neue Methoden ein, um die Ausbreitung von Malware deutlich zu beschleunigen. „Inspiriert“ durch WannaCry, modifizieren Crimeware-Anbieter, Malware (-Downloader) mit Wurmmodulen, um diese etwa für Identitäts-Diebstähle einzusetzen. Darüber hinaus fokussieren sich Cyberkriminelle zunehmend auf das Mining von Kryptowährungen durch den Einsatz von Malware. Im Vergleich zu Ransomware-Attacken scheint für Angreifer diese Methode des Cryptojacking weniger riskant und zurzeit noch profitabler zu sein – auch weil Ransomware-Attacken aufgrund der höheren medialen Aufmerksamkeit der letzten Monate verstärkt Strafverfolgungsbehörden auf den Plan gerufen haben. Beim Mining von Kryptowährungen werden die lokale Rechenleistung und ebenso Cloud-Ressourcen von Unternehmen angezapft. Zwar kann eine gestiegene CPU-Auslastung möglichen Missbrauch anzeigen, dennoch kann das Mining schwieriger zu detektieren sein, wenn Hacker den Ressourcen-Klau entsprechend limitieren.

Hacker nutzen weiterhin bekannte Schwachstellen aus

Ein wichtiges Augenmerk sollten Unternehmen auch auf bereits bekannte Schwachstellen legen. Hacker haben und werden auch künftig bereits bekannte Sicherheitslücken ausnutzen. So wird beispielsweise das Simple Service Discovery Protocol (SSDP) seit vielen Jahren für Reflexions-/Verstärkungsangriffe verwendet. SSDP ist ein Netzwerkprotokoll, das zur Suche nach Universal-Plug-and-Play-Geräten (UPnP) in Windows-Netzwerken dient. Offen aus dem Internet erreichbare SSDP-Server können für DDoS-Reflexionsangriffe gegen die IT-Systeme von Unternehmen und Organisationen missbraucht werden. Im Juni hat NETSCOUT Arbor eine neue Variante von SSDP-Missbrauch aufgedeckt, bei dem Geräte auf SSDP-Reflexions-/Verstärkungsangriffe mit einem nicht standardisierten Port reagieren. Die daraus resultierende Flut von UDP-Paketen hat kurzlebige Quell- und Zielports, sodass die Eindämmung erschwert wird. 1,2 Millionen Geräte können für derartige SSDP-Diffraction-Angriffe missbräuchlich genutzt werden.

Cyberkriminelle entwickeln neue Crimeware-Plattformen

Neben der Ausnutzung bereits bekannter Schwachstellen entwickeln vor allem Crimeware-Akteure neue Malware-Plattformen, wie zum Beispiel Kardon Loader beta. Kardon Loader ermöglicht den Download und die Installation anderer Malware wie etwa Banktrojaner, Ransomware oder Trojaner zum Daten- und Identitätsdiebstahl. Downloader sind ein wesentlicher Teil des Malware-Ökosystems. Sie werden oft von spezialisierten Hackern entwickelt und unabhängig vom jeweiligen Trojaner vertrieben. Kardon Loader soll zudem Bot-Store-Funktionalitäten bieten. So können Käufer eigene Bot-Shops aufsetzen. Unternehmen müssen sich also darauf einstellen, dass künftig auch weniger technisch versierte Kriminelle Zugang zu Malware erhalten und entsprechend gegen sie verwenden können.

Staatlich unterstützte Angriffe nehmen zu

Darüber hinaus ist zu beobachten, dass zunehmend mehr Nationen offensive Cyberprogramme durchführen und die Anzahl der Bedrohungsakteure für Unternehmen und Organisationen stetig wächst. Neben der bekannten nationalstaatlich geförderten Cyberkriminalität durch Länder wie China und Russland, sind Cyberangriffe zunehmend auch dem Iran, Nordkorea und Vietnam zuzuschreiben. So setzt die iranische APT-Gruppe Oilrig vor allem Angriffe auf die Supply Chain von Unternehmen und Organisationen sowie Social-Engineering-Methoden ein, um Ziele zu kompromittieren. APTs sind komplexe, zielgerichtete und effektive Angriffe auf Basis verschiedener Angriffsvektoren. Die wohl bekannteste und staatlich unterstützte russische Gruppe Fancy Bear (APT28) greift vor allem geopolitisch relevante Ziele und kritische Infrastrukturen an – und betrieb bereits in mehreren Ländern Wahlmanipulation. Vor Kurzem hat NETSCOUT Arbor die missbräuchliche Nutzung der Laptop-Wiederherstellungslösung Lojack der russischen Gruppe zugeschrieben.

DDoS-Angriffe als Ablenkungsmanöver

Um APT-Angriffe auszuführen und unbemerkt Schadsoftware in das Unternehmensnetz einzuschleusen, nutzen Cyberkriminelle zunehmend DDoS-Attacken, Ransomware und Malware als Ablenkungsmanöver. APTs werden, wenn überhaupt, oft erst nach Monaten bis Jahren entdeckt. Sie zielen darauf ab, dass der Hacker sich möglichst lange unbemerkt im Unternehmensnetzwerk aufhält und Informationen ausspähen kann. So waren trotz der sehr hohen Verbreitung der Ransomware und (IoT-) Malware NotPetya, CCleaner und VPNFilter über das Internet, die eigentlichen Endziele dieser Angriffe hochselektiv. Die Attacken können unter anderem auch den oben genannten staatlich geförderten APT-Gruppen zugeschrieben werden. Neu ist, dass sich dieses Vorgehen zu den bisher genutzten APT-Vektoren, wie etwa Speer-Phishing, unterscheidet. Unternehmen sollten sich daher bewusst machen, dass großangelegte Malware-Attacken auch als Tarnung für gezielte APT-Angriffe dienen können.

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor

Bild: NETSCOUT Arbor

 

Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor

„Hacker professionalisieren sich zunehmend, die Zahl der staatlichen und nichtstaatlichen Akteure wird weiter wachsen, Angriffe werden komplexer und es werden neue staatlich geförderte APT-Gruppen entstehen, die bisher noch nicht in der Lage waren, signifikante Cyberattacken auszuführen“, erklärt Guido Schaffner, Channel Sales Engineer bei NETSCOUT Arbor. „Darüber hinaus wird die missbräuchliche Nutzung von legitimer Software durch Spionage-Gruppen künftig steigen. All diese Faktoren erhöhen den Druck auf Unternehmen und Organisationen unabhängig ihrer Branche, sich für drohende Cybergefahren zu sensibilisieren und ihre IT-Sicherheitsmaßnahmen und Verteidigungsstrategien zu überprüfen.“

Über den Sicherheitsbericht:

Der Threat Intelligence Report enthält Informationen aus der NETSCOUT Arbor-Initiative „Active Threat Level Analysis (ATLAS)“, die etwa ein Drittel des weltweitenDatenverkehrs im Internet analysiert und so Angriffssignaturen erkennt.

Weitere Informationen zum Thema:

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

datensicherheit.de, 07.09.2018
Cyberstudie: Fast jeder Service Provider wird zum Ziel von DDoS-Attacken

datensicherheit.de, 03.09.2018
Cybersicherheit in Industrie und Kritischer Infrastruktur muss ganzheitlich gedacht werden

datensicherheit.de, 21.06.2018
Thales Data Threat Report 2018: Europa-Ausgabe vorgestellt

datensicherheit.de, 24.03.2018
Thales Healthcare Data Threat Report 2018: Mehr Datenschutzverletzungem im Gesundheitswesen



Kommentieren

Kommentar

Kooperation

TeleTrusT

Mitgliedschaft

German Mittelstand e.V.

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cybersicherheit

Datenschutzerklärung