Die Bedrohung durch Ransomware wächst unaufhaltsam weiter: Laut Analyse des WatchGuard Threat Lab gab es bereits im ersten Quartal 2022 doppelt so viele einschlägige Angriffsversuche wie im gesamten Vorjahr.
Dazu Corey Nachreiner, Chief Security Officer bei WatchGuard: „Basierend auf dem extrem hohen Niveau von Ransomware gleich zu Jahresbeginn und unseren Daten aus den vorangegangenen Quartalen gehen wir davon aus, dass 2022 im Hinblick auf Ransomware alle bisherigen Rekorde brechen wird. Aus diesem Grund empfehlen wir jedem Unternehmen – und vor allem denjenigen in der besonders betroffenen EMEA-Region – dringend, wirksame Maßnahmen für einen weitreichenden Schutz der IT-Infrastrukturen umzusetzen. Ganzheitlichkeit spielt in dem Zusammenhang eine entscheidende Rolle, denn nur mithilfe von Unified Security kann den sich stetig weiterentwickelnden Bedrohungen dauerhaft effizient begegnet werden.“
Als wäre die Gefahr durch Ransomware nicht schon genug, verzeichnete das WatchGuard Threat Lab darüber hinaus im ersten Quartal 2022 eine Rückkehr des Emotet-Botnets in großem Stil, die Verdreifachung von Angriffen auf die Log4Shell-Schwachstelle und eine Zunahme von bösartigen Kryptomining-Aktivitäten.
Die wichtigsten Erkenntnisse im Überblick
Internet Security Report für das erste Quartal 2022:
Anzahl der Ransomware-Attacken explodiert
Noch im vierten Quartal 2021 notierte der WatchGuard Internet Security Report eine rückläufige Zahl der Ransomware-Angriffe im Vergleich zum Vorjahr. Dieser Trend kehrte sich im ersten Quartal 2022 dramatisch um. Auffallend ist, dass die Anzahl der im ersten Quartal erkannten Ransomware-Angriffe bereits doppelt so hoch ist wie die Gesamtzahl der Entdeckungen im Jahr 2021.
EMEA-Region weiterhin ein Hotspot für Malware-Bedrohungen
Die regionale Zuordnung im Hinblick auf einfache wie evasive Malware zeigt, dass Firebox-Aplliances in Europa, dem Nahen Osten und Afrika (EMEA) mit 57 Prozent Anteil in der Gesamtstatistik deutlich stärker unter Beschuss standen als die Appliances in Nord-, Mittel- und Südamerika (AMER, hier 22 Prozent) oder der Region Asien-Pazifik (APAC, 21 Prozent).
REvil ist Geschichte, dafür kommt LAPSUS$
Zwar wurde im vierten Quartal 2021 die berüchtigte Cybergang REvil aufgelöst, dafür macht nun mit LAPSUS$ eine andere Erpressergruppe negativ auf sich aufmerksam. Erste Analysen von WatchGuard deuten darauf hin, dass diese in Verbindung mit vielen neuen Ransomware-Varianten wie BlackCat, der ersten in der Programmiersprache Rust geschriebenen Schadsoftware, zu einer konsequenten Ausdehnung der Ransomware-Bedrohungslandschaft beitragen könnte.
Log4Shell neu auf der Top-10-Liste der Netzwerkangriffe
Die Apache Log4j2-Schwachstelle, auch bekannt als Log4Shell, wurde Anfang Dezember 2021 bekannt und tauchte im besagten Quartal erst spät auf der Top-10-Liste der Netzwerkangriffe auf. Im Vergleich zu allen IPS-Erkennungen in diesem Zeitraum hat sich der Anteil der Log4Shell-Signatur im ersten Quartal dieses Jahres jedoch fast verdreifacht.
Log4Shell wurde im letzten Internet Security Report aufgrund der höchstmöglichen 10,0-Punktzahl im Common-Vulnerability-Scoring-System (CVSS) als Top-Sicherheitsvorfall hervorgehoben. Die Gründe dafür finden sich in der breiten Verwendung von Java-Programmen und der einfachen Ausführung von beliebigem Code.
Comeback von Emotet
Emotet machte in den ersten drei Monaten dieses Jahres gleich mit drei der Top-10-Erkennungen auf sich aufmerksam und stellt nach seiner Rückkehr im vierten Quartal 2021 die am weitesten verbreitete Malware in Q1/2022 dar. Die entdeckten Varianten Trojan.Vita (diese hatte es vor allem auf Japan abgesehen und taucht in der Liste der fünf meistverschlüsselten Malware-Varianten auf), und Trojan.Valyria nutzen beide Exploits in Microsoft Office, um das Botnetz Emotet herunterzuladen.
Das dritte mit Emotet in Verbindung stehende Malware-Sample MSIL.Mensa.4 kann sich über angeschlossene Speichergeräte verbreiten und zielte hauptsächlich auf Netzwerke in den USA ab. Die Daten des WatchGuard Threat Lab zeigen, dass Emotet als Dropper fungiert und die Datei von einem Malware-Delivery-Server herunterlädt und installiert.
PowerShell-Skripte an der Spitze der zunehmenden Angriffe auf Endpunkte
Die Gesamtzahl der identifizierten Endpunkt-Attacken im ersten Quartal ist gegenüber dem Vorquartal um 38 Prozent gestiegen. Skripte, insbesondere PowerShell-basierte, stellten in diesem Zeitraum den dominierenden Angriffsvektor dar.
Mit einem Anteil von 88 Prozent trieben sie die Zahl der gesamten Endpunkt-fokussierten Ereignisse im Vergleich zum vorherigen Quartal deutlich nach oben. PowerShell-Skripte waren für 99,6 Prozent der Skript-bezogenen Vorfälle in den ersten drei Monaten verantwortlich.
Daraus lässt sich ein klarer Trend ablesen: Angreifer setzen zunehmend auf dateilose und Living-off-the-land-Attacken mit legitimen Tools. Obwohl sich diese Skripte einer hohen Beliebtheit erfreuen, zeigen die Daten von WatchGuard, dass auch andere Quellen für Malware nicht übersehen werden sollten.
Legales Kryptomining mit bösartigen Hintergrundaktivitäten
Die drei Neuzugänge in der Liste der Top-Malware-Domänen im ersten Quartal standen in Zusammenhang mit Nanopool. Auf dieser beliebten Kryptomining-Plattform werden unterschiedliche Kryptowährungen gebündelt, um einen stetigen Ertragsfluss zu gewährleisten.
Technisch gesehen sind diese Domänen legitim und mit einer legal arbeitenden Organisation verbunden. Die Verbindungen zu diesen Mining-Pools entstehen jedoch fast immer in einem Unternehmens- oder Bildungsnetzwerk durch Malware-Infektionen und nicht durch legitime Mining-Aktivitäten.
Unternehmen sehen sich nach wie vor mit einer Vielzahl einzigartiger Netzwerkangriffe konfrontiert
Während die Top-10-IPS-Signaturen 87 Prozent aller Netzwerkangriffe ausmachten, erreichte die Zahl der einzigartigen Erkennungen den höchsten Stand seit Anfang 2019. Dieser Anstieg deutet darauf hin, dass sich automatisierte Angriffe auf eine kleinere Teilmenge potenzieller Exploits konzentrieren, anstatt auf Masse zu setzen. In Summe prasselt auf Unternehmen jedoch immer noch eine große Bandbreite an Angriffen ein.
Quelle: anonymisierte Firebox-Feed-Daten
All diese Erkenntnisse des vierteljährlichen Forschungsberichts von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard-Fireboxen, deren Besitzer der Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.
Im ersten Quartal 2022 blockierte WatchGuard insgesamt mehr als 21,5 Millionen Malware-Varianten (274 pro Gerät) und rund 4,7 Millionen Netzwerkbedrohungen (60 pro Gerät). Der vollständige Bericht enthält neben den vielfältigen Einblicken in die Malware- und Netzwerktrends aus dem ersten Quartal 2022 adäquate Hinweise zu empfohlenen Sicherheitsstrategien sowie wichtige Abwehrtipps für Unternehmen aller Größen und Branchen.