Internet Security Report Q4 2024

Durch aufmerksame Beobachtung und Analyse der neuesten Malware-Varianten, Netzwerkangriffe und bösartigen Domänen – sowohl aus der Netzwerk- als auch aus der Endpunktperspektive – hilft Ihnen der Bericht, die Erkenntnisse zu gewinnen, die wir brauchen, um ihre Abwehr zu stärken. Der vierteljährliche WatchGuard Internet Security Report (ISR) fasst diese kritischen Erkenntnisse zusammen und beleuchtet die Merkmale aufkommender Bedrohungen. Er liefert verwertbare Informationen, die Unternehmen dabei helfen, sich besser auf potenzielle Angriffe vorzubereiten und ihre Verteidigung zu stärken, anstatt zu sterben, wenn ihr Unternehmen Opfer einer neuen Bedrohung wird.

Netzwerk-Malware hat sich im vergangenen Jahr fast verdoppelt. Auch Krypto-Miner, Zero-Day-Malware und Linux-basierte Bedrohungen nehmen zu, so der aktuelle Internet Security Report Q4 2024 von WatchGuard. Der Anstieg von netzwerkbasierter Malware um 94 Prozent im Vergleich zum Vorquartal ist sicherlich eine der auffälligsten Beobachtungen. Dies geht einher mit einem generellen Anstieg des Malware-Volumens, wozu nicht zuletzt sechs Prozent mehr Erkennungen durch die Gateway AntiVirus (GAV)-Funktionalität und die um 74 Prozent gestiegene Trefferquote bei Advanced Persistent Threats beitragen.

Aber auch die Machine-Learning-basierte Erkennungsfunktion von IntelligentAV (IAV) hat von Oktober bis Dezember 2024 stark zugelegt und konnte 315 Prozent mehr Vorfälle verbuchen. Dies ist ein klarer Hinweis darauf, dass proaktive Anti-Malware-Services, die in der Lage sind, auch ausgefeilte Gefahren wie Zero-Day-Malware aus verschlüsselten Kanälen abzufangen, immer wichtiger werden. Der signifikante Anstieg bei sogenannter „Evasive Malware“ unterstreicht ebenfalls, dass Angreifer verstärkt auf Verschleierung und Verschlüsselung setzen und damit herkömmliche Verteidigungsmaßnahmen herausfordern.

Zudem stellte das WatchGuard Threat Lab mit plus 141 Prozent im Vergleich zum Vorquartal einen beträchtlichen Anstieg von Krypto-Mining-Aktivitäten fest. Bei Krypto-Mining handelt es sich um einen gängigen Prozess zum Erwerb von Kryptowährungen – beispielsweise Bitcoin – via Blockchain. Bösartige Coin-Miner agieren als ausführende Software – allerdings ohne das Wissen oder die Zustimmung des Benutzers. Aufgrund des zunehmenden Werts und der wachsenden Beliebtheit von Bitcoin wittern Bedrohungsakteure hier zunehmend häufiger ihre Chance.

„Die Ergebnisse unseres Q4 2024 Internet Security Report zeigen eine Cybersicherheitslandschaft, in der Angreifer sowohl auf bekannte Taktiken und leicht auszunutzende Schwachstellen setzen als auch ausweichende Malware-Techniken nutzen, um traditionelle Abwehrmaßnahmen zu umgehen“, sagt Corey Nachreiner, Chief Security Officer von WatchGuard Technologies. „Die Daten verdeutlichen, wie wichtig es ist, bei den grundlegenden Dingen wachsam zu bleiben: Es kommt vor allem darauf an, Systeme proaktiv auf dem neuesten Stand zu halten, auf abnormale Aktivitäten zu achten und mehrschichtige Verteidigungsmaßnahmen einzusetzen, um die unvermeidlichen Angriffsversuche über Netzwerke und Endpunkte abzufangen. Unternehmen, die dies beherzigen, sind gegenüber den im Report aufgezeigten Gefahren grundsätzlich gut gewappnet und können auch beruhigter in die Zukunft schauen.“

Wichtige Ergebnisse des WatchGuard Q4 2024 Internet Security Report im Überblick:

Aufwind von Zero-Day-Malware: Im vierten Quartal 2024 stieg der Anteil von Zero-Day-Malware wieder auf 53 Prozent an und liegt damit deutlich über dem im dritten Quartal 2024 verzeichnetem Tiefstand von 20 Prozent. Zudem zeigt sich ein weiteres Mal, dass die Malware zunehmend über verschlüsselte Verbindungen übertragen wird und die Gefahr im Zuge dessen noch perfider daherkommt.

Rückgang von einzigartiger Malware: Der Anteil entsprechender Vorfälle ist im betrachteten Quartal um 91 Prozent deutlich zurückgegangen, was u.a. mit der Zunahme generischer Malware begründbar ist. Weniger Volumen bedeutet jedoch nicht, dass eine schnelle und sorgfältige Reaktion auf die Bedrohungen, die versuchen, durch die Abwehr zu schlüpfen, weniger wichtig ist.

27 Prozent weniger Netzwerkangriffe: Die Ergebnisse des Threat Labs zeigen, dass zu den wichtigsten Angriffen weiterhin viele bewährte Exploits gehörten. Demnach halten Angreifer an dem fest, was bisher erfolgreich war.

Liste der Top-Phishing-Domains unverändert: Hartnäckige und hochwirksame Phishing-Infrastrukturen gehören weiter zum allgemeinen Bild der Gefahrenlage. Dabei deuten SharePoint-bezogene Phishing-Domänen – die meist legitime Portale imitieren, um Anmeldedaten zu sammeln – darauf hin, dass Angreifer nach wie vor auf Kompromittierung von Geschäfts-E-Mails setzen und es damit insbesondere auf Unternehmen mit Office 365-Diensten abgesehen haben.

„Living off the Land“-Angriffe (LotL) liegen im Trend: Dabei werden legitime Systemtools wie PowerShell, Windows Management Instrumentation (WMI) oder Office-Makros instrumentalisiert. Im vierten Quartal basierten 61 Prozent der Endpunkt-Angriffe auf PowerShell-Injektionen und -Skripten, was den enormen Missbrauch von PowerShell verdeutlicht.

Vielzahl der Netzwerkangriffe generischer Natur: Bei mehr als der Hälfte der einschlägigen Erkennungen im Netzwerk handelt es sich um generische Signaturen, die es auf bekannte Schwachstellen in Webanwendungen abgesehen haben. Dies lässt darauf schließen, dass Angreifer massenhaft auf das etablierte „Brot-und-Butter“-Geschäft setzen.

Alle Erkenntnisse basieren – entlang des Konzepts der „WatchGuard Unified Security Platform“ und entsprechend der vorherigen vierteljährlichen Auswertungen zur Analyse der Top-Malware, Netzwerk- und Endgerätebedrohungen – auf den anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz, deren Besitzer der Weitergabe der Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.

According to author William S. Burroughs, “When you stop growing,
you start dying.”This sentiment rings especially true in the field
of cybersecurity. By diligently observing and analyzing the latest
malware variants, network attacks, and malicious domains – from
both a network and endpoint perspective the report helps you to develop
the insights necessary to learn how to fortify our defenses. The
quarterly WatchGuard Internet Security Report (ISR) encapsulates these critical
findings, shedding light on the characteristics of emerging threats
and providing actionable intelligence that helps organizations
better prepare and grow defenses for potential attacks, rather than
dying when their businesses succumb to a new threat.

Network malware has nearly doubled in the past year. Crypto-miners, zero-day malware and Linux-based threats are also on the rise, according to WatchGuard’s latest Internet Security Report Q4 2024. The 94% increase in network-based malware over the previous quarter is certainly one of the most striking observations. This is accompanied by a general increase in the volume of malware, not least due to the six percent increase in detections by the Gateway AntiVirus (GAV) functionality and the 74 percent increase in the hit rate for Advanced Persistent Threats.

However, the machine learning-based Intelligent AntiVirus (IAV) detection function also increased significantly from October to December 2024, recording 315 percent more incidents. This is a clear indication of the growing importance of proactive anti-malware services capable of intercepting sophisticated threats such as zero-day malware from encrypted channels. The significant increase in evasive malware also underscores the fact that attackers are increasingly relying on obfuscation and encryption to challenge traditional defenses.

In addition, the WatchGuard Threat Lab saw a significant increase in crypto mining activity, up 141 percent from the previous quarter. Crypto mining is a common process used to acquire cryptocurrencies – such as bitcoin – via the blockchain. Malicious coin miners act as executing software – but without the user’s knowledge or consent. Due to the increasing value and popularity of bitcoin, threat actors are increasingly seeing this as an opportunity.

„The results of our Q4 2024 Internet Security Report reveal a cybersecurity landscape where attackers are using both known tactics and easy-to-exploit vulnerabilities, as well as evasive malware techniques to evade traditional defenses,“ said Corey Nachreiner, chief security officer, WatchGuard Technologies. „The data underscores the importance of staying vigilant about the basics: Proactively keeping systems up to date, monitoring for anomalous activity, and deploying layered defenses to intercept the inevitable attack attempts across networks and endpoints. Organizations that take this to heart are generally well equipped to deal with the threats identified in the report and can look to the future with greater peace of mind.

Key findings of the WatchGuard Q4 2024 Internet Security Report include

The rise of zero-day malware: In Q4 2024, the proportion of zero-day malware rose again to 53 percent, well above the low of 20 percent recorded in Q3 2024. It also shows that malware is increasingly being delivered over encrypted connections, making the threat more insidious.

Decline in unique malware: The proportion of unique malware incidents fell sharply this quarter, by 91%, due in part to the rise in generic malware. However, less volume does not mean that a quick and careful response to threats that attempt to slip through defenses is less important.

27 percent decrease in network attacks: The Threat Lab’s findings show that the top attacks continue to include many tried-and-true exploits. Attackers are sticking to what has worked in the past.

Top phishing domains remain unchanged: Persistent and highly effective phishing infrastructures continue to be part of the overall threat landscape. SharePoint-related phishing domains – most of which mimic legitimate portals to harvest credentials – indicate that attackers are still targeting business email compromise, particularly organizations with Office 365 services. s

„Living off the Land (LotL) attacks are trending, exploiting legitimate system tools such as PowerShell, Windows Management Instrumentation (WMI), or Office macros. In the fourth quarter, 61 percent of endpoint attacks were based on PowerShell injections and scripts, illustrating the tremendous abuse of PowerShell.

Large number of generic network attacks: More than half of the relevant network detections are generic signatures targeting known web application vulnerabilities. This suggests that attackers are targeting the established bread and butter business en masse.

All findings are based on anonymized, aggregated data from all active WatchGuard network and endpoint protection solutions whose owners have agreed to share threat information to support the Threat Lab’s research, in line with the WatchGuard Unified Security Platform concept and previous quarterly analysis of top malware, network and endpoint threats.