| Schadsoftware nutzt ausgefeilte Techniken, um Schutzmaßnahmen auszuweichen. Netzwerk-basierte Attacken stiegen im 4. Quartal 2023 um 80 Prozent an. | Malware is using sophisticated techniques to evade defenses. Network-based attacks increased by 80 percent in Q4 2023. |
|---|---|
| Der WatchGuard Technologies Internet Security Report Q4 2023 belegt eine dramatische Zunahme von so genannter „Evasive Malware“, also Schadsoftware, die Virenschutz und Firewalls geschickt umgeht. Dies trägt zu einem deutlichen Anstieg des Gesamtvolumens an Malware bei. Auffällig sind auch vermehrte Angriffe auf E-Mail-Server, insbesondere auf Microsoft Exchange. An der Ransomware-Front hat sich die Lage hingegen leicht entspannt: Dies dürfte auf den erfolgreichen Schlag internationaler Polizeibehörden gegen Ransomware-Erpresser zurückzuführen sein. „Die jüngsten Untersuchungen des Threat Labs zeigen, dass Bedrohungsakteure auf der Suche nach Schwachstellen – insbesondere in älterer Software und älteren Systemen – unterschiedliche Techniken einsetzen. Für Unternehmen ist es daher entscheidend, eine Strategie der gestaffelten Verteidigung in der Tiefe zu verfolgen, um sich vor solchen Bedrohungen zu schützen“, sagt Corey Nachreiner, Chief Security Officer bei WatchGuard. „Die Aktualisierung geschäftskritischer Systeme und Anwendungen ist ein wichtiger Schritt bei der Beseitigung von Schwachstellen. Darüber hinaus bieten moderne Sicherheitsplattformen, die von Managed Service Providern betrieben werden, umfassende Sicherheit und ermöglichen es, die neuesten Bedrohungen zu bekämpfen.“ Zu den wichtigsten Erkenntnissen des aktuellen Internet Security Reports aus dem vierten Quartal 2023 zählen: Malware-Volumen hat im 4. Quartal in Summe zugenommen. Die durchschnittliche Anzahl der Malware-Erkennungen pro WatchGuard Firebox stieg im Vergleich zum Vorquartal um 80 Prozent. Das stellt eine erhebliche Gesamtmenge an Malware-Bedrohungen dar, die am Netzwerk-Perimeter ankommen. Besonders betroffen vom Anstieg der Malware waren vor allem die Regionen Amerika und Asien/Pazifik. TLS- und Zero-Day-Malware ebenfalls im Aufwind. Etwa 55 Prozent der Malware kam über verschlüsselte Verbindungen an, das sind sieben Prozent mehr als im dritten Quartal 2023. Der Anteil von Zero-Day-Malware verdreifachte sich von 22 Prozent im Vorjahresquartal auf 60 Prozent. Besonders auffällig in diesem Zusammenhang: Die Anzahl der erkannten Bedrohungen durch Zero-Day-Malware mit TLS ging auf 61 Prozent zurück, was einem Rückgang von zehn Prozent gegenüber dem dritten Quartal entspricht und die Unberechenbarkeit von Malware zeigt. Zwei der Top-5-Malware-Varianten führen zum DarkGate-Netzwerk. Unter den Top 5 der am weitverbreitetsten Malware rangierten „JS.Agent.USF“ und „Trojan.GenericKD.67408266“. Beide Varianten leiten Benutzer zu bösartigen Links um und versuchen, DarkGate-Malware auf dem Computer des Opfers zu laden. Anstieg von „Living-off-the-Land“-Angriffen. Das vierte Quartal zeigte ein Wiederaufleben skriptbasierter Bedrohungen. Ihre Anzahl stieg gegenüber dem dritten Quartal um 77 Prozent. PowerShell war laut Threat Lab der dominante Angriffsvektor am Endgerät. Browserbasierte Exploits nahmen mit einem Anstieg von 56 Prozent ebenfalls deutlich zu. Vier der Top-5-Netzwerkangriffe waren Exchange-Server-Attacken. Diese Bedrohungen beziehen sich speziell auf die Exploits ProxyLogon, ProxyShell und ProxyNotShell. Eine ProxyLogon-Signatur, die erstmals im vierten Quartal 2022 in den Top 5 – auf Platz vier – der am stärksten verbreiteten Angriffe vertreten war, stieg jetzt auf Platz zwei der häufigsten Netzwerkattacken auf. Diese spezifischen Gefahren verdeutlichen, dass es vor allem gilt, die Abhängigkeit von lokalen E-Mail-Servern zu verringern, um Sicherheitsbedrohungen abzuschwächen. Kommerzialisierung von Cyberangriffen setzt sich mit „Victim-as-a-Service“-Angeboten fort. Glupteba und GuLoader zählten im vierten Quartal erneut zu den zehn häufigsten Endpunkt-Malware-Varianten. Glupteba ist eine besonders gefährliche und ausgeklügelte Schadsoftware, auch weil sie Opfer auf globaler Ebene angreift. Glupteba ist ein facettenreicher Malware-as-a-Service (MaaS), der u.a. zusätzliche Malware herunterlädt, sich als Botnet tarnt, vertrauliche Daten stiehlt und heimlich Kryptowährungen schürft. Ausgeschaltete Server reduzieren Ransomware-Angriffe. Im vierten Quartal meldete das Threat Lab einen Rückgang von Erpresser-Schadsoftware um 20 Prozent im Vergleich zum vorangegangenen Quartal. Die Analysten von WatchGuard stellten auch einen Rückgang der öffentlichen Ransomware-Attacken fest. Grund dafür dürften die Maßnahmen der Behörden zur Bekämpfung von Ransomware-Erpressern sein. | The WatchGuard Technologies Internet Security Report Q4 2023 shows a dramatic increase in „evasive malware,“ or malware that cleverly bypasses antivirus protection and firewalls. This is contributing to a significant increase in the overall volume of malware. There has also been a noticeable increase in attacks on email servers, particularly Microsoft Exchange. On the ransomware front, however, the situation has eased slightly: This is likely due to the successful crackdown by international police agencies on ransomware extortionists. „The Threat Lab’s latest research shows that threat actors are using different techniques to find vulnerabilities, especially in older software and systems. It is critical that organizations adopt a layered defense-in-depth strategy to protect against these threats,“ said Corey Nachreiner, chief security officer, WatchGuard. „Updating mission-critical systems and applications is an important step in eliminating vulnerabilities. In addition, modern security platforms operated by managed service providers provide comprehensive security and the ability to combat the latest threats.“ Key findings from the latest Q4 Internet Security Report include Malware volume increased overall in Q4. The average number of malware detections per WatchGuard Firebox increased by 80 percent compared to the previous quarter. This represents a significant total volume of malware threats reaching the network perimeter. The Americas and Asia Pacific regions were particularly affected by the increase in malware. TLS and zero-day malware are also on the rise. Approximately 55% of malware arrived via encrypted connections, a 7% increase over the previous quarter. The proportion of zero-day malware tripled to 60% from 22% in the same quarter last year. Particularly striking in this context: The number of zero-day malware threats detected with TLS dropped to 61%, a 10% decrease from Q3, demonstrating the unpredictable nature of malware. Two of the top 5 malware variants lead to the DarkGate network. JS.Agent.USF and Trojan.GenericKD.67408266 were among the top 5 most prevalent malware. Both variants redirect users to malicious links and attempt to download DarkGate malware to the victim’s computer. Increase in living-off-the-land attacks. The fourth quarter saw a resurgence in script-based threats. Their number increased by 77 percent compared to the third quarter. According to Threat Lab, PowerShell was the dominant attack vector on the endpoint. Browser-based exploits also saw a significant increase, rising 56 percent. Four of the top five network attacks were against Exchange servers. These threats are specifically related to the ProxyLogon, ProxyShell, and ProxyNotShell exploits. The ProxyLogon signature, which first appeared in the top five most common attacks in Q4 2022 – at number four – has now risen to number two among the most common network attacks. These specific threats highlight the need to reduce reliance on local email servers to mitigate security threats. The commercialization of cyber-attacks continues with victim-as-a-service offerings. Glupteba and GuLoader continued to be among the top ten endpoint malware variants in the fourth quarter. Glupteba is a particularly dangerous and sophisticated piece of malware, in part because it attacks victims on a global scale. Glupteba is a multifaceted malware-as-a-service (MaaS) that downloads additional malware, disguises itself as a botnet, steals confidential data, and surreptitiously mines cryptocurrency, among other things. Shutting down servers reduces ransomware attacks. In the fourth quarter, Threat Lab reported a 20 percent decrease in ransomware malware compared to the previous quarter. WatchGuard analysts also noted a decrease in public ransomware attacks. This is likely due to government crackdowns on ransomware extortionists. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de