Die IT-Sicherheitsanbieter Ivanti, Securin, CSW und Cyware, bekannt für innovative Ansätze zur schnellen Identifizierung von Schwachstellen in der Cyber-Sicherheit mittels kombinierter automatisierter und Expertise generierter Analyse von Bedrohungsdaten, haben gemeinsam einen Bericht zur Bedrohungslage durch Ransomware vorgelegt. Die Experten für Threat- und Vulnerability-Management kommen dabei entgegen zuvor geäußerter optimistischer Einschätzungen zu dem Schluss, dass im Jahr 2022 Bedrohungen durch Ransomware nicht an Durchschlagskraft und Bedeutung verloren haben. Allein unter den rund 350 von den Security-Partnern 2022 neu identifizieren Bedrohungen, finden sich weit über 50 Schwachstellen, die direkt mit Ransomware in Verbindung stehen. Im Vergleich zum Vorjahr sei zudem die Zahl der Schwachstellen, die mittels Ransomware ausgenutzt werden, um nahezu 20 % angestiegen, so der Bericht. „Ransomware ist für jede Organisation, ob im privaten oder öffentlichen Sektor, ein elementares Thema“, erläutert Srinivas Mukkamala, Chief Product Officer bei Ivanti, die aktuelle Bedrohungslage. „Die Belastungen für Unternehmen, Behörden und Einzelpersonen steigen rasant. Es ist unerlässlich, dass alle Firmen ihre Angriffsfläche wirklich verstehen und ihre Organisation mit mehrschichtiger Sicherheit ausstatten. Erst so werden sie gegen die zunehmenden Angriffe widerstandsfähig.“
Dabei beobachteten etwa die Sicherheitsexperten von CSW, dass sich der Trend zu vermehrten Angriffen über Advanced-Persistent-Threat-Gruppen fortsetzt. So wurden vier solcher APT-Gruppen (DEV-023, DEV-0504, DEV-0832 und DEV-0950) im vierten Quartal 2022 erstmals mit Ransomware in Verbindung gebracht. Über 130 der neuerdings mit Ransomware assoziierten Schwachstellen seien jedoch noch nicht in der allgemein zugänglichen Datenbank der US Cybersecurity and Infrastructure Security Agency (CISA), dem KEV-Katalog der Known Exploited Vulnerabilities, enthalten. So erkennen denn auch weit verbreitete Scanner wie Nessus, Nexpose oder Qualys Dutzende der mit Ransomware verbundenen Schwachstellen nicht. Ein weiteres Problem stelle die Weiterverwendung von Codes mit identifizierten Schwachstellen dar, sind sich die Sicherheitsanbieter einig. So nutze etwa der Ransomware AvosLocker Schwachstellen in Open-Source-Codes. Apache Log4j-Schwachstellen wie CVE-2021-45046 seien in 93 Produkten von 16 Anbietern, CVE-2021-45105 sogar in 128 Produkten von 11 Anbietern zu finden.
Softwareanbieter und Anwendungsentwickler müssten Softwarecodes vor der Veröffentlichung unbedingt realistisch bewerten, so die gemeinsame Forderung der Threat- und Vulnerability-Analysten, denn teils bestünden Software-Schwachstellen über Versionen hinweg. Angreifer hätten im letzten Jahr mehr als 80 Common-Weakness-Enumeration-Fehler ausgenutzt, eine Steigerung zum Vorjahr um über 50 %. In diesem Zusammenhang weisen die Sicherheitsexperten darauf hin, dass zudem rund 60 Ransomware-assoziierte Schwachstellen bisher nur einen niedrigen oder mittleren CVSS-Score auf weisen, obwohl sie Unternehmen immensen Schaden zufügen können. Anuj Goel, Mitbegründer und CEO von Cyware mahnt Unternehmen: „IT- und Security-Teams müssen kontinuierlich die kritischsten Schwachstellen beheben, um die Angriffsfläche ihrer Organisationen deutlich zu reduzieren und die Widerstandsfähigkeit gegenüber Angreifern zu erhöhen. … Handlungsbedarf besteht, etwa bei älteren und Open-Source-Schwachstellen.“
Mit Blick auf das Schwachstellenmanagement vieler Unternehmen sei alarmierend, so das gemeinsame Statement der Sicherheitsexperten, dass mehr als drei Viertel der Schwachstellen, die 2022 zur verbrecherischen Erpressung mittels Datenklau verwendet wurden, bereits zwischen 2010 und 2019 entdeckt worden sind. Sogar 20 der im letzten Jahr von Cyber-Kriminellen per Ransomware neu ausgenutzten Verwundbarkeiten seien schon zwischen 2015 und 2019 offengelegt worden. In der Annahme, dass älteren Schwachstelle keine Priorität mehr für die Security-Teams vieler Unternehmen hätten, suchten Bedrohungsakteure gezielt im Deep und Dark Web nach scheinbar veralteten Schwachstellen und nutzten diese aus. Wenn mehr als drei Viertel der ausgenutzten Schwachstellen altbekannt, aber ungepatcht sind, offenbart sich ein Problem. Unternehmen scheinen noch immer nicht in der Lage zu sein, Schwachstellen nach ihren Auswirkungen auf den jeweils eigenen Bestand und ihre Kritikalität zu bewerten, und versäumen es, rechtzeitig zu handeln. Unser „Report zeigt, dass viele Unternehmen ihr Wissen über die Bedrohungen nicht in die Tat umsetzen“, kommentiert Aaron Sandeen, CEO und Mitbegründer von CSW und Securin die Befunde. „Es ist fundamental für die Sicherheit einer Organisation, dass IT- und Security-Teams ihre Software patchen, sobald Schwachstellen bekannt werden.“
