Drei Haupttrends macht der US-amerikanische Anbieter von Sicherheitslösungen WatchGuard im Bereich der Cyber-Kriminalität aus: eine Zunahme bei den Advanced Threats, die Skalierung von Malware-Kampagnen auf maximale Reichweite und die wachsende „Beliebtheit“ von Double-Extortion Attacks. Der Anbieter mit Hauptsitz in Seattle, der sich auf die Entwicklung von Cyber-Sicherheitstechnologien insbesondere für mittelständische Unternehmen spezialisiert hat, gibt dabei an, dass die aktuellen Erkenntnisse nicht etwa auf Umfrageergebnissen, sondern auf den Auswertungen der tatsächlichen anonymisierten, aggregierten Daten aus dem unternehmenseigenen Netzwerk- und Endgeräteschutz basieren. 95 Prozent der auftretenden Malware sei inzwischen hinter der SSL/TLS-Verschlüsselung verborgen, die von sicheren Websites verwendet wird, warnen WatchGuards Experten und mahnen an, Unternehmen, bei denen am Netzwerkperimeter keine Prüfung des SSL/TLS-Verkehrs stattfinde, müssten in dem Bereich dringend in mehr Sicherheit investieren.
Bei der Analyse von Malware, die auf die Übertragung über verschlüsselte Verbindungen setzt, haben die WatchGuard-Forscher einen hohen Anteil an „Evasive Malware“ erkannt. Von „Evasive Malware“ wird gesprochen, wenn diese den signaturbasierten Scanner des Virenschutzes überwinden kann und möglicherweise erst von dahinter gestaffelten Technologien abgefangen wird. Der Anteil der Malware, für die Signaturscans aktuell keine Hürde darstellen, liege inzwischen bei 66 Prozent. „Die Daten, die unser Threat Lab für den neuesten Bericht analysiert hat, zeigen“, so Corey Nachreiner, Chief Security Officer bei WatchGuard, „dass fortschrittliche Malware-Angriffe in der Häufigkeit ihres Auftretens schwanken und sich gerade die facettenreichen Cyberbedrohungen konsequent weiterentwickeln. Um diese effektiv zu bekämpfen, sind daher ständige Wachsamkeit sowie ein mehrschichtiger Sicherheitsansatz erforderlich.“
Die absolute Zahl der Nachweise von Endpunkt-Malware sei in 2023 im zweiten Quartal im Vergleich zum Vorquartal zwar um 8 Prozent leicht rückläufig, allerdings habe Endpunkt-Malware, die bei 100 oder mehr Systemen gleichzeitig detektiert wurde, um mehr als 20 Prozent zugenommen. Dies lässt den Schluss zu, dass Malware-Kampagnen aktuell breiter angelegt werden. Eine deutliche Zunahme zeichnet sich dagegen bei Angriffe mit doppelter Erpressung durch Ransomware-Gruppen ab. Im Vergleich zum Vorquartal nahmen Doppelerpressungsangriffe laut WatchGuard um 72 Prozent zu – und die unternehmenseigenen Sicherheitsforscher haben im Rahmen ihrer Fallanalyse mehr als ein Dutzend neue Erpressergruppen entdeckt. Das Interesse im Bereich Cyber Crime, bei Daten-Kompromittierung von krimineller Erpressung profitieren zu wollen, ist demnach ungebrochen.
Innovation ist ein weiteres Stichwort, wenn es um Cyber Crime geht. Sechs neue Malware-Varianten haben es allein in die Top 10 bei der Endgeräte-Erkennung von WatchGuard schafft. Das WatchGuard Threat Lab verzeichnete einen massiven Anstieg von Treffern in Verbindung mit dem kompromittierten Installationsprogramm für 3CX, das denn auch mit einem 48-prozentigen Anteil am Malware-Gesamtvolumen die Top-10-Liste der Bedrohungen im zweiten Quartal 2023 anführt. Darüber hinaus warnen die Experten aus Seattle vor dem Trojaner Glupteba, der in 2023 wieder aufgetaucht sei, nachdem er mehrere Jahre nicht im Trend gelegen habe. Bei der Analyse der Angriffsvektoren und der Art und Weise, wie sich Bedrohungsakteure Zugang zu Endgeräten verschaffen wollen, haben die Experten zudem einen Anstieg von LOLBAS-Angriffen (Living Off The Land Binaries And Scripts) festgestellt. Die Fälle, in denen Windows-Betriebssystem-Tools wie WMI und PSExec missbraucht wurden, haben im Vergleich zum letzten Quartal um ein Drittel zugenommen, doch sind es letztlich Skripte, die nach wie vor den häufigste Verbreitungsweg für Malware darstellen und hinter mehr als 70 Prozent der Entdeckungen stecken. Browserbasierte
Exploits gingen dagegen um 33 Prozent zurück und repräsentieren im zweiten Quartal dieses Jahres lediglich noch 3 Prozent des Gesamtvolumens.
Ältere Software-Schwachstellen sind laut der WatchGuard-Experten nach wie vor im Fokus der Cyber-Kriminellen. Die Forscher des unternehmenseigenen Threat Labs verorten in den Top 10 der Netzwerkangriffe im zweiten Quartal allein drei neue Signaturen, die auf älteren Schwachstellen basieren. Eine davon geht auf das Jahr 2016 zurück und ist mit der Sicherheitslücke eines Open-Source-Lernmanagementsystems verknüpft, das 2018 stillgelegt wurde. Bei der Suche nach bösartigen Domänen wurde das Team unter anderem bei „Self-managed Websites“, darunter harmlose Blogs bei WordPress, und bei einem URL-Shortener fündig. Diese wurden kompromittiert und als Host für Malware oder Malware-Befehls- und Kontroll-Systeme missbraucht. Darüber hinaus enttarnte das WatchGuard Threat Lab Bedrohungsaktivitäten hinter denen die Gruppe Qakbot steht. Die Cyber-Kriminellen hatten die Website eines Bildungswettbewerb im asiatisch-pazifischen Raum infiltriert und dahinter erfolgreich eine Command-and-Control-Infrastruktur des Botnetzes verborgen.
