Malware-Report: Sicherheitsstudien zu Malware

In unserem heutigen Beitrag befassen wir uns mit Malware-Reports aus dem Jahre 2021. Dabei fassen wir die Entwicklung der Malware-Bedrohungen zusammen und tragen dazu bei, dass Sie nicht selbst zum Opfer von Angriffen werden. In den verschiedenen Reports sehen Sie das Ausmaß der Malware-Angriffe, die in der Vergangenheit bereits zu erheblichen Schäden geführt haben. Die Reports zeigen zudem deutlich auf, welche Einfallstore bei Cyberkriminellen besonders beliebt sind. Außerdem geben wir Tipps, wie Sie Ihre Organisation vor Malware und Angriffen schützen können.

Malware-Report: Verschiedene Studien zu Malware

Wir haben uns für Sie durch die relevantesten Malware-Reports der jüngeren Zeit gewühlt und stellen Ihnen im Folgenden entsprechende Erkenntnisse vor:

BeyondTrust Incident Response Team: Malware Threat Report 2021

Das BeyondTrust Incident Response Team veröffentlichte im Oktober 2021 seinen ersten Malware Threat Report 2021. Für diese Sicherheitsstudie wurden reale IT-Attacken ausgewertet, die im ersten Quartal 2020 bis zum ersten Quartal 2021 stattfanden. Das Team untersuchte 150 Angriffsketten. Dabei ist den Sicherheitsforschenden zunächst aufgefallen, dass Cyberkriminalität ein „wachstumsstarkes Geschäftsmodell“ geworden ist: Angriffswerkzeuge werden „verstärkt als Malware-as-a-Service (MaaS) offeriert“. Das Ziel der Angreifenden ist deutlich: Sie „wollen den maximalen Schaden und die höchsten Lösegeldeinnahmen erzielen“.

Die Zeiten, in denen automatisierte Würmer programmiert wurden, ist laut diesem Malware-Report vorbei. Gängig ist vielmehr eine zunehmende Professionalisierung von Malware-Angreifenden, obendrein setzen neue Generationen von Malware auf mehrstufige Angriffe, sodass komplette Unternehmensumgebungen attackiert werden können. Ransomware-as-a-Service (RaaS) kann dafür sorgen, „eine Tür ins Netzwerk einer großen Organisation öffnen zu können“. Anschließend durchleuchten Angreifende das infiltrierte Netzwerk mit Pentest-Werkzeugen. Sind Sicherheitskontrollen deaktiviert, lässt sich der Schutz von Endpunkten aushebeln, sodass Angreifende mit erhöhten Nutzerrechten weiter ins Firmennetz vordringen können. So erhalten Angreifende „Kontrolle über kritische IT-Systeme, verschlüsseln und exfiltrieren sensible Daten“.

Zu den häufigsten Malware-Stämmen gehören laut Malware-Report Emotet (34 %), Trickbot/ RYUK (19 %), Loki (14 %) und AgentTesla (13 %). Auffällig waren zudem NJRat (9 %), Formbook (4 %), Nanocore (3 %), Maze (2 %) sowie MiniDuke und Loader (je 1 %).

Entscheidend über die erfolgreiche Abwehr der Schadprogramme sind laut dem Malware-Report das Kontrollieren von Berechtigungen sowie das Unterbinden ungeprüfter Anwendungen. Dies reduziert die Angriffsfläche, stoppt die Code-Ausführung und unterbindet die Übernahme privilegierter Zugriffsrechte.

Sophos Threat Report 2022

Im November erschien der alljährliche Bedrohungsbericht „Sophos Threat Report 2022“, in dem Forschungsergebnisse sowie Bedrohungsdaten aus dem Hause Sophos aufgearbeitet werden. Der Malware-Report von Sophos skizziert verschiedene Haupttrends:

• Weiterentwicklung des Geschäftsmodells Ransomware: Der Trend geht zu mehr Modularität und Einheitlichkeit, sodass der Einfluss auf die Bedrohungslandschaft zunimmt. Ransomware ist dem Bericht zufolge „so effektiv und lukrativ, dass sie andere Cyberbedrohungen […] einbeziehen, um ein massives, vernetztes Ransomware-Verbreitungssystem zu schaffen.“ Die Forschenden von Sophos fanden heraus, dass „die Angriffe einzelner Ransomware-Gruppen im Jahr 2021 bereits mehr und mehr Ransomware-as-a-Service (RaaS)-Angeboten Platz“ gemacht hätten, bei denen „Schadcode und Infrastruktur an andere Cyberkriminelle“ vermietet werden.
• Weitere Anpassung etablierter Cyber-Bedrohungen: Diese Anpassungen dienen Cyberkriminellen dazu, „Ransomware zu verbreiten und bereitzustellen“. Dabei wird Malware fortschrittlicher und komplexer.
• Erpressung: Nicht mehr nur die Datenverschlüsselung ist problematisch, sondern es werden zunehmend Daten als Druckmittel verwendet. Das Sophos Incident Response-Team konnte im Jahr 2021 zehn unterschiedliche Arten von Erpressungstaktiken katalogisieren: „von Datendiebstahl und Offenlegung über Drohanrufe bis hin zu Distributed Denial of Service (DDoS)-Attacken und mehr“.
• Kryptowährungen heizen Cyberkriminalität weiter an: Insbesondere Ransomware sowie bösartiges Kryptomining fallen in dem Malware-Report von Sophos dabei auf. Dieser Trend könne sich fortsetzen, „bis die globalen Kryptowährungen besser reguliert sind.“ Kryptominer würden dabei „neu gemeldete Schwachstellen“ und Ziele ausnutzen, „die bereits von Ransomware-Betreibern angegriffen wurden, […] um Kryptominer auf Computern und Servern zu installieren.“

Weiter war laut Malware-Report von Sophos auffällig, dass unterschiedliche Gruppen, die Ransomware-Angriffe durchführen, eng mit kriminellen Kollegen zusammenarbeiten würden. Sie verhalten sich eher wie Kartelle der Cyberkriminalität; unabhängige Gruppen werden seltener. Haben Ransomware-Angriffe früher Wochen oder zumindest Tage gedauert, würden diese jetzt in wenigen Stunden gelingen.

McAfee Advanced Threat Research Report

Im Oktober 2021 erschien der Advanced Threat Research Report aus dem Hause McAfee. In diesem Malware-Report wird deutlich, dass kriminelle Akteure nicht nur neue und aktualisierte Bedrohungen, sondern auch Taktiken in ihre Kampagnen integriert haben. Ransomware-Kampagnen sind immer noch weit verbreitet, doch die Gruppen entwickeln ihre Geschäftsmodelle weiter. So gelingt es ihnen, wertvolle Informationen sowie Lösegelder in Millionenhöhe von großen und kleineren Unternehmen zu erpressen.

Für gemeinsame Zugangsvektoren und ähnliche Tools setzten Ryuk, REvil, Babuk und die Cuba Ransomware aktiv Geschäftsmodelle ein, um eine Beteiligung anderer Cyberkrimineller zu aktivieren. Im zweiten Quartal 2021 führte REvil die McAfee-Liste der Ransomware-Bedrohungen an. Doch mit LockBit 2.0 wurde auch eine ältere Ransomware Mitte 2021 neu entdeckt: Offenbar wurde die LockBit-Version aus dem Jahr 2020 mit neuen Funktionen gespickt, sodass nun eine aktualisierte Version vorliegt. Diese Variante verschlüsselt automatisch Geräte in der gesamten Domäne, exfiltriert Daten und greift über RDP auf Systeme zu.

FireEye M-Trends 2021

M-Trends nennt sich der jährlich erscheinende Malware-Report von FireEye und Mandiant. Hier lesen wir auch eine positive Entwicklung: Mit einer Steigerung von 12 % gegenüber dem Vorjahr gelang es 2021 bei 59 Prozent der Sicherheitsvorfälle, dass die betroffenen Unternehmen diese selbst aufdeckten. Auch hier zeigt sich jedoch, dass Ransomware immer häufiger für mehrstufige Erpressungen eingesetzt wird, wobei mehr als nur die betroffene Umgebung verschlüsselt wird. Mit FIN11 war eine finanziell motivierte Hackergruppe für groß angelegte Phishing-Kampagnen verantwortlich, die auf mehrstufige Erpressung setzt.

Dieser Malware-Report zeigt ebenfalls, dass Hackergruppen immer häufiger zusammenarbeiten, um bestimmte Ziele besser erreichen zu können. Es gab nicht nur Angriffe auf COVID19-Forschungsinstitute, sondern auch die zügig eingeführte Heimarbeit wurde häufig ausgenutzt (mehr dazu in unserem Beitrag „Home-Office-Sicherheit: Das hat sich getan“). Dem FireEye-Team sind zudem verstärkt Angriffe auf Lieferketten aufgefallen (s. unser Beitrag „Neue Gefahr: Supply-Chain-Angriffe“).

Netskope Cloud and Threat Report

Der Cloud and Threat Report von Netskope erschien im Juli 2021. Dieser Cloud und Malware-Report zeigt, dass sagenhafte 97 Prozent der in Unternehmen eingesetzten Cloud-Apps Schatten-IT darstellen; sie sind also nicht verwaltet und werden eigenständig von Mitarbeitenden eingesetzt. Dabei stellen App-Plugins von Drittanbietenden ernsthafte Datenrisiken dar: 97 Prozent der Nutzenden von Google Workspace gestatteten mindestens einer App eines Drittanbietenden Zugriff auf den Google-Unternehmensaccount. Dies hat zur Folge, dass Daten an Dritte weitergegeben werden können, beispielsweise durch die Erlaubnis zum „Anzeigen und Verwalten der Dateien in Google Drive“.

Der Cloud und Malware-Report zeigt außerdem, dass Angreifenden mit dem Anstieg von öffentlich zugänglichen Cloud-Umgebungen zahlreiche Möglichkeiten eröffnet werden. Über 35 Prozent aller Workloads sind innerhalb von Azure, AWS und GCP übers öffentliche Internet zugänglich. Mit 68 Prozent hat der Anteil der über Clouds verbreiteten Malware ein neues Allzeithoch erreicht – Tendenz: weiter steigend! Dabei machen fast 67 Prozent davon Cloud-Speicher-Apps aus, während 43 Prozent sämtlicher Malware-Downloads über bösartige Office-Dokumente erfolgen.

Malware-Reports zeigen das Ausmaß der Cyberkriminalität

Fasst man die Studienergebnisse zusammen, wird deutlich, dass Ransomware ein gigantisches Risiko darstellt. Cyberkriminelle haben sich längst professionalisiert – und sie schließen sich zusammen, um Ziele noch heftiger treffen und noch mehr Lösegeld abgreifen zu können. Angriffe dauern nicht mehr Tage oder Wochen, sondern sind binnen weniger Stunden erledigt und Malware-as-a-Service erlaubt es auch weniger versierten Angreifenden, komplexe Attacken zu starten. Auch das Home-Office, die Cloud sowie Schatten-IT sind Einfallstore, die Cyberkriminelle weiter ausnutzen.

Abhilfe können Sie schaffen, indem Sie Ihre IT- und Datensicherheit gut durchplanen: Bleiben Sie aufmerksam und setzen Sie Tools wie Sicherheitssoftware sowie Zertifikate ein, um Ihre Sicherheit zu erhöhen. Schulen und sensibilisieren Sie Ihre Mitarbeitenden, damit diese Angriffe erkennen können. Analysen und Zertifizierungen wie ISA+, ISIS12 für KMU oder ISO/IEC 27001 für größere Unternehmen, Konzerne und Betreibende kritischer Infrastrukturen (KRITIS) sorgen dafür, dass Sie den Stand Ihrer IT-Sicherheit kennen und stetig optimieren. Haben Sie Fragen zur Informationssicherheit in Ihrer Organisation, stehen unsere zertifizierten Experten gerne Rede und Antwort. Nehmen Sie einfach Kontakt zu uns auf.