WatchGuard Technologies hat in seinem Internet Security Report für das erste Quartal 2021 nochmals eine deutliche Zunahme bei der Verbreitung von Zero-Day-Malware festgestellt. In dem Zusammenhang trat insbesondere die Schwäche signaturbasierter Antivirenlösungen offen zutage: Denn knapp 75 Prozent der entdeckten Bedrohungen dieser Art konnten von herkömmlichen Anwendungen zum Zeitpunkt der Veröffentlichung nicht erkannt werden. „Im letzten Quartal wurde die höchste Anzahl an Zero-Day-Malware-Attacken verzeichnet, die wir je registriert haben. Dies ist ein weiteres Zeichen dafür, dass Unternehmen ihre Abwehrmaßnahmen weiterentwickeln müssen, um den immer raffinierteren Bedrohungsakteuren einen Schritt voraus zu sein", sagt Corey Nachreiner, Chief Security Officer bei WatchGuard, und ergänzt: „Traditionelle Anti-Malware-Lösungen sind dieser Bedrohung gegenüber beinahe blind und reichen für die heutige Bedrohungslage einfach nicht mehr aus. Jedes Unternehmen benötigt eine mehrschichtige, proaktive Sicherheitsstrategie, die maschinelles Lernen und Verhaltensanalysen einschließt, um neue und fortschrittliche Bedrohungen zu erkennen und zu blockieren."
Der Internet Security Report von WatchGuard Q1 2021 enthält zudem neues Datenmaterial zu den gestiegenen Angriffsraten auf Netzwerke sowie den wichtigsten Malware-Attacken, und informiert darüber, auf welche Weise Angreifer alte Exploits tarnen und neu verwenden:
• Dateilose Malware-Variante explodiert in der Popularität – XML.JSLoader ist ein bösartiger Payload, der zum ersten Mal sowohl in WatchGuards Top-Malware nach Volumen als auch in der Liste der am weitesten verbreiteten Malware auftauchte. Diese Variante wurde von WatchGuard darüber hinaus im ersten Quartal am häufigsten via HTTPS-Inspektion entdeckt. Die Schadsoftware nutzt einen XML External Entity (XXE)-Angriff, um in einer Shell Befehle auszuführen, mit der die lokale PowerShell-Ausführungsrichtlinie umgangen wird. Der Vorgang läuft ohne jegliche Interaktion des Anwenders und damit vollständig im Hintergrund ab. XML.JSLoader ist ein weiteres Beispiel für die zunehmende Verbreitung von dateiloser Malware und den Bedarf an fortschrittlichen Lösungen für einen wirksamen Schutz am Endpunkt.
• Einfacher Dateinamen-Trick hilft Hackern dabei, Ransomware-Loader als legitime PDF-Anhänge auszugeben – Der Ransomware-Loader Zmutzy nimmt im ersten Quartal 2021 Platz 2 im Ranking der verschlüsselten Malware-Variante nach Volumen ein. Im Zusammenhang mit der Nibiru-Ransomware tritt diese Bedrohung als Anhang in Form einer gezippten Datei in E-Mails oder als Download von einer bösartigen Website auf. Beim Öffnen der Zip-Datei wird eine ausführbare Datei heruntergeladen, die sich jedoch als legitime PDF-Datei präsentiert. Die Angreifer verwenden im Dateinamen ein Komma anstelle eines Punktes sowie ein manuell angepasstes Symbol, um die bösartige ZIP-Datei als PDF auszugeben. Diese Art von Angriff unterstreicht die Wichtigkeit von Schulungen zum Thema Phishing sowie die Implementierung von Backup-Lösungen für den Fall, dass eine Variante wie diese eine Ransomware-Infektion auslöst.
• IoT-Geräte weiter im Visier – Die Variante Linux.Ngioweb.B wurde zwar nicht in die Top-10-Malware-Liste von WatchGuard für das erste Quartal aufgenommen, aber in letzter Zeit für den Angriff auf IoT-Geräte genutzt. Die erste Version zielte auf Linux-Server mit WordPress ab und nutzte das EFL (Extended Format Language)-Dateiformat. Eine andere Version dieser Malware verwandelt die IoT-Geräte in ein Botnet mit rollierenden Command-and-Control-Servern.
• Netzwerkangriffe steigen um mehr als 20 Prozent – WatchGuard-Appliances erkannten mehr als vier Millionen Netzwerkangriffe. Das entspricht einem Anstieg um 21 Prozent im Vergleich zum Vorquartal und stellt das höchste Volumen seit Anfang 2018 dar. Unternehmensserver und Assets vor Ort sind trotz der Verlagerung auf Remote- und hybride Arbeit immer noch hochwertige Ziele für Angreifer. Aus diesem Grund müssen Unternehmen neben benutzerorientierten Schutzmaßnahmen gleichzeitig die Perimetersicherheit aufrechterhalten.
• Comeback einer alten Directory-Traversal-Angriffstechnik – WatchGuard entdeckte im ersten Quartal eine neue Bedrohungssignatur, die einen Directory-Traversal-Angriff über Cabinet (CAB)-Dateien beinhaltet. Dieses von Microsoft entwickelte Archivierungsformat ist für verlustfreie Datenkompression und eingebettete digitale Zertifikate gedacht. Über diesen Exploit, der neu in die Top-10-Liste der Netzwerkangriffe von WatchGuard aufgenommen wurde, werden Benutzer entweder dazu verleitet, eine bösartige CAB-Datei mit konventionellen Techniken zu öffnen oder er täuscht einen mit dem Netzwerk verbundenen Drucker vor, damit Benutzer einen Druckertreiber über eine kompromittierte CAB-Datei installieren.
• Die Lehren aus den HAFNIUM-Zero-Days: Lektionen zu Bedrohungstaktiken und Best Practices für die Reaktion – Im letzten Quartal berichtete Microsoft, dass Angreifer die vier HAFNIUM-Schwachstellen in verschiedenen Exchange Server-Versionen ausnutzen, um vollständige, nicht authentifizierte System-Remotecode-Ausführung und beliebigen Dateischreibzugriff auf jeden ungepatchten Server zu erlangen, der mit dem Internet verbunden ist – was bei den meisten E-Mail-Servern den Normalzustand darstellt. Die Analyse von WatchGuard geht auf die Schwachstellen ein und unterstreicht die Bedeutung von HTTPS-Inspektionen, rechtzeitigem Patching und dem Austausch von Altsystemen.
• Angreifer nutzen legitime Domains für Cryptomining-Kampagnen – Im ersten Quartal blockierte der DNSWatch-Service von WatchGuard mehrere kompromittierte und bösartige Domains, die mit Cryptomining-Bedrohungen in Verbindung stehen. Kryptominer-Malware ist aufgrund der jüngsten Preisspitzen auf dem Kryptowährungsmarkt und der Leichtigkeit, mit der Bedrohungsakteure Ressourcen von ahnungslosen Opfern abschöpfen können, immer beliebter geworden.
Der aktuelle Internet Security Report in englischer Sprache steht online zum Download zur Verfügung: https://watchguard.widen.net/s/qhl6r7jgqr/wg_threat_report_q1_2021
Die vierteljährlichen Forschungsberichte von WatchGuard basieren auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard Fireboxen, deren Besitzer sich für die Weitergabe von Daten zur Unterstützung der Forschungsarbeit des Threat Labs entschieden haben. Im ersten Quartal blockierte WatchGuard insgesamt mehr als 17,2 Millionen Malware-Varianten (461 pro Gerät) und fast 4,2 Millionen Netzwerkbedrohungen (113 pro Gerät). Der vollständige Bericht enthält Details zu weiteren Malware- und Netzwerktrends aus dem 1. Quartal 2021, eine detaillierte Analyse der HAFNIUM-Microsoft-Exchange-Server-Exploits, wichtige Verteidigungstipps für die Leser und vieles mehr.
Das Bildmaterial zum Download finden Sie in unserem Medienportal press-n-relations.amid-pr.com (Suchbegriff „Corey Nachreiner"). Selbstverständlich schicke ich Ihnen die Datei auch gerne per E-Mail zu. Kontakt: rh@press-n-relations.de
Kontakt:
WatchGuard Technologies GmbH
Paul Moll – Field Marketing Manager Central Europe
Wendenstr. 379, 20537 Hamburg
Tel.: +49 152 31795040
paul.moll@watchguard.com
www.watchguard.de
Presse- und Öffentlichkeitsarbeit:
Press'n'Relations GmbH
Rebecca Horn
Magirusstr. 33, 89077 Ulm
Tel.: +49 731 962 87 15
rh@press-n-relations.de
www.press-n-relations.de
Über WatchGuard Technologies
WatchGuard Technologies gehört zu den führenden Anbietern im Bereich IT-Sicherheit. Das umfangreiche Produktportfolio reicht von hochentwickelten UTM (Unified Threat Management)- und Next-Generation-Firewall-Plattformen über Multifaktor-Authentifizierung bis hin zu Technologien für umfassenden WLAN-Schutz und Endpoint Protection sowie weiteren spezifischen Produkten und intelligenten Services rund ums Thema IT-Security. Mehr als 250.000 Kunden weltweit vertrauen auf die ausgeklügelten Schutzmechanismen auf Enterprise-Niveau, wobei dank der einfachen Handhabung neben kleinen und mittelständischen Unternehmen nicht zuletzt auch große, dezentral aufgestellte Organisationen vom Einsatz profitieren. Neben der Zentrale in Seattle im US-Bundesstaat Washington verfügt WatchGuard über Niederlassungen in ganz Nordamerika, Lateinamerika und Europa sowie im asiatisch-pazifischen Raum.
Aktuelle Informationen, Aktionen und Updates finden Sie auch auf Twitter, Facebook oder LinkedIn. Der WatchGuard-Blog „Secplicity" berichtet darüber hinaus über die neuesten Bedrohungen und zeigt auf, wie man mit ihnen umgeht: www.secplicity.org. Oder Sie abonnieren den „443 – Security Simplified"-Podcast bei Secplicity.org bzw. wo immer Sie Ihre Lieblings-Podcasts finden.