In unserem vierteljährlichen Bericht teilen wir unsere Einschätzung der aktuellen Cyberbedrohungslage basierend auf unseren Beobachtungen und blicken mit von uns prognostizierten Trends in die nahe Zukunft. Der Quartalsbericht beruht auf eigenen Recherchen relevanter Quellen sowie auf den Milliarden (!) von IT-Sicherheitsvorfällen, die wir im Laufe der letzten drei Monate in den IT-Umgebungen unserer Kunden beobachten konnten.

Finanziell herausfordernde Zeiten sowie Kurzarbeit und notwendige Kostenoptimierungsprogramme waren in den letzten drei Monaten aufgrund der Corona-Pandemie Business-Realitäten. Angesichts dieser Situation besteht die Gefahr, dass Unternehmen die ohnedies bereits mit reduziertem Personal operieren, bei Investitionen in die Cybersicherheit den Sparstift ansetzen – in diametralem Gegensatz zum steigenden Schutzbedarf.

Covid-19: Cyberkriminelle sind nicht in Kurzarbeit

Die unternehmerische Realität der letzten drei Monate hat im Allgemeinen, etwa durch Kurzarbeit, zu geringeren innerbetrieblichen Kapazitäten für Risikominimierung, Patch-Management und Incident Response von Organisationen geführt. Dem gegenüber stehen im selben Zeitraum eine unveränderte Anzahl von Cyberangriffen und leider auch einige der raffiniertesten Advanced Persistent Threats die wir je beobachtet haben.

Die rasche Implementierung von Telearbeit war für viele Unternehmen eine Notwendigkeit zur Sicherung der Geschäftskontinuität. Dabei blieb jedoch wenig Zeit, Remote Access Lösungen auf Sicherheitsrisiken zu überprüfen, womit Angreifern potentiell Tür und Tor geöffnet wurden. Hinzu kommt die komplexere Koordination der Incident Response Teams im Home Office anstelle des üblichen „War Rooms” mit kurzen Wegen in den Büroräumlichkeiten.

Eine dritte Dimension der aktuellen Herausforderungen ist in der Informationssicherheit und dem Datenschutz in einer vernetzten Welt der Home Office-Arbeitsplätze zu sehen, ohne Transparenz darüber, wer tatsächlich auf den Arbeitsgeräten mitliest. Wenngleich dies nicht in kausalem Zusammenhang mit der Corona-Pandemie steht, so haben die gegenwärtigen Umstände die Poblematik dennoch verschärft und zwingen Organisationen dazu, sich ihr anzunehmen.

Aktuelle Malware-Situation

Ransomware ist gekommen, um zu bleiben und ist lukrativ. Kriminelle haben sich angepasst, um von der aktuellen weltweiten Unsicherheit zu profitieren. Sie erweitern ihre Angriffe und kombinieren Verschlüsselung und Datendiebstahl. Ihr Motto: Lösegeld bezahlen, oder die wertvollsten Daten der Organisation werden veröffentlicht. So geschehen etwa in einigen Attacken der letzten Monate, die speziell auf Europäische Organisationen der kritischen Infrastruktur abzielten, wie beispielsweise der Öl- und Gasindustrie, Luft- und Raumfahrt sowie Militärorganisationen.

Die jüngsten Malware-Attacken reichen beispielsweise von den seit langem bekannten, aber immer wieder neu auftretenden Emotet-Angriffen mit dem Ziel, Unternehmensnetzwerke zu paralysieren, bis hin zu IoT-Botnets oder Spionage Malware mit Fokus auf Air Gap-Systeme.

Mit dem anhaltenden Durst der Menschen nach Informationen über das Corona-Virus steigt auch das Interesse der Angreifer, genau diesen auszunutzen. Mehrere Malware-Familien, Ransomware und unerwünschte Anwendungen haben sich die Angst vor Covid-19 zu Nutze gemacht. Sie kommunizieren von entsprechenden Domains, seien es an hochrangige Führungskräfte gerichtete Corona-bezogene Phishing-Angriffe, E-Mail-Kampagnen mit Absender getarnt als John Hopkins Center, oder Covid-19-Kampagnen, die mit Python Trojanern auf SCADA-Systeme abzielen: Cyberkriminelle sind kreativ darin, die Pandemie für ihre böswilligen Zwecke zu missbrauchen.

Zero-Day-Angriffe und kritische Schwachstellen

Da – anders als sonst – weltweit ein großer Teil der Arbeitskräfte nicht vom gewöhnlichen Büroarbeitsplatz aus, sondern im Home Office arbeitet ist es wenig überraschend, dass sich Angriffe auf gepatchte Pulse Secure-VPN fortsetzen. Eine erst kürzlich entdeckte geheime Hintertür auf tausenden von Microsoft SQL-Servern wurde vom Crypto-Mining-Botnet „Vollgar“ ausgenutzt. Vollgar zielt seit 2018 mit Brute-Force-Angriffen auf MSSQL-Datenbanken ab.

Eine kritische Remote Code Execution-Schwachstelle wurde in unveröffentlichten Seiten des Traffic Management User Interface („TMUI“) des BIG-IP Anwendungsauslieferungscontrollers entdeckt. Zwar hat F5 sowohl Patches für die Schwachstelle als auch Empfehlungen zur Prävention veröffentlicht. Der Hersteller hat jedoch eingeräumt, dass Experten einen Weg gefunden haben, eine der Präventivmaßnahmen zu umgehen.

Großflächige DDOS-Attacken sind durch „NSNSAttack“ möglich. Diese Schwachstelle wirkt sich auf das DNS-Protokoll aus und zwingt DNS-Resolver dazu, mehr DNS-Anfragen an autorisierende Server nach Wahl des Angreifers zu generieren. Die mögliche Folge: Der Zusammenbruch von Onlinediensten im Botnet-Ausmaß. Weitere prominente Beobachtungen waren etwa eine kritische Schwachstelle im VMware Cloud Director, welche die Übernahme von Unternehmensservern ermöglicht, oder eine Schwachstelle im Windows Group Policy Feature („Ripple20“) , die es Angreifern erlaubt, Administratorenrechte zu erlangen. Besonders erwähnenswert auch eine Zero-Day-Schwachstelle, die hunderte Millionen von IoT-Geräten betrifft und es erfolgreichen Angreifern ermöglicht über Jahre hinweg schädlichen Code in eingebetteten Geräten zu verstecken und auf diesem Weg die Netzwerkgrenzen von Organisationen zu übertreten.

Allgemeine Bedrohungen & Trends

Rückblickend auf die letzten drei Monate gibt es die gute Nachricht, dass viele der entdeckten Cyberangriffe durch Hygienemaßnahmen wie rechtzeitiges Patching hätten verhindert werden können. Die schlechte Nachricht ist allerdings, dass es in diesem Zeitraum bei vielen Organisationen – etwa durch Maßnahmen wie Kurzarbeit – geringere innerbetriebliche Kapazitäten gab, um diese Aufgabe zu bewältigen.

Angesichts der anhaltenden Covid-19-Pandemie ist davon auszugehen, dass weiterhin ein erheblicher Prozentsatz der Belegschaft von Unternehmen im Home Office arbeiten wird. Mittel wie Kurzarbeitsmodelle werden weiterhin eingesetzt werden, um die Krise mit dem Stammpersonal gut zu bewältigen, wenngleich mit entsprechend weniger Arbeitskraft für den betreffenden Zeitraum. Für die IT-Sicherheit ist daher zu erwarten, dass sich der Trend von Angriffen auf ungepatchte Schwachstellen fortsetzen wird, in manchen Fällen wohl auch sehr konkret auf Telearbeitsplätze abgezielt, etwa via Citrix- und Pulse Secure VPN Schwachstellen.