Log4j-Alarm: Heatmaps zeigen Angriffsversuche und Scans

Sophos News

Beitrag teilen

Sophos registriert weltweit die Scans nach Log4j-Schwachstelle und die Länder, aus denen viele Exploits kommenden: China und Russland. Die Erkenntnissen zeigen zwei Heatmaps. Sean Gallagher, Senior Threat Researcher bei Sophos

„Sophos überwacht weiterhin Scans auf Log4j-Schwachstellen. In der Vergangenheit haben wir bei solchen Scans und Exploit-Versuchen immer wieder große Spitzen und dann einen deutlichen Rückgang gesehen. Im Fall von Log4j haben wir keinen Rückgang festgestellt, sondern vielmehr tägliche Scans und Zugriffsversuche aus einer weltweit verteilten Infrastruktur. Wir gehen davon aus, dass dieses hohe Maß an Aktivität anhält, da die Schwachstelle sehr vielschichtig ist und umfangreiche Patches erforderlich sind.

Anzeige

Wie bereits angedeutet kommt in einigen Fällen eine Anfrage von einer IP-Adresse in einer geografischen Region, mit eingebetteten URLs für Log4j, die eine Verbindung zu Servern anderswo herstellen – manchmal zu mehreren verschiedenen Servern. Und während es sich bei einem Teil dieser Anfragen um harmlose Tests oder ‚Forschung‘ von Penetrationstestern und anderen Sicherheitsforschern handelt, ist ein größerer Teil bösartig.“

„Die Telemetrie von Sophos zeigt zum Beispiel, dass 59% der Exploit-Versuche das Ziel haben, Log4j mit Internetadressen in Indien zu verbinden. Mehr als 40% der Exploit-Versuche versuchen, Log4j mit Internetadressen in den USA in Verbindung zu bringen.“ Die Scan-Versuche in Deutschland machen rund 11% der weltweit durch die SophosLabs registrierten Fälle aus, schließen allerdings auch Aktivitäten von Security-Firmen ein.

„Die Exploit-Versuche selbst stammen jedoch überwiegend aus China und Russland, wobei die meisten dieser Versuche wohl mit Cyberkriminalität in Verbindung stehen. Ein Server in Russland, der mit dem Kinsing cryptocoin-mining botnet verbunden ist, ist für mehr als 10 % der von Sophos beobachteten Exploit-Versuche verantwortlich – mehr als 33 % des kompletten Datenverkehrs aus Russland.“ Bei den Exploits liegt Deutschland bei 2%.

Sophos stellt auch online den ausführlichen Artikel „Logjam: Log4j exploit attempts continue in globally distributed scans, attacks“ bereit. Er beschreibt die oben gezeigten neuen Log4j-Scan- sowie Exploit-Aktivitäten und liefert die Heatmaps „Location of Exploit C2 URLs“ und „Exploit Attempt Source IPs“.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen

Wenn Hacker die Security-Software übernehmen

Sicherheitssoftware sollte eigentlich eine unüberwindbare Mauer gegen Malware und Angriffe darstellt, aber was passiert, wenn genau diese Mauer als Waffe ➡ Weiterlesen