Neue Studie: Web-Shells sind Top-Einfallsvektor

Neue Studie: Web-Shells sind Top-Einfallsvektor

Beitrag teilen

Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Das zeigt der Cisco Talos Report: Angriffe über Web-Shells sind somit der neue Top-Einfallsvektor im 1. Quartal 2023. Ransomware kann besser abgewehrt werden.

Laut Analysen von Cisco Talos war diese Angriffsform für ein Viertel aller Vorfälle verantwortlich, die das Incident Response Team im ersten Quartal 2023 untersucht hat. Parallel sank der Anteil von erkannten Ransomware-Angriffen von 20 % auf 10 %. Entwarnung geben die Cyberforscher allerdings nicht: Denn ein Fünftel aller beobachteten Bedrohungsaktivitäten entfielen auf Maßnahmen von Angreifern, die einer Ransomware-Attacke typischerweise vorangehen und sie vorbereiten sollen.

Anzeige

Bedrohungslage für das erste Quartal 2023

🔎 Viele Attacken über Web-Shells: Viele Nutzerkonten von Web-Applikationen sind nur mit schwachen Passwörtern oder Single-Factor-Authentifizierung geschützt (Bild: Cisco).

Talos, eine der weltweit größten kommerziellen Threat-Intelligence-Organisationen, hat seine vierteljährliche Analyse zur Bedrohungslage für das erste Quartal 2023 veröffentlicht. Demnach waren öffentlich zugängliche Web-Applikationen ein Hauptziel der Bedrohungsakteure in diesem Zeitraum. Nahezu die Hälfte aller Angriffe (45 %) nutzen solche Anwendungen als initialen Vektor, um sich Zugang zu Systemen zu verschaffen. Gegenüber dem Vorquartal entspricht dies einem Anstieg von 15 %.

Bei vielen dieser Angriffe kamen Web-Shells zum Einsatz, die Server kompromittierten, die über das Internet zugänglich waren. Generell gesprochen, handelt es sich bei einer Web-Shell um ein schädliches Skript, das sich als legitime Datei ausgibt und so eine Hintertür zum Webserver öffnet. Web-Shells werden in der Regel nach einer bereits erfolgreichen Infiltration für weitere Attacken „hinterlassen“. Laut den Talos-Forschern profitierten Angreifer von der Tatsache, dass viele Nutzerkonten von Web-Applikationen nur mit schwachen Passwörtern oder Single-Factor-Authentifizierung geschützt waren.

Angriff via schlecht gesicherter Web-Applikationen

„Versäumnisse bei der Absicherung von Web-Applikationen rächen sich“, sagt Holger Unterbrink, Technical Leader von Cisco Talos in Deutschland. „Die Ergebnisse unseres Reports verdeutlichen einmal mehr, dass Multifaktor-Authentifizierung und starke Passwörter heute zum Einmaleins der Cyberhygiene gehören. Insbesondere, wenn es sich um so prominente Anwendungen wie Webseiten handelt.“

Gestärkte Ransomware-Abwehr: Vice Society abgewehrt

Die Bedrohung durch Ransomware ist weiterhin hoch. Auch wenn Cisco Talos in Q1 einen generellen Rückgang erfolgreicher Erpressungsfälle beobachten konnte, bleiben Ransomware-Aktivitäten insgesamt hoch. Sogenannten „Pre-Ransomware“-Aktivitäten machten circa ein Fünftel aller Attacken aus, sodass in den nächsten Monaten wieder mit einem Anstieg der erfolgreichen Angriffe gerechnet werden kann. Viele der vorbereitenden Angriffsmaßnahmen konnte Cisco Talos bekannten Ransomware-Gruppen wie Vice Society zuordnen. Nach Einschätzung der Forscher hat das schnelle Eingreifen der Security-Teams der Opferunternehmen dazu beigetragen, Angriffe einzudämmen, bevor die Verschlüsselung stattfinden konnte.

Im ersten Quartal 2023 war vor allem das Gesundheitswesen Ziel der Kriminellen, dicht gefolgt vom Einzelhandel, der Immobilienbranche und dem Gastgewerbe.

Haben Sie kurz Zeit?

Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen!

Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender.

Hier geht es direkt zur Umfrage
 

OneNote-Dokumente als Angriffsvektor

🔎 Im ersten Quartal 2023 war vor allem das Gesundheitswesen Ziel der Kriminellen, dicht gefolgt vom Einzelhandel (Bild: Cisco).

Bereits im letzten Jahr war sogenannte „Commodity Malware“ auf dem Vormarsch. Sie ist weit verbreitet und kann gekauft oder kostenlos heruntergeladen werden. Commodity Malware ist in der Regel nicht angepasst und wird von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten genutzt. Im ersten Quartal 2023 traten nun die bereits zuvor gesichteten Commodity Loader wie Qakbot wieder verstärkt in Erscheinung. Qakbot nutzte dabei häufig bösartige OneNote-Dokumente.

Der Einsatz bösartiger OneNote-Anhänge konnte auch bei anderen Angriffsversuchen beobachtet werden. Bedrohungsakteure, so die Analyse von Talos, experimentieren also weiterhin mit Dateitypen, die nicht auf Makros angewiesen sind. Microsoft hatte im Juli 2022 damit begonnen, Makros in seinen Anwendungen standardmäßig zu deaktivieren. Auch andere Applikationen, die andere Dateien in sich führen und verwalten, sind betroffen.

Weitere Ergebnisse im ersten Quartal 2023

  • Bei dreißig Prozent der beobachteten Angriffsfälle war die Multi-Faktor-Authentifizierung (MFA) entweder gar nicht oder nur für einige wenige Konten und kritische Dienste aktiviert.
  • Aktuelle Erfolge der Strafverfolgungsbehörden zur Zerschlagung großer Ransomware-Banden (z.B. Hive) zeigen Wirkung. Allerdings schafft dies Raum für neue Familien oder die Bildung neuer Partnerschaften. So trat mit Daixin Ransomware in Q1/2023 eine neue Ransomware-as-a-Service (RaaS)-Familie in Erscheinung.
  • Das Open-Source-Toolkit Mimikatz kam in diesem Quartal bei fast 60 Prozent der Ransomware- und Pre-Ransomware-Einsätze zum Einsatz. Mimikatz ist ein weit verbreitetes Post-Exploitation-Tool, mit dem Anmelde-IDs, Kennwörter und Authentifizierungs-Token von kompromittierten Windows-Systemen gestohlen werden.
Mehr bei Cisco.com

 


Über Cisco

Cisco ist das weltweit führende Technologie-Unternehmen, welches das Internet ermöglicht. Cisco eröffnet neue Möglichkeiten für Applikationen, die Datensicherheit, die Transformation der Infrastruktur sowie die Befähigung von Teams für eine globale und inklusive Zukunft.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen