Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 

Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 

Beitrag teilen

Administratoren haben nur ein kurzes Zeitfenster von 15 Minuten bis 10 Stunden nach der Meldung von neuen Zero-Day-Sicherheitslücken, um ihre Systeme mit Sicherheitsupdates zu versorgen, wie eine Studie zeigt.

Angreifer werden immer schneller, wenn es darum geht, neue Zero-Day-Sicherheitslücken auszunutzen. Das zeigt eine Studie von Palo Alto Networks, für die rund 600 Sicherheitsvorfälle analysiert wurden. So dauert es im Schnitt nur 15 Minuten nach der Meldung einer neuen Zero-Day-Sicherheitslücke, bis Kriminelle aktiv das Internet nach vulnerablen Systemen durchsuchen. Das galt auch für einige der schwersten Zero-Day-Lücken des vergangenen Jahres, unter anderem bei ProxyShell und ProxyLogon, Log4Shell sowie bei SonicWall und bei ADSelfService Plus von ManageEngine der Zoho Corp.

Anzeige

Zero-Day-Sicherheitslücken werden sofort gescannt

Die Sicherheitsforscher schreiben in ihrem Bericht, dass sie immer dann eine erhöhte Scan-Aktivität nach angreifbaren Systemen beobachten konnten, wenn eine neue Sicherheitslücke gemeldet wurde – und das nur 15 Minuten später! So geschehen auch bei der kritischen Sicherheitslücke in der Big-IP-Software von F5, die bereits im Mai in den stetig wachsenden Katalog der aktiv ausgenutzten Sicherheitslücken der amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen wurde. Nach Bekanntwerden des Fehlers beobachteten die Sicherheitsforscher von Palo Alto innerhalb der nächsten 10 Stunden 2.500 Scans, die gezielt nach betroffenen Systemen Ausschau hielten.

Des Weiteren zeigt die Studie, dass Phishing mit 37 Prozent zwar weiterhin das häufigste Einfallstor für Hacker ist, doch auch Schwachstellen in der Software sind ein ernstzunehmendes Risiko und waren in 31 Prozent der Fälle für den Erstzugriff der Angreifer verantwortlich. Brute-Force-Angriffe, wie das sogenannte Password Spraying, kamen auf neun Prozent, kompromittierte Zugangsdaten auf sechs Prozent, Bedrohungen durch Insider und Social Engineering auf jeweils fünf Prozent und der Missbrauch von vertrauenswürdigen Beziehungen oder Tools auf vier Prozent.

Ungepatchte Exchange Server als Hintertür

Mehr als 87 Prozent der Schwachstellen, über die sich Hacker Zugriff auf die angegriffenen Systeme verschafft haben, fielen in eine von sechs Kategorien. In 55 Prozent der Fälle, in denen Palo Alto Networks zur Hilfe gerufen wurde, waren die Exchange-Server-ProxyShell-Fehler für das Eindringen der Hacker verantwortlich. Die Sicherheitslücke war so verbreitet, dass sich mehrere Hackergruppen, wie die Hive-Ransomware-Gruppe, auf diese Sicherheitslücken spezialisiert haben – obwohl Microsoft bereits Anfang 2021 Patches herausgebracht hat, die die Fehler in ProxyShell und ProxyLogon behoben hätten. Log4j machte nur 14 Prozent der von Palo Alto untersuchten Fälle aus, gefolgt von den Fehlern bei SonicWall mit sieben Prozent, ProxyLogon mit fünf Prozent, ManageEngine mit vier Prozent und FortiNet mit drei Prozent. Andere Schwachstellen zeichneten sich für die restlichen 13 Prozent verantwortlich.

Alle dabei: Conti, LockBit, ALPHV, BlackCat, BlackMatter

Die Analyse nur derjenigen Sicherheitsvorfälle, an denen Ransomware beteiligt war, ergab, dass sie sich in 22 Prozent der Fälle auf die Conti-Gruppe zurückführen ließen, gefolgt von LockBit 2.0 mit 14 Prozent. Andere Ransomware-Akteure wie Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil und BlackMatter machten jeweils nur weniger als 10 Prozent der Angriffe aus.

Zusammenfassend warnen die Sicherheitsforscher, dass sich immer häufiger auch weniger begabte Akteure auf dem Feld der Cyberkriminalität betätigen dürften. Das könnte sich zum einen auf die stetig wachsende Zahl der Malware-as-a-Service-Angebote im Darknet zurückführen lassen. Zum anderen spielen aber auch die Berichte über hohe Lösegeldsummen nach Ransomware-Angriffen eine nicht unwesentliche Rolle. Zusammen mit dem steigenden wirtschaftlichen Druck in Folge einer möglichen globalen Rezession führt das dazu, dass immer mehr Kriminelle ihre Chance auf das große Geld wittern. Da jedoch auch die Strafverfolgung derartiger Hackerbanden immer erfolgreicher wird, könnten auch die Fälle von Business-E-Mail-Compromise zunehmen, wie die Autoren der Studie warnen.

Mehr bei 8com.de

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

MDR-Kunden erhalten bis zu 1 Million US-Dollar Schadensersatz

Klassische Cyber-Versicherungen gibt es zwar schon länger, aber nicht in dieser Form: Bitdefender-MDR-Kunden erhalten bei Sicherheitsvorfällen mit Folgen für den ➡ Weiterlesen

Ransomware: Typische Angriffsschritte einer Cyberattacke

Nach einer Cyberattacke ist es schwierig, den Angriffshergang zu rekonstruieren. Ein führender Anbieter für Cybersicherheit hat analysiert, in welchen Angriffsschritten ➡ Weiterlesen

Cyberangriffe auf Rekordkurs – kommt KI zu Hilfe?

Die Bedrohungslage im Bereich Cybersicherheit ist hierzulande weiterhin angespannt: Laut einer Bitkom-Umfrage aus dem Sommer waren im Erhebungszeitraum 81 Prozent ➡ Weiterlesen

XDR: KI-Funktionen erkennen und wehren Bedrohungen ab

Bei der Erkennung und Neutralisierung von Bedrohungen kann für Sicherheitsexperten, darunter auch Managed Service Provider (MSP), jede Minute entscheidend sein. ➡ Weiterlesen

Modulare Speicherlösung – Hochsicher und sofort verfügbar

Hochsichere Speicherlösungen müssen nicht nur höchsten Qualitätsansprüchen genügen, sie müssen schnell arbeiten und so schnell wie möglich verfügbar sein. FAST ➡ Weiterlesen

Netzwerkprobleme fordern Industrieunternehmen heraus

Netzwerkprobleme sind eine häufig auftretende Herausforderung in Industrieunternehmen. 38 Prozent von ihnen sind ein bis drei Mal im Monat davon ➡ Weiterlesen

SIEM-Strategie für moderne Cybersicherheit

Die Bedrohungslage im Cyberraum spitzt sich weiter zu. Cyberkriminelle agieren zunehmend professionell. Sie bieten Ransomware-Kits im Affiliate-Modell an und verkaufen ➡ Weiterlesen

Schwachstellen erkennen und patchen

Die neue Softwareversion "Vulnerability and Patchmanagement" unterstützt Unternehmen bei der automatischen Erkennung von Schwachstellen und beim automatischen oder manuellen patchen ➡ Weiterlesen