Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 

Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 

Beitrag teilen

Administratoren haben nur ein kurzes Zeitfenster von 15 Minuten bis 10 Stunden nach der Meldung von neuen Zero-Day-Sicherheitslücken, um ihre Systeme mit Sicherheitsupdates zu versorgen, wie eine Studie zeigt.

Angreifer werden immer schneller, wenn es darum geht, neue Zero-Day-Sicherheitslücken auszunutzen. Das zeigt eine Studie von Palo Alto Networks, für die rund 600 Sicherheitsvorfälle analysiert wurden. So dauert es im Schnitt nur 15 Minuten nach der Meldung einer neuen Zero-Day-Sicherheitslücke, bis Kriminelle aktiv das Internet nach vulnerablen Systemen durchsuchen. Das galt auch für einige der schwersten Zero-Day-Lücken des vergangenen Jahres, unter anderem bei ProxyShell und ProxyLogon, Log4Shell sowie bei SonicWall und bei ADSelfService Plus von ManageEngine der Zoho Corp.

Zero-Day-Sicherheitslücken werden sofort gescannt

Die Sicherheitsforscher schreiben in ihrem Bericht, dass sie immer dann eine erhöhte Scan-Aktivität nach angreifbaren Systemen beobachten konnten, wenn eine neue Sicherheitslücke gemeldet wurde – und das nur 15 Minuten später! So geschehen auch bei der kritischen Sicherheitslücke in der Big-IP-Software von F5, die bereits im Mai in den stetig wachsenden Katalog der aktiv ausgenutzten Sicherheitslücken der amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen wurde. Nach Bekanntwerden des Fehlers beobachteten die Sicherheitsforscher von Palo Alto innerhalb der nächsten 10 Stunden 2.500 Scans, die gezielt nach betroffenen Systemen Ausschau hielten.

Des Weiteren zeigt die Studie, dass Phishing mit 37 Prozent zwar weiterhin das häufigste Einfallstor für Hacker ist, doch auch Schwachstellen in der Software sind ein ernstzunehmendes Risiko und waren in 31 Prozent der Fälle für den Erstzugriff der Angreifer verantwortlich. Brute-Force-Angriffe, wie das sogenannte Password Spraying, kamen auf neun Prozent, kompromittierte Zugangsdaten auf sechs Prozent, Bedrohungen durch Insider und Social Engineering auf jeweils fünf Prozent und der Missbrauch von vertrauenswürdigen Beziehungen oder Tools auf vier Prozent.

Ungepatchte Exchange Server als Hintertür

Mehr als 87 Prozent der Schwachstellen, über die sich Hacker Zugriff auf die angegriffenen Systeme verschafft haben, fielen in eine von sechs Kategorien. In 55 Prozent der Fälle, in denen Palo Alto Networks zur Hilfe gerufen wurde, waren die Exchange-Server-ProxyShell-Fehler für das Eindringen der Hacker verantwortlich. Die Sicherheitslücke war so verbreitet, dass sich mehrere Hackergruppen, wie die Hive-Ransomware-Gruppe, auf diese Sicherheitslücken spezialisiert haben – obwohl Microsoft bereits Anfang 2021 Patches herausgebracht hat, die die Fehler in ProxyShell und ProxyLogon behoben hätten. Log4j machte nur 14 Prozent der von Palo Alto untersuchten Fälle aus, gefolgt von den Fehlern bei SonicWall mit sieben Prozent, ProxyLogon mit fünf Prozent, ManageEngine mit vier Prozent und FortiNet mit drei Prozent. Andere Schwachstellen zeichneten sich für die restlichen 13 Prozent verantwortlich.

Alle dabei: Conti, LockBit, ALPHV, BlackCat, BlackMatter

Die Analyse nur derjenigen Sicherheitsvorfälle, an denen Ransomware beteiligt war, ergab, dass sie sich in 22 Prozent der Fälle auf die Conti-Gruppe zurückführen ließen, gefolgt von LockBit 2.0 mit 14 Prozent. Andere Ransomware-Akteure wie Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil und BlackMatter machten jeweils nur weniger als 10 Prozent der Angriffe aus.

Zusammenfassend warnen die Sicherheitsforscher, dass sich immer häufiger auch weniger begabte Akteure auf dem Feld der Cyberkriminalität betätigen dürften. Das könnte sich zum einen auf die stetig wachsende Zahl der Malware-as-a-Service-Angebote im Darknet zurückführen lassen. Zum anderen spielen aber auch die Berichte über hohe Lösegeldsummen nach Ransomware-Angriffen eine nicht unwesentliche Rolle. Zusammen mit dem steigenden wirtschaftlichen Druck in Folge einer möglichen globalen Rezession führt das dazu, dass immer mehr Kriminelle ihre Chance auf das große Geld wittern. Da jedoch auch die Strafverfolgung derartiger Hackerbanden immer erfolgreicher wird, könnten auch die Fälle von Business-E-Mail-Compromise zunehmen, wie die Autoren der Studie warnen.

Mehr bei 8com.de

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen

Einordnung der LockBit-Zerschlagung

Den europäischen und amerikanischern Strafverfolgungsbehörden ist es gelungen, zwei Mitglieder der berüchtigten LockBit-Gruppierung festzunehmen. Dieser wichtige Schlag gegen die Ransomware-Gruppe ➡ Weiterlesen

Cloud Sicherheit: Das ist 2024 wichtig

Einschneidende Ereignisse wie die Pandemie oder Kriege hatten die Fachkundigen in der Vergangenheit nicht auf dem Schirm. Ein Experte für ➡ Weiterlesen

Tipps für die Umsetzung der Richtlinie NIS2

Der richtige Einsatz von Cyber Security ist inzwischen wichtiger denn je. Aufgrund der zunehmenden Bedrohungen wächst das Angriffsrisiko stetig. Das ➡ Weiterlesen

Security Cloud Enterprise Edition als Managed Service

„Cyber Resilience as a Service“ ermöglicht Unternehmen jeder Größe beim MSP SVA Rubriks Portfolio für mehr Datensicherheit zu beziehen. Rubrik ➡ Weiterlesen

Unveränderlicher Speicher schützt vor Attacken

Eine Umfrage unter Cybersecurity-Experten aus Unternehmen mit mehr als 1.000 Mitarbeitern bestätigt, dass mit 46 Prozent fast die Hälfte der ➡ Weiterlesen

Globale Bedrohungen: Datenschutz für lokale Daten

Ransomware-Angriffe, Data Stealer-Attacken, Exploits für Schwachstellen: Auch wenn die Attacken global ablaufen, so zielen sie doch auf eine lokale, teile ➡ Weiterlesen