Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 

Neue Zero-Day-Sicherheitslücken werden nach 15 Minuten attackiert 
Anzeige

Beitrag teilen

Administratoren haben nur ein kurzes Zeitfenster von 15 Minuten bis 10 Stunden nach der Meldung von neuen Zero-Day-Sicherheitslücken, um ihre Systeme mit Sicherheitsupdates zu versorgen, wie eine Studie zeigt.

Angreifer werden immer schneller, wenn es darum geht, neue Zero-Day-Sicherheitslücken auszunutzen. Das zeigt eine Studie von Palo Alto Networks, für die rund 600 Sicherheitsvorfälle analysiert wurden. So dauert es im Schnitt nur 15 Minuten nach der Meldung einer neuen Zero-Day-Sicherheitslücke, bis Kriminelle aktiv das Internet nach vulnerablen Systemen durchsuchen. Das galt auch für einige der schwersten Zero-Day-Lücken des vergangenen Jahres, unter anderem bei ProxyShell und ProxyLogon, Log4Shell sowie bei SonicWall und bei ADSelfService Plus von ManageEngine der Zoho Corp.

Anzeige

Zero-Day-Sicherheitslücken werden sofort gescannt

Die Sicherheitsforscher schreiben in ihrem Bericht, dass sie immer dann eine erhöhte Scan-Aktivität nach angreifbaren Systemen beobachten konnten, wenn eine neue Sicherheitslücke gemeldet wurde – und das nur 15 Minuten später! So geschehen auch bei der kritischen Sicherheitslücke in der Big-IP-Software von F5, die bereits im Mai in den stetig wachsenden Katalog der aktiv ausgenutzten Sicherheitslücken der amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen wurde. Nach Bekanntwerden des Fehlers beobachteten die Sicherheitsforscher von Palo Alto innerhalb der nächsten 10 Stunden 2.500 Scans, die gezielt nach betroffenen Systemen Ausschau hielten.

Des Weiteren zeigt die Studie, dass Phishing mit 37 Prozent zwar weiterhin das häufigste Einfallstor für Hacker ist, doch auch Schwachstellen in der Software sind ein ernstzunehmendes Risiko und waren in 31 Prozent der Fälle für den Erstzugriff der Angreifer verantwortlich. Brute-Force-Angriffe, wie das sogenannte Password Spraying, kamen auf neun Prozent, kompromittierte Zugangsdaten auf sechs Prozent, Bedrohungen durch Insider und Social Engineering auf jeweils fünf Prozent und der Missbrauch von vertrauenswürdigen Beziehungen oder Tools auf vier Prozent.

Ungepatchte Exchange Server als Hintertür

Mehr als 87 Prozent der Schwachstellen, über die sich Hacker Zugriff auf die angegriffenen Systeme verschafft haben, fielen in eine von sechs Kategorien. In 55 Prozent der Fälle, in denen Palo Alto Networks zur Hilfe gerufen wurde, waren die Exchange-Server-ProxyShell-Fehler für das Eindringen der Hacker verantwortlich. Die Sicherheitslücke war so verbreitet, dass sich mehrere Hackergruppen, wie die Hive-Ransomware-Gruppe, auf diese Sicherheitslücken spezialisiert haben – obwohl Microsoft bereits Anfang 2021 Patches herausgebracht hat, die die Fehler in ProxyShell und ProxyLogon behoben hätten. Log4j machte nur 14 Prozent der von Palo Alto untersuchten Fälle aus, gefolgt von den Fehlern bei SonicWall mit sieben Prozent, ProxyLogon mit fünf Prozent, ManageEngine mit vier Prozent und FortiNet mit drei Prozent. Andere Schwachstellen zeichneten sich für die restlichen 13 Prozent verantwortlich.

Anzeige

Alle dabei: Conti, LockBit, ALPHV, BlackCat, BlackMatter

Die Analyse nur derjenigen Sicherheitsvorfälle, an denen Ransomware beteiligt war, ergab, dass sie sich in 22 Prozent der Fälle auf die Conti-Gruppe zurückführen ließen, gefolgt von LockBit 2.0 mit 14 Prozent. Andere Ransomware-Akteure wie Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil und BlackMatter machten jeweils nur weniger als 10 Prozent der Angriffe aus.

Zusammenfassend warnen die Sicherheitsforscher, dass sich immer häufiger auch weniger begabte Akteure auf dem Feld der Cyberkriminalität betätigen dürften. Das könnte sich zum einen auf die stetig wachsende Zahl der Malware-as-a-Service-Angebote im Darknet zurückführen lassen. Zum anderen spielen aber auch die Berichte über hohe Lösegeldsummen nach Ransomware-Angriffen eine nicht unwesentliche Rolle. Zusammen mit dem steigenden wirtschaftlichen Druck in Folge einer möglichen globalen Rezession führt das dazu, dass immer mehr Kriminelle ihre Chance auf das große Geld wittern. Da jedoch auch die Strafverfolgung derartiger Hackerbanden immer erfolgreicher wird, könnten auch die Fälle von Business-E-Mail-Compromise zunehmen, wie die Autoren der Studie warnen.

Mehr bei 8com.de

 


Über 8com

Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.


 

Passende Artikel zum Thema

Voicemail: Microsoft Dynamic 365 für Phishing missbraucht

Cyberkriminelle nutzen die legitime Software Microsofts Dynamic 365 Customer Voice dazu aus, Phishing-Links zu verschicken, um Kundendaten zu stehlen. Sicherheitsforscher von ➡ Weiterlesen

Cloud-Security: Abgesicherte Zugänge gegen Hacker 

Wenn ein Unternehmen daher seine Daten und Arbeitslasten in die Cloud verlagert, öffnet es deutlich mehr Zugänge, durch die Hacker ➡ Weiterlesen

Cloud Bot Defense für Amazon CloudFront 

F5 stellt AWS-Kunden ab sofort über einen einfach zu implementierenden Connector einen hocheffizienten, KI-gesteuerten Bot-Schutz zur Verfügung. F5 Distributed Cloud ➡ Weiterlesen

Google Cloud: Datenanalyse um Angriffsmuster zu erkennen

NTT DATA arbeitet mit Google Cloud für mehr Cybersicherheit zusammen. Unternehmen können Logdaten von Sicherheits- und Netzwerkkomponenten sowie Anwendungen, die ➡ Weiterlesen

Medizineinrichtungen: 90 Prozent hatten Datenschutzvorfall

Wie eine Studie zeigt: 9 von 10 IT-Fachkräften in der Gesundheitsbranche attestieren Mängel bei der Sicherheit von Patientendaten. Bereits über ➡ Weiterlesen

LockBit senkt Preis für Continental-Daten auf 40 Millionen Dollar

LockBit hat bei seinem Ransomware-Angriff auf Continental über 40.000 Gigabyte Daten entwendet. Mit dabei: vertrauliche Unterlagen von VW, BMW, Mercedes. ➡ Weiterlesen

Kennen Angestellte die IT-Notfallpläne im Unternehmen?

G DATA Studie zeigt: Große Unternehmen sind besser auf IT-Notfälle vorbereitet als kleine Firmen. Das belegt die aktuelle Studie „Cybersicherheit ➡ Weiterlesen

BSI-Digitalbarometer: 31% wissen nichts über Cyber-Gefahren

Laut Digitalbarometer 2022 des BSI haben 31% der Befragten noch nie von Sicherheitsempfehlungen zum Schutz vor Online-Kriminalität gehört. Viele der ➡ Weiterlesen