Administratoren haben nur ein kurzes Zeitfenster von 15 Minuten bis 10 Stunden nach der Meldung von neuen Zero-Day-Sicherheitslücken, um ihre Systeme mit Sicherheitsupdates zu versorgen, wie eine Studie zeigt.
Angreifer werden immer schneller, wenn es darum geht, neue Zero-Day-Sicherheitslücken auszunutzen. Das zeigt eine Studie von Palo Alto Networks, für die rund 600 Sicherheitsvorfälle analysiert wurden. So dauert es im Schnitt nur 15 Minuten nach der Meldung einer neuen Zero-Day-Sicherheitslücke, bis Kriminelle aktiv das Internet nach vulnerablen Systemen durchsuchen. Das galt auch für einige der schwersten Zero-Day-Lücken des vergangenen Jahres, unter anderem bei ProxyShell und ProxyLogon, Log4Shell sowie bei SonicWall und bei ADSelfService Plus von ManageEngine der Zoho Corp.
Zero-Day-Sicherheitslücken werden sofort gescannt
Die Sicherheitsforscher schreiben in ihrem Bericht, dass sie immer dann eine erhöhte Scan-Aktivität nach angreifbaren Systemen beobachten konnten, wenn eine neue Sicherheitslücke gemeldet wurde – und das nur 15 Minuten später! So geschehen auch bei der kritischen Sicherheitslücke in der Big-IP-Software von F5, die bereits im Mai in den stetig wachsenden Katalog der aktiv ausgenutzten Sicherheitslücken der amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) aufgenommen wurde. Nach Bekanntwerden des Fehlers beobachteten die Sicherheitsforscher von Palo Alto innerhalb der nächsten 10 Stunden 2.500 Scans, die gezielt nach betroffenen Systemen Ausschau hielten.
Des Weiteren zeigt die Studie, dass Phishing mit 37 Prozent zwar weiterhin das häufigste Einfallstor für Hacker ist, doch auch Schwachstellen in der Software sind ein ernstzunehmendes Risiko und waren in 31 Prozent der Fälle für den Erstzugriff der Angreifer verantwortlich. Brute-Force-Angriffe, wie das sogenannte Password Spraying, kamen auf neun Prozent, kompromittierte Zugangsdaten auf sechs Prozent, Bedrohungen durch Insider und Social Engineering auf jeweils fünf Prozent und der Missbrauch von vertrauenswürdigen Beziehungen oder Tools auf vier Prozent.
Ungepatchte Exchange Server als Hintertür
Mehr als 87 Prozent der Schwachstellen, über die sich Hacker Zugriff auf die angegriffenen Systeme verschafft haben, fielen in eine von sechs Kategorien. In 55 Prozent der Fälle, in denen Palo Alto Networks zur Hilfe gerufen wurde, waren die Exchange-Server-ProxyShell-Fehler für das Eindringen der Hacker verantwortlich. Die Sicherheitslücke war so verbreitet, dass sich mehrere Hackergruppen, wie die Hive-Ransomware-Gruppe, auf diese Sicherheitslücken spezialisiert haben – obwohl Microsoft bereits Anfang 2021 Patches herausgebracht hat, die die Fehler in ProxyShell und ProxyLogon behoben hätten. Log4j machte nur 14 Prozent der von Palo Alto untersuchten Fälle aus, gefolgt von den Fehlern bei SonicWall mit sieben Prozent, ProxyLogon mit fünf Prozent, ManageEngine mit vier Prozent und FortiNet mit drei Prozent. Andere Schwachstellen zeichneten sich für die restlichen 13 Prozent verantwortlich.
Alle dabei: Conti, LockBit, ALPHV, BlackCat, BlackMatter
Die Analyse nur derjenigen Sicherheitsvorfälle, an denen Ransomware beteiligt war, ergab, dass sie sich in 22 Prozent der Fälle auf die Conti-Gruppe zurückführen ließen, gefolgt von LockBit 2.0 mit 14 Prozent. Andere Ransomware-Akteure wie Hive, Dharma, PYSA, Phobos, ALPHV/BlackCat, REvil und BlackMatter machten jeweils nur weniger als 10 Prozent der Angriffe aus.
Zusammenfassend warnen die Sicherheitsforscher, dass sich immer häufiger auch weniger begabte Akteure auf dem Feld der Cyberkriminalität betätigen dürften. Das könnte sich zum einen auf die stetig wachsende Zahl der Malware-as-a-Service-Angebote im Darknet zurückführen lassen. Zum anderen spielen aber auch die Berichte über hohe Lösegeldsummen nach Ransomware-Angriffen eine nicht unwesentliche Rolle. Zusammen mit dem steigenden wirtschaftlichen Druck in Folge einer möglichen globalen Rezession führt das dazu, dass immer mehr Kriminelle ihre Chance auf das große Geld wittern. Da jedoch auch die Strafverfolgung derartiger Hackerbanden immer erfolgreicher wird, könnten auch die Fälle von Business-E-Mail-Compromise zunehmen, wie die Autoren der Studie warnen.
Über 8com Das 8com Cyber Defense Center schützt die digitalen Infrastrukturen von 8coms Kunden effektiv vor Cyberangriffen. Es beinhaltet ein Security Information and Event Management (SIEM), Vulnerability Management sowie professionelle Penetrationstests. Zudem bietet es den Aufbau und die Integration eines Information Security Management Systems (ISMS) inklusive Zertifizierung nach gängigen Standards. Awareness-Maßnahmen, Security Trainings und ein Incident Response Management runden das Angebot ab.