Die Zunahme von Ransomware, COTS-Malware und Angriffen auf Cloud-Anbieter bringt neue Herausforderungen für Cybersicherheitsteams mit sich. Der Elastic Global Threat Report 2023 zeigt deutlich die Dominanz von Ransomware unter der gesamten Malware.
Der Global Threat Report von Elastic Security Labs basiert auf der Analyse von über 1 Milliarde Datenpunkten aus den letzten zwölf Monaten. Er zeigt, dass Ransomware weiter auf dem Vormarsch ist und sich immer weiter diversifiziert: Mehr als die Hälfte aller beobachteten Malware-Infektionen fand auf Linux-Systemen statt und Credential-Access-Verfahren bei Einbrüchen in Cloud-Systeme gehören inzwischen zum Standard. Zusammengefasst die die wichtigsten Erkenntnisse aus dem Bericht:
Trends bei Malware
🔎 Der Elastic Global Threat Report 2023 zeigt deutlich die Dominanz von Ransomware unter der gesamten Malware (Bild: Elastic).
Der Großteil der beobachteten Malware setzte sich aus einigen wenigen, weit verbreiteten Ransomware-Familien und sogenannten COTS-Tools (Commercial Off-the-Shelf) zusammen. Da immer mehr finanziell motivierte Threat Communities Malware-as-a-Service(MaaS)-Funktionen einsetzen oder sogar anbieten, sollten Unternehmen vorrangig in die Entwicklung von Security-Funktionen mit umfassender Sichtbarkeit von Low-Level-Verhaltensweisen investieren, um bisher unentdeckte Bedrohungen aufzudecken.
- Die am weitesten verbreiteten Ransomware-Familien, die wir anhand von Signaturen identifiziert haben, sind BlackCat, Conti, Hive, Sodinokibi und Stop. Sie waren für etwa 81 Prozent aller Ransomware-Aktivitäten verantwortlich.
- COTS-Malware-Funktionen wie Metasploit und Cobalt Strike standen hinter 5,7 Prozent aller Signaturereignisse. Auf Windows-Systemen machten diese Familien etwa 68 Prozent aller Infektionsversuche aus.
- Etwa 91 Prozent der Malware-Signaturereignisse stammten von Linux-Endpoints, während die Zahl bei Windows-Endpoints nur bei etwa 6 Prozent lag.
Trends beim Endpoint-Verhalten
Technisch besonders versierte Threat-Gruppen umgehen Sicherheitsmaßnahmen, indem sie sich auf Edge-Geräte, Appliances und andere Plattformen mit sehr geringer Sichtbarkeit zurückziehen. Der Bericht unterstreicht, dass es für Unternehmen noch nie so wichtig war wie heute, sich einen Überblick über die Manipulationssicherheit ihrer Endpoint-Security-Sensoren zu verschaffen und Monitoring-Projekte in Betracht zu ziehen. So können sie anfällige Gerätetreiber aufspüren, mit denen Sicherheitstechnologien außer Kraft gesetzt werden können. Organisationen mit großen Windows-Umgebungen sollten außerdem anfällige Gerätetreiber aufspüren, um diese grundlegenden Technologien zu deaktivieren.
- Zusammen betrachtet gehen mehr als 70 Prozent aller Endpoint-Alerts auf Execution- und Defense-Evasion-Operationen zurück.
- Die unauffälligsten Methoden hat Elastic auf Windows-Endpoints beobachtet, die mit 94 Prozent aller Endpoint-Verhaltens-Alerts das Hauptziel von Angriffen waren, gefolgt von macOS-Endpoints mit 3 Prozent.
- Das macOS-spezifische Credential-Dumping war für erstaunliche 79 Prozent aller Credential-Access-Fälle verantwortlich – im Vergleich zum Vorjahr ein Anstieg von etwa 9 Prozent. Unseren Beobachtungen zufolge wurden dabei in Windows-Umgebungen zu mehr als 78 Prozent der Zeit ProcessDump.exe, WriteMiniDump.exe und RUNDLL32.exe verwendet.
Trends bei der Cloud-Security
Je mehr Unternehmen von der lokalen Bereitstellung auf hybride oder vollständig cloudbasierte Umgebungen umstellen, desto stärker werden Fehlkonfigurationen, lockere Zugriffskontrollen, ungesicherte Anmeldedaten und nicht funktionierende PoLP-Modellen (Principle of Least Privilege) ausgenutzt. Organisationen können das Risiko eines erfolgreichen Angriffs deutlich reduzieren, wenn sie die von ihren Cloud-Anbietern bereits unterstützten Security-Features implementieren und ihre Umgebung auf gängige Versuche des Credential-Missbrauchs überwachen.
- Für Amazon Web Services zeichnet sich nach Auswertung der Bedrohungserkennungssignale bei der Häufigkeit der verschiedenen Taktiken die folgende Reihenfolge ab: Defense Evasion (38 Prozent), Credential Access (37 Prozent) und Execution (21 Prozent).
- 53 Prozent der Credential-Access-Ereignisse standen im Zusammenhang mit kompromittierten legitimen Microsoft Azure-Konten.
- Bei Microsoft 365 wurde mit 86 Prozent ein hoher Anteil von Credential-Access-Signalen festgestellt.
- 85 Prozent der Threat-Detection-Signale bei Google Cloud standen im Zusammenhang mit Defense Evasion.
- Etwa 61 Prozent aller Kubernetes-spezifischen Signale entfielen auf Discovery.Dabei handelte es sich überwiegend um unerwartete Dienstkontoanfragen, die abgelehnt wurden.
„In Zeiten, in denen Angreifende sich immer mehr zu kriminellen Unternehmen entwickeln, die ihre Angriffsstrategien zu Geld machen, kennt die Bedrohungslandschaft von heute wirklich keine Grenzen mehr“, so Jake King, Head of Security Intelligence und Director of Engineering bei Elastic „Open Source, handelsübliche Malware und der Einsatz von KI haben die Einstiegshürde für Angreifende gesenkt.Aaber wir beobachten auch den zunehmenden Einsatz von automatisierten Erkennungs- und Reaktionssystemen, mit denen das IT-Personal seine Infrastrukturen besser schützen kann. Das Ganze ist ein Katz-und-Maus-Spiel und unsere stärksten Waffen sind Wachsamkeit und kontinuierliches Investieren in neue Verteidigungstechnologien und ‑strategien.“
Mehr bei Elastic.co
Über Elastic
Elastic ist eine führende Plattform für Suche-basierte Lösungen. Elastic weiß, dass es nicht nur um die Daten, sondern auch um die Antworten geht. Mit der Elasticsearch-Plattform kann jede und jeder die Antworten finden, die sie oder er benötigt – in Echtzeit und unter Nutzung des gesamten Datenbestands, so groß dieser auch sein mag. Elastic liefert komplette, cloudbasierte und KI-gestützte Lösungen für Enterprise Security, Observability und Suche auf der Basis der Elasticsearch-Plattform, einer Entwicklungsplattform, die bereits von Tausenden von Unternehmen genutzt wird, darunter mehr als 50 % der „Fortune 500“-Unternehmen.