Home » News » Endpoint Security » Ransomware-Boom am Endpoint

Ransomware-Boom am Endpoint

Die zunehmende Bedrohung von Endgeräten durch Cyberangriffe steht im Mittelpunkt des aktuellen WatchGuard Internet Security Report (ISR) für das vierte Quartal 2022. Die Forscher des Threat Labs haben festgestellt, dass die Zahl der im Netzwerk entdeckten Malware in diesem Zeitraum rückläufig war. Jedoch wurde ein besorgniserregender Anstieg von Ransomware am Endgerät beobachtet. Die Zunahme dieser Bedrohung betrug erstaunliche 627 Prozent. Dieses Ergebnis markiert einen klaren Trend zu einem gezielten Angriff auf einzelne Geräte, wie zum Beispiel PCs und Laptops.

3 Min. Lesezeit
Foto: ©AdobeStock/ryanking999

Die Folgen dieser Angriffe können schwerwiegend sein, da die Ransomware die Kontrolle über das betroffene Gerät übernimmt und dem Besitzer den Zugriff auf seine eigenen Daten verwehrt. Es ist daher wichtig, dass Unternehmen und Privatpersonen ihre Endgeräte mit aktuellen Sicherheitsmaßnahmen schützen und regelmäßig Backups erstellen, um im Falle eines Angriffs ihre Daten wiederherstellen zu können.

Die Forscher des Threat Labs stellten außerdem fest, dass Firebox-Appliances mit aktivierter HTTPS (TLS/SSL)-Entschlüsselung weitaus mehr Angriffsversuche auf Malware verzeichnen als Geräte ohne Entschlüsselung. Da Letztere in der Studie 80 Prozent der Gesamtgruppe ausmachten, sollte die Dunkelziffer von Malware nicht unterschätzt werden. Für Corey Nachreiner, den Chief Security Officer bei WatchGuard, ist dies kein neues Thema: „Es stellt einen anhaltenden und besorgniserregenden Trend in unseren Daten und Analysen dar, dass die Verschlüsselung – oder besser gesagt die fehlende Entschlüsselung am Netzwerkperimeter – den klaren Blick auf die Malware-Angriffstrends trübt. Für Sicherheitsexperten ist es entscheidend, die HTTPS-Überprüfung zu aktivieren. Nur damit ist sichergestellt, dass Bedrohungen erkannt und bekämpft werden können, bevor sie Schaden anrichten.“

Weitere wichtige Ergebnisse und Ableitungen Reports

Wie der Report zeigt, setzt sich der Trend, dass die meisten Malware-Angriffe hinter SSL/TLS-Verschlüsselungen verborgen sind, weiter fort. Im vierten Quartal waren es 93 Prozent der Malware, die in verschlüsseltem Datenverkehr lauerten, verglichen mit 82 Prozent im vorherigen Quartal. Das WatchGuard Threat Lab weist darauf hin, dass Sicherheitsexperten, die diesen Datenverkehr nicht durchleuchten, wahrscheinlich das Gros an Malware übersehen und sich umso mehr auf schlagkräftige Endpoint-Security-Funktionalität verlassen müssen.

Die Untersuchung ergab auch, dass im vierten Quartal weniger Netzwerk-Malware entdeckt wurde, dafür gab es jedoch 22 Prozent mehr Endpoint-Malware-Erkennungen. Dies lässt darauf schließen, dass Malware zunehmend auf verschlüsselte Kanäle ausweicht, um den Sicherheitskontrollen im Netzwerk zu entgehen. Der Bericht zeigt, dass Skripte die häufigste Art von Endpoint-Malware darstellen und der Internet Explorer mit 42 Prozent der erkannten Kompromittierungsversuche die am häufigsten betroffene Browser-Software ist, gefolgt von Firefox mit 38 Prozent.

Ein positiver Trend ist, dass der Anteil von Zero-Day- oder Evasive-Malware im unverschlüsselten Datenverkehr auf 43 Prozent gesunken ist – der niedrigste Wert seit Jahren. Allerdings sind 70 Prozent der Malware über verschlüsselte Verbindungen nicht von den Signaturen erkennbar. Dies verdeutlicht noch einmal, wie wichtig es ist, HTTPS-Überprüfungen zu aktivieren und sich auf Endpoint-Security-Funktionalität zu verlassen, um auch verschlüsselte Malware-Angriffe abwehren zu können.

Im vierten Quartal 2022 wurden weiterhin zahlreiche Phishing-Kampagnen beobachtet. Laut dem Threat Lab-Bericht sind drei der Malware-Varianten in der Top-10-Liste des Berichts darauf spezialisiert, Phishing-Kampagnen zu unterstützen. Die am häufigsten entdeckte Malware-Familie, JS.Agent.UNS, enthält bösartigen HTML-Code, der Benutzer auf legitim klingende Domänen leitet, die sich als bekannte Websites ausgeben. Eine andere Variante, Agent.GBPM, erstellt eine SharePoint-Phishing-Seite, die versucht, Kontoinformationen der Benutzer abzugreifen. Die letzte neue Variante in den Top 10, HTML.Agent.WR, öffnet eine gefälschte DHL-Benachrichtigungsseite in französischer Sprache mit einem Anmeldelink, der zu einer bekannten Phishing-Domäne führt.

Auch ProxyLogin-Exploits sind weiterhin ein großes Problem. Ein Exploit für dieses bekannte und kritische Exchange-Problem stieg im Ranking der einschlägigen Gefahren vom achten Platz im dritten Quartal auf den vierten Platz im letzten Quartal 2022 auf. Unternehmen sollten sicherstellen, dass diese Schwachstelle gepatcht ist, da alte Schwachstellen für Angreifer genauso nützlich sein können wie neue.

Im Vergleich zum Vorquartal ist das Volumen der Netzwerkangriffe gleichgeblieben. Hoch im Kurs steht weiterhin LockBit-Ransomware und -Malware – sicher der beeindruckenden „Erfolgsbilanz“ dieser Angriffe geschuldet. Obwohl die Zahl der Opfer im Vergleich zum Vorquartal gesunken ist, lassen sich immer noch die meisten, öffentlich bekanntgewordenen Vorfälle darauf zurückführen. Darüber hinaus wurden im vierten Quartal 2022 31 neue Ransomware- und Erpressergruppen entdeckt.

Der vierteljährliche Forschungsbericht von WatchGuard basiert auf anonymisierten Firebox-Feed-Daten von aktiven WatchGuard-Fireboxen. Im vierten Quartal blockierte WatchGuard mehr als 15,7 Millionen Malware-Varianten und über 2,3 Millionen Netzwerkbedrohungen. Der vollständige Bericht (in englischer Sprache) enthält weitere Details zu Trends, Sicherheitsstrategien und Verteidigungstipps für Unternehmen.

Foto: WatchGuard

Corey Nachreiner, Chief Security Officer bei WatchGuard

Andere interessante News

Rotes Ausrufezeichen vor dunklen Dateisymbolen

Neuer Threat Report analysiert die Rolle von ERP-Kompromittierung bei Ransomware

Ein aktueller Report belegt wachsendes cyberkriminelles Interesse an ERP-Schwachstellen und deren Ausnutzung für Ransomware-Attacken und Datenschutzverletzungen. Angeblich hat sich Anstieg der Ransomware-Vorfälle durch ERP-Kompromittierung um 400 Prozent erhöht.

Compliance-Regeln: Businessfrau arbeitet am Tablet

Wie die Blockchain die Compliance von DMS pusht

Wo der Schutz sensibler Informationen höchste Priorität hat, gewinnt die Integration von Blockchain-Technologie in Dokumentenmanagement-Systeme (DMS) an Bedeutung. Diese Entwicklung markiert einen Schritt hin zu sicherer und rechtskonformer Datenverwaltung.

Botnet

Jahrzehntelange rumänische Botnet-Operation aufgedeckt

Sicherheitsforscher haben eine komplexe und langjährige Botnetz-Operation aufgedeckt, die von einer rumänischen Gruppe von Bedrohungsakteuren namens RUBYCARP betrieben wird. Diese Operation ist vermutlich bereits seit mindestens zehn Jahren aktiv. Diese Entdeckung beleuchtet eine langanhaltende Kampagne, bei der Botnets durch verschiedene Exploit-Methoden und Brute-Force-Angriffe aufgebaut wurden.