Ivanti hat die Ergebnisse des Ransomware Index Report Q1 2022 veröffentlicht. Der Bericht stellt einen Anstieg der mit Ransomware assoziierten Schwachstellen um 7,6 % im ersten Quartal 2022 fest. Die meisten dieser Schwachstellen werden von der Conti-Ransomware-Gruppe ausgenutzt, die sich nach der Invasion in der Ukraine hinter die russische Regierung gestellt und Unterstützung zugesagt hat. Der Bericht deckte 22 neue Schwachstellen im Zusammenhang mit Ransomware auf, womit die Gesamtzahl auf 310 steigt. Zudem lassen sich der Studie zufolge 19 dieser neuen Schwachstellen mit der Ransomware-Gruppe Conti in Verbindung bringen.
Neue Schwachstellen, neue Ransomware-Familien
Der Bericht zeigt auch einen Anstieg von 7,5 % bei mit Ransomware assoziierten APT-Gruppen, einen Anstieg von 6,8 % bei aktiv ausgenutzten und trendenden Schwachstellen und einen Zuwachs von 2,5 % bei Ransomware-Familien. Weiter ergab die Analyse, dass drei neue APT-Gruppen (Exotic Lily, APT 35, DEV-0401) begonnen haben, Ransomware für ihre Angriffe zu verwenden. Hinzu kommen zehn neue aktive und trendende Schwachstellen, die mit Ransomware assoziiert werden – das erhöht die Gesamtzahl auf 157. Nicht zuletzt wurden im ersten Quartal 2022 vier neue Ransomware-Familien (AvosLocker, Karma, BlackCat, Night Sky) aktiv.
Darüber hinaus offenbart der Report, dass auf Ransomware spezialisierte Cyberkriminelle Schwachstellen schneller als je zuvor ausnutzen und die Sicherheitslücken ins Visier nehmen, die die größtmögliche Störung und Wirkung erlauben. Dank dieser zunehmenden Raffinesse gelingt es den Hackern mittlerweile, Schwachstellen innerhalb von acht Tagen nach der Veröffentlichung von Patches auszunutzen. Das bedeutet auch, dass jede noch so kleine Nachlässigkeit bei den Sicherheitsmaßnahmen von Drittanbietern und Organisationen ausreicht, damit Ransomware-Gruppen in anfällige Netzwerke eindringen und diese infiltrieren können. Erschwerend kommt hinzu, dass einige der gängigsten Scanner mehrere wichtige Ransomware-Schwachstellen nicht erkennen. Die Untersuchung ergab, dass mehr als 3,5 % der Ransomware-Schwachstellen übersehen werden, wodurch Unternehmen einem großen Risiko ausgesetzt sind.
Gesundheitswesen im Visier
Der Bericht betrachtet auch 56 Anbieter von Gesundheitsanwendungen, medizinischen Geräten und Hardware, die in Krankenhäusern und Gesundheitszentren eingesetzt werden. Er deckt 624 eindeutige Schwachstellen in deren Produkten auf. Für vierzig dieser Schwachstellen wurden Exploits veröffentlicht, und zwei Schwachstellen (CVE-2020-0601 und CVE-2021-34527) stehen mit vier Ransomware-Betreibern (BigBossHorse, Cerber, Conti und Vice Society) in Verbindung. Leider lässt sich damit darauf hindeuten, dass das Gesundheitswesen in den kommenden Monaten verstärkt zur Zielscheibe von Ransomware-Angriffen werden könnte.
Listen für Schwachstellen unvollständig
Eine weitere Herausforderung für Sicherheits- und IT-Teams ist, dass die National Vulnerability Database (NVD), die CAPEC-Liste (Common Attack Pattern Enumeration and Classification) der MITRE Corporation und der KEV-Katalog (Known Exploited Vulnerabilities) der US Cybersecurity and Infrastructure Security Agency (CISA) Lücken aufweisen. Der Bericht zeigt, dass in der NVD-Liste Common Weakness Enumerations (CWEs) für 61 Schwachstellen fehlen, während in der CAPEC-Liste CWEs für 87 Schwachstellen fehlen. Im Durchschnitt wird eine Ransomware-Schwachstelle eine Woche, nachdem sie von einem Anbieter bekannt gegeben wurde, in die NVD aufgenommen. Gleichzeitig wurden 169 Schwachstellen, die mit Ransomware in Verbindung stehen, noch nicht in die KEV-Liste der CISA aufgenommen. In der Zwischenzeit haben es Hacker weltweit auf 100 dieser Schwachstellen abgesehen und suchen in Unternehmen nach einer ungepatchten Instanz, die sie ausnutzen können.
Heute haben viele Sicherheits- und IT-Teams Schwierigkeiten, die tatsächlichen Risiken zu erkennen, die von Schwachstellen ausgehen. Daher setzen sie falsche Prioritäten, wenn sie Schwachstellen beheben. Viele patchen zum Beispiel nur neue Schwachstellen oder solche, die in der NVD bekannt gegeben wurden. Andere verwenden nur das Common Vulnerability Scoring System (CVSS), um Schwachstellen zu bewerten und zu priorisieren. Srinivas Mukkamala, Senior Vice President & General Manager für Sicherheitsprodukte bei Ivanti, sagt: „Bedrohungsakteure zielen zunehmend auf Fehler und Versäumnisse bei der Cyber-Hygiene ab, einschließlich veralteter Schwachstellen-Management-Prozesse. Um Unternehmen besser vor Cyberangriffen zu schützen, müssen Sicherheits- und IT-Teams einen risikobasierten Ansatz für das Schwachstellenmanagement wählen. Dazu ist eine KI-basierte Technologie erforderlich, die Schwachstellen und aktive Bedrohungen im Unternehmen identifiziert, Frühwarnungen zum Schutz gegen Schwachstellen ausspricht, Angriffe vorhersagt und Hilfsmaßnahmen Prioritätsstufen zuweist.“
Unübersichtlichkeit als Herausforderung
Anuj Goel, Mitbegründer und CEO von Cyware, sagt: „Ransomware ist heute einer der zentralen Angriffsvektoren. Eines der größten Probleme ist jedoch die mangelnde Transparenz der Bedrohungen für die Sicherheitsteams – aufgrund der unübersichtlichen Bedrohungsdaten aus verschiedenen Quellen. Wenn Sicherheitsteams Ransomware-Angriffe proaktiv abwehren wollen, müssen sie ihre Patch- und Schwachstellenreaktion mit einem zentralisierten Prozess für die Verwaltung von Bedrohungsdaten verknüpfen.“
Aaron Sandeen, CEO von Cyber Security Works, sagt: „Die Tatsache, dass Scanner kritische Ransomware-Schwachstellen nicht erkennen, ist ein großes Problem für Unternehmen. Die Experten von CSW verfolgen dies kontinuierlich bei unserer Forschung. Die gute Nachricht ist, dass die Zahl in diesem Quartal zurückgegangen ist. Das bedeutet, dass die Scanner-Unternehmen dieses Problem ernst nehmen.“
Der Ransomware Index Spotlight Report basiert auf Daten aus verschiedenen Quellen, darunter proprietäre Daten von Ivanti und CSW, öffentlich zugängliche Bedrohungsdatenbanken sowie Informationen von Bedrohungsforschern und Penetrationstest-Teams. Ivanti hat die Studie zusammen mit Cyber Security Works, einer Certifying Numbering Authority (CNA), und Cyware, einem führenden Anbieter der Technologieplattform zum Aufbau von Cyber Fusion Centers, durchgeführt. Hier geht es zum Download des gesamten Reports.
Über Ivanti
Ivanti macht den Everywhere Workplace möglich. Im Everywhere Workplace nutzen Mitarbeiter unzählige Geräte, um über verschiedene Netzwerke auf IT-Anwendungen und Daten zuzugreifen und so von überall aus produktiv arbeiten zu können. Die Automatisierungsplattform Ivanti Neurons verbindet die branchenführenden Lösungen des Unternehmens für Unified Endpoint Management, Zero Trust Security und Enterprise Service Management und bietet so eine einheitliche IT-Plattform, die es Geräten ermöglicht, sich selbst zu heilen und zu sichern, und Anwendern die Möglichkeit zur Selbstbedienung gibt. Mehr als 40.000 Kunden, darunter 78 der Fortune 100, haben sich für Ivanti entschieden, um ihre IT-Assets von der Cloud bis zum Edge zu erkennen, zu verwalten, zu sichern und zu warten und ihren Mitarbeitern ein hervorragendes Endbenutzererlebnis zu bieten, egal wo und wie sie arbeiten. Für weitere Informationen besuchen Sie www.ivanti.com und folgen Sie @GoIvanti.
Über Cyware
Cyware hilft Cybersecurity-Teams in Unternehmen, plattformunabhängige Cyber Fusion Center aufzubauen. Cyware transformiert die Sicherheitsabläufe durch die Bereitstellung der Cyber Fusion Center Plattform, dem SOC der nächsten Generation (NG-SOC). Das Unternehmen orchestriert für seine Kunden den gesamten SecOps nach der Erkennung mit automatisierten SOC-Funktionen (ASOC). Dadurch können Unternehmen die Geschwindigkeit und Genauigkeit erhöhen und gleichzeitig die Kosten und die Überlastung von Analysten reduzieren. Die Cyber Fusion-Lösungen von Cyware ermöglichen eine sichere Zusammenarbeit, den Austausch von Informationen und eine verbesserte Sichtbarkeit von Bedrohungen für Unternehmen, Sharing Communities (ISAC/ISAO), MSSPs und Regierungsbehörden aller Größen und Anforderungen. Besuchen Sie cyware.com für weitere Informationen oder folgen Sie uns auf LinkedIn und Twitter.
Über CSW
CSW ist ein Unternehmen für Cybersicherheitsdienstleistungen, das sich auf die Verwaltung von Angriffsflächen und Penetrationstests als Dienstleistung konzentriert. Dank unserer innovativen Schwachstellen- und Exploit-Forschung konnten wir mehr als 45 Zero-Days in bekannten Produkten wie Oracle, D-Link, WSO2, Thembay, Zoho usw. entdecken. Wir wurden zur CVE Numbering Authority, um Tausenden von Bug Bounty Hunters die Möglichkeit zu geben, ihre Schwachstellen zu finden, und spielen eine entscheidende Rolle bei den weltweiten Bemühungen um Schwachstellenmanagement. Als anerkannter Marktführer in der Schwachstellenforschung und -analyse ist CSW der Zeit voraus und hilft Organisationen weltweit, ihr Unternehmen vor den sich ständig weiterentwickelnden Bedrohungen zu schützen.
Weitere Informationen finden Sie auf unserer Website www.cybersecurityworks.com oder folgen Sie uns auf LinkedIn und Twitter.