Ein neuer Ransomware-Report von Securin, Cyware und Ivanti verdeutlicht, dass Hackergruppen im 1. Quartal 2023 ungebrochen Ausschau nach Schwachstellen für erpresserische Cyberangriffe gehalten haben. Dabei hatten es die Angreifer auf mehr als 7.000 Produkte von 121 Anbietern abgesehen, die in Unternehmen teilweise weit verbreitet sind. Im März 2023 lag die Gesamtzahl der gemeldeten Sicherheitsverletzungen höher als in den drei vergangenen Jahren zusammen. Ebenso identifiziert der Report der Security-Anbieter zwölf neue Sicherheitslücken, die im ersten Quartal 2023 neu mit Ransomware in Verbindung gebracht werden konnten.
Gruppierungen aus Hackern beobachten kontinuierlich neue Sicherheitslücken und analysieren deren Eignung für potenzielle Attacken. Der Ransomware Index Report liefert ein regelmäßiges Update zu den aktuellen Bedrohungsvektoren, die für solche Angriffe genutzt werden. Daneben gibt er Anregungen, wie Unternehmen ihre Daten und Assets vor Ransomware absichern können.
Zentrale Ergebnisse
Der Report beleuchtet in diesem Quartal fünf wesentliche Entwicklungen:
- Im ersten Quartal 2023 konnten zwölf neue Sicherheitslücken mit Ransomware in Verbindung gebracht werden. Drei Viertel davon waren bereits im 4. Quartal 2022 Thema im Internet sowie im Deep- und Dark-Web. Damit stieg die Zahl der für Ransomware-Angriffe anfälligen Produkte auf 7.444. Von den 121 betroffenen Anbietern ist Microsoft Spitzenreiter. Insgesamt 135 Sicherheitslücken in Produkten des Software-Herstellers werden aktuell von Ransomware genutzt.
- Für 59 Sicherheitslücken liegt eine vollständige MITRE ATT&CK-Kill-Chain vor. Ist für Schwachstellen eine solche „Kill-Chain“ vorhanden, sind Angreifer in der Lage, die Lücke vom ersten Zugriff bis zur Exfiltration auszunutzen. Das macht sie besonders gefährlich. Ein besonderes Problem: Die gängigen Scanner erkennen drei dieser Sicherheitslücken bislang nicht.
- Herkömmliche Scanner erfassen 18 mit Ransomware assoziierte Sicherheitslücken nicht. Unternehmen sind dadurch potenziellen Angriffen ausgesetzt, ohne Chance, diese rechtzeitig zu erkennen.
- Die Anzahl der Open-Source-Sicherheitslücken hat zugenommen. Inzwischen sind insgesamt 119 Sicherheitslücken bei mehreren Anbietern und Produkten bekannt, die für Ransomware genutzt werden. Hier besteht dringender Handlungsbedarf, da Open-Source-Code in vielen Tools verwendet wird.
- Zwei neue APT-Gruppen (Advanced Persistent Threat) setzen Ransomware als bevorzugtes Angriffsmittel ein. Mit DEV-0569 und Karakurt hat sich die Gesamtzahl der APT-Gruppen, die mit Ransomware in Verbindung gebracht werden, auf 52 erhöht.
Angriffstaktiken entwickeln sich weiter
Der Report listet daneben die Kategorien von Schwachstellen auf, die für Ransomware-Banden besonders attraktiv sind. Hierzu zählen vor allem Lücken in Softwareprodukten und Betriebssystemen, die in Unternehmen möglichst weit verbreitet sind. Doch Angreifer setzen künftig auch auf neue Werkzeuge und Strategien. „Eine der größten Herausforderungen für IT- und Sicherheitsteams ist, Sicherheitslücken zu priorisieren und zu beheben. Insbesondere von solchen, die mit Ransomware in Verbindung stehen“, erläutert Srinivas Mukkamala, Chief Product Officer bei Ivanti. „Wir erleben gerade, dass Bedrohungsakteure anfangen, KI für ihre Angriffe zu nutzen. Wenn polymorphe Malware-Angriffe und KI-Copiloten für Offensive Computing zur Realität werden, wird die Situation noch komplexer. Bisher ist dieser Fall noch nicht eingetreten. Doch es ist nur eine Frage der Zeit, bis Ransomware-Autoren KI nutzen, um die Liste der verwendeten Schwachstellen und Exploits zu erweitern. Diese globale Herausforderung verlangt eine ebenso globale Antwort, um Angreifer wirklich zu bekämpfen.“
„Für unsere Kunden aus allen Branchen ist Risikominimierung eine der drei wichtigsten strategischen Prioritäten. Betrachten wir unsere Forschungsergebnisse, müssen wir jedoch feststellen, dass diese Risiken jedes Quartal steigen. Ein Mangel an Sicherheitsexperten und knappe IT-Budgets hindern Firmen daran, sich dieser zentralen Herausforderung zu stellen. Die Sicherheit privater und öffentlicher Organisationen hängt davon ab, dass Risiken aktiv gesenkt werden“, erläutert Aaron Sandeen, CEO und Mitbegründer von Securin. „Seit Jahren warnen wir unsere Kunden daher vor Sicherheitslücken, die von Softwareherstellern und Repositories wie dem NVD und MITRE ignoriert werden. Unsere Predictive Threat Intelligence Plattform konnte so Kunden vor Bedrohungen warnen, lange bevor diese aktiv von den Ransomware-Banden übernommen wurden.“
Eine Zusammenfassung sowie den vollständigen Report können Sie hier herunterladen: http://securin.io/ransomware.
Über Securin
Securin ist ein führender Anbieter von technologiegestützten Cybersicherheitslösungen, der Hunderten von Kunden weltweit hilft, sich gegen neue Bedrohungen zu wappnen. Unsere Produkte und Dienstleistungen basieren auf präzisen Sicherheitslücken, menschlichem Fachwissen und Automatisierung und ermöglichen es Unternehmen, wichtige Sicherheitsentscheidungen zu treffen, um ihre wachsenden Angriffsflächen zu verwalten.
Für weitere Informationen besuchen Sie www.securin.io und folgen Sie uns auf LinkedIn und Twitter.
Über Ivanti
Ivanti steigert und sichert das Arbeiten von jedem Ort, so dass Menschen und Organisationen erfolgreich sein können. Wir sorgen dafür, dass die Technologie für die Menschen arbeitet, nicht umgekehrt. Die Mitarbeiter von heute verwenden eine Vielzahl von Firmen- und Privatgeräten, um über mehrere Netzwerke auf IT-Anwendungen und Daten zuzugreifen und produktiv zu bleiben, egal wo und wie sie arbeiten. Ivanti ist eines der einzigen Technologieunternehmen, das alle IT-Assets und Endpunkte in einem Unternehmen findet, verwaltet und schützt. Mehr als 40.000 Kunden, darunter 88 der Fortune 100, haben sich für Ivanti entschieden, um ihren Mitarbeitern ein hervorragendes digitales Erlebnis zu bieten und die Produktivität und Effizienz ihrer IT- und Sicherheitsteams zu verbessern. Bei Ivanti bemühen wir uns, ein Umfeld zu schaffen, in dem alle Perspektiven gehört, respektiert und geschätzt werden. Wir engagieren uns für eine nachhaltigere Zukunft für unsere Kunden, Partner, Mitarbeiter und den Planeten. Für weitere Informationen besuchen Sie www.ivanti.com und folgen Sie @GoIvanti.
Über Cyware
Cyware hilft Cybersecurity-Teams in Unternehmen, plattformunabhängige virtuelle Cyber-Fusion-Center aufzubauen. Cyware verändert die Sicherheitsabläufe durch die Bereitstellung der einzigen virtuellen Cyber Fusion Center Plattform mit Security Orchestration, Automation, and Response (SOAR) Technologie der nächsten Generation. Auf diese Weise können Unternehmen die Geschwindigkeit und Genauigkeit erhöhen und gleichzeitig die Kosten und das Burnout der Analysten reduzieren. Für weitere Informationen besuchen Sie www.cyware.com und folgen Sie uns auf LinkedIn und Twitter.