Aktueller Bedrohungsreport: Gezielte Angriffe ohne Schadsoftware nehmen zu

Die Zahl der abgewehrten Cyberattacken ist in der DACH-Region im Vergleich zum ersten Halbjahr 2020 um mehr als 40 Prozent zurückgegangen. Das belegt der aktuelle Bedrohungsreport für das erste Halbjahr 2021 im Vergleich zum Vorjahreszeitraum. Der starke Rückgang hängt allerdings auch mit den sehr hohen Zahlen im vergangenen Jahr zusammen. Denn gerade im zweiten Quartal 2020 hatten Cyberkriminelle die Unsicherheit der Menschen infolge der Corona-Pandemie ausgenutzt, sodass die Angriffe stark zugenommen haben (plus 156 Prozent). Ganz anders das aktuelle Bild: Vom ersten zum zweiten Quartal 2021 beträgt der Rückgang 15,6 Prozent. Die aktuellen Zahlen bestätigen gleichzeitig, dass Unternehmen verstärkt im Visier der Angreifer sind. Während die Zahl abgewehrter Attacken auf private Anwender*innen um fast 20 Prozent gesunken ist, beträgt der Rückgang im Unternehmensumfeld nur knapp drei Prozent.

Es scheint also, dass die Angreifer gegenüber Unternehmen immer gezielter vorgehen. Hinzu kommt, dass viele Unternehmen immer noch nicht realisiert haben, dass sie auf Grund des hastigen Umzugs im vergangenen Jahr ins Homeoffice einer Cyberattacke zum Opfer gefallen sind.

Hinein durch die Schwachstelle

Weiterhin machen es bestehende Schwachstellen Cyberkriminellen einfach, gezielte Attacken auszuführen. So nutzten im ersten Halbjahr verschiedene kriminelle Gruppierungen mehrere grössere Sicherheitslücken in Microsoft Exchange Servern aktiv aus und infiltrierten die Netzwerke von Unternehmen. Ein weiteres Beispiel für das Vorgehen von Cyberkriminellen ist der sogenannte AMSI-Bypass. Dabei versuchen sie, dass von Microsoft entwickelte Antimalware Scan Interface (AMSI) zu umgehen. Eigentlich scannen Sicherheitslösungen dank AMSI Anwendungen auf ihre Schadhaftigkeit. Mit automatisierten Tools versuchen Malware-Autoren, diese Schnittstelle auszuschalten oder einen Weg an ihr vorbei zu finden – insbesondere, um dateilose Schadsoftware einzusetzen.

Die aktuelle Malware Top 10

QBot zählt zurzeit nicht nur zu den aktivsten, sondern auch den gefährlichsten Schadprogrammen. Zwischen Januar und Juni kam der Emotet-Nachfolger bei einer Vielzahl der aktuellen Angriffe zum Einsatz. Der ursprüngliche Banking-Trojaner wurde von den Angreifern nach und nach modular weiterentwickelt. Jetzt besitzt er zusätzliche Wurmelemente und ist als Credential Stealer und als Loader aktiv. Zurzeit nutzen die Kriminellen bestehende Mail-Konversationen aus und fügen eine neue Nachricht hinzu, die einen Link auf eine kompromittierte Webseite mit einem .zip-Archiv enthält. Diese .zip lädt Qbot nach und installiert die Malware auf dem Rechner. Weiterhin sind viele Remote Access Trojaner (RAT) aktiv. Sieben der zehn aktivsten Schadprogrammen zählen zu dieser Gruppe. RATs ermöglichen eine vom Nutzer unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners. So können Angreifer unter anderem den Desktop des Opfers einsehen, Tastatureingaben protokollieren, auf die Kamera zugreifen sowie die in Browsern gespeicherten Anmeldeinformationen kopieren oder Dateien hoch- bzw. herunterladen.
 

Vorjahresplatzierung in Klammern
 

Malware-as-a-Service: Gootloader

Wie trickreich Cyberkriminelle ihre Angriffsbemühungen weiterentwickelt haben, verdeutlicht ein Blick auf die aktuelle Angriffswelle der Gootloader-Malware-Familie. Die Malware-Autoren haben Gootloader so weiterentwickelt, dass sie verschiedene Malware nachladen und installieren können. Dabei pushen die Angreifer*innen ihre eigenen Seiten mit Search-Engine-Poisoning nach oben. Diese sehen aus wie legitime Seiten, sodass auch technisch versierte User einer derartigen Täuschung zum Opfer fallen.

Trotz der sinkenden Zahlen kann von Entspannung keine Rede sein. Unternehmen sollten vielmehr ihre Hausaufgaben erledigen und ihre IT absichern. Technische Massnahmen sind wichtig, aber mindestens genauso wichtig ist es, die Belegschaft im Umgang mit Gefahren zu schulen – denn längst nicht alle Risiken bestehen nur aus Schadsoftware.