Nozomi Networks - Cyberbedrohungen in der ersten Jahreshälfte 2020

Die OT/IoT-Bedrohungslandschaft für die erste Hälfte des Jahres 2020 sah eine Zunahme der Bedrohungen für OT- und IoT-Netzwerke, insbesondere IoT-Botnet-, Ransomware- und COVID-19-Angriffe. Diese Angriffstypen stehen im Einklang mit globalen Computer- und sozioökonomischen Trends. Der rapide Anstieg von IoT-Geräten, die weltweite COVID-19-Pandemie und die zunehmende Zunahme und Raffinesse von Cyberkriminellen sind die wesentlichen Triebkräfte. Dieser Blogbeitrag bietet einen Überblick über die aktivsten Bedrohungen, die über die letzten Monate von den Experten bei Nozomi Networks beobachtet wurden, sowie einen Einblick in die Taktiken und Techniken und Empfehlungen zum Schutz von kritischen Netzwerken.

Welche Bedrohungen nahmen in der ersten Jahreshälfte massiv zu?

Die Bedrohungen durch IoT-Malware nehmen zu und werden auf absehbare Zeit ein wichtiger Bestandteil der Bedrohungslandschaft sein. Mehrere Faktoren tragen zu diesem beispiellosen Wachstum bei:

  • Exponentielles Wachstum der Anzahl von IoT-Geräten.
  • Der unsichere Einsatz von IoT-Geräten, die direkt über das Internet zugänglich sind.
  • Ein Mangel an Sicherheitsupdates für IoT-Geräte, wodurch die Geräte anfällig für häufige Angriffe vieler Bedrohungsakteure sind.
  • Die mangelnde Einsicht in die Sicherheitslage von IoT-Geräten.

Eines der interessantesten Botnets ist Dark Nexus, das im April 2020 entdeckt wurde. Die Betreiber von Dark Nexus geben häufig neue Updates heraus, ähnlich wie bei kommerzieller Software. Darüber hinaus veräußern die Betreiber von Dark Nexus ihre DDoS-Minderungsdienste offen im Internet. Aus technischer Sicht zeichnet sich Dark Nexus im Vergleich zu konkurrierenden Botnets durch einen ausgeklügelten Mechanismus aus, mit denen die auf dem infizierten Gerät laufenden Prozesse profiliert werden. Das Ziel dieses Mechanismus ist es, Prozesse zu identifizieren, die die reibungslose Ausführung der Malware behindern könnten. Während Dark Nexus anfangs nur einige tausend Geräte infiziert hat, kann diese Zahl schnell steigen. Daher sollte Dark Nexus dringend im Auge gehalten werden.

Spielt Ransomware noch eine Rolle?

Ransomware-Angriffe, die sich gegen eine Vielzahl von Branchenvertikalen richten, sind nach wie vor an der Tagesordnung. Was sich geändert hat, sind die Ziele. Ransomware-Banden haben ihren Schwerpunkt auf größere, kritischere Ziele mit tieferen Taschen verlagert, darunter unter anderem Hersteller, Energieunternehmen und lokale Gemeinden. Ransomware-Betreiber verschlüsseln in der Regel Dateien und verlangen Lösegeldzahlungen von den Betroffenen. Jetzt schleusen sie auch Unternehmensdaten aus und drohen damit, sie im Internet zu veröffentlichen, umso noch mehr Druck auszuüben.

Wie wird die COVID-19 Pandemie für Cyberkriminalität ausgenutzt?

Die globale COVID-19 Pandemie bietet Cyberkriminellen noch mehr Vektoren und Möglichkeiten zur Ausbeutung. Die Angriffsfläche für die meisten Unternehmen hat sich mit der schnellen Umstellung auf eine "Home-Office"-Politik stark vergrößert. Einige Unternehmen verfügen über eine Infrastruktur, die Remote-Arbeit ermöglicht, wie VPNs und Arbeitslaptops. Viele andere Unternehmen sind jedoch nicht darauf vorbereitet und müssen schnell Lösungen finden, wodurch Sicherheitsrisiken Tür und Tor geöffnet wurden. Darüber hinaus macht das von COVID-19 verursachte Klima der Angst und Unsicherheit Mitarbeiter anfälliger für Social Engineering-Angriffe. Cyberkriminelle nutzten in der ersten Angriffsphase vor allem Phishing-E-Mails, um Benutzer dazu zu verleiten, persönliche Informationen preiszugeben oder bösartige Software auszuführen.

Ein Beispiel ist die Malware-Familie Chinoxy Backdoor. Sie bettet ein Dokument mit Informationen zur Unterstützung von COVID-19 in eine .rtf-Datei ein, die CVE-2017-11882 ausnutzt. Der Exploit wird dazu verwendet, bösartige Binärdateien auf dem Rechner abzulegen, die HTTP über Port 443 für die C&C-Kommunikation verwenden. Wenn Cyberkriminelle Zugriff auf Systeme erhalten und Netzwerkdaten entwenden, hinterlassen sie immer eine Spur. Das ist eine gute Nachricht, denn diese Spur kann identifiziert werden, vorausgesetzt, Unternehmen haben einen klaren Einblick in das Geschehen in ihrem OT/IoT-Netzwerken.

Was sind weitere Herausforderungen in der IT-Sicherheit?

In ICS-Systemen entdeckte Schwachstellen bieten Angreifern die Möglichkeit, Daten zu manipulieren, was sich auf physikalische Prozesse auswirken und äußerst gefährlich für die industrielle Produktion sein kann. Es ist daher wichtig, bei der Bewertung von Sicherheitsrisiken die Bedrohungs-Trends bei Schwachstellen zu berücksichtigen. Die Zahl der vom ICS-CERT in der ersten Hälfte des Jahres 2020 gefundenen Schwachstellen ist im Vergleich zu 2019 deutlich gestiegen. Eine vernünftige Vorgehensweise für die Industrie besteht darin, die Gefährdung zu verringern, indem sie sich zunächst mit leicht zu begrenzenden Schwachstellen befassen. Im Laufe der Zeit können immer mehr Schwachstellen abgemildert werden. Unsachgemäße Eingabevalidierungen und Buffer Overflow-Schwachstellen führen die Liste der Schwachstellen 2020 zahlenmäßig an. Während Ersteres in die Kategorie der leicht zu begrenzenden Schwachstellen fällt, ist Letzteres schwieriger zu beheben. Buffer Overflows erfordern Firmware-Updates von Herstellern, den Austausch alter Geräte und andere Abhilfemaßnahmen. Leider wird diese Gruppe wahrscheinlich auch in den nächsten Jahren weiterhin einen bedeutenden Prozentsatz der entdeckten Schwachstellen ausmachen.

Welche Cyber-Bedrohungen werden in der zweiten Jahreshälfte erwartet?

Wir erwarten, dass die Angriffe von IoT-Botnets, Ransomware- und COVID-19-Malware weiter zunehmen werden, auch wenn sie sich in der zweiten Jahreshälfte anpassen werden. Angesichts der zunehmenden und ständig verändernden Bedrohungen ist es wichtig, eine hohe Cyber-Resilienz und schnelle Reaktionsfähigkeit zu gewährleisten. Sicherheitslücken im Zusammenhang mit Menschen, Prozessen und Technologie können große Auswirkungen haben, insbesondere bei IT und OT in Organisationen mit zunehmend vernetzten IT-, OT- und IoT-Systemen. Mit der richtigen Technologie und dem Fokus auf bewährte Verfahren können jedoch die Sichtbarkeit und die betriebliche Belastbarkeit erhöht werden.

Übersetzt aus dem Englischen mit DeepL

Original von Alessandro Di Pinto, Head of Security Research bei Nozomi Networks

Korrektur und Bearbeitung von Victor Rossner

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein.

Die mit einem * markierten Felder sind Pflichtfelder.