Cyberkriminelle gehen zunehmend raffinierter vor. Das macht es Unternehmen wiederum schwerer, sich auf Angriffe adäquat vorzubereiten. Der aktuelle Global Threat Landscape Report von Fortinet liefert wichtige Erkenntnisse, die Frühwarnsystemen als Ansatzpunkte dienen könnten.

Cybersecurity-Experte Fortinet hat die aktuelle halbjährliche Ausgabe des Global Threat Landscape Report seiner FortiGuard Labs veröffentlicht: Auffällig sind unter anderem ein Rückgang bei der Erkennung von Ransomware, eine hohe Aktivität von Advanced Persistent Threat (APT)-Gruppen und eine Veränderung der von Angreifern verwendeten Mitre ATT&CK-Techniken.

Ransomeware wird raffinierter

Die FortiGuard Labs verzeichneten in den letzten Jahren einen starken Anstieg bei der Anzahl von Ransomware-Varianten. Dieser ist größtenteils der Etablierung kriminiell-unternehmerischer Services wie Ransomware-as-a-Service (RaaS) geschuldet. Gleichzeitig ist die Erkennung von Ransomware zwar volatil, aber im 5-Jahres-Vergleich doch moderat rückläufig - ein Trend, den die FortiGuard Labs in den letzten Jahren beobachtet haben: Ransomware und andere Angriffe werden immer zielgerichteter.

Top-EPSS-Schwachstellen häufiger Ziel von Angriffen

Seit seiner Gründung ist Fortinet eine wichtige Datenquelle für Exploit-Aktivitäten zur Unterstützung des Exploit Prediction Scoring System (EPSS). Dieses Projekt zielt darauf ab, die Wahrscheinlichkeit und den Zeitpunkt vorherzusagen, wenn eine Schwachstelle ausgenutzt wird. Über einen Zeitraum von sechs Jahren analysierten die FortiGuardLabs dazu Daten von mehr als 11.000 veröffentlichten und ausgenutzten Schwachstellen.

Dabei wurde festgestellt, dass CVEs (Common Vulnerabilities and Exposures) mit einer hohen EPSS-Bewertung (Top ein Prozent Severity) im Verlgeich eine ungleich höhere Wahrscheinlichkeit haben (ganze 327-mal), innerhalb von sieben Tagen angegriffen zu werden. Ähnlich wie die „Rote Zone“, die im letzten Threat Landscape Report vorgestellt wurde, sollten IT-Teams ihre Patch-Maßnahmen demnach systematisch priorisieren, um das Risiko eines Angriffs zu senken.

Fast ein Drittel der APT-Gruppen stetig aktiv

Zum ersten Mal wurde auch die Anzahl der Bedrohungsakteure untersucht. Scheinbar waren rund 41 der 138 von der US-Organisation Mitre erfassten Cyberbedrohungsgruppen in der ersten Jahreshälfte 2023 aktiv - ganz vorne Turla, StrongPity, Winnti, OceanLotus und WildNeutron. Aufgrund der zielgerichteten und relativ kurzlebigen Kampagnen von APTs und staatlichen Cybergruppen werde die Entwicklung und der Umfang der Aktivitäten in diesem Bereich ein interessanter Aspekt für zukünftige Berichte sein, so Fortinet.

Derek Manky, Chief Security Strategist & Global VP Threat Intelligence bei den FortiGuard Labs, betont: „Angesichts der gezielten Bedrohungen, die einen historischen Höchststand erreicht haben, können es sich IT-Teams nicht leisten, untätig zu bleiben.“ Es brauche eine starke Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor. Er empfiehlt, in KI-gestützte Cybersecurity-Services zu investieren, die überlastete IT-Teams dabei unterstützen können, Bedrohungsinformationen innerhalb der gesamten Organisation zu koordinieren.

Derek Manky, FortiGuard Labs: „Fortinets FortiGuard Labs liefern weiterhin umsetzbare Informationen wie die „Rote Zone“ und die neue Exploit Prediction Scoring System-Analyse, um IT-Teams dabei zu unterstützen, Patch-Maßnahmen proaktiv zu priorisieren und schneller als je zuvor auf Bedrohungen zu reagieren.“ (Foto: Fortinet)
 
Explosionsartige Zunahme von Exploits und Malware-Varianten

In der ersten Jahreshälfte 2023 haben die FortiGuard Labs mehr als 10.000 einzelne Exploits identifiziert - einer Zunahme von fast 70 Prozent im Vergleich zu vor fünf Jahren. Die Zahl der Exploits pro Organisation ist dabei um mehr als 75 Prozent zurückgegangen, der Teil schwerwiegender Exploits hat jedoch nur um 10 Prozent abgenommen. Ein Hinweis darauf, dass böswillige Angreifer zwar immer mehr Exploit-Toolkits einsetzen, ihre Angriffe aber deutlich zielgerichteter sind als noch vor fünf Jahren.

Auch Malware-Familien und -Varianten haben sich vervielfacht und sind explosionsartig um 135 Prozent bzw. 175 Prozent gestiegen. Gleichzeitig zielen die Viren vermehrt auf global agierende Organisationen ab: Die Anzahl der Malware-Familien, die sich in mindestens 10 Prozent der globalen Organisationen ausbreiten hat sich in den letzten fünf Jahren verdoppelt. Die FortiGuard Labs führen das auf die erhöhte Aktivität von Cyberkriminellen und APT-Gruppen als auch auf die Diversifizierung ihrer Angriffe zurück.

Ein Schwerpunkt des letzten Global Threat Landscape Reports war die Zunahme von Wiper-Malware, die größtenteils mit dem russisch-ukrainischen Konflikt in Verbindung gebracht wurde. Wiper-Malware wird zwar weiterhin von staatlichen Akteuren eingesetzt, die Verbreitung durch Cyberkriminelle nimmt jedoch ebenfalls zu und richtet sich gegen Unternehmen und Organisationen in den Bereichen Technologie, Fertigung, Regierung, Telekommunikation und Gesundheitswesen.

Hartnäckige Bots

Es gibt es immer mehr aktive Botnetze (+ 27 Prozent) und die Inzidenzrate bei Organisationen ist ebenfalls gestiegen (2018 zu 2023 um + 126 Prozent). Eine der alarmierendsten Erkenntnisse des Threat-Reports ist aber der exponentielle Anstieg der Gesamtzahl der „aktiven Tage“. Die FortiGuard Labs definieren „aktive Tage“ als die Zeitspanne zwischen dem ersten und letzten Angriffsversuch eines bestimmten Botnetzes auf einen Sensor. In den ersten sechs Monaten des Jahres 2023 betrug die durchschnittliche Verweildauer von Botnetzen bis zum Abbruch der Kommunikation mit dem Command-and-Control-Server (C2-Server) 83 Tage. Das ist mehr als tausend Mal so viel wie noch vor fünf Jahren - und zeigt, wie wichtig es ist, die Reaktionszeit zu verkürzen. Je länger Organisationen Botnetze verweilen lassen, desto größer das Risiko und der potenzielle Schaden fürs Geschäft.

Mehr Informationen: Zum aktuellen Global Threat Landscape Report: www.fortinet.com