Neuer Bericht

Kriminelle lieben Zugangsdaten

Der Sicherheitsanbieter WatchGuard hat seinen neuen Bedrohungsbericht veröffentlicht. Dieser zeigt, dass Kriminelle immer häufiger hinter Zugangsdaten her sind. Firmen sollten sich entsprechend schützen.

Der neue Internet Security Report des Anbieters WatchGuard liefert einige interessante Einblicke in die aktuelle Bedrohungslage für Unternehmen. Danach waren im zweiten Quartal 2017 insbesondere kriminelle Taktiken zum Diebstahl von Benutzerdaten (Credential Theft) auf dem Vormarsch. Weitere alarmierende Erkenntnis: Bei 47 Prozent aller Malware handelt es sich um neue oder Zero-Day-Varianten, an denen sich signaturbasierte Antiviren-Lösungen die Zähne ausbeißen.

„Die Firebox-Log-Daten des zweiten Quartals belegen, dass Angreifer stärker als je zuvor auf den Diebstahl von Zugangsdaten fokussiert sind", berichtet Corey Nachreiner, Chief Technology Officer bei WatchGuard Technologies. „Von JavaScript-basierten Phishing-Angriffen über Versuche, Linux-Passwörter zu stehlen, bis hin zu Brute-Force-Attacken auf Webserver – das Ziel ist stets das gleiche: Es geht darum, persönliche Login-Daten abzugreifen.“

Entsprechend dieser Erkenntnisse sollten Unternehmen nach Aussage Nachreiners nicht nur die gefährdeten Server nachhaltig absichern, sondern auch Multifaktor-Authentifizierung ernsthaft in Erwägung ziehen. Zudem sei es wichtig, fortschrittliche Lösungen zum Schutz der wertvollen Daten zu implementieren und Anwender soweit zu schulen, dass sie Phishing-Angriffe erkennen.

Wichtige Erkenntnisse im Überblick

Das für den Diebstahl von Zugangsdaten bekannte Open-Source-Werkzeug Mimikatz ist für 36 Prozent der insgesamt gefundenen Malware verantwortlich. Das Tool wird dazu verwendet, Windows-Passwörter auszulesen und zu ersetzen. Aufgrund der Häufigkeit schaffte es Mimikatz erstmals überhaupt unter die Top 10 der Malware und konnte sich im zweiten Quartal 2017 gleich Platz 1 sichern. Dieser Neuzugang in der Top-Bedrohungsliste macht deutlich, dass die Angreifer ihre Taktik ständig anpassen.

Phishing-Angriffe setzen auf schadhaftes JavaScript, um Benutzer zu täuschen. Bereits die Ergebnisse der letzten Quartale zeigten, dass JavaScript-Code und -Downloader genutzt werden, um Malware sowohl via Web als auch per E-Mail zu verbreiten. Im zweiten Quartal setzten die Angreifer vor allem auf JavaScript in HTML-Anhängen von Phishing-E-Mails, um Login-Seiten für bekannte und häufig genutzte Angebote von Google, Microsoft und anderen zu imitieren. Dies soll Benutzer dazu verleiten, bereitwillig ihre Anmeldeinformationen zu verraten.

In Nordeuropa standen Linux-Passwörter im Fokus der Cyberkriminellen. Es wurde auf eine alte Linux-Anwendungslücke zurückgegriffen, um insbesondere in den nordischen Ländern und den Niederlanden Passwort-Hash-Dateien zu stehlen. Mehr als 75 Prozent der Angriffe, die im Rahmen des Zugriffs auf /etc/passwd auf einer File-Inclusion-Schwachstelle beruhten, wurden in Norwegen (62,7 Prozent) und Finnland (14,4 Prozent) verzeichnet. Bei einer so hohen Anzahl von Übergriffen ist es für Anwender von Linux-Servern und -Geräten grundsätzlich ratsam, diese auf den neuesten Stand zu bringen.

Brute-Force-Angriffe auf Server nehmen zu. Es kamen vermehrt automatisierte Tools zum Einsatz, um den Zugang zu Webservern zu knacken. Durch die starke Verbreitung schafften es die sogenannten Brute-Force-Anmeldungen auf Webservern unter die Top 10 der Netzwerkbedrohungen. Webserver, bei denen fehlgeschlagene Anmeldungen nicht überwacht und gegebenenfalls geprüft werden, sind meist machtlos gegenüber solch automatisierten Angriffen, bei denen pro Sekunde Tausende von Passwörtern ausprobiert werden.

Fast die Hälfte aller Malware-Varianten ist in der Lage, ältere AV-Lösungen zu umgehen. Neue oder Zero-Day-Malware-Varianten machten in Summe 47 Prozent aus – mehr als je zuvor. Die Daten belegen, dass ältere, signaturbasierte AV-Systeme zunehmend an Wirksamkeit verlieren, wenn es darum geht, moderne Bedrohungen abzufangen.

Bitte beachten Sie

Die Beiträge in der Rubrik "Trends und Innovationen" sind Inhalte unseres Medienpartners Vogel Business Media. Sie spiegeln nicht unbedingt die Meinung von DATEV wider.