Im Vergleich zum ersten Halbjahr 2017 sehen wir im zweiten Halbjahr 2017 geringe Veränderungen. Deutschland, China und die USA sind unter den Top-Quellen für Angriffe*, mit Russland an der Spitze – auch wenn der Traffic etwas zurückgeht.
Interessant ist, dass Frankreich sich den zweiten Platz sichert. Laut unseren Experten liegt das vor allem an zahlreichen infizierten IoT-Geräten. Diese wurden im Juli 2017 im Rahmen von mehreren Infektionswellen übernommen und werden seitdem im Rahmen eines Botnets für die Verbreitung von Malware oder DDoS-Angriffe genutzt.
Im Visier der Angreifer waren vor allem die USA, Deutschland lag auf Platz Zwei. Insbesondere ein Angriff auf SMB auf Port 445 sorgte in Deutschland für höheres Angriffsaufkommen.
Angriffe via SSH sind ein guter Hinweis darauf, dass sich jemand Zugriff zu Systemen verschaffen möchte – etwa als root oder admin. Ein Blick auf den SSH-Traffic zeigt, dass solche Attacken vor allem aus Russland kommen. Der Großteil zielt dabei auf die USA, gefolgt von Zielen in Deutschland und Russland.
Angreifer klopfen verfügbare Ports ab, um etwaige verwundbare Dienste dahinter zu entdecken. Der am meisten getestet Port war 22, SSH. Es folgt der Port 1900, der mit der Infektion der IoT-Geräte in Frankreich zusammenhängt. Auf Platz drei ist der SMB-Port 45, dieser wurde etwa in den EternalBlue-Exploits der NSA genutzt.
Ein kurzer Blick auf „Wer attackiert wen“ zeigt keine großen Überraschungen:
Die Honeypot-Daten liefern uns ein grobes Bild darüber, welche Attacken gerade ablaufen. Aber wie sieht es in den Organisationen aus? Derzeit sieht es so aus, als würden vor allem Angriffe ohne schädlichen Anhang stark anwachsen. Das Ponemon Institut erwartet, dass im Jahr 2018 etwa 35 Prozent aller Angriffe dateilos sind – ein Plus von rund sechs Prozent gegenüber dem Vorjahr. Kein Wunder, schließlich sind solche Attacken zehn Mal so erfolgreich wie herkömmliche Angriffe, die auf Dateien setzen.
Einem Bericht des SANS zufolge haben 32 Prozent der Firmen bereits solche dateilosen Angriffe erlebt. Sie setzen auf Methoden wie die Ausweitung von Rechten, den Diebstahl von Zugangsdaten mit administrativen Rechten, Skript-Attacken per PowerShell oder die laterale Bewegung im Firmennetzwerk. Zusätzlich sorgen sich Unternehmen um Phishing- und Ransomware-Attacken. Laut SANS wurden 72 Prozent der befragten Organisationen Opfer von Phishing, was weitreichende Auswirkungen auf die Unternehmen hatte.
Weitere Informationen zum Thema Endpoint Detection and Response (EDR) haben wir auf dieser Seite zusammengestellt:
Die komplette Infografik können Sie hier herunterladen.
*An der Stelle muss gesagt sein, dass Angriffe aus einem Land nicht zwangsweise der Ursprung sein müssen. Viele Indizien sprechen vielleicht dafür, eine eindeutige Zuordnung eines Angriffes ist wie immer nicht möglich.
Kategorien