Threat Landscape Report zum zweiten Halbjahr 2018: Anzahl der Attacken ist um das Vierfache gewachsen

Die Gegner im Cyberspace waren in der zweiten Hälfte des Jahres 2018 extrem fleißig. Das zeigen die Statistiken aus F-Secures weltweitem Netzwerk von Honeypots. Diese verzeichneten in diesem Zeitraum einen vierfachen Anstieg der Aktivitäten für gezielte Angriffe und Spähversuche.

Die am häufigsten zu beobachtende Aktivität lief über das Telnet-Protokoll. Dies ist nach Meinung der Sicherheitsforscher von F-Secure auf die wachsende Zahl an IoT-Geräten zurückzuführen. Die dahinterliegenden Plätze erreichen die Protokolle SSH, SMB und SMTP. Die Kompromittierung von Webservern zeigte sich als ein sehr beliebter Angriffsvektor. Angriffe mit Ursprung in den USA und Russland dominierten, gefolgt von Italien und Großbritannien.

Wie bereits in den vergangenen Jahren, veröffentlicht F-Secure halbjährliche Berichte über Aktivitäten, die im weltweiten Honeypot-Netzwerk oder auf den Lockvogel-Servern erfasst werden. Diese Honeypots wurden speziell dafür eingerichtet, um Angreifer anzuziehen und ihr Verhalten zu beobachten. Dafür emulieren sie populäre Dienste wie SMB, SSH und HTTP. Die von den Honeypots verzeichneten Aktivitäten sind ein guter Indikator für Trends in der gesamten Angriffslandschaft.

Nach den Ausbrüchen von WannaCry und NotPetya im Jahr 2017 registrierten die Sicherheitsforscher einen Anstieg der Aktivitäten auf dem SMB-Port 445, der bis zu diesem Zeitpunkt stets eine äußerst geringe Aktivität zeigte. Bis jetzt ist weiterhin ein erhöhtes Niveau des SMB-Verkehrs zu verzeichnen.

Wer ist hinter wem her?

Besonders interessant ist, aus den IP-Adressbereichen welcher Länder die Angriffe kamen und gegen welche Länder sie sich richteten.

Aktivitäten mit Ursprung im US-IP-Raum nahmen diesmal den größten Anteil ein. Russland erreichte mit großem Abstand den zweiten Platz. Die Sicherheitsforscher betonen, dass niemals mit hundertprozentiger Gewissheit gesagt werden kann, ob die Angriffe tatsächlich aus einem bestimmten Land kommen, da Cyberkriminelle ihre Angriffe über Proxys verschleiern, um unentdeckt zu bleiben. Sie können VPNs, TOR und kompromittierte Maschinen oder Infrastrukturen an verschiedenen Orten einsetzen, um der Strafverfolgung zu entgehen.

Darüber hinaus soll die Liste der Länder nicht implizieren, dass es sich dabei überwiegend um nationalstaatliches Verhalten handelt. Die Motivation für die meisten dieser Angriffe ist wahrscheinlich finanzieller Natur.

Was die Sicherheitsforscher jedoch mit Gewissheit kennen, das sind die Angriffsziele. Dies sind die Länder, die bei den Angreifern das größte Interesse hervorgerufen haben:

Der klassische Stereotyp eines Hackers, der im Hoodie vor einem Rechner sitzt und Ziele angreift, trifft meistens nicht zu. Der Anteil der menschlichen, manuell durchgeführten Aktivitäten beträgt nur etwa 0,1 Prozent der von den Honeypots verzeichneten Angriffsversuche. 99,9 Prozent der Aktivitäten entfallen auf Bots, Malware und andere automatisierte Tools. Natürlich sind es Menschen, die diese Werkzeuge entwickeln und konfigurieren, aber die schiere Anzahl der Angriffe – in dreistelliger Millionenhöhe – wird erst durch Automatisierung möglich.

Angriffe können von jeder Art von vernetzten Geräten ausgehen – selbst ein schwacher Computer, eine Smartwatch oder eine IoT-Zahnbürste können die Quelle für Scans oder Angriffe sein.

Großbritannien, das zwar auf der Liste der wichtigsten Herkunftsländer weit oben steht, erscheint interessanterweise nicht als Herkunftsland in der Liste „Top Angriffe zwischen Ländern“. Wie im ersten Halbjahr 2018, registrieren die Sicherheitsforscher weiterhin Angriffe aus Großbritannien, die sich gegen eine breite Palette von Ländern richten – und zwar in bescheidenen Mengen pro Land. Das größte Ziel Großbritanniens waren die USA mit 85.000 Angriffen. Und wie bereits zuvor war SMB Großbritanniens bevorzugtes Mittel der Wahl, das 99 Prozent der Angriffe aus diesem Land ausmachte.

Ports und Protokolle

Von Juli bis Dezember 2018 wurde mit 83 Prozent der überwiegende Teil der Aktivitäten auf dem TCP-Port 23 verzeichnet, der für Telnet verwendet wird. Zu Beginn des Zeitraums hat F-Secure einige Anpassungen am Telnet-Teil der Honeypots vorgenommen, was zu diesem Aufwärtstrend beiträgt, da die Server von F-Secure nun besser in der Lage sind, Telnet-Angriffe zu erkennen. Die explodierenden Zahlen unterstreichen aber auch, dass IoT-Geräte, die oft Standardkombinationen von Benutzername und Passwort verwenden, noch immer eine leichte Beute sind.

Ein großer Teil der Telnet-Aktivität hängt mit der Existenz von Thingbots zusammen. Das sind mit dem Internet verbundene Geräte, die als Teil eines Botnets vereinnahmt wurden. Die Sicherheitsforscher haben in der zweiten Dezemberhälfte eine starke und konzentrierte Telnet-Kampagne registriert, die von Cyberkriminellen wahrscheinlich als beste Zeit für Angriffe angesehen wird, da viele von der Weihnachtszeit abgelenkt sind oder verreisen.

Nach Port 23 war Port 22 (verbunden mit SSH, auch mit dem Versuch der Remote-Anmeldung) der am meisten anvisierte Port. Port 445 belegte mit SMB-Aktivitäten den dritten Platz, ein Rückgang gegenüber dem vorherigen Halbjahr: In der ersten Jahreshälfte 2018 verzeichneten die Sicherheitsforscher noch einen Höchststand von 127 Millionen Angriffen über Port 445. Vor den WannaCry- und NotPetya-Angriffen von 2017 war der SMB-Angriffsverkehr unbedeutend und erreichte noch nicht einmal einen Platz unter den Top 20 der attackierten Ports.

SMTP oder Angriffe über E-Mail rangieren auf Platz vier und stellen höchstwahrscheinlich Malware und Spam dar. Darüber berichtete F-Secure bereits im letzten Dezember. Platz fünf erreichte MySQL, vermutlich im Zusammenhang mit versuchten Datendiebstählen, da MySQL bei Benutzern von Content-Management-Systemen wie WordPress, Drupal und Joomla weit verbreitet ist. Weiter unten in der Liste kann das CWMP-Protokoll dem TR-069-Protokoll (für das es bekannte Schwachstellen gibt) zugeordnet werden, dass für die Fernwartung von Endgeräten wie Modems, Gateways, Routern, VoIP-Telefonen und Set-Top-Boxen verwendet wird.

Server und Services

Mit dem Web-Topologie-Mapping-Tool F-Secure Riddler konnten sich die Sicherheitsforscher auf die Server und Dienste konzentrieren, die verbreitete Quellen für webbasierte Angriffe sind. An der Spitze dieser Liste stehen Nginx, Apache und WordPress, die oft von Angreifern kompromittiert und für bösartige Zwecke verwendet werden. Nach IoT ist die Webserver-Kompromittierung einer der häufigsten Angriffsvektoren, die die Sicherheitsforscher in ihren Honeypots sehen.

Nutzung von Zugangsdaten

Die häufigsten Benutzernamen und Passwörter, die von Angreifern verwendet werden, um in Honeypot-Dienste einzudringen, ändern sich in der Regel nicht dramatisch („root“ und „admin“ stehen immer auf dieser Liste). Interessant ist, dass die Passwörter auf dem zweiten und sechsten Platz die Standardpasswörter für eine Dahua IoT-Kamera und einen chinesischen H.264 DVR sind.

Das Unternehmensumfeld

Wie stark sind Unternehmen von der externen Bedrohungslandschaft betroffen? Zur Beantwortung dieser Frage hat F-Secure kürzlich eine Umfrage durchgeführt, in der IT-Entscheider und Influencer befragt wurden, ob ihr Unternehmen im vergangenen Jahr sowohl opportunistische als auch gezielte Cyber-Angriffe entdeckt hat. Zwei Drittel der Befragten gaben an, dass ihr Unternehmen mindestens einen Angriff erkannt hat, 22 Prozent gaben an, dass ihr Unternehmen keinen Angriff erkannt hat, und 12 Prozent wussten es nicht oder haben nicht geantwortet.

Größere Unternehmen endeckten eher mehr Angriffe, wobei 20 Prozent der Unternehmen mit über 5.000 Mitarbeitern angaben, fünf oder mehr Angriffe erkannt zu haben, verglichen mit nur 10 Prozent der Unternehmen mit 200 bis 500 Arbeitsplätzen. Größere Unternehmen gaben auch am seltensten an, dass sie noch nie einen Angriff aufgedeckt haben, wobei 16 Prozent der Unternehmen mit mehr als 5.000 Arbeitsplätzen keine Angriffe gemeldet haben, verglichen mit 28 Prozent der Unternehmen mit weniger als 500 Arbeitsplätzen.

Französische, deutsche und japanische Unternehmen meldeten am häufigsten keine Registrierung von Angriffen, während die Unternehmen in den nordischen Ländern und in den USA am häufigsten fünf oder mehr Angriffe feststellten. Fast die Hälfte aller indischen Unternehmen meldete zwei bis fünf Angriffe, während in den anderen Ländern im Schnitt nur etwa ein Drittel der Unternehmen zwei bis fünf Angriffe angaben.

 Fazit

Wenn die Sicherheitsforscher etwas aus der Beobachtung der Aktivitäten innerhalb des Honeypot-Netzwerks im Laufe der Jahre gelernt haben, dann das: Je mehr sich die Dinge ändern, desto mehr bleiben sie im Grunde doch gleich. Ob die neueste Taktik der Kriminellen ist, IoT-Geräte zu kompromittieren, um das größte Botnetz aufzubauen, SMB-Würmer zu verteilen, um Ransomware zu verbreiten, E-Mail-Spam zu versenden oder Webservices ins Visier zu nehmen, sie werden weiterhin ihre Methoden anpassen, um auf dem einfachsten Weg zu Geld zu gelangen.

Die beste Verteidigung ist wie immer ein Programm mit ganzheitlicher Sicherheit einzuführen, bei dem Menschen, Prozesse und Technologien gleichermaßen mit einbezogen werden:

• Begrenzen Sie Ihre Angriffsfläche. Begrenzen Sie die Komplexität Ihrer Netzwerke, Software und Hardware. Bringen Sie in Erfahrung, welche Systeme und Dienste Sie verwenden, und schalten Sie aus, was unnötig ist.
• Binden Sie Ihre Leute ein. Schulen Sie Ihre Mitarbeiter in Informationssicherheitskonzepten und der Einhaltung von Best Practices. Setzen Sie Prozesse und Verfahren ein, die sie befolgen können.
• Verwenden Sie mehrschichtige Technologien. Sicherheit funktioniert in Schichten. Verwenden Sie einen Ansatz, der Vorhersage-, Präventions-, Erkennungs- und Responsetechnologien kombiniert.

Möchten Sie eine kurze Zusammenfassung des Berichts sehen? Laden Sie unsere Infografik herunter.