Mehr als zwei Drittel von Angriffen erfolgen mittlerweile über Zero-Day-Malware, die von signaturbasierten Antivirus-Lösungen nicht erkannt wird. Dazu Corey Nachreiner, CTO von WatchGuard: „Unternehmen sind offensichtlich nicht die einzigen, die ihre Abläufe aufgrund der globalen COVID-19-Pandemie angepasst haben – auch Cyberkriminelle haben ihr Vorgehen geändert. Die Zunahme von sogenannten ‚Sophisticated Attacks‘ lässt vermuten, dass die Angreifer – im Zuge der generellen Verlagerung zum dezentralen Arbeiten – darauf bauen, mit Zero-Day-Malware im Homeoffice-Umfeld noch schneller punkten zu können.“ Aus diesem Grund rät WatchGuard jedem Unternehmen zu einem mehrschichtigen Sicherheitskonzept.

  • Cyberkriminelle setzen weiterhin auf getarnte (evasive) und verschlüsselte Angriffsmethoden: Zero-Day-Malware macht mehr als zwei Drittel aller registrierten Malware-Attacken aus. Ca. 34 Prozent der Angriffe werden über über HTTPS-Verbindungen gesendet. Organisationen, die nicht in der Lage sind, diese verschlüsselten Datenübertragungen zu überprüfen, agieren somit bei einem guten Drittel der darüber eingehenden Bedrohungen praktisch im Blindflug. Vor allem das Volumen der HTTPS-verschlüsselten Malware steigt in dem Zusammenhang dramatisch an. Dabei wird jedoch auch deutlich, dass sich der Gesamtanteil der verschlüsselungsbasierten Gefahren verringert. Das deutet darauf hin, dass immer mehr Administratoren die HTTPS-Prüfung  aktivieren – trotzdem zeigen die 34 Prozent, dass es in diesem Bereich durchaus noch Luft nach oben gibt.
  • JavaScript-basierte Angriffe auf dem Vormarsch: Das Scam-Script Trojan.Gnaeus hat sein Debüt an der Spitze von Top-10-Malware-Listen für das zweite Quartal gegeben und zeichnet sich für fast jede fünfte Malware-Erkennung verantwortlich. Gnaeus-Malware ermöglicht es Angreifern, mit verschleiertem Code die Kontrolle über den Browser des Opfers zu übernehmen. Anschließend werden eingegebene Web-Adressen gewaltsam zu Domains unter der Kontrolle des Angreifers umgeleitet. Berühmtheit erlangte darüber hinaus ein weiterer Popup-ähnlicher JavaScript-Angriff: J.S. PopUnder. Hierbei werden über ein verschleiertes Script die Systemeigenschaften des Rechners gescannt und Debugging-Versuche blockiert. Zum Schutz gegen diese Art von Bedrohungen sollten Unternehmen ihre Anwender daran hindern, Browser-Erweiterungen aus unbekannten Quellen zu installieren. Darüber hinaus ist wichtig, dass sowohl die Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sind und nur seriöse Adblocker zum Einsatz kommen.
  • Excel-Dateien als trojanisches Pferd für Malware: XML-Trojan.Abracadabra ist ein Neuzugang in den Top 10 der Malware-Erkennungen Listen. Seit dem erstmaligen Auftauchen der Technik im April 2020 hat sie rapide an Popularität zugenommen. Bei Abracadabra handelt es sich um eine Malware-Variante, die als verschlüsselte Excel-Datei mit dem Standard-Passwort für Excel-Dokumente „VelvetSweatshop“ ausgeliefert wird. Nach dem Öffnen entschlüsselt Excel die Datei automatisch, ein VBA-Makro-Script innerhalb des Arbeitsblatts lädt eine Datei herunter und führt sie aus. Aufgrund der Verwendung eines Standardkennworts umgeht diese Malware viele grundlegende Antiviren-Lösungen, da die Datei direkt von Excel verschlüsselt und dann entschlüsselt wird. Unternehmen sollten daher niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und cloudbasiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.
  • Comeback eines alten und hochgradig effizienten DoS-Angriffs: Eine sechs Jahre alte DoS-Schwachstelle (Denial-of-Service) in WordPress und Drupal taucht 2020 in den Top 10 Listen volumenmäßig häufigster Netzwerkangriffe auf. Diese Schwachstelle ist besonders schwerwiegend, da sie jede ungepatchte WordPress- und Drupal-Installation betrifft. Damit lassen sich DoS-Szenarien erzeugen, die von der zugrundeliegenden Hardware eine hohe CPU- und Speicherlast abverlangen. Trotz des hohen Volumens dieser Angriffe ließ sich der Fokus auf ein paar Dutzend Netzwerke in Deutschland eingrenzen. Da derartige DoS-Szenarien eine permanente Verbindung erfordern, haben die Angreifer ihre Ziele mit großer Wahrscheinlichkeit absichtlich ausgewählt.
  • Malware-Domains nutzen Command-and-Control-Server, um Schaden anzurichten: In die Listen der Top-Malware-Domains wurden neue Ziele aufgenommen. An der Spitze stand die Website findresults[.]site, die einen C&C-Server für eine Dadobra-Trojaner-Variante verwendet. Dabei kommt eine verschleierte Datei samt zugehörigem Registry-Eintrag zum Einsatz. So wird sichergestellt, dass der Angriff beim Start des Windows-Systems ausgeführt wird und sensible Daten exfiltriert sowie zusätzliche Malware heruntergeladen werden können. Ein Benutzer meldete zudem die Domäne Cioco-froll[.]com. Dahinter verbirgt sich ein C&C-Server, der die Asprox-Botnet-Variante unterstützt, welche oft in PDF-Dokumenten mitreist. Ein zugehöriger C&C-Beacon informiert den Angreifer, wenn der Übergriff erfolgreich war und einer Teilnahme am Botnetz nichts mehr im Wege steht. DNS-Firewalling kann Organisationen dabei helfen, diese Art von Bedrohungen unabhängig vom Anwendungsprotokoll zu erkennen und zu blockieren.