Presseinformation vom 08.05.2023

Cisco Talos Report: Angriffe über Web-Shells neuer Top-Einfallsvektor im 1. Quartal 2023

Kurztext 456 ZeichenPlaintext

  • Deutliche Zunahme von Angriffen über Web-Shells verdeutlicht Anfälligkeit von Web-Apps
  • Anteil erfolgreicher Erpressungsangriffe halbierte sich, jedoch blieben Pre-Ransomware-Aktivitäten konstant hoch 
  • Commodity-Loader nutzten verstärkt bösartige OneNote-Dokumente
  • Gesundheitswesen Top-Ziel der Cyber-Kriminellen

Pressetext 5081 ZeichenPlaintext

  • Deutliche Zunahme von Angriffen über Web-Shells verdeutlicht Anfälligkeit von Web-Apps
  • Anteil erfolgreicher Erpressungsangriffe halbierte sich, jedoch blieben Pre-Ransomware-Aktivitäten konstant hoch 
  • Commodity-Loader nutzten verstärkt bösartige OneNote-Dokumente
  • Gesundheitswesen Top-Ziel der Cyber-Kriminellen

Wien, 08. Mai 2023 –
Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Laut Analysen von Cisco Talos war diese Angriffsform für ein Viertel aller Vorfälle verantwortlich, die das Incident Response Team im ersten Quartal 2023 untersucht hat. Parallel sank der Anteil von erkannten Ransomware-Angriffen von 20 % auf 10 %. Entwarnung geben die Cyberforscher:innen allerdings nicht: Denn ein Fünftel aller beobachteten Bedrohungsaktivitäten entfielen auf Maßnahmen von Angreifer:innen, die einer Ransomware-Attacke typischerweise vorangehen und sie vorbereiten sollen.

Talos, eine der weltweit größten kommerziellen Threat-Intelligence-Organisationen, hat seine vierteljährliche Analyse zur Bedrohungslage für das erste Quartal 2023 veröffentlicht. Demnach waren öffentlich zugängliche Web-Applikationen ein Hauptziel der Bedrohungsakteure in diesem Zeitraum. Nahezu die Hälfte aller Angriffe (45 %) nutzen solche Anwendungen als initialen Vektor, um sich Zugang zu Systemen zu verschaffen. Gegenüber dem Vorquartal entspricht dies einem Anstieg von 15 %.

Bei vielen dieser Angriffe kamen Web-Shells zum Einsatz, die Server kompromittierten, die über das Internet zugänglich waren. Generell gesprochen, handelt es sich bei einer Web-Shell um ein schädliches Skript, das sich als legitime Datei ausgibt und so eine Hintertür zum Webserver öffnet. Web-Shells werden in der Regel nach einer bereits erfolgreichen Infiltration für weitere Attacken „hinterlassen“. Laut den Talos-Forscher:innen profitierten Angreifer:innen von der Tatsache, dass viele Nutzerkonten von Web-Applikationen nur mit schwachen Passwörtern oder Single-Factor-Authentifizierung geschützt waren.

Gestärkte Ransomware-Abwehr vereitelte größere Erfolge – z.B. von Vice Society
Die Bedrohung durch Ransomware ist weiterhin hoch. Auch wenn Cisco Talos in Q1 einen generellen Rückgang erfolgreicher  Erpressungsfälle beobachten konnte, bleiben Ransomware-Aktivitäten insgesamt hoch. Sogenannten „Pre-Ransomware“-Aktivitäten machten circa ein Fünftel aller Attacken aus, sodass in den nächsten Monaten wieder mit einem Anstieg der erfolgreichen Angriffe gerechnet werden kann. Viele der vorbereitenden Angriffsmaßnahmen konnte Cisco Talos  bekannten Ransomware-Gruppen wie Vice Society zuordnen. Nach Einschätzung der Forscher:innen hat das schnelle Eingreifen der Security-Teams der betroffenen Unternehmen dazu beigetragen, Angriffe einzudämmen, bevor die Verschlüsselung stattfinden konnte.

Im ersten Quartal 2023 war vor allem das Gesundheitswesen Ziel der Kriminellen, dicht gefolgt vom Einzelhandel, der Immobilienbranche und dem Gastgewerbe. 

OneNote-Dokumente als Angriffsvektor
Bereits im letzten Jahr war sogenannte „Commodity Malware“ auf dem Vormarsch. Sie ist weit verbreitet und kann gekauft oder kostenlos heruntergeladen werden. Commodity Malware ist in der Regel nicht angepasst und wird von Bedrohungsakteuren in verschiedenen Stadien ihrer Aktivitäten genutzt. Im ersten Quartal 2023 traten nun die bereits zuvor gesichteten Commodity Loader wie Qakbot wieder verstärkt in Erscheinung. Qakbot nutzte dabei häufig bösartige OneNote-Dokumente. Der Einsatz bösartiger OneNote-Anhänge konnte auch bei anderen Angriffsversuchen beobachtet werden. Bedrohungsakteure, so die Analyse von Talos, experimentieren also weiterhin mit Dateitypen, die nicht auf Makros angewiesen sind. Microsoft hatte im Juli 2022 damit begonnen, Makros in seinen Anwendungen standardmäßig zu deaktivieren. Auch andere Applikationen, die andere Dateien in sich führen und verwalten, sind betroffen.

Weitere Ergebnisse
Zu den weiteren Erkenntnissen im ersten Quartal 2023 gehören:

  • Bei dreißig Prozent der beobachteten Angriffsfälle war die Multi-Faktor-Authentifizierung (MFA) entweder gar nicht oder nur für einige wenige Konten und kritische Dienste aktiviert.
  • Aktuelle Erfolge der Strafverfolgungsbehörden zur Zerschlagung großer Ransomware-Banden (z.B. Hive) zeigen Wirkung. Allerdings schafft dies Raum für neue Familien oder die Bildung neuer Partnerschaften. So trat mit Daixin Ransomware in Q1/2023 eine neue Ransomware-as-a-Service (RaaS)-Familie in Erscheinung.
  • Das Open-Source-Toolkit Mimikatz kam in diesem Quartal bei fast 60 Prozent der Ransomware- und Pre-Ransomware-Einsätze zum Einsatz. Mimikatz ist ein weit verbreitetes Post-Exploitation-Tool, mit dem Anmelde-IDs, Kennwörter und Authentifizierungs-Token von kompromittierten Windows-Systemen gestohlen werden.

Weitere Details zu den Erkenntnissen von Cisco Talos aus dem ersten Quartal 2023 gibt es in diesem Blogbeitrag (englisch)

Weiterführende Informationen:  

Über Cisco 
Cisco (NASDAQ: CSCO) ist das weltweit führende Technologie-Unternehmen für die umfassende, sichere Vernetzung. Das Ziel ist, über Digitalisierung eine inklusive Zukunft zu schaffen, die allen Menschen neue Möglichkeiten eröffnet. Deshalb unterstützen wir unsere Kunden, ihre Anwendungen neu zu gestalten, hybrides Arbeiten zu ermöglichen, ihre Unternehmen abzusichern, Infrastrukturen zu modernisieren und ihre Nachhaltigkeitsziele zu erreichen. Weitere Informationen finden Sie unter: http://cs.co/presse.

Cisco und das Cisco-Logo sind eingetragene Marken oder Kennzeichen von Cisco und/oder den verbundenen Unternehmen in den USA und in anderen Ländern. Eine Liste der Marken von Cisco gibt es unter www.cisco.com/go/trademarks. Die erwähnten Marken von Drittanbietern sind Eigentum ihrer jeweiligen Inhaber. Die Verwendung des Wortes "Partner" bedeutet nicht, dass eine Partnerschaft zwischen Cisco und dem jeweils anderen Unternehmen besteht. 

Sitz der Gesellschaft: Cisco Systems GmbH, Parkring 20, 85748 Garching, Amtsgericht München HRB 102605; WEEE-Reg.-Nr. DE 65286400

Kontakt

Cisco
Pressekontakt Cisco Österreich:
Ketchum GmbH
Manisha Alexandra Joshi, MA 
+43-664-808 69 118
cisco@ketchum.at