Cyberangreifer zielen vermehrt auf Web-Applikationen ab
Fast ein Drittel aller Cyberangriffe im dritten Quartal 2023 haben auf Web-Applikationen abgezielt. Abgesehen davon war in jedem zehnten Angriff Ransomware involviert. Die häufigsten Einfallstore: ungepatchte und falsch konfigurierte Anwendungen sowie fehlende Multi-Faktor-Authentifizierung.
Das Cybersicherheitsunternehmen Cisco Talos legt seine vierteljährliche Analyse zur Bedrohungslage für das dritte Quartal 2023 vor. Während dieses Zeitraumes machten Angriffe auf Web-Applikationen fast ein Drittel (30 Prozent) aller Vorfälle aus. Dies sei ein bemerkenswerter Anstieg, teilt Cisco Talos mit. Denn im vorhergehenden Quartal zielten gerade mal 8 Prozent aller Angriffe auf Web-Applikationen ab. Es handelte sich insbesondere um Injektionsangriffe, einschliesslich SQL Injection, und Web Shells, darunter auch mithilfe des neu beobachteten Supershell-C2-Frameworks, mit dem sich Schwachstellen in Webservern identifizieren lassen.
Wie im Vorquartal war auch dieses Quartal Ransomware ein relevanter Faktor. In 10 Prozent der Angriffe war Ransomware involviert. Wie zuvor registrierte man auch diesmal Aktivitäten der Ransomware-Familien Lockbit und Blackbyte. Doch zum ersten Mal beobachtete Cisco eine neue Variante der Blackbyte-Ransomware namens "BlackByte NT". Damit würden die Angreifer zunächst ein gültiges Konto kompromittieren. Haben sie sich Zugang verschafft, erstellen sie mehrere Konten mit Administratorrechten. Die Angreifer nutzen dann eine Kombination aus RDP, SSH und Server Message Block (SMB), um sich im Netzwerk auszubreiten.
Telkos und Bildungswesen im Visier
Die Angreifer zielten insbesondere auf die Telekommunikations- und die Bildungsbranche ab. Jeweils 20 Prozent der Fälle geschahen in den beiden Branchen. Telekommunikationsunternehmen sind aufgrund ihrer Infrastrukturanlagen attraktive Ziele, wie es weiter heisst. So könnten sie als Eintrittspunkt für Angreifer dienen, um anschliessend andere Ziele anzugreifen. Auch seien die dort gelagerten Kundendaten von Interesse, auf die Ransomware-Gruppen häufig abzielen. Bildungseinrichtungen hätten hingegen limitierte Verteidigungsmöglichkeiten, heisst es im Bericht. Zudem würden sie grosse Mengen an persönlichen Daten hosten, beispielsweise von Studierenden.
Ebenfalls neu entdeckt ist eine bislang unbekannte APT-Gruppe (Advanced Persistent Threats) namens "ShroudedSnooper". Sie hat es auf Telekommunikationsunternehmen abgesehen und setzt zwei neue Backdoor-Implantate namens "HTTPSnoop" und "PipeSnoop" ein. Diese Backdoors interagieren mit Windows HTTP-Kern-Treibern und Geräten, um eingehende Anfragen für spezifische HTTP(S)-URLs zu überwachen und den darin enthaltenen Inhalt auf dem infizierten Endpunkt auszuführen.
Die häufigsten Schwachstellen sind gemäss Cisco ungepatchte und falsch konfigurierte Anwendungen sowie das Fehlen einer Multi-Faktor-Authentifizierung (MFA). "Alle Organisationen sollten irgend eine Form von MFA implementieren, da sie einen wirksamen Schutzmechanismus darstellt, um den unbefugten Zugriff auf Systeme und Daten zu verhindern", sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz.