Skip to content Skip to navigation Skip to footer

Pressemitteilungen

FortiGuard Labs: Ransomware-Varianten in sechs Monaten fast verdoppelt

Exploit-Trends zeigen, dass Endpunkte weiterhin ein beliebtes Ziel bleiben

SUNNYVALE, Kalifornien - 05.09.2022


Fortinet® (NASDAQ: FTNT), ein weltweit führender Anbieter von umfassenden, integrierten und automatisierten Cybersicherheitslösungen, hat den neuesten halbjährlichen FortiGuard Labs Global Threat Landscape Report veröffentlicht.

Einen detaillierten Überblick über den Bericht sowie einige wichtige Erkenntnisse finden Sie in diesem Blogbeitrag. Es folgen die Highlights des Berichts 1H 2022:

  • Die Bedrohung durch Ransomware verändert sich stetig weiter – Ransomware as a Service (RaaS) schafft eine immer größere Bandbreite an Varianten.
  • Cyberangreifer zielen nach wie vor auf Work-from-Anywhere (WFA)-Endpunkte ab, um sich Zugang zu Unternehmensnetzwerken zu verschaffen. Umgebungen in Betriebstechnologie (OT) und Informationstechnik (IT) sind beide attraktive Ziele für Cyberkriminelle, da diese nach Angriffsvektoren in der wachsenden Angriffsfläche und der IT/OT-Konvergenz suchen.
  • Zerstörerische Bedrohungstrends entwickeln sich ständig weiter, wie die Verbreitung von Wiper-Malware als Teil von Angreifer-Toolkits zeigt.
  • Cyberkriminelle setzen verstärkt auf Technologien, mit denen sie Aufklärung betreiben und Abwehrmaßnahmen umgehen können, um so die Präzision und die zerstörerische Wirkung von Waffen in der gesamten Cyberangriffskette zu erhöhen.

Die Zunahme von Ransomware-Varianten zeigt, wie sich Cybercrime-Ökosysteme entwickeln: Ransomware bleibt eine der größten Bedrohungen und Cyberangreifer stecken weiterhin signifikante Ressourcen in die Entwicklung neuer Angriffstechniken. In den vergangenen sechs Monaten entdeckten die FortiGuard Labs insgesamt 10.666 Ransomware-Varianten. In den sechs Monaten davor waren es gerade einmal 5.400. Die Anzahl der Ransomware-Varianten hat sich also innerhalb eines halben Jahres nahezu verdoppelt. Die Beliebtheit von RaaS bringt daher eine ganze Industrie von Cyberkriminellen mit sich. Die zwingen Unternehmen dazu, Lösegeldzahlungen in Betracht zu ziehen. Um sich vor Ransomware zu schützen, benötigen Unternehmen, unabhängig von ihrer Branche oder Größe, einen proaktiven Ansatz. Echtzeit-Transparenz, Schutz und Remediation in Verbindung mit Zero-Trust Network Access (ZTNA) und fortschrittlicher Endpunkt-Detection and Response (EDR) sind dabei entscheidend.

A histogram illustrating the weekly ransomware volume over the last 12 months from July 2021 to June 2022. The weekly volume ranges from around 75k during slow weeks to almost 200k at the highest point in early December. 5,400 ransomware variants were observed during the second half of 2021, and 10,666 ransomware variants were observed during the first half of 2022.

Grafik: Wöchentliches Ransomware-Aufkommen in den vergangenen 12 Monaten

Exploit-Trends zeigen, dass OT und Endpoint nach wie vor unwiderstehliche Ziele sind: Die digitale Konvergenz von IT und OT sowie die für mobiles Arbeiten genutzten Endpunkte bleiben wichtige Angriffsvektoren. Bei vielen Attacken auf Schwachstellen am Endpunkt verschaffen sich unbefugte Benutzer Zugang zu einem System mit dem Ziel, tiefer in Unternehmensnetzwerke einzudringen. So wurden beispielsweise eine Spoofing-Schwachstelle (CVE 2022-26925) und eine RCE-Schwachstelle (CVE 2022-26937) besonders häufig ausgenutzt. Auch die Analyse von Endpunkt-Schwachstellen nach Umfang und Entdeckungen zeigt den Weg von Cyberangreifern, die versuchen, sich Zugang zu verschaffen, indem sie alte und neue Schwachstellen nutzen. Auch bei der Betrachtung der OT-Schwachstellentrends zeigt sich keine Ausnahme. Bei einer Vielzahl von Geräten und Plattformen wurden Schwachstellen ausgenutzt. Das verdeutliche die alltägliche Situation der Cybersecurity durch die zunehmende Zusammenführung von IT und OT. Moderne Endpoint-Technologie kann dazu beitragen, infizierte Geräte in einem frühen Stadium eines Angriffs zu entdecken und die Bedrohung effektiv abzuwehren. Darüber hinaus können Dienste wie ein Digital Risk Protection Service (DRPS) genutzt werden, um externe Bedrohungsanalysen durchzuführen, Sicherheitsprobleme zu finden und zu beheben sowie kontextbezogene Erkenntnisse über aktuelle und drohende Gefahren zu gewinnen.

Zerstörerische Bedrohungen fassen durch Wiper-Malware immer mehr Fuß: Wiper-Malware-Trends zeigen eine verstörende Entwicklung zerstörerischer und ausgefeilterer Angriffstechniken durch Schadsoftware, die Daten vollständig löscht. Der Krieg in der Ukraine sorgte für einen massiven Anstieg der Wiper-Malware unter Angreifern, die sich primär kritischen Infrastrukturen widmeten. FortiGuard Labs identifizierten mindestens sieben neue Wiper-Varianten in den ersten sechs Monaten 2022, die von Angreifern in verschiedenen gezielten Kampagnen gegen staatliche, militärische und private Organisationen eingesetzt wurden. Diese Zahl ist wichtig, denn sie ist fast so hoch wie die Gesamtzahl der Wiper-Varianten, die seit 2012 öffentlich entdeckt wurden. Zudem waren die Wiper nicht regional beschränkt, sondern wurden neben der Ukraine in 24 weiteren Ländern entdeckt. Um die Auswirkungen von Wiper-Angriffen zu minimieren, ist Network Detection and Response (NDR) mit selbstlernender Künstlicher Intelligenz (KI) hilfreich, um Eindringlinge besser zu erkennen. Außerdem müssen Backups außerhalb des Firmengeländes und offline gespeichert werden.

Die Abwehr zu umgehen bleibt weltweit die beliebteste Angriffstaktik: Die Untersuchung der Strategien von Widersachern gibt Aufschluss darüber, wie sich Angriffstechniken und -taktiken weiterentwickeln. FortiGuard Labs analysierte die Funktionalität entdeckter Malware, um die gängigsten Ansätze der letzten sechs Monate zu ermitteln. Unter den acht wichtigsten auf den Endpunkt fokussierten Taktiken und Techniken war die Umgehung der Verteidigung die von Malware-Entwicklern am häufigsten eingesetzte Taktik. Dabei nutzen sie häufig die Ausführung von System-Binärproxys. Eines der wichtigsten Ziele der Angreifer ist, die bösartigen Absichten zu verbergen. Daher versuchen sie, diese zu verschleiern und die Abwehrmaßnahmen zu umgehen. Dafür verwenden sie ein legitimes Zertifikat, um einen vertrauenswürdigen Prozess auszuführen und so ihre schädlichen Absichten umzusetzen. Die zweitbeliebteste Technik war die Prozessinjektion, bei der Kriminelle versuchen, Code in das Adressfeld eines anderen Prozesses einzuschleusen, um Verteidigungsmaßnahmen zu umgehen und die Tarnung zu verbessern. Unternehmen werden besser in der Lage sein, sich gegen das breite Instrumentarium von Angreifern zu schützen, wenn sie über diese verwertbaren Informationen verfügen. Integrierte, KI- und ML-gesteuerte Cybersecurity-Plattformen mit fortschrittlichen Erkennungs- und Reaktionsfunktionen, die auf praxisbezogenen Bedrohungsdaten basieren, sind wichtig, um alle Bereiche hybrider Netzwerke zu schützen.

Two bar graphs of the top eight malware tactics and techniques focused on the endpoint. The first graph compares the popularity of the top malware tactics. 59.2 percent of malware uses defense evasion, 12.5 percent use credential access, 10.4 percent use initial access, 9.4 percent use impact, 5.0 percent use execution, 1.8 percent use privilege escalation, 0.9 percent use discover, and 0.8 percent use collection. The second graph compares the popularity of the top malware techniques. 26.1 percent of malware uses system binary proxy execution, 19.2 percent use process injection, 6.6 percent use windows management instrumentation, 6.6 percent use scripting, 6.6 percent use Mshta, 6.1 percent use command and scripting interpreter, 4.2 percent use input capture, and 4.2 percent use OS credential dumping.

Grafik: Top-Malware-Taktiken und -Techniken (Endpunkt)

KI-gestützte Security schützt die erweiterte Angriffsfläche:

Wenn Unternehmen praxisbezogene Bedrohungsdaten nutzen, um ein besseres Verständnis für die Ziele und Taktiken von Angreifern zu entwickeln, können sie ihre Abwehrmaßnahmen besser aufstellen. So können sie angesichts sich schnell weiterentwickelnder Techniken ihre Abwehrmaßnahmen frühzeitig aktiv anpassen. Bedrohungsdaten sind entscheidend wichtig, um Patch-Strategien leichter priorisieren zu können und so die Umgebungen besser abzusichern. Darüber hinaus sind das Bewusstsein für Cybersecurity und entsprechende Trainings besonders wichtig, um Mitarbeitende und Security-Teams in einer wandelnden Bedrohungslandschaft auf dem neusten Stand zu halten. Unternehmen benötigen einen Security-Betrieb, der mit maschineller Geschwindigkeit laufen kann, um mit dem Umfang, der Raffinesse und Häufigkeit der heutigen Cyberbedrohungen mitzuhalten. KI- und Machine-Learning-gestützte Prävention sowie Bedrohungserkennung und Reaktionsmaßnahmen auf Basis einer Cybersecurity-Mesh-Architektur ermöglichen eine engere Integration, einen erhöhten Automatisierungsgrad und eine schnellere, besser koordinierte, effektive Bedrohungsabwehr über das gesamte Netzwerk hinweg.

Derek Manky, Chief Security Strategist & VP Global Threat Intelligence, FortiGuard Labs

„Cyberkriminelle entwickeln ihre Playbooks weiter, um Abwehrmechanismen zu umgehen und ihre Operationen zu skalieren. Sie setzen auf aggressive Strategien wie Erpressung oder Datenlöschung und eine ausführlichere Erkundungsphase vor dem eigentlichen Angriff. So können sie durch ihre Investitionen in Bedrohungen höhere Gewinne erzielen. Um diese ausgeklügelten Angriffe zu bekämpfen, benötigen Unternehmen integrierte Security-Lösungen, die Bedrohungsdaten in Echtzeit verarbeiten und Bedrohungsmuster erkennen können. Sie müssen massive Datenmengen korrelieren, um Anomalien zu entdecken und automatisch eine koordinierte Antwort über hybride Netzwerke hinweg anstoßen.“

Überblick über den Bericht

Der aktuelle Global Threat Landscape Report wertet die Erkenntnisse der FortiGuard Labs aus, gesammelt mit den Sensoren von Fortinet. Diese haben in der ersten Hälfte des Jahres 2022 Milliarden von Bedrohungsereignissen auf der ganzen Welt erfasst. Ähnlich wie das MITRE ATT&CK-Framework die Taktiken und Techniken von Angreifern klassifiziert, wobei die ersten drei Gruppen die Erkundung, die Entwicklung von Ressourcen und den Erstzugriff umfassen, nutzt der FortiGuard Labs Global Threat Landscape Report dieses Modell, um zu beschreiben, wie Bedrohungsakteure Schwachstellen finden, eine Infrastruktur für Angriffe aufbauen und ihre Ziele ausnutzen. Der Bericht deckt auch globale und regionale Perspektiven ab sowie Bedrohungstrends, die IT und OT betreffen.

Weitere Informationen

  • Folgen Sie dem Blog für wertvolle Erkenntnisse aus diesem Bericht. Das FortiGuard Labs Team beleuchtet in den kommenden Wochen unterschiedliche Themen aus dem Report
  • Erfahren Sie mehr über die FortiGuard Labs, Fortinets Threat-Intelligence- und Forschungssparte, sowie über die Outbreak Alerts, die frühzeitig Hinweise zur Eindämmung von Cybersecurity-Bedrohungen bereitstellen.
  • Erfahren Sie mehr über das Portfolio der FortiGuard Security Services von Fortinet.
  • Erfahren Sie mehr über Fortinets kostenlose Cybersecurity-Trainings, die ein breites Spektrum an Schulungen für mehr Cyber-Bewusstsein und Produktwissen umfassen. Als Teil der Fortinet Training Advancement Agenda (TAA) bietet das Fortinet Training Institute auch Schulungen und Zertifikate im Rahmen des Network Security Expert (NSE) Zertifizierungsprogramm sowie des Academic Partner und des Education Outreach Program an.
  • Lesen Sie mehr darüber, wie Fortinet-Kunden ihre Unternehmen schützen. 
  • Beteiligen Sie sich an der Fortinet User Community (Fuse). Tauschen Sie Ideen und Feedback aus, erfahren Sie mehr über unsere Produkte und Technologien und treten Sie mit Gleichgesinnten in Kontakt. 
  • Folgen Sie Fortinet auf Twitter, LinkedIn, Facebook und Instagram. Abonnieren Sie den Fortinet Blog oder den YouTube-Kanal.

Über FortiGuard Labs

Fortinet (NASDAQ: FTNT) schafft durch seine Mission, Menschen, Geräte und Daten jederzeit zu schützen, eine digitale Welt, der wir immer vertrauen können. Aus diesem Grund entscheiden sich viele der weltweit größten Unternehmen, Service Provider und Behörden für Fortinet, um ihre digitale Transformation sicher voranzutreiben. Die Fortinet Security Fabric-Plattform bietet umfassenden, integrierten und automatisierten Schutz über die gesamte digitale Angriffsfläche hinweg und sichert kritische Geräte, Daten, Anwendungen und Verbindungen vom Rechenzentrum über die Cloud bis hin zum Homeoffice. Als die Nummer 1, was die am häufigsten ausgelieferten Security Appliances angeht, vertrauen mehr als 595.000 Kunden Fortinet den Schutz ihrer Marke an. Fortinets Network Security Expert (NSE) Training Institute, eine Initiative der Fortinet Training Advancement Agenda (TAA), verfügt über eines der größten und umfangreichsten Cybersecurity-Schulungsprogramme der Branche. Cybersecurity-Kurse und neue Karrieremöglichkeiten werden somit jedem zugänglich gemacht. Weitere Informationen dazu auf www.fortinet.com/de, auf dem Fortinet Blog oder bei den FortiGuard Labs.FortiGuard Labs ist Fortinets Threat-Intelligence- und Forschungssparte. Ihr Ziel ist es, Fortinet-Kunden mit den besten Bedrohungsinformationen der Branche zu versorgen, um sie vor böswilligen Aktivitäten und ausgeklügelten Cyber-Angriffen zu schützen. Sie setzt sich aus einigen der sachkundigsten Bedrohungs- und Datenforscher, Analysten und Ingenieuren der Branche zusammen, die in speziellen Threat-Research-Laboren auf der ganzen Welt verteilt arbeiten. Die FortiGuard Labs überwachen kontinuierlich die weltweite Angriffsfläche mit Hilfe von Millionen von Netzwerksensoren und Hunderten von Partnern für den Informationsaustausch. Diese Informationen werden mit Hilfe künstlicher Intelligenz (KI) und anderen innovativen Technologien analysiert und verarbeitet, um sämtliche Daten auf neue Bedrohungen hin zu untersuchen. Diese Bemühungen führen zu zeitnahen, verwertbaren Bedrohungsinformationen in Form von Aktualisierungen der Fortinet-Security-Produkte. Proaktive Bedrohungsforschung ermöglicht unseren Kunden außerdem ein besseres Verständnis der Threats und der sogenannten Threat Actors, mit denen sie konfrontiert sind. Durch die Bereitstellung spezialisierter Consulting-Dienstleistungen helfen wir unseren Kunden, ihre Sicherheitsrisiken zu identifizieren und Schutzmaßnahmen zu verstärken. Weitere Informationen dazu auf https://www.fortinet.com/de, auf dem Fortinet Blog oder bei den FortiGuard Labs.

Über Fortinet 

Fortinet (NASDAQ: FTNT) schafft durch seine Mission, Menschen, Geräte und Daten jederzeit zu schützen, eine digitale Welt, der wir immer vertrauen können. Aus diesem Grund entscheiden sich viele der weltweit größten Unternehmen, Service Provider und Behörden für Fortinet, um ihre digitale Transformation sicher voranzutreiben. Die Fortinet Security Fabric-Plattform bietet umfassenden, integrierten und automatisierten Schutz über die gesamte digitale Angriffsfläche hinweg und sichert kritische Geräte, Daten, Anwendungen und Verbindungen vom Rechenzentrum über die Cloud bis hin zum Homeoffice. Als die Nummer 1, was die am häufigsten ausgelieferten Security Appliances angeht, vertrauen mehr als 595.000 Kunden Fortinet den Schutz ihrer Marke an. Fortinets Network Security Expert (NSE) Training Institute, eine Initiative der Fortinet Training Advancement Agenda (TAA), verfügt über eines der größten und umfangreichsten Cybersecurity-Schulungsprogramme der Branche. Cybersecurity-Kurse und neue Karrieremöglichkeiten werden somit jedem zugänglich gemacht. Weitere Informationen dazu auf https://www.fortinet.com/de, auf dem Fortinet Blog oder bei den FortiGuard Labs.

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM.

Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.