ESET Threat Report T3 2021

Während das Jahr 2020 von Supply-Chain-Angriffen geprägt war (und natürlich vom Beginn der globalen COVID-19-Krise), standen im Jahr 2021 einige erschreckend schwere Schwachstellen (… und die Verfügbarkeit von Impfstoffen) im Vordergrund.

Das Jahr begann mit einem Paukenschlag, als Microsoft Exchange-Server auf der ganzen Welt plötzlich den Angriffen von mindestens zehn APT-Gruppen ausgesetzt waren. ProxyLogon, die diesen Angriffen zugrundeliegende Schwachstellenkette, hat es laut der ESET-Telemetrie im Jahr 2021 auf Platz zwei der häufigsten externen Angriffsvektoren geschafft, direkt hinter Angriffen zum Erraten von Passwörtern. Wie Sie im ESET Threat Report T3 2021 lesen können, wurden Microsoft Exchange-Server im August 2021 erneut angegriffen. Dabei wurde eine neuere, mit ProxyLogon verwandte Schwachstelle namens ProxyShell weltweit von mehreren APT-Gruppen ausgenutzt.

Volle Punktzahl für Log4j

Dann tauchte Mitte Dezember ein kritischer Fehler im allgegenwärtigen Dienstprogramm Log4j auf und versetzte erneut IT-Teams weltweit in Aufregung, um den Fehler in ihren Systemen zu lokalisieren und zu beheben. Diese Schwachstelle, die auf der CVSS-Skala eine glatte 10 erreicht, setzte unzählige Server dem Risiko einer vollständigen Übernahme aus. Es war daher nicht verwunderlich, dass Cyberkriminelle sofort damit begannen, sie auszunutzen. Obwohl Log4j-Angriffe nur in den letzten drei Wochen des Jahres vor sich gingen, schafften sie es auf Platz 5 der häufigsten Angriffsvektoren im Jahr 2021. Dies demonstriert eindrucksvoll, wie schnell Bedrohungsakteure dazu in der Lage sind neu auftretende kritische Schwachstellen ausnutzen.

Auch in Punkto RDP-Angriffe war das Jahresende 2021 turbulent. Nach dem die Zahlen in den Jahren 2020 und 2021 immer weiter angestiegen waren, wurden in den letzten Wochen des Jahres nochmal alle Rekorde gebrochen. Insgesamt wuchs die Zahl der blockierten Angriffsversuche um 897%. Obwohl das Jahr 2021 eben nicht mehr vom Chaos neu verhängter Lockdowns und überstürzter Umstellungen auf Remote Work geprägt war. Die wahrscheinlich einzige gute Nachricht bei RDP-Angriffen ist der Rückgang an angreifbaren Zielen, wie im Abschnitt Exploits des Threat Report beschrieben. Allerdings sieht es nicht danach aus, als würde der Amoklauf in absehbarer Zeit enden.

Ransomware-Rekorde und Kryptokunst

Bei Ransomware, die im Vorjahr in unserem Threat Report für das 4. Quartal 2020 als „aggressiver denn je“ charakterisiert wurde, übertrafen die Entwicklungen im Jahr 2021 die schlimmsten Erwartungen. Wir wurden Zeugen von Angriffen auf kritische Infrastrukturen, unverschämten Lösegeldforderungen und Bitcoin-Transaktionen im Wert von über 5 Milliarden US-Dollar, allein im ersten Halbjahr 2021.

Der Druck wächst jedoch auch von der anderen Seite. Die zeigen die fieberhaften Aktivitäten der Strafverfolgungsbehörden gegen Ransomware und andere cyberkriminelle Bestrebungen. Einige Gangs zwang das harte Durchgreifen zum Untertauchen und sogar zur Freigabe von Entschlüsselungsschlüsseln. Andere Angreifer wurden noch dreister. So sahen wir im letzten Jahresdrittel 2021 das bisher höchste Lösegeld-Ultimatum im Zusammenhang mit Ransomware, 240 Millionen US-Dollar. Etwa das Dreifache des bisherigen Rekords aus unserem letzten Report.

Apropos Allzeithoch: Als der Bitcoin-Wechselkurs im November 2021 seinen bisherigen Höchststand erreichte, beobachteten ESET-Experten zeitgleich auch eine Zunahme von Bedrohungen, die auf Kryptowährungen abzielen und die jüngste Popularität von NFTs (non-fungible tokens) scheint diesen Trend weiter zu verstärken.

Was Mobilgeräte betrifft, haben wir im Jahr 2021 einen alarmierenden Anstieg der Erkennung von Android-Banking-Malware festgestellt – sie stieg im Vergleich zu 2020 um 428 % und die hat mittlerweile den Größenumfang der Erkennungsrate von Adware erreicht – ein häufiges Ärgernis auf der Plattform. Es versteht sich von selbst, dass das Schadenspotenzial dieser beiden Bedrohungen nicht vergleichbar ist und wir hoffen, dass sich der Abwärtstrend für Banking-Malware in T3 2021 auch im Jahr 2022 fortsetzen wird.

Return of Emotet

Bei den E-Mail-Bedrohungen, die Einstiegspunkt für eine Vielzahl anderer Angriffe sind, sahen wir eine Verdopplung der jährlichen Erkennungszahlen. Dieser Trend wurde hauptsächlich durch eine Zunahme von Phishing-E-Mails vorangetrieben, die den schnellen Rückgang an bösartigen Makros von Emotet in E-Mail-Anhängen mehr als kompensierten. Das Emotet-Netzwerk, das den größten Teil des Jahres inaktiv war, ist in T3 von den Toten auferstanden. Seine Betreiber versuchten, seine Infrastruktur mit Unterstützung von Trickbot wieder aufzubauen. Die Malware-Analysten von ESET gehen davon aus, dass das Botnetz im Jahr 2022 schnell expandieren und die Malware wieder auf die vorderen Plätze bringen wird – ein Prozess, den wir genau beobachten werden.

ESET Forschungsergebnisse im T3

Die letzten Monate des Jahres 2021 waren auch voll von Forschungsergebnissen von ESET Research: Dazu gehörte FontOnLake, eine neue Malware-Familie, die auf Linux abzielt; ein zuvor undokumentiertes reales UEFI-Bootkit namens ESPecter; FamousSparrow, eine Cyberspionage-Gruppe, die es weltweit auf Hotels, Regierungen und Privatunternehmen abgesehen hat; und viele andere. Im letzten Jahresdrittel veröffentlichten unsere Forscher auch eine umfassende Analyse aller 17 bösartigen Frameworks, von denen bekannt ist, dass sie zum Angriff auf Air-Gap-Netzwerke verwendet wurden, und sie schlossen ihre umfangreiche Reihe zu lateinamerikanischen Banking-Trojanern ab.

Der ESET Threat Report T3 2021 enthält auch bisher unveröffentlichte Informationen über die Operationen von APT-Gruppen. Diesmal bieten Forscher Updates zu den Aktivitäten der Cyberspionagegruppe OilRig; neueste Informationen zur Ausnutzung der ProxyShell-Schwachstelle in freier Wildbahn und zu neuen Spearphishing-Kampagnen der berüchtigten Cyberspionage-Gruppe The Dukes.

Und wie immer hatten die ESET-Forscher in diesem Zeitraum viele Gelegenheiten, um ihr Fachwissen auf verschiedenen virtuellen Konferenzen auszutauschen. Sie waren bei Virus Bulletin 2021, der CyberWarCon 2021, der SecTor 2021, der AVAR 2021 Virtual und anderen Veranstaltungen mit dabei. Wir freuen uns, Sie in den kommenden Monaten zu einem ESET-Vortrag bei SeQCure im April 2022 und zur RSA-Konferenz im Juni 2022 einzuladen, auf der wir die jüngste Entdeckung von ESPecter vorstellen werden.

Viel Spaß beim Lesen, bleiben Sie sicher – und bleiben Sie gesund!