Cisco Talos Report: Immer mehr Angriffe auf Web-Applikationen
Laut der neuen Cisco Talos-Analyse weltweiter Bedrohungsvektoren nahmen im dritten Quartal 2023 die Angriffe auf Web-Applikationen stark zu. Am stärksten von Angriffen betroffen waren die Branchen Telekommunikation und Bildung. Das Fehlen von Multi-Faktor-Authentifizierung bleibt eine der grössten Schwachstellen.
Cisco Talos hat seine vierteljährliche Analyse zur Bedrohungslage für das dritte Quartal 2023 vorgelegt. In diesem Zeitraum fielen 30 Prozent aller Vorfälle auf die Angriffe auf Web-Applikationen. Im Vergleich zu 8 Prozent im vorherigen Quartal ein bemerkenswerter Anstieg. Bei diesen Aktivitäten handelte es sich um Injektionsangriffe, einschliesslich SQL-Injektion, und den Einsatz von Web Shells.
Ransomware bleibt nach wie vor eine ständige Bedrohung und machte 10 Prozent der Vorfälle aus. Im Verlauf des 3. Quartals, das die Monate Juli, August und September umfasste, waren die Ransomware-Familien LockBit und BlackByte wie auch in den vorherigen Quartalen aktiv. Doch erstmals beobachtete das Talos-Team eine neue Variante der BlackByte-Ransomware, die unter dem Namen BlackByte NT auftrat.
Die Analyse zeigt, dass falsch konfigurierte Anwendungen und das Fehlen von Multi-Faktor-Authentifizierung (MFA) die beiden wichtigsten Sicherheitsschwachstellen darstellen. «Alle Organisationen sollten irgendeine Form von MFA implementieren, da sie einen wirksamen Schutzmechanismus darstellt, um den unbefugten Zugriff auf Systeme und Daten zu verhindern», sagt Roman Stefanov, Head of Cyber Security Sales bei Cisco Schweiz. Er weist aber darauf hin, dass man dennoch aufpassen muss. «Angreifer versuchen mit sogenannten Erschöpfungsangriffen, also vielen Push-Nachrichten gleichzeitig, die Nutzer auszutricksen. Es ist entscheidend, wachsam zu bleiben.»
Telekommunikation und Bildung im Visier
Auf die Branchen Telekommunikation und Bildung wurde laut Talos am stärksten gezielt. Jede dieser Branchen machte jeweils 20 Prozent der Vorfälle aus. Dabei waren sowohl einzelne Bedrohungsakteure als auch Gruppen mit unterschiedlichen Motiven und unterschiedlichem Know-how aktiv.
Telekommunikationsunternehmen sind aufgrund ihrer Kontrolle über mehrere kritische Infrastrukturanlagen attraktive Ziele. Sie dienen als Eintrittspunkt für Angreifer, um auf andere Unternehmen, Abonnenten oder Drittanbieter zuzugreifen. Diese Organisationen verfügen oft über grosse Mengen an Kundendaten, die von finanziell motivierten Cyberkriminellen wie Ransomware-Gruppen häufig ins Visier genommen werden.
Bildungseinrichtungen sind für Cyberkriminellen interessant, da sie über grosse Mengen an persönlich identifizierbaren Daten von Studenten verfügen, sowie Forschungsinstitute mit wertvollem geistigem Eigentum. Viele Bildungsorganisationen haben ein begrenztes Budget für Cybersicherheit, was ihre Verteidigungsmöglichkeiten einschränken kann.
Ebenfalls neu entdeckt wurde im dritten Quartal 2023 die bislang unbekannte APT (Advanced Persistent Threats)-Gruppe «ShroudedSnooper». Sie hat es auf Telekommunikationsunternehmen abgesehen und folgt damit einem Trend zu hochentwickelten Angriffen in diesem Sektor. Im Rahmen dieser Aktivität setzte ShroudedSnooper zwei neue Backdoor-Implantate namens «HTTPSnoop» und «PipeSnoop» ein. Diese Backdoors interagieren mit Windows HTTP-Kern-Treibern und Geräten, um eingehende Anfragen für spezifische HTTP(S)-URLs zu überwachen und den darin enthaltenen Inhalt auf dem infizierten Endpunkt auszuführen.
Quelle: www.cisco.com
