Fireeye hat seinen Advanced Threat Report für das zweite Halbjahr 2012 veröffentlicht. Eines der Ergebnisse: Unternehmen und Institutionen werden im Durchschnitt alle drei Minuten mit gefährlichen Mail-Attachements, Web-Links oder anderen Angriffen konfrontiert. Die Datenbasis des Reports beruht auf Auswertungen von mehr als 89 Millionen Malware-Zwischenfällen sowie Analysen des Fireeye Research Teams. [...]
Der Advanced Threat Report bietet eine globale Übersicht aktueller Cyber-Angriffe, die traditionelle Abwehrsysteme wie Firewalls und Next-Generation-Firewalls, IPS, Anti-Viren-Lösungen und Security Gateways umgehen können. Außerdem beschreibt der Report die aktuelle Bedrohungslage, die Entwicklung von Advanced Persistent Threats (APT) und wie sehr Unternehmensnetzwerke heute tatsächlich infiltriert werden.
Zu den wichtigsten Ergebnissen des Reports zählt, dass Unternehmen im Schnitt alle drei Minuten Opfer eines Angriffs werden. Industrieübergreifend variiert die Zahl der Angriffe, wobei die Technologiebranche mit durchschnittlich einem Angriff pro Sekunde vorne liegt. Manche Sektoren werden gezielt periodisch angegriffen, während andere unregelmäßigen Angriffen ausgesetzt waren.
Spear-Phishing bleibt laut den Experten die häufigste Methode, um einen fortschrittlichen Malware-Angriff einzuleiten. Dabei verwenden die Angreifer meist E-Mails mit üblichen Begriffen aus dem Unternehmensalltag des Angegriffenen, um User dazu zu bewegen, eine infizierte Datei zu öffnen und den tatsächlichen Angriff auszulösen. Dabei können grob drei Begriffsgruppen unterschieden werden: Versand & Auslieferung, Finanzen und allgemeine geschäftliche Begriffe. Der von Schadcode am häufigsten verwendete Begriff war unter anderem „UPS“. ZIP-Dateien bleiben der beliebteste Dateityp zur Verbreitung von Malware. Schadcode wird in 92 Prozent aller Fälle im ZIP-Format versendet.
Es gab zahlreiche Neuerungen, um die Entdeckung durch herkömmliche Abwehrsysteme zu umgehen. Beispielsweise wurden Vorfälle registriert und ausgewertet, in denen die Malware nur aktiv wurde, sobald der User die Maus bewegt. Damit können viele der aktuellen Sanbox-Systeme überlistet werden. Zusätzlich haben viele Malware-Entwickler inzwischen eine Funktion zur Erkennung von virtuellen Maschinen in ihren Schadcode eingebaut, um Sanboxing weiter zu erschweren. Angreifer nutzen außerdem zunehmend DLL-Dateien. Die Verwendung von DLL-Dateien im Gegensatz zu den üblicheren EXE-Dateien sorgt dafür, dass Infektionen auf den Systemen länger unentdeckt bleiben.
„Dieser Report zeigt, dass die Angriffe über alle Industriesektoren hinweg deutlich fortschrittlicher und auch erfolgreicher geworden sind, wenn es darum geht, in Netzwerke einzudringen“, erklärt Ashar Aziz, Gründer und CTO von Fireeye. „Cyber-Kriminelle investieren heute noch mehr in fortschrittliche Malware und Innovationen, mit denen sich eine Entdeckung des Schadcodes verhindern lässt. Deshalb müssen Unternehmen ihre Sicherheitsinfrastruktur dringend überdenken und die klassischen Mechanismen mit einer zusätzlichen Abwehrreihe verstärken, die diese neuen, unbekannten Bedrohungen in Echtzeit erkennen kann.“
„Die hohe Zahl an Cyber-Angriffen illustriert die Faszination, die Malware auf viele Kriminelle ausübt“, erläutert Zheng Bu, Senior Director of Research. „Heutzutage verwenden Malware-Entwickler enorm viel Zeit darauf, Techniken zu entwickeln, die eine Erkennung des Schadcodes für herkömmliche Sicherheitssysteme unauffindbar macht. Solange Unternehmen nicht bereit sind, jetzt ihre Sicherheitsinfrastruktur zu modernisieren, werden sie in naher Zukunft leichte Beute sein.“
Der komplette Advanced Threat Report für das zweite Halbjahr 2012 ist online unter http://www2.Fireeye.com/WEB2012ATR2H_advanced-threat-report-2h2012.html zu finden, allerdings wird eine Registrierung vorausgesetzt. (pi/rnf)
Be the first to comment