Watchguard Internet Security Report Q4 2023 Weniger Ransomware aber mehr skriptbasierte Bedrohungen

Anbieter zum Thema

WatchGuard Technologies GmbH

Fsas Technologies GmbH

Der neue WatchGuard Internet Security Report für das 4. Quartal 2023 zeigt zwar einen Rückgang an Ransomware-Attacken, dafür aber einen massiven Anstieg von „Evasive Malware“, sowie mehr „Living-off-the-Land“-Angriffe und eine zunehmende Kommerzialisierung von Cyberattacken.

Der aktuelle Internet Security Report von WatchGuard Technologies konstatiert einen dramatischen Anstieg von „Evasive Malware“. Auffällig sind auch vermehrte Angriffe auf E-Mail-Server. Darüber hinaus weist der Bericht auf einen Rückgang von Ransomware hin. Alle Erkenntnisse basieren auf den anonymisierten, aggregierten Daten aller aktiven WatchGuard-Lösungen, deren Besitzer der Weitergabe der Bedrohungsinformationen zur Unterstützung der Forschungsarbeit des Threat Lab zugestimmt haben.

Malware-Volumen im 4. Quartal angestiegen

Zu den wichtigsten Erkenntnissen des aktuellen Internet Security Reports zählt, dass Malware-Erkennungen pro WatchGuard Firebox im Vergleich zum Vorquartal in Summe um 80 Prozent zugenommen haben. Heruntergebrochen auf TLS- und Zero-Day-Malware ergibt sich folgendes Bild: Etwa 55 Prozent der Malware kam über verschlüsselte Verbindungen an, das sind sieben Prozent mehr als im dritten Quartal 2023. Der Anteil von Zero-Day-Malware verdreifachte sich von 22 Prozent im Vorjahresquartal auf 60 Prozent. Besonders auffällig: Die Anzahl der erkannten Zero-Day-Malware mit TLS ging überraschenderweise auf 61 Prozent zurück, das sind zehn Prozent weniger als im dritten Quartal und zeigt die Unberechenbarkeit von Schadsoftware.

Deutschland tritt im Zuge der Malware-Aufschlüsselung nach höchstem Verbreitungsgrad im entsprechenden Ranking deutlich in Erscheinung. Hierbei richtet sich die Perspektive nicht nach dem Gesamtvolumen der jeweiligen Malware-Art, sondern danach, wie viele Firebox-Plattformen diese erkannt haben. So adressierte die am weitesten verbreitete Malware – der Office-Exploit „RTF-ObfsObj-Dat.Gen“ – mit einem Anteil von 31,32 Prozent – vor allem Ziele in der Bundesrepublik. Und auch der Exploit „MathType-Obfs.Gen“ sowie der Trojaner „Zmutzy.1305“ zeigten sich im Ländervergleich auffallend häufig in Deutschland. Bei der Betrachtung der weitverbreitetsten Malware fällt darüber hinaus auf, dass gleich zwei Varianten – sowohl der Typ „JS.Agent.USF“ als auch „Trojan.GenericKD.67408266“ – zum DarkGate-Netzwerk führen. Beide leiten Benutzer zu bösartigen Links um und versuchen, DarkGate-Malware zu laden.

Mehr „Living-off-the-Land“-Angriffe und Exchange-Server-Attacken

Die Anzahl skriptbasierter Bedrohungen stieg gegenüber dem dritten Quartal um 77 Prozent, mit PowerShell als dominantem Angriffsvektor am Endgerät. Browserbasierte Exploits nahmen um 56 Prozent ebenfalls deutlich zu. Vier der fünf am weitverbreitetsten Netzwerkangriffe waren Exchange-Server-Attacken mit den Exploits ProxyLogon, ProxyShell und ProxyNotShell. Zwei einschlägige Signaturen traten dabei am stärksten in Deutschland auf (1138800 und 1139539). Diese Analyseergebnisse verdeutlichen nicht zuletzt, wie wichtig es ist, die Abhängigkeit von lokalen E-Mail-Servern zu verringern.

Wie der Report ebenso belegt, setzt sich die Kommerzialisierung von Cyberangriffen mit „Victim-as-a-Service“-Angeboten fort. Glupteba und GuLoader zählten im vierten Quartal zu den zehn häufigsten Endpunkt-Malware-Varianten. Glupteba ist ein facettenreicher globaler Malware-as-a-Service (MaaS), der u.a. zusätzliche Schadsoftware herunterlädt, sich als Botnet tarnt, vertrauliche Daten stiehlt und heimlich Kryptowährungen schürft.

Takedown-Maßnahmen reduzieren Ransomware-Angriffe

Gute Nachricht: Im vierten Quartal wurde weniger Erpresser-Schadsoftware ausfindig gemacht – minus 20 Prozent im Vergleich zum vorangegangenen Quartal. Die Analysten von WatchGuard stellten auch einen Rückgang der öffentlichen Ransomware-Attacken fest. Grund dafür dürften die Maßnahmen der Behörden zur Bekämpfung von Ransomware-Erpressern sein.

Über den Autor: Corey Nachreiner ist Chief Security Officer bei WatchGuard Technologies.

(ID:49996703)