H1 2023: Ransomware verlagert sich auf Linux und anfällige Treiber

Im ersten Halbjahr 2023 nahmen Ransomware-Angriffe sprunghaft zu. Angreifer verließen sich dabei zunehmend auf die Ausnutzung von Schwachstellen, um sich schnell einen Vorteil zu verschaffen. Bekannte Kampagnen zielten auf Organisationen ab, die Sicherheitslücken ausnutzten, wie beispielsweise beim VMware ESXi-Hypervisor-Verstoß. Dieser Trend wurde durch Ransomware-Gruppen vorangetrieben, die es auf Linux-Server abgesehen hatten, die zwar schnellere Angriffe ermöglichen, aber eine weniger benutzerreiche Umgebung als Windows oder MacOS bieten, sodass die Ausnutzung von Schwachstellen für den Erstzugriff Priorität hat.

Zu den bekanntesten Malware-Varianten im ersten Halbjahr 2023 gehörten LockBit, ALPHV, Royal, ESXiArgs und Pegasus. Darüber hinaus nutzten Angreifer anfällige Treiber aus, um Endpoint Detection and Response-Lösungen zu umgehen, was die Notwendigkeit einer Inventarisierung und Patches der von der Organisation verwendeten Treiber unterstreicht.

Ein Ereignis mit erheblichen finanziellen Auswirkungen war die Ausnutzung einer Zero-Day-Schwachstelle im E-Mail-Sicherheitsgateway (ESG) von Barracuda, was zum Austausch von ESG-Geräten und erheblichen finanziellen Verlusten führte. Redundanz in der IT- und Sicherheitsarchitektur ist von entscheidender Bedeutung. Im restlichen Jahr 2023 werden wir wahrscheinlich weiterhin Ransomware- Angriffe erleben, die sich Schwachstellen zunutze machen und auf anfällige Treiber abzielen. Verteidiger sollten Ressourcen und Budgets für Redundanz optimieren, um das Risiko zu verteilen.

Ransomware-Akteure nutzen Schwachstellen in der Software von Drittanbietern aus, wie die Sicherheitsverletzungen der CL0P-Gruppe zeigen. Verteidiger sollten die Sicherheitsrichtlinien für Software von Drittanbietern überprüfen, insbesondere für Produkte, die im ersten Halbjahr 2023 ins Visier genommen werden. Zu den Schritten gehören die Inventarisierung von MFT-Systemen, die Aufrechterhaltung eines robusten Patch-Managements und die Abstimmung mit Anbietern zur effektiven Behebung von Sicherheitslücken.

Anfällige Treiber stellen einen zunehmenden Angriffsvektor dar, der eine aufmerksame Verfolgung, Identifizierung bösartiger Treiber und regelmäßige Audits erfordert, um die Ausnutzung zu minimieren. Organisationen, die auf einzelne Sicherheitslösungen angewiesen sind, sollten bei der Verteilung von Cyberrisiken auf Redundanz setzen.

Insgesamt wird deutlich, dass proaktive Maßnahmen zur Bekämpfung von Ransomware und der Ausnutzung von Sicherheitslücken erforderlich sind. Dazu gehören eine gründliche Inventarisierung, Patch-Management, Redundanz und kollaborative Reaktionsstrategien.

Um die gesamte Analyse mit Endnoten zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.