>
Research (Insikt)

Muster und Ziele für die Ausnutzung von Schwachstellen durch Ransomware: 2017–2023

Veröffentlicht: 8. Februar 2024
Von: Insikt Group®

insikt-group-logo-aktualisiert-3-300x48.png

Eine aktuelle Studie von Insikt analysiert Ransomware- und Sicherheitslückentrends der letzten sechs Jahre und bietet Einblicke in die Zukunftserwartungen.

Ransomware-Gruppen nutzen Schwachstellen in zwei verschiedenen Kategorien aus: Schwachstellen, die nur von wenigen Gruppen ausgenutzt werden, und solche, die von mehreren Gruppen ausgenutzt werden. Jede Kategorie erfordert unterschiedliche Verteidigungsstrategien. Gruppen, die es auf bestimmte Schwachstellen abgesehen haben, neigen dazu, bestimmten Mustern zu folgen, was es Unternehmen ermöglicht, Abwehrmaßnahmen und Audits zu priorisieren. Um sich gegen einzigartige Angriffe zu schützen, ist es wichtig, die wahrscheinlichen Ziele und Schwachstellen zu kennen.

Diagramm, das die Anzahl der Ransomware-Gruppen zeigt, die in den letzten fünf Jahren mit der Ausnutzung von Sicherheitslücken in Verbindung gebracht wurden Diagramm, das die Anzahl der Ransomware-Gruppen zeigt, die in den letzten fünf Jahren mit der Ausnutzung von Schwachstellen in Verbindung gebracht wurden. Mit „einer Gruppe“ meinen wir beispielsweise, dass nur eine Gruppe eine Schwachstelle ausgenutzt hat (Quelle: Recorded Future)

Weit verbreitete Schwachstellen finden sich in häufig genutzter Unternehmenssoftware und lassen sich durch verschiedene Mittel wie Penetrationstestmodule leicht ausnutzen. Die von Ransomware-Betreibern am häufigsten ins Visier genommenen Schwachstellen können alle leicht über Penetrationstest-Module oder einzelne Codezeilen ausgenutzt werden. Zur Abwehr solcher Exploits gehört das sofortige Patchen von Sicherheitslücken, die Überwachung der Sicherheitsforschung auf Machbarkeitsnachweise und das Beobachten krimineller Foren nach Hinweisen auf Tech-Stack-Komponenten und nicht auf spezifische Sicherheitslücken.

Einige Ransomware-Gruppen konzentrieren sich darauf, drei oder mehr Sicherheitslücken auszunutzen und so klare Angriffsmuster für Verteidiger vorzugeben. CL0P hat beispielsweise Dateiübertragungssoftware von Accellion, SolarWinds und MOVEit ins Visier genommen. Die meisten gezielten Schwachstellen befinden sich in weit verbreiteter Unternehmenssoftware und können leicht ausgenutzt werden. Schwachstellen, die einzigartige Vektoren erfordern, werden in der Regel nur von wenigen Gruppen ausgenutzt.

Auf der Grundlage einer Überprüfung der übergeordneten Kategorien, in die Sicherheitslücken fallen, sind wir zuversichtlich, dass eine Sicherheitslücke, die nur von einer Gruppe ausgenutzt wird, wahrscheinlich ein speziell angefertigtes Paket (z. B. eine komprimierte Datei oder Anwendungsdaten) erfordert und nicht einfach über ein paar Zeilen Code missbraucht werden kann.

Von allen Schwachstellen, die von Ransomware-Operationen ausgenutzt wurden, stachen fünf als diejenigen hervor, die die meiste Aufmerksamkeit der Bedrohungsakteure auf sich zogen, da sie von der höchsten Anzahl einzelner Ransomware-Bedrohungsakteure ausgenutzt wurden. Bei diesen Schwachstellen handelt es sich um ProxyShel, ZeroLogon, Log4Shell, CVE-2021-34527 – die Microsoft-Unternehmensprodukte wie Exchange, Netlogon und Print Spooler betraf – und CVE-2019-19781, die Citrix-Software betraf. Microsofts Dominanz hier ist nicht überraschend: Wie wir in früheren Berichten festgestellt haben, ist Microsoft regelmäßig der Anbieter, der am stärksten von Zero-Day-Exploits und von Ransomware insgesamt betroffen ist, da etwa 55 % der Sicherheitslücken, die von drei oder mehr Gruppen ausgenutzt wurden, in Microsoft-Produkten waren.

Nach ihrer Bekanntgabe erfreuten sich die fünf größten Schwachstellen auch in der weiteren Bedrohungslandschaft großer Beliebtheit. Grund dafür sind Faktoren wie die massiven Auswirkungen im Hinblick auf den Zugriff auf bzw. die Kontrolle über Systeme und die Verbreitung der betroffenen Software. So wurden beispielsweise nationalstaatliche Gruppen und andere Cyberkriminelle, die keine Ransomware einsetzen, wiederholt dabei beobachtet, wie sie diese Schwachstellen als Teil ihrer Einbruchsoperationen anvisierten.

Ransomware-Betreiber und ihre Partner sprechen selten über spezifische Schwachstellen, aber das breitere Ökosystem der Cyberkriminellen identifiziert und diskutiert öffentlich bekannte Schwachstellen und potenzielle Ziele, die sie ausnutzen wollen.

Minderungsstrategien

Basierend auf den oben genannten Erkenntnissen und Bewertungen halten wir die folgenden Abwehrmaßnahmen als die effektivsten gegen die Ausnutzung von Schwachstellen durch Ransomware-Betreiber:

  • Stellen Sie sicher, dass Geräte und Netzwerke keine eingehenden Anfragen über HTTP/S empfangen können, sofern dies nicht erforderlich ist. Die Ransomware, die die meisten Schwachstellen ausnutzt, zeigt eine klare Präferenz für kritische Schwachstellen, die über ein paar Zeilen Code gegen Geräte ausgenutzt werden können, die HTTP/S-Anfragen empfangen können. Wir haben festgestellt, dass dies insbesondere im Fall von Path-Traversal-Schwachstellen zutrifft.
  • Überwachen Sie Artikel, Blogs und Code-Repositories von Sicherheitsforschern auf Hinweise auf eine einfache, auf HTTP/S-Anfragen basierende Exploit-Syntax. Diese Informationen können verwendet werden, um Erkennungen für Exploit-Versuche gegen Geräte einzurichten, die öffentlich zugänglich bleiben müssen.
  • Ermitteln Sie bei bedenklichen Ransomware-Gruppen, ob und wo solche Gruppen gezielt Schwachstellen ausnutzen, um ein Profil der wahrscheinlichsten Ziele zu erstellen, sowohl in Bezug auf Produkte als auch auf Schwachstellenarten.
  • Patchen Sie weit verbreitete und kritische Schwachstellen so schnell wie möglich. Statistiken über die Verweildauer zeigen, dass Ransomware-Gruppen die verwundbare Infrastruktur der Opfer über drei Jahre nach dem Bekanntwerden einer Sicherheitslücke ausnutzen können.
  • Verwenden Sie die Überwachung krimineller Foren nicht als zuverlässige Methode, um das Interesse von Ransomware-Gruppen an bestimmten Sicherheitslücken zu erkennen, da diese Gruppen nur selten über solche Sicherheitslücken diskutieren. Verlassen Sie sich außerdem nicht auf Warnungen vor kriminellen Erwähnungen von CVE-Kennungen, da Kriminelle CVE-Kennungen in der Regel erst dann diskutieren, wenn sie bereits ausgenutzt wurden. Achten Sie stattdessen auf kriminelle Diskussionen über Anbieter und Produkte, die Sie interessieren.

Mit Blick auf das Jahr 2024 könnten Fortschritte in der generativen KI die technische Barriere für Cyberkriminelle senken und die Ausnutzung weiterer Zero-Day-Sicherheitslücken erleichtern. Große Anbieter wie Google und Apple könnten zum Ziel von Ransomware-Kampagnen werden, die bisher gegen solche Bedrohungen immun waren. Darüber hinaus könnte ein möglicher Wiederanstieg des Wertes von Kryptowährungen dazu führen, dass sich Erpressergruppen von der Erforschung von Schwachstellen auf den Diebstahl von Krypto-Brieftaschen konzentrieren.

Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.

Hinweis: Diese Zusammenfassung des Berichts wurde erstmals am 8. Februar 2024 veröffentlicht und am 30. Oktober 2024 aktualisiert. Die ursprüngliche Analyse und die Ergebnisse bleiben unverändert.

Verwandt