Das Wichtigste in Kürze:
Cyberkriminelle fokussieren sich vermehrt auf Sicherheitssoftware, um gezielt Unternehmensnetzwerke zu infiltrieren. Ransomware-Gruppen nutzen Schwachstellen in sicherheitskritischen Systemen wie Firewalls, VPN-Gateways (z. B. Citrix NetScaler, Fortinet), um den initialen Zugriff zu erhalten. Diese Geräte, die eigentlich Netzwerke schützen sollen, werden so selbst zu Einfallstoren. Angreifer profitieren dabei oft von verzögerten Patches, die aufgrund möglicher Betriebsunterbrechungen nicht sofort implementiert werden.
Klassische Schutzmechanismen wie Antivirus-Software greifen hier nicht, da Angreifer legitime Netzwerktools nutzen (bekannt als „Living off the Land“). Die Geschwindigkeit, mit der Exploits nach Veröffentlichung von Patches auftauchen, setzt IT-Teams zusätzlich unter Druck: Angriffe erfolgen oft innerhalb weniger Stunden. Infolgedessen reicht reines Patchen nicht mehr aus – Unternehmen benötigen eine umfassende Überwachung und forensische Bereitschaft, um atypische Aktivitäten rechtzeitig zu erkennen und darauf zu reagieren. Nur mit einer ganzheitlichen Cybersicherheitsstrategie können die ständig wachsenden Bedrohungen effektiv bewältigt werden.
Sicherheitssoftware im Visier der Cyberkriminellen
Ransomware bleibt auch 2024 eine der grössten Bedrohungen für Unternehmen weltweit. Im Rahmen unseres Threat-Intelligence-Programms haben wir die aktivsten und erfolgreichsten Ransomware-Gruppen analysiert und anhand öffentlich zugänglicher IOCs (Indicators of Compromise) sowie Logdaten eine Übersicht der verwendeten Sicherheitslücken erstellt. An dieser Stelle möchten wir uns im Namen der T-Alpha GmbH bei allen Beteiligten dafür bedanken, dass die Daten transparent zur Verfügung gestellt werden – dies bietet auch weiteren Forschenden eine solide Grundlage für ihre Arbeit.
Dass Cyberkriminelle bekannte Schwachstellen bevorzugt ausnutzen, um den initialen Zugriff auf Unternehmenssysteme zu erlangen, ist nicht neu. Bemerkenswert ist jedoch, dass oft Schwachstellen in etablierten Sicherheitssystemen selbst im Fokus stehen. Die Angriffsstrategien der Cyberkriminellen haben sich weiterentwickelt und zielen zunehmend auf sicherheitskritische Systeme ab. Ironischerweise geraten ausgerechnet jene Technologien ins Visier der Angreifer, die Netzwerke schützen sollen – darunter Firewalls und Remote-Access-Gateways von Anbietern wie Citrix NetScaler und Fortinet.
Sicherheitslösungen im Fadenkreuz
Ransomware-Gruppen haben erkannt, dass Systeme zur Netzwerkabsicherung oft selbst Schwachstellen aufweisen. Produkte wie Citrix NetScaler, VPN-Gateways und Fortinet Firewalls werden zunehmend kompromittiert, was Angreifern unbemerkt direkten Zugang zu Unternehmensnetzwerken verschafft.
Ein Vorteil für Angreifer ist, dass Patches oft unmittelbare Auswirkungen auf den Unternehmensbetrieb haben und daher verzögert umgesetzt werden. Zudem besitzen Firewalls weitreichende Rechte und integrierte Tools, die es ihnen ermöglichen, Netzwerkverkehr auszulesen und mit Authentifizierungsdiensten zu kommunizieren. So können Angreifer oft vorgehen, ohne zusätzliche Schadsoftware einzusetzen. Das Motto lautet hier: „Warum sich mühsam in Systeme einhacken, wenn man über die Firewall direkten Zugriff auf alle Benutzerdaten des Unternehmens erhält?“
Diese Vorgehensweise zeigt deutlich die Grenzen klassischer Schutzmechanismen wie Antivirus-Software auf. In diesen Fällen nützt selbst der beste Virenschutz wenig, da das Verhalten des Angreifers sich nicht von dem eines normalen Nutzers unterscheidet. Dieses Konzept ist als „Living off the Land“ (LOL) bekannt: Angreifer nutzen vorhandene, legitime Tools und Prozesse im Netzwerk für ihre Zwecke.
Die Grenzen des Patchings
Regelmässiges Patchen ist zwar unerlässlich, reicht jedoch nicht mehr aus. Sicherheitsupdates grosser Unternehmen werden oft automatisiert reverse-engineert, um die exakte Schwachstelle zu identifizieren und rasch einen passenden Exploit zu entwickeln. In der Vergangenheit wurden Fälle dokumentiert, in denen nur 90 Minuten nach der Veröffentlichung eines Fortinet-Patches bereits die ersten Proof-of-Concept-Exploits (PoC) auftauchten. Es ist äusserst unwahrscheinlich, dass ein Administrator in einem solchen Szenarion rechtzeitig die Updates einspielen kann.
Manchmal ist Patchen sogar wirkungslos, da sich der Angreifer bereits im Netzwerk befindet und automatisierte Webshells global ausgerollt hat. So kann er sich unbemerkt im Netzwerk weiter ausbreiten. Administratoren, die sich in Sicherheit wiegen, werden spätestens am Tag X feststellen, dass der Patch nur wenige Stunden zu spät implementiert wurde. Ohne ausreichende forensische Bereitschaft und ohne ein effektives Security Information and Event Management (SIEM) haben viele Unternehmen kaum eine Chance, untypische Aktivitäten zu erkennen. Oft fehlt es schlicht an einer Basislinie, um Abweichungen frühzeitig zu identifizieren.
Fazit: Ganzheitliche Überwachung als Schlüssel zur Cybersicherheit
Die Zeiten, in denen ein einfacher Virenschutz ausreichte, um Unternehmen zu schützen, sind vorbei. Der klassische Detection-and-Filtering-Ansatz hat in den letzten Jahrzehnten nicht wie erhofft funktioniert – und wird dies auch in Zukunft nicht tun. Unternehmen müssen die Versäumnisse der Vergangenheit anerkennen und gezielt nacharbeiten: Nur durch eine lückenlose Protokollierung und sorgfältige Analyse aller Aktivitäten lässt sich ein angemessener Schutz gewährleisten.
Leider verkaufen viele Anbieter weiterhin teure, oft wirkungslose Softwarelösungen und SOC-Dienstleistungen, die allein jedoch wenig bringen, wenn die grundlegende Infrastruktur nicht modernisiert wird. Nur das, was vollständig protokolliert ist, kann sinnvoll ausgewertet werden. Um Cybersicherheit nachhaltig zu verbessern, muss die Basis stimmen – und dies bedeutet, eine solide Grundlage für forensische Auswertungen zu schaffen und im Ernstfall handlungsfähig zu bleiben.
Strategische Priorität für Cybersicherheit
Cybersicherheit ist heute eine strategische Priorität und sollte regelmässig überprüft werden. Proaktive Abwehrstrategien und schnelle Reaktionsfähigkeit sind entscheidend, um die Widerstandsfähigkeit eines Unternehmens nachhaltig zu stärken. Dass Sicherheitslösungen selbst zunehmend ins Visier der Angreifer geraten, unterstreicht die Notwendigkeit eines umfassenden Ansatzes. Unternehmen müssen Angreifer nicht nur abwehren, sondern auch in kritischen Phasen aktiv erkennen und schnell reagieren können – nur so lassen sich die ständig wachsenden Bedrohungen effektiv bewältigen.
Frei nach dem Motto: „Es gibt Unternehmen, die bereits gehackt wurden – und solche, die es noch nicht wissen.“
Die entscheidende Frage lautet daher: Wären Sie in der Lage zu erkennen, ob Sie bereits kompromittiert wurden?
Quellen:
Ransomware Reports and Trends
- TRM Labs. (2024). Ransomware in 2024: Latest Trends, Mounting Threats, and the Government Response.
Read Report - Cyberint. (2024). Ransomware Groups Report 2024 – Q2.
Read Report - Sophos. (2024). The State of Ransomware 2024.
Read Report - SpyCloud. (2024). 2024 Malware & Ransomware Defense Report.
Read Report - Sprinto. (2024). 100+ Ransomware Statistics You Should Know.
Read Report - Trend Micro. (2024). Trend Micro 2024 Midyear Cybersecurity Threat Report.
Read Report - Check Point Research. (2024). Check Point Research Reports Highest Increase of Global Cyber Attacks seen in last two years – a 30% Increase in Q2 2024 Global Cyber Attacks.
Read Report
