Forscher identifizieren 223 Schwachstellen, die in aktuellen Ransomware-Angriffen genutzt werden

  • Ransomware wird immer schlimmer. Cybersecurity-Analysten schreien dies schon seit Jahren von den Dächern, aber jetzt bietet eine neue Studie, die die wachsende Landschaft von Software-Schwachstellen untersucht, die in Ransomware-Angriffen ausgenutzt werden, einige harte Zahlen, die das Ausmaß dieses Problems in den Kontext stellen.

    Forscher von RiskSense haben in der CVE-Datenbank (Common Vulnerabilities and Exposures) 223 verschiedene IT-Sicherheitsschwachstellen identifiziert, die im Jahr 2020 mit Ransomware-Angriffen in Verbindung gebracht wurden. Das entspricht einer Vervierfachung der Anzahl der Ransomware-bezogenen Schwachstellen, die in ihrem letzten Bericht aus dem Jahr 2019 entdeckt wurden.

    Auch die Ransomware-Familien wachsen und werden immer komplexer. Der vorherige Bericht fand 19 separate Ransomware-Familien; diese Version identifizierte mindestens 125. Diese Gruppen weiten ihre Aktivitäten zunehmend aus, erstellen neue Malware-Varianten, verkaufen ihre Tools an Dritte und zielen auf Schwachstellen in Software und Webanwendungen ab.

    Etwa 40 % der 223 CVEs, die mit den jüngsten Ransomware-Angriffen in Verbindung gebracht werden, fallen unter fünf häufig identifizierte Sicherheitslücken: Berechtigungen, Privilegien und Zugriffskontrollen, Code-Injektion, unsachgemäße Eingabevalidierung, unsachgemäße Einschränkung von Operationen innerhalb der Grenzen eines Speicherpuffers und Preisgabe sensibler Informationen an einen nicht autorisierten Benutzer. Aufgrund dieser Überschneidungen “lässt sich leicht vorhersagen, dass neue Schwachstellenenthüllungen mit ähnlichen Merkmalen für Ransomware-Familien von Interesse sein werden”, heißt es im Bericht.

    Srinivas Mukkamala, CEO und Mitbegründer von RiskSense, erklärte gegenüber SC Media, dass ihre Untersuchungen darauf hindeuten, dass diese erweiterte Angriffsfläche sowohl durch kurzfristige Trends wie COVID-19, durch die mehr Unternehmen online gehen, als auch durch umfassendere Entwicklungen bei der digitalen Transformation und der Cloud-Einführung in der gesamten Industrie angetrieben wird. Diese Faktoren haben dazu geführt, dass viele Unternehmen Technologien – wie Cloud-Anwendungen, VPNs und Heimnetzwerke – mit Fehlern und Fehlkonfigurationen einsetzen, die am ehesten von Ransomware-Gruppen ausgenutzt werden können.

    “Alle [those trends] öffnete tatsächlich die Öffnung und Angriffsfläche für Ransomware. Wenn Sie sich die Schwachstellen ansehen, können Sie deutlich erkennen, dass Ihr SaaS ins Visier genommen wurde, Ihr Backup as a Service, Ihre Fernzugriffsdienste und interessanterweise auch Ihre Open-Source-Bibliotheken”, so Mukkamala.

    Die Mischung aus neueren und älteren ausgenutzten Fehlern deutet darauf hin, dass sich dieses Problem im Laufe der Zeit verschlimmert und verdichtet, was zu einem zunehmenden Rückstau bei den Sicherheitsteams führt, die Patches, Konfigurationen und Entschärfungen vornehmen müssen. Die überwiegende Mehrheit der Schwachstellen (96 %), die in Ransomware-Angriffen verwendet werden, sind Jahre alt und wurden vor 2019 öffentlich identifiziert. Die älteste, CVE-2007-1036, ist eine Schwachstelle für Remote-Code-Ausführung, die erstmals 2007 entdeckt wurde und von Forschern weiterhin in freier Wildbahn ausgenutzt wird.

    Diese überwältigende Abhängigkeit von älteren Defekten, gepaart mit einem viel kleineren, aber stetigen Strom neuerer Schwachstellen, die jedes Jahr aufgenommen werden, deutet darauf hin, dass sich dieses Problem im Laufe der Zeit nur verschlimmert und verdichtet, was zu einem zunehmenden Rückstau für Sicherheitsteams führt, die Patches erstellen, konfigurieren und entschärfen müssen.

    “Schauen Sie sich Ihre Fehlkonfigurationen an, schauen Sie sich Ihre Codierungsschwächen an, schauen Sie sich Ihre fehlenden Patches an”, so Mukkamala. Das ist es, worauf es hinausläuft, und wir sehen einen wirklich … beunruhigenden Trend, dass immer noch sehr alte Schwachstellen aktiv ins Visier genommen werden, und diese Leute haben damit guten Erfolg.”

    Es sind nicht nur Ransomware-Gruppen, die sich durchsetzen. RiskSense verfolgt auch die zunehmende Nutzung vieler der gleichen Schwachstellen durch staatlich unterstützte Gruppen für fortgeschrittene anhaltende Bedrohungen. Diese Gruppen werden Unternehmen wahrscheinlich nicht mit Ransomware infizieren, aber es wird immer wahrscheinlicher, dass sie dieselben Softwarefehler und Fehlkonfigurationen ausnutzen.

    Mindestens 33 APT-Gruppen wurden gefunden, die 65 verschiedene Ransomware-bezogene Exploits verwenden, darunter mehrere Gruppen, die mit der chinesischen, russischen, iranischen und nordkoreanischen Regierung in Verbindung stehen. Laut Mukkamala deutet dies nicht nur auf den Wunsch dieser Gruppen hin, das zu nutzen, was bereits funktioniert, sondern ermöglicht es auch staatlich unterstützten Hackergruppen und Geheimdiensten, ihre Aktivitäten im Rauschen des größeren Ransomware-Ökosystems zu verstecken.

    Die meisten Unternehmen haben einfach nicht die Ressourcen oder das Sicherheitspersonal, um mit der Entwicklung Schritt zu halten, und die Analyse von RiskSense zeigt, dass es so viele verschiedene Schwachstellen gibt, die in der durchschnittlichen Ransomware-Angriffskette ausgenutzt werden, dass das Verlassen auf Metriken wie den Schweregrad des Common Vulnerability Scoring System zur Priorisierung der Arbeit ein Irrweg sein kann, der zu Entscheidungen führt, die nur einen kleinen Teil der Ransomware-Angriffsfläche eines Unternehmens abdecken.

    Stattdessen bietet das Unternehmen seine eigene Formel für das, was es Patch-Intelligenz nennt, und verwendet Datenanalysen, um zu bestimmen, welche vorhandenen Schwachstellen mit Exploits verbunden sind, die in freier Wildbahn verwendet werden. Diese Liste kann dann weiter gefiltert werden, indem diejenigen priorisiert werden, die die gefährlichsten Fähigkeiten haben – wie z. B. Remote-Code-Ausführung, Privilegienerweiterung, Änderungen von VPN- und Remote-Zugriffsberechtigungen und DDoS-Ausführung – und deren Nutzung durch Ransomware-Gruppen tendenziell zunimmt. Dieser Ansatz veranlasste RiskSense zu der Empfehlung, dass Unternehmen sich auf die Behebung von CVEs konzentrieren sollten, die zwischen 2017 und 2019 gemeldet wurden, da deren Schließung das beste Preis-Leistungs-Verhältnis bietet, um die Angriffsfläche für Ransomware-Angriffe zu reduzieren.

    Die Ransomware-Abwehr “wird immer mehr zu einem analytischen Spiel, bei dem man alle Daten sammeln und eine Priorisierung auf Basis der Ausnutzbarkeit und des Risikos vornehmen muss. [whether] Ransomware ist im Moment sehr aktiv”, sagt Mukkamala.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com