Das Jahr 2021 hat mit dem Zero Day Exploit «Log4Shell» geendet, welcher die verantwortlichen Server-Administratoren bis jetzt mit Software-Patching in Atem hält. Auslöser dafür war eine neu gefundene Schwachstelle in der Java Logging-Bibliothek «Log4j». Diese macht zahlreiche Server und Apps angreifbar – davon betroffen sind unter anderem weitverbreitete Apache-Anwendungen und Elasticsearch Analytic Engines. Welche zusätzlichen, für Schweizer Behörden und Unternehmen relevante Malware Trends und Angriffsformen im Verlauf dieses Jahres aus unserer Sicht zu erwarten sind, erfahren Sie in diesem Blogpost.
Die allgemein unter «Log4Shell» bekannte und mittlerweile mit der «Common Vulnerablities and Exposures»-Nummer CVE-2021-44228 versehene Schwachstelle kann von Angreifern dazu verwendet werden, auf betroffenen Computersystemen Schadsoftware auszuführen (Remote Code Execution). Dies betrifft die äussert populäre Open Source-Bibliothek «Log4j» (Version ≤ 2.15.0). Fatal ist, dass diese Bibliothek bei mehreren tausend Projekten als Dienstprogramm im Einsatz steht, und bei einer noch viel grösseren Anzahl Komponenten wurde der Code von «Log4j» einfach kopiert und eingefügt.
Obwohl Apache sehr zeitnah Patch-Bibliothek-Versionen zur Verfügung gestellt hat und diese durch die verschiedenen SysAdmins weltweit mit Hochdruck eingespielt worden sind, sehen wir für 2022 eine grosse weiterbestehende Gefahr für Behörden und Unternehmen. Das als gross einzuschätzende Gefahrenpotenzial begründet sich durch diejenigen Anwendungen, bei welchen entsprechender Code während des Entwicklungsprozesses von der verwundbaren «Log4j»-Version in eigene Komponenten hineinkopiert worden ist. Aus unserer Sicht besteht die Gefahr darin, dass zahlreiche Unternehmen und Organisationen sich dieser Bedrohung noch nicht bewusst sind. Bereits werden erste einsetzbare Angriffstools im Darknet angeboten. Mögliche Angriffsausprägungen sind dabei Ransomware-Attacken.
Nicht erst seit SolarWinds oder den von der APT-40-Gruppierung ausgenutzten Schwachstellen in Microsoft Graph API, Outlook Task API oder der OneDrive API wissen wir, dass staatliche Angreifer unterschiedliche Schwachstellen in der Implementierung vonApplication Programming Interfaces (API) ausnutzen. Die fortschreitende Digitalisierung der Unternehmen in der Schweiz im Rahmen der Industrie 4.0 führt zu einer noch grösseren Verbreitung von (I)IoT-Geräten. Einhergehend mit diesem Trend wird auch die Nutzung von Cloud-Systemen weiter zunehmen. Dies führt zu einer noch stärkeren Bereitstellung von entsprechenden API mit erweiterten Interoperabilitätsansprüchen für die verschiedenen Web-Applikationen und den eingesetzten Gateways.
Für das Jahr 2022 werden wir daher vermutlich grössere Reverse Engineering-Tätigkeiten verschiedener cyber-kriminellen Gruppierungen auf industrielle (I)IoT-Applikationen und ihre verwendeten API-Aufrufe sehen, welche zusehends auch im Darknet angeboten werden. Diese Aktivitäten könnten sich in Form von vermehrten Angriffen auf die auf industriellen (I)IoT-Edge-Geräten installierten Software-Pakete manifestieren. Solche Angriffe lassen sich zudem stark automatisieren und könnten eine sehr hohe Intensität aufweisen. Formen wie Session Hijacking und Account Aggregation können durch diese Automatisierungsmöglichkeit durch die Angreifer optimal als «Hacking as a Service» gewinnoptimiert und ressourcenschonend angeboten werden. Denkbar sind auch Angriffe, bei welchen die Cyber-Kriminellen versuchen, die Kontrolle über eine verwundbare API zu erlangen und die Reihenfolge der API leicht zu verändern. Dies kann sowohl zu einem Datenverlust als auch zu klassischen DDoS-Angriffen mit firmeneigenen (I)IoT-Geräten führen. Durch verzögerte POST-Anfragen auf die Anwendungsserver in der Cloud werden in dieser DDoS-Ausprägung die Prozesse eines Unternehmens nachhaltig geschädigt. Die betroffene Organisation wird so für die Cyber-Kriminellen erpressbar.
Das Internet of Things durchdringt zunehmend auch Behördenorganisationen – dementsprechend erhöhen sich die Cyber-Risiken. Abonnieren Sie den IoT Security Blog und profitieren Sie von bewährten Lösungsansätzen!
Auch im vergangenen Jahr wurden Netzwerke von Unternehmen mittels Verschlüsselungstrojaner erfolgreich angegriffen. Weltweit präsent waren dabei «Ryuk», «Sodinokibi» und «Maze», um die prominentesten drei zu nennen. Hauptursache für den Erfolg der Cyber-Kriminellen war oft die fehlende Zwei-Faktor-Authentifizierung (2FA) der Fernzugriffe über VPN (Virtual Private Network) und RDP-Sessions (Remote Desktop Protocol). Beides sind Netzwerk-Layer-Technologien, welche im Rahmen der anhaltenden Covid-19-Pandemie und den damit verbundenen Homeoffice-Angeboten der Verwaltungen, Organisationen und Unternehmen für ihre Mitarbeitenden vermehrt zum Einsatz kommen.
Ein weiterer beunruhigender Trend für 2022, vor welchem verschiedene Sicherheitsexperten warnen: Malware-Entwickler rüsten ihre existierende Ransomware zusätzlich mit Wiper-Malware (Lösch-Schadsoftware) auf. Der Angriff mit Wiper-Malware ist per se nicht neu und entsprechende Tools existieren bereits seit mehr als zehn Jahren. Neu ist aber die Kombination Ransomware mit Wiper-Malware. Sie zeigt auf, wie Cyber-Kriminelle zusehends radikaler vorgehen und beginnen, ihren Lösegeldforderungen bei Ransomware-Angriffen mit Wiper-Malware mehr Nachdruck zu verleihen. Betroffene Unternehmen werden sich zukünftig mit zusätzlichen willkürlichen Löschungen ihrer kritischen IT-, aber auch OT-Subsystemen konfrontiert sehen.
Aus unserer Sicht besteht die Möglichkeit, dass wir 2022 bei Ransomware-Attacken ein kombiniertes Angriffsszenario sehen: Nebst dem Angriff auf das Zielunternehmen mit Ransomware werden parallel erstmals auch die involvierten Lieferketten oder Supply Chains in den Fokus der Cyber-Kriminellen geraten. Innerhalb des Angriffsszenarios werden die zu wenig geschützten Zulieferfirmen und deren wichtigen Komponenten mittels Wiper-Malware nachhaltig beeinträchtigt. Durch die Pandemie sind die Lieferketten der Unternehmen enorm unter Druck geraten. Engpässe infolge der langen Lieferzeiten für elektronische Komponenten und Zubehör sind heute für Unternehmen eine substantielle Herausforderung. Diese kritischen Abhängigkeiten sind auch den Cyber-Kriminellen nicht entgangen. Mit Wiper-Malware werden soft- oder firmwarebasierte Komponenten der Zulieferfirmen unbrauchbar gemacht, um so den Druck auf das Zielunternehmen, welches mit der Ransomware angegriffen worden ist massiv zu erhöhen.
Auch Behörden sind von Cyber-Attacken betroffen. Bleiben Sie auf dem Laufenden mit dem Cyber Security Blog und schützen Sie Ihre Organisation nachhaltig vor Cyber-Angriffen!