Ransomware war in 2016 auf dem Vormarsch. Das Ziel der Angreifer ist es, ein Unternehmen zu infiltrieren, die Ransomware zu implementieren und Lösegeld zu erpressen. Dabei gilt es den effektivsten Angriff mit dem geringsten Aufwand auszuführen, um die höchste Rendite zu erzielen. Die Angreifer setzen dabei zunehmend auf automatisierte Werkzeuge wie Exploit-Kits, die ihnen helfen, ihre Attacken in großem Maßstab durchzuführen. Exploit-Kits erlauben es einem Cyberkriminellen, automatisiert Schwachstellen in einer browserbasierten Anwendung auszunutzen, Malware auszuliefern und den Angriff durchzuführen mithilfe einer EK-Infrastruktur auf Mietbasis. Palo Alto Networks hat in einer umfassenden Untersuchung die aktuelle Situation in Sachen »Exploit Kits« unter die Lupe genommen und stellt zentrale Erkenntnisse heute vor.
»Erfolgsgeschichte« der Exploit-Kits
Um die aktuelle Situation zu bewerten, ist es wichtig, die Geschichte der Exploit-Kits zu verstehen. Wie sind diese zu einer der häufigsten und effektivsten Methoden für Cyberangriffe auf Unternehmen avanciert? Die Popularität von Exploit-Kits geht zurück auf das Jahr 2006, als der erste dokumentierte Fall erschien, mit WebAttacker. 2007 folgte das erste in größerem Umfang eingesetzte Expolit-Kit, namens MPack.
Mit der Einführung von Blackhole und des dazugehörigen SaaS-basierten (Software-as-a-Service) Geschäftsmodells im Jahr 2010, erfolgte der entscheidende nächste Entwicklungsschritt. Anstatt bösartige Infrastrukturen einzurichten, Websites zu kompromittieren, Schwachstellen-Exploits zu identifizieren und dann schließlich Malware auszuliefern, können böswillige Akteure fast den gesamten Angriffszyklus an einen Experten auslagern. Cyberangriffe wurden dadurch massentauglich, koordiniert mit einer modernen und einfach zu bedienenden Oberfläche.
Erste Versionen weiterer Exploit-Kits – wie Neutrino und Nuclear – erscheinen ebenfalls 2010. Im Jahr 2012 wird Blackhole zum beliebtesten Exploit-Kit, während weitere neue Exploit-Kits im cyberkriminellen Markt in Erscheinung treten. 2013 wird der Autor von Blackhole verhaftet. Angler und weitere Exploit-Kits kommen »auf den Markt«, wobei Angler sich 2015 die »Marktführerschaft« sichert. Anfang 2016 verschwinden Angler und Nuclear wieder von der Bildfläche und Neutrino füllt ab Mitte des Jahres die Lücke als beliebtestes Explot-Kit.
Im Laufe der Zeit konnten einige Exploit-Kits identifiziert und vom Netz genommen werden, wie das Verschwinden von Blackhole nach der Verhaftung seines Autors zeigt. Es ist aber immer wieder ein anderer Autor bereit, »einzuspringen«, um die verlockenden Gewinne abzusahnen. In den letzten Jahren hat die Größenordnung beim Einsatz von Exploit-Kits gegen Unternehmen enorm zugenommen. Sie werden zunehmend dazu verwendet, um in großem Stil Ransomware-Nutzlasten auszuliefern.
»Die Nachfrage der Cyberkriminellen nimmt zu. Exploit-Kits sind mittlerweile doppelt so teuer wie noch vor zwei Jahren, wie das Forschungszentrum Unit 42 ermittelt hat«, berichtet Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks. »Die Sicherheitsexperten von Unit 42 gehen davon aus, dass sich dieser Trend fortsetzt, wobei böswillige Akteure weiterhin auf die Möglichkeiten der Automatisierung, Skalierung und heimlichen Auslieferung von Malware mittels Exploit-Kits setzen werden.«
Umfassende Prävention und zuverlässiger Backup-Prozess erforderlich
Wenn Unternehmen ihre Sicherheitsinfrastruktur aufbauen, sollten sie darüber nachdenken, wie sich diese signifikante Bedrohung in den Griff bekommen lässt. Es gibt Maßnahmen, um Unternehmen zu schützen. Hierzu zählt beispielsweise die Verringerung der Angriffsfläche durch Patches, Updates und Upgrades der Anwendungen, das Blockieren bekannter Malware und Exploits sowie das schnelle Erkennen und Stoppen neuer Bedrohungen. Netzwerk- und Endpunkt-basierte Prävention ist erforderlich, um den Einsatz von Exploit-Kits zu identifizieren und deren Aktivitäten verhindern zu können. Zur Prävention gehört auch eine restriktive Browsing-Kontrolle.
Unternehmen können durch die genannten Präventivmaßnahmen sicherstellen, dass sie durch diese derzeit zunehmende Bedrohung nicht gefährdet werden. Da immer häufiger Ransomware mithilfe von Exploit-Kits ausgeliefert wird, ist darüber hinaus ein zuverlässiger Backup-Prozess wichtiger denn je – als letzter Rettungsanker für den Notfall. Dabei muss die Wiederherstellung kritischer Daten aus dem Backup regelmäßig getestet werden. So können verschlüsselte Daten wiederhergestellt werden, ohne auf die Lösegeldforderung der Angreifer einzugehen und damit dieses »Geschäftsmodell« weiter zu befeuern.
»Unsere aktuelle Untersuchung nimmt Exploit Kits genau unter die Lupe und hilft Unternehmen die Bedrohungslage besser einzuschätzen«, fasst Thorsten Henning zusammen. »Das Wissen um die Gefährdungen und ein grundlegendes Verständnis der Bedrohungslage sind unverzichtbar, um in Sachen Cybersicherheit die richtigen Entscheidungen zu treffen.«
Banking-Malware: KRBanker nimmt Angriffsziele mittels Adware und Exploit-Kits ins Visier
Fünf Gründe, warum Exploit Kits gefährlicher sind als gedacht
Threat Report bringt Licht ins Dunkel aktueller Cyberattacken
10 Fragen zur Selbstüberprüfung der unternehmenseigenen SAP-Sicherheitspolitik
Adobe Flash Player: APT-Gruppierungen nutzten Zero-Day-Exploit schnell aus
Hacker nutzen Exploit für Angriff auf US Investigations Services
Die fünf häufigsten Phishing-Köder und was man dagegen tun kann
Country Report Deutschland: Sicherheitsrisiko eine Frage des Betriebssystems