Internet Security Report – Q4 2020

 über 20,6 Millionen Malware-Attacken wurden in Q4 2020 geblockt (456 pro Gerät)
rund 3,49 Millionen Netzwerk-Attacken wurden in Q4 2020 geblockt (77 pro Gerät)
 61% der Malware-Attacken waren Zero Day, d.h. sie sind signaturbasierten Antiviruslösungen entgangen und wurden erst durch den APT Blocker oder IntelligentAV gestoppt
Intrusion Prevention Service (IPS) hat im Durchschnitt 77 Angriffe pro Gerät geblockt
DNSWatch blockte über 1,31 Millionen bösartige Domain-Verbindungen
2020 gab es insgesamt einen Anstieg um 888% bei Angriffen durch sogenannte „Fileless Malware“ im Vergleich zum Vorjahr. Das Gefährliche an dieser dateilosen Malware-Variante ist die Tatsache, dass sie von klassischen Lösungen zum Schutz von Endpunkten, wie sie vielerorts noch ausschließlich im Einsatz sind, nicht erkannt wird.
 verschlüsselte Malware-Varianten befinden sich weiterhin im Aufwind: in Q4 2020 machten sie bereits 47% des Gesamtvolumen aus. Verschlüsselte Zero-Day-Malware konnte zudem 22% gegenüber dem Vorquartal zulegen.
 2020 wurden insgesamt erneut weniger Ransomware-Vorfälle verzeichnet: 2018 waren es noch 5489, 2019 waren es 4131 und 2020 “nur” noch 2152. Der stetige Rückgang des Ransomware-Volumens lässt darauf schließen, dass die Angreifer Ihren Fokus verlagern und statt großflächigen Angriffsmustern mittlerweile vermehrt auf gezieltere Angriffe setzen.
 in Q4 debütierte der Virus „Linux.Generic“ (auch bekannt als “The Moon”) auf der WatchGuard-Liste der Top-10-Malware. Diese Malware-Variante gehört zu einem Server-Netzwerk, das konkret offene Schwachstellen von in Netzwerken eingesetzten IoT-Geräten und Routern des Consumer-Segments ins Visier nimmt. In Verbindung mit diesem Angriffsnetzwerk brachte die WatchGuard-Analyse eine für ARM-Prozessoren entwickelte Linux-spezifische Malware sowie eine auf MIPS-Prozessoren ausgerichtete Variante ans Licht. Es deutet alles darauf hin, dass die Angreifer damit Evasion-Angriffe auf IoT-Geräte verfolgen.
 „Trojan.Script.1026663“ schaffte es im vierten Quartal 2020 auf die WatchGuard-Liste der fünf am weitesten verbreiteten Malware-Varianten. Der Angriff beginnt mit einer E-Mail, in der die Opfer aufgefordert werden, einen Anhang mit einer Bestellliste zu prüfen. Dies setzt eine ganze Reihe schädlicher Aktivitäten in Gang und führt in vielfältiger Weise zur Ausführung von Schadcode, um am jeweiligen Endpunkt schließlich die finale Phase des Angriffs einzuleiten: das Laden des Keyloggers und Remote-Access-Trojaners (RAT) „Agent Tesla“.

__________________________________________________________________________

 Da 61% der Malware-Attacken Zero Day waren, können diese nicht von dem Gateway Antivirus erkannt werden. Wir empfehlen deshalb als zusätzliche Sicherheitsschicht den APT Blocker, Threat Detection and Response (TDR) sowie IntelligentAV zu aktivieren. Alle drei Services sind in der Total Security Suite enthalten. Sollten Sie noch keine Lizenz für die Total Security Suite erworben haben, empfehlen wir Ihnen auf diese zu upgraden. Hier finden Sie eine Übersicht der von WatchGuard angebotenen Suiten und den dazugehörigen Services.
 Außerdem ist es wichtig, auch Sicherheitslösungen zu implementieren, die verschlüsselten Datenverkehr überprüfen können. Mit der Funktion Content Inspection können WatchGuard Firebox Systeme auch die HTTPS-Verbindungen mit den vielfältigen Sicherheitsfunktionen kontrollieren und für Sicherheit sorgen.

 Authentifizierungsangriffe und Identitätsdiebstähle haben für Cyberkriminielle nach wie vor hohe Priorität. Bekannterweise zählen Passwörter zu den größten Sicherheitsrisiken im Unternehmen. Aus diesem Grund sollte zusätzlich zu besseren Passwortschulungen und -prozessen jedes Unternehmen Multifaktor-Authentifizierungslösungen einsetzen, um das Risiko von Datenverstößen weiter zu reduzieren. AuthPoint ist die neue MFA-Lösung von WatchGuard. Alle aktuellen Kunden von WatchGuard haben die Möglichkeit AuthPoint kostenlos zu testen.
 Mit dem WatchGuard Intrusion Prevention Service schützen Sie sich in Echtzeit gegen Angriffe wie SQL-Injections, Cross-Site-Scripting (XSS), Buffer Overflows oder Spyware.
 Nutzen Sie URL- und Domain-Filterung um schädliche Links abzufangen: WatchGuard WebBlocker bietet eine webbasierte URL-Filterung, DNSWatch erkennt und blockiert schädliche DNS-Anfragen und Reputation Enabled Defense ist ein cloud-basierter Web-Reputationsservice, der Daten aus mehreren Feeds sammelt und so nicht nur einen Echtzeit-Schutz vor bösartigen Websites und Botnetzen bietet.

 Neben einer möglichst hohen Anzahl an verschiedenen Schutzschichten ist es besonders wichtig, jegliche Software immer auf dem aktuellen Stand zu halten. Updates können beispielsweise auch Sicherheitslücken beheben und dienen somit direkt dem Schutz vor Netzwerk-Attacken.
 Zum Schutz vor JavaScript-basierten Angriffen sollten Browser-Erweiterungen aus unbekannten Quellen nicht installiert werden. Zudem sollte sowohl der Browser als auch die Anti-Malware-Engine stets auf dem aktuellen Patch-Stand sein und nur seriöse Adblocker zum Einsatz kommen.

 Mobile Apps sollten immer nur aus offiziellen Marktplätzen heruntergeladen werden, um mögliche Infizierungen zu vermeiden.

 Malware wird nach wie vor gerne auch in gängigen Dokumenten wie Word oder PDF versteckt. Schulen Sie deshalb Ihre Mitarbeiter sorgfältig. Bei unbekannten E-Mails mit Anhängen sollte im Zweifel immer nachgefragt werden, bevor diese geöffnet werden.

 Unternehmen sollten niemals Makros aus nicht vertrauenswürdigen Quellen zulassen und cloudbasiertes Sandboxing einsetzen. Damit lässt sich das Verhalten potenziell gefährlicher Dateien sicher verifizieren, bevor sie eine Infektion verursachen.