IT-Manager in Unternehmen wollen verstärkt Cyber Threat Intelligence teilen / McAfee Labs von Intel Security veröffentlichen Sicherheitsbericht über das vierte Quartal 2015 / Neuer Java-basierter Backdoor-Trojaner nachgewiesen
Santa Clara/München, 22. März 2016 – Intel Security veröffentlicht heute seinen McAfee Labs Threats Report über das vierte Quartal 2015. Der Bericht gibt nicht nur Einsichten in die aktuellen Entwicklungen in der Cyber-Bedrohungslandschaft, sondern enthält zusätzlich die Ergebnisse einer Befragung von 500 IT-Security-Managern weltweit. Im Mittelpunkt stand dabei das Thema Cyber Threat Intelligence (CTI), also das Sammeln und Teilen von Bedrohungsdaten. Außerdem werden im Threats Report die Abläufe des Adwind Remote Administration Tools (RAT) sowie Details zu einer erneuten Welle von Ransomware sowie Malware thematisiert.
Im vergangenen Jahr hat Intel Security 500 Sicherheitsexperten aus verschiedenen Branchen in Nordamerika, Asien und Europa gebeten, das Bewusstsein für Cyber Threat Intelligence und ihren Wert für die Unternehmenssicherheit einzuschätzen. Darüber hinaus sollten sie Faktoren anführen, die verhindern, dass CTI stärker in die Sicherheitsstrategien eingebunden wird. Die Ergebnisse geben einen Überblick über den aktuellen Status von CTI in Unternehmen und zeigen weitere Einsatzmöglichkeiten auf:
Wertvorstellungen: Von den 42 Prozent der befragten IT-Sicherheitsverantwortlichen, die bereits ihre Cyber Threat Intelligence mit anderen teilen, glauben 97 Prozent, dass sie einen besseren Schutz für ihr eigenes Unternehmen ermöglicht. Darüber hinaus glauben 59 Prozent beziehungsweise 38 Prozent der Threat Intelligence-Nutzer, dass es „sehr nützlich“ beziehungsweise „nützlich“ für ihr Unternehmen ist, diese Informationen mit anderen zu teilen.
Branchenspezifische Intelligenz: Ganze 91 Prozent der Befragten interessieren sich für eine branchenspezifische Cyber Threat Intelligence, 54 Prozent davon sind „sehr interessiert“, 37 Prozent sind „interessiert“. Branchen wie der Finanzdienstleistungssektor und kritische Infrastrukturen profitieren dabei am meisten von einer solchen industriespezifischen CTI – dies liegt an den hochspezialisierten Angriffen, denen gerade diese Branchen ausgesetzt sind.
Bereitschaft zu teilen: 63 Prozent der Befragten gaben an, dass sie bereit wären, nicht nur CTI-Informationen zu empfangen, sondern auch ihre eigenen Daten mit anderen zu teilen – solange dies auf einer sicheren Plattform geschieht. Dennoch trifft die Idee des Teilens auf unterschiedlich großes Interesse: 24 Prozent gaben an, es sei „sehr wahrscheinlich“, wohingegen es bei 39 Prozent nur „recht wahrscheinlich“ sei.
Arten von Daten: Ein klares Stimmungsbild bei den Arten von Bedrohungsdaten, die die Befragten teilen würden: Das Verhalten von Malware hat mit 72 Prozent Priorität und wird gefolgt von URL Reputationen (58 Prozent), Reputationen von externen IP-Adressen (54 Prozent), Zertifikat-Reputationen (43 Prozent) sowie Datei-Reputationen (37 Prozent).
Grenzen der CTI: „Warum haben Sie noch keine CTI implementiert?“ – Auf diese Frage bescheinigten 54 Prozent der befragten IT-Manager unternehmensinterne Richtlinien als Grund, gefolgt von industrieweiten Regulierungen (24 Prozent). Die weiteren Befragten, deren Unternehmen keine Bedrohungsdaten teilen, sind daran interessiert, benötigen dafür jedoch mehr Informationen (24 Prozent). Andere haben Angst davor, dass die geteilten Informationen Rückschlüsse auf das Unternehmen oder sie selbst zuließen (21 Prozent). Diese Ergebnisse zeigen, dass sowohl die zahlreichen Möglichkeiten, CTI zu integrieren, als auch die rechtlichen Auswirkungen noch nicht ausreichend bekannt sind.
„Angesichts der Hartnäckigkeit, die Cyber-Kriminelle heutzutage an den Tag legen, ist das Teilen von Bedrohungsdaten ein wichtiges Instrument, um die Balance zugunsten der Verteidiger kippen zu können“, ist Vincent Weafer, Vice President der Intel Security McAfee Labs-Gruppe überzeugt. „Unsere Studie legt nahe, dass die Cyber-Threat Intelligence noch einige Barrieren hinsichtlich organisatorischer Richtlinien, gesetzlicher Restriktionen, Risiken bei der Zuordnung der Daten und einem Mangel an Wissen über die Umsetzung überwinden muss, um ihr Potenzial völlig auszuschöpfen.“
Der Quartalsreport berichtet neben den Umfrageergebnissen auch über das Adwind Remote Administration Tool (RAT), ein Java-basierter Backdoor-Trojaner, der auf verschiedene Plattformen abzielt, die Java-Dateien unterstützen. Adwind wird in der Regel durch Spam-E-Mails verbreitet, die verseuchte Anhänge, Links zu bösartigen Webseiten oder Drive-By-Downloads enthalten. Der Report zeigt einen raschen Anstieg der Anzahl von .jar-Datei-Samples, die von den McAfee Labs Forschern als Adwind identifiziert wurden: Von 1.388 im ersten Quartal 2015 stiegen sie sprunghaft um 426 Prozent auf 7.295 Datei-Samples im vierten Quartal 2015.
Weitere interessante Erkenntnisse aus dem vierten Quartal 2015
Ransomware nimmt weiter zu: Nachdem sich Mitte 2015 das Wachstum verlangsamte, nahm Ransomware im letzten Quartal 2015 mit einer Zunahme um 26 Prozent wieder Fahrt auf. Open-Source Ransomware Code und Ransomware-as-a-Service machen es immer einfacher, Angriffe durchzuführen. Kampagnen wie Teslacrypt und CryptoWall 3 vergrößern ihre Reichweite und werden immer lukrativer. Eine Analyse von CryptoWall 3 im Oktober 2015 gab einen kleinen Einblick in den finanziellen Rahmen solcher Kampagnen, besonders erschreckend dabei: Eine einzelne Runde der Ransomware hat allein 325 Millionen US-Dollar an Lösegeldzahlungen eingebracht.
Mobile Malware auf dem Sprung: Das vierte Quartal brachte einen 72-prozentigen Anstieg der Anzahl von neuen mobile Malware Samples im Vergleich zum Vorquartal. Die Programmierer scheinen immer schneller neue Malware produzieren zu können.
Rootkit Malware scheitert: Die Zahl neuer Rootkit Malware-Samples sank stark im letzten Quartal 2015 und setzte damit einen langfristigen Abwärtstrend fort. Die McAfee Labs führen dies auf die anhaltende Kundenakzeptanz von 64-Bit Intel-Prozessoren in Verbindung mit 64-Bit Microsoft Windows zurück. Diese Technologien enthalten Funktionen wie Kernel Patch Protection und Secure Boot, die zusammen besser gegen Bedrohungen wie Rootkit Malware schützen können.
Malware kommt zurück: Nach drei Quartalen des Rückgangs, wächst die Gesamtanzahl von neuen Malware-Samples im vierten Quartal 2015 wieder – 42 Millionen neue bösartige Hashes wurden aufgespürt. Das sind 10 Prozent mehr als im dritten Quartal und die zweithöchste Zählung, die jemals von den McAfee Labs gemacht wurde. Teilweise wurde dieses Wachstum von 2,3 Millionen neuen Mobile Malware Samples getrieben – eine Million mehr als im dritten Quartal.
Bösartig signierte Binärdateien auf dem Rückzug: Die Anzahl der neuen bösartig signierten Binärdateien ist in den letzten Jahren stetig zurückgegangen und hat in Q4 2015 den niedrigsten Stand seit Mitte 2013 erreicht. Die Experten der McAfee Labs vermuten, dass dies teilweise an älteren Zertifikaten liegt, die eine starke Präsenz auf dem Schwarzmarkt haben. Diese sind entweder abgelaufen oder widerrufen worden, da viele Unternehmen auf stärkere Hashing-Funktionen umsteigen. Außerdem stellen Technologien wie Smart Screen (Teil des Microsoft Internet Explorers, aber auch in anderen Teilen von Windows enthalten) zusätzliche Vertrauenstests dar, die das Signieren von bösartigen Binärdateien weniger ertragreich für die Hersteller von Malware machen.
Den gesamten Report finden Sie unter: http://www.mcafee.com/us/resources/reports/rp-quarterly-threats-mar-2016.pdf