Autor:innen:
Alexander Ivanyuk – Senior Director of Technology
Irina Artioli – Cyber Protection Evangelist, TRU-Forscherin
Das Acronis Cyberthreats Update berichtet über aktuelle Cyberbedrohungen und Trends, die von der Acronis Threat Research Unit (TRU) und diversen Sensoren überwacht wurden. Die hier vorgestellten Zahlen wurden im Juni dieses Jahres erhoben und spiegeln die von uns entdeckten Bedrohungen sowie öffentliche Medienberichte wider. Der Bericht bietet einen globalen Überblick und basiert auf über einer Million individueller Endpunkte weltweit.
Die wichtigsten Vorfälle des Monats
Cyberkriminelle nutzen eine Technik namens „Authenticode Stuffing“, um legitime, digital signierte ConnectWise ScreenConnect-Installer in Malware umzuwandeln, ohne dabei die Signaturen zu beschädigen. Durch die Änderung der Zertifikatstabelle, um bösartige Konfigurationen einzufügen, können Cyberkriminelle den vertrauenswürdigen Status der Datei aufrechterhalten und sie gleichzeitig auf von ihnen kontrollierte Server umleiten. G DATA hat diese Taktik in Phishing-Kampagnen entdeckt. Über sie wurden gefälschte Dokumente verbreitet, die trojanisierte ScreenConnect-Clients installieren. Nach der Ausführung zeigt die Malware einen gefälschten Bildschirm für ein Windows-Update an, während im Hintergrund ein Remote-Zugriff eingerichtet wird. G DATA hat die Varianten „Win32.Backdoor.EvilConwi” und „Win32.Riskware.SilentConwi” benannt und an ConnectWise gemeldet. ConnectWise hat darauf noch nicht öffentlich reagiert. Mit einer ähnlichen Methode wurde auch der NetExtender VPN-Installer von SonicWall manipuliert, um Anmeldedaten zu stehlen. Diese Angriffe verdeutlichen eine gefährliche Entwicklung: die heimliche Verbreitung von Malware mithilfe vertrauenswürdiger Software. Herkömmliche Antivirenprogramme, die auf Signaturvalidierung basieren, sind dagegen machtlos. Sicherheitsteams wird daher empfohlen, die Konfigurationsdaten in signierten Binärdateien zu überprüfen und die Verwendung von Tools für den Remote-Zugriff einzuschränken, um das Risiko zu verringern.
Erkannte Malware im Juni
Im Juni blockierte Acronis Cyber Protect über 980.000 Malware-Bedrohungen auf Endpunkten – ein Anstieg von 19,8 % gegenüber Mai.
Die folgenden Tabellen zeigen den Prozentsatz der Acronis Kund:innen, bei denen mindestens eine Malware-Bedrohung am Endpunkt blockiert wurde, sowie den normalisierten Prozentsatz der Kund:innen mit mindestens einer Malware-Erkennung. Je höher der Prozentsatz, desto höher ist das Risiko, dass ein Workload in diesem Land von Malware angegriffen wird.
Schutz
Die oben aufgeführten Bedrohungen können mit den Lösungen von Acronis erkannt und abgewehrt werden.
Acronis Cyber Protect Cloud schützt mit einem mehrschichtigen Sicherheitsansatz sowohl vor bekannten als auch vor völlig neuen Bedrohungen. Dieser Ansatz umfasst verhaltens-, KI- und ML-basierte Erkennungen sowie Antiransomware-Heuristiken, die Verschlüsselungsversuche erkennen und blockieren können. Werden dennoch Dateien manipuliert, so können diese automatisch und ohne Benutzereingriff zurückgesetzt werden.
Email Security und URL-Filterung bieten zusätzlichen Schutz vor Social-Engineering-Bedrohungen. Darüber hinaus können Sie mit Ihrem Acronis #CyberFit-Score Systeme, die Ihre Aufmerksamkeit erfordern, schnell identifizieren, während die integrierte Patch-Verwaltung es Ihnen ermöglicht, Ihre Software auf einfache Weise auf den neuesten Stand zu halten.
Acronis XDR für Acronis Cyber Protect Cloud bietet die nötige Transparenz, um Angriffe besser zu verstehen. Die Lösung stellt Administrator:innen verständliche Kontextinformationen zur Verfügung und ermöglicht eine effiziente Behebung aller Arten von Bedrohungen.