Der Cybersecurity-Experte Fortinet hat einen "Global Threat Landscape Report" (Link) für die zweite Jahreshälfte 2023 veröffentlicht. Der Report ist eine Momentaufnahme der aktiven Bedrohungslandschaft und zeigt die Geschwindigkeit, mit der Cyberangreifer neu identifizierte Exploits ausnutzen, sowie die Zunahme von gezielten Ransomware- und Wiper-Aktivitäten in der Industrie und im OT-Sektor.

Angriffe begannen durchschnittlich 4,76 Tage nach der Veröffentlichung neuer Exploits: Basierend auf der Analyse von der FortiGuard Labs haben Angreifer die Geschwindigkeit, mit der sie neu veröffentlichte Schwachstellen ausnutzen, im zweiten Halbjahr 2023 erhöht (43 % schneller als im ersten Halbjahr 2023). Dies zeigt, wie wichtig es ist, dass sich die Anbieter intern darauf konzentrieren, Schwachstellen zu entdecken und einen Patch zu entwickeln, bevor sie ausgenutzt werden können (Reduzierung von 0-Day-Schwachstellen). Es unterstreicht auch, dass Anbieter Schwachstellen proaktiv und transparent gegenüber ihren Kunden offenlegen müssen, um sicherzustellen, dass diese über die notwendigen Informationen verfügen, um ihre Assets wirksam zu schützen, bevor Cyberkriminelle N-Day-Schwachstellen ausnutzen können.

Einige N-Day-Schwachstellen bleiben über 15 Jahre ungepatcht: Es sind nicht nur neu entdeckte Schwachstellen, um die sich CISOs und Security-Teams sorgen müssen. Die Fortinet Telemetrie ergab, dass 41 Prozent der Unternehmen Exploits in Signaturen entdeckten, die weniger als einen Monat alt waren, und fast alle Unternehmen (98 Prozent) entdeckten N-Day-Schwachstellen, die seit mindestens fünf Jahren existierten. Die FortiGuard Labs beobachten weiterhin Bedrohungsakteure, die Schwachstellen ausnutzen, die älter als 15 Jahre sind. Dies unterstreicht die Notwendigkeit, die Cybersecurity-Hygiene im Auge zu behalten und die Unternehmen ständig dazu aufzufordern, schnell zu handeln, indem sie ein konsistentes Patch- und Update-Programm einführen und die bewährten Verfahren und Leitlinien von Organisationen wie der Network Resilience Coalition anwenden, um die allgemeine Netzwerksicherheit zu verbessern.

Weniger als 9 Prozent aller bekannten Schwachstellen wurden durch Angriffe ausgenutzt: Im Jahr 2022 führten die FortiGuard Labs das Konzept der „roten Zone“ ein, um den Lesern ein besseres Verständnis dafür zu vermitteln, wie wahrscheinlich es ist, dass Bedrohungsakteure bestimmte Schwachstellen ausnutzen. Um dies zu veranschaulichen, wurde in den letzten drei Global Threat Landscape Reports die Gesamtzahl der Schwachstellen untersucht, die auf Endpunkte abzielen. In der zweiten Jahreshälfte 2023 haben Untersuchungen ergeben, dass 0,7 % aller auf Endpunkten beobachteten CVEs tatsächlich angegriffen werden. Dies bedeutet eine wesentlich geringere aktive Angriffsfläche für Security-Teams, die sich auf die Behebung konzentrieren und diese priorisieren können.

44 Prozent aller Ransomware- und Wiper-Samples zielten auf den Industriesektor ab: Über alle Sensoren von Fortinet hinweg ist die Erkennung von Ransomware im Vergleich zum ersten Halbjahr 2023 um 70 Prozent zurückgegangen. Der Rückgang von Ransomware im letzten Jahr kann darauf zurückgeführt werden, dass die Angreifer von der traditionellen „Spray and Pray“-Strategie zu einem gezielteren Ansatz übergegangen sind. Dieser Ansatz konzentriert sich hauptsächlich auf Sektoren wie Energie, Gesundheitswesen, Fertigung, Transport und Logistik sowie die Automobilindustrie.

Botnets zeigten eine unglaubliche Widerstandsfähigkeit, und es dauerte im Durchschnitt 85 Tage, bis die Kommando- und Kontrollkommunikation (C2) sie nach der ersten Entdeckung ausschalten konnte: Während der Bot-Traffic im Vergleich zum ersten Halbjahr 2023 stabil blieb, beobachteten die FortiGuard Labs weiterhin die prominentesten Botnets der letzten Jahre wie Gh0st, Mirai und ZeroAccess. Im zweiten Halbjahr 2023 tauchten jedoch drei neue Botnets auf: AndroxGh0st, Prometei und DarkGate.

38 der 143 von MITRE gelisteten Advanced Persistent Threat (APT) Gruppen waren in der zweiten Jahreshälfte 2023 aktiv: FortiRecon, der Digital Risk Protection Service von Fortinet, zeigt, dass 38 der 143 von MITRE überwachten Gruppen im zweiten Halbjahr 2023 aktiv waren. Davon waren Lazarus Group, Kimusky, APT28, APT29, Andariel und OilRig die aktivsten Gruppen. Angesichts der zielgerichteten und relativ kurzlebigen Kampagnen von APTs und nationalen Cybergruppierungen im Vergleich zu den langlebigen und aufwändigen Kampagnen von Cyberkriminellen wird FortiGuard Labs die Entwicklung und den Umfang der Aktivitäten in diesem Bereich kontinuierlich verfolgen.