Alle drei Minuten startet ein Cyber-Angriff der nächsten Generation

Die Datenbasis des Reports beruht auf Auswertungen von mehr als 89 Millionen Malware-Zwischenfällen sowie Analysen des FireEye Research Teams. Der Advanced Threat Report bietet eine globale Übersicht aktueller Cyber-Angriffe, die traditionelle Abwehrsysteme wie Firewalls und Next-Generation-Firewalls, IPS, Anti-Viren-Lösungen und Security Gateways umgehen können. Außerdem umreißt der Report die aktuelle Bedrohungslage, die Entwicklung von Advanced Persistent Threats (APT) und wie sehr Unternehmensnetzwerke heute tatsächlich infiltriert werden. Außerdem gibt er einen Einblick auf Trends in verschiedenen Industriesektoren und darüber hinaus ein Fallbeispiel eines komplexen Angriffs, der 2012 stattgefunden hat.

Zu den wichtigsten Ergebnissen des Advanced Threat Reports zählen:

• Unternehmen werden im Schnitt alle drei Minuten Opfer eines Angriffs. Industrieübergreifend variiert die Zahl der Angriffe, wobei die Technologiebranche mit durchschnittlich einem Angriff pro Sekunde vorne liegt. Manche Sektoren werden gezielt periodisch angegriffen, während andere unregelmäßigen Angriffen ausgesetzt waren.
• Spear-Phishing bleibt die häufigste Methode, um einen fortschrittlichen Malware-Angriff einzuleiten. Dabei verwenden die Angreifer meist Emails mit üblichen Begriffen aus dem Unternehmensalltag des Angegriffenen, um User dazu zu bewegen, eine infizierte Datei zu öffnen und den tatsächlichen Angriff auszulösen. Dabei können grob drei Begriffsgruppen unterschieden werden: Versand & Auslieferung, Finanzen und allgemeine geschäftliche Begriffe. Der von Schadcode am häufigsten verwendete Begriff  war u.a. „UPS”.
• ZIP-Dateien bleiben der beliebteste Dateityp zur Verbreitung von Malware. Schadcode wird in 92 Prozent aller Fälle im ZIP-Format versendet.
• Es gab zahlreiche Neuerungen, um die Entdeckung durch herkömmliche Abwehrsysteme zu umgehen. Beispielsweise wurden Vorfälle registriert und ausgewertet, in denen die Malware nur aktiv wurde, sobald der User die Maus bewegt. Damit können viele der aktuellen Sanbox-Systeme überlistet werden. Zusätzlich haben viele Malware-Entwickler inzwischen eine Funktion zur Erkennung von virtuellen Maschinen in ihren Schadcode eingebaut, um Sanboxing weiter zu erschweren.
• Angreifer nutzen zunehmend DLL-Dateien. Die Verwendung von DLL-Dateien im Gegensatz zu den üblicheren EXE-Dateien sorgt dafür, dass Infektionen auf den Systemen länger unentdeckt bleiben.

„Dieser Report zeigt, dass die Angriffe über alle Industriesektoren hinweg deutlich fortschrittlicher und auch erfolgreicher geworden sind, wenn es darum geht, in Netzwerke einzudringen“, erklärt Ashar Aziz, Gründer und CTO von FireEye. „Cyber-Kriminelle investieren heute noch mehr in fortschrittliche Malware und Innovationen, mit denen sich eine Entdeckung des Schadcodes verhindern lässt. Deshalb müssen Unternehmen ihre Sicherheitsinfrastruktur dringend überdenken und die klassischen Mechanismen mit einer zusätzlichen Abwehrreihe verstärken, die diese neuen, unbekannten Bedrohungen in Echtzeit erkennen kann.”

„Die hohe Zahl an Cyber-Angriffen illustriert die Faszination, die Malware auf viele Kriminelle ausübt”, erläutert Zheng Bu, Senior Director of Research. „Heutzutage verwenden Malware-Entwickler enorm viel Zeit darauf, Techniken zu entwickeln, die eine Erkennung des Schadcodes für herkömmliche Sicherheitssysteme unauffindbar macht. Solange Unternehmen nicht bereit sind, jetzt ihre Sicherheitsinfrastruktur zu modernisieren, werden sie in naher Zukunft leichte Beute sein.“