Am 21. Mai 2024 haben wir im Rahmen unseres Take Command Summit unseren Attack Intelligence Report 2024 veröffentlicht, der das Fachwissen unserer Forscher, unserer Erkennungs- und Abwehrteams sowie unserer Threat-Intelligence-Teams vereint. Das Ergebnis ist das bisher klarste Bild der wachsenden Angriffsfläche und der Bedrohungen, mit denen Sicherheitsexperten täglich konfrontiert sind.
Seit Ende 2020 konnte Rapid7 einen bemerkenswerten Anstieg von Zero-Day-Angriffen, Ransomware-Attacken und Massenkompromittierungen beobachten, von denen viele Unternehmen weltweit betroffen sind. Wir haben festgestellt, dass sich das Verhalten der Angreifer verändert hat. Ransomware-Gruppen und staatlich gesponserte Bedrohungsakteure nutzen neuartige Persistenzmechanismen und Zero-Day-Exploits mit großem Erfolg.
Unser Attack Intelligence Report 2024 ist ein 14-monatiger Überblick über Daten zu wichtigen Schwachstellen und Angriffsmustern. Daraus haben wir Trends abgeleitet, die für jeden Sicherheitsexperten hilfreich sind.
2024 Attack Intelligence Report lesen.
Zu den wichtigsten Ergebnissen gehören:
Eine konstant hohe Anzahl von Zero-Day-Angriffen in den letzten drei Jahren. Seit 2020 hat unser Schwachstellenforschungsteam sowohl das Ausmaß als auch die Geschwindigkeit der Ausnutzung verfolgt. In zwei der letzten drei Jahre gab es mehr Massenkompromittierungen durch Zero-Day-Exploits als durch N-Day-Exploits. 53 % der weit verbreiteten CVEs im Jahr 2023 und Anfang 2024 begannen als Zero-Day-Angriffe.
Die Ausnutzung von Network-Edge-Geräten hat zugenommen. Groß angelegte Kompromittierungen durch Ausnutzung von Network-Edge-Geräten haben sich im Jahr 2023 fast verdoppelt. Wir haben festgestellt, dass 36 % der von uns verfolgten, weit verbreiteten Schwachstellen in der Network-Edge-Technologie auftraten. Davon waren 60 % Zero-Day-Exploits. Diese Technologien stellen eine Schwachstelle in unserer kollektiven Abwehr dar.
Ransomware ist immer noch ein großes Geschäft. Wir haben zwischen Januar 2023 und Februar 2024 mehr als 5.600 Ransomware-Angriffe verfolgt. Und das sind die Angriffe, von denen wir wissen – denn viele Angriffe werden aus verschiedenen Gründen nicht gemeldet. Die Angriffe, die wir verfolgen konnten, wiesen auf Trends in den Motiven und dem Verhalten der Angreifer hin. So haben wir beispielsweise einen Anstieg von sogenannten „Smash-and-Grab“-Angriffen festgestellt, insbesondere bei solchen, bei denen Dateiübertragungslösungen im Spiel waren. Bei einem Smash-and-Grab-Angriff verschaffen sich die Angreifer Zugriff auf vertrauliche Daten und führen so schnell wie möglich eine Exfiltration durch. Während die meisten von Rapid7 beobachteten Ransomware-Vorfälle noch „traditionelle“ Angriffe waren, bei denen Daten verschlüsselt wurden, werden „Smash-and-Grab“-Erpressungen immer häufiger.
Angreifer ziehen die Ausnutzung einfacher Schwachstellen vor. Während Angreifer immer noch auf schwieriger auszunutzende Schwachstellen wie Speicherkorruption abzielen, sind die meisten der weit verbreiteten CVEs, die wir in den letzten Jahren verfolgt haben, aus einfacheren Ursachen entstanden. So haben 75 % der weit verbreiteten Bedrohungs-CVEs, die Rapid7 seit 2020 analysiert hat, unzulässige Zugriffskontrollprobleme, wie z. B. über Remote-Zugriff zugängliche APIs und Authentifizierungsumgehungen, sowie Injektionsfehler (wie OS-Befehlsinjektion) als Ursache.
Dies sind nur einige der wichtigsten Erkenntnisse aus unserem 2024 Attack Intelligence Report. Der Bericht wurde in Verbindung mit unserem Take Command Summit veröffentlicht – einem eintägigen virtuellen Cybersecurity-Gipfel, auf dem der Bericht als Keynote vorgestellt wurde. An dem Summit haben einige der einflussreichsten Mitglieder der Sicherheitscommunity teilgenommen. Sie können die Sessions des Take Command Summits on demand hier ansehen.