Cyberangreifer missbrauchen immer häufiger verschlüsselte Kanäle, die auf dem TLS-Protokoll basieren (Transport Layer Security), welches eigentlich für den sichersten Webdatenverkehr steht, um bösartige Payloads zu tarnen. Laut dem neuen "Internet Security Report" von Watchguard nimmt die Zahl der Attacken mit fortschrittlicher Malware über verschlüsselte Kanäle weiter zu. Schwer zu erkennende, hochentwickelte Malware hat gemäss dem Report um 40 Prozent zugenommen.
Insgesamt stiegen die Malware-Erkennungen dem Report zufolge im zweiten Quartal dieses Jahres um 15 Prozent: Diese Prozentzahl basiere auf einer um 85 Prozent höheren Quote bei Gateway Antivirus (GAV) und einem Zuwachs von zehn Prozent bei IntelligentAV (IAV) – der KI-basierten Lösung von Watchguard zur Malware-Abwehr. Die Tatsache, dass mittlerweile 70 Prozent der gesamten Malware über verschlüsselte Verbindungen übertragen werden, unterstreiche dabei einmal mehr, dass Angreifer immer öfter auf Verschleierung und Tarnung setzen. Unternehmen seien daher gut damit beraten, die Durchleuchtung des verschlüsselten Datenverkehrs zu verbessern und flexible Schutzstrategien einzusetzen.
Ebenso beobachtete das Threat Lab demnach einen leichten Anstieg der Netzwerkattacken, immerhin um 8,3 Prozent. Gleichzeitig verringerte sich die Vielfalt der Angriffe. Insgesamt wurden 380 eindeutige Signaturen erkannt, im letzten Quartal waren es noch 412. Auffällig war eine brandneue Javascript-basierte Angriffsmethode "WEB-Client Javascript Obfuscation in Exploit Kits“. Diese sei ein eindrucksvolles Beispiel dafür, wie schnell sich neue Bedrohungen – die Verschleierung als Ausweichtechnik nutzen, um ältere Kontrollmechanismen zu umgehen – ausbreiten können. Es falle ins Auge, dass zwar neue Exploits auftauchten, Angreifer jedoch weiterhin stark auf ältere, weit verbreitete Schwachstellen in Browsern, Web-Frameworks und Open-Source-Tools setzten.
"Laut aktuellem Bericht deutet alles darauf hin, dass die Zahl der Attacken mit fortschrittlicher Malware über verschlüsselte Kanäle weiter zunimmt. Angreifer setzen alles daran, Erkennungsmassnahmen zu umgehen und die Auswirkungen ihrer Angriffe zu maximieren", so Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies. „Für Unternehmen mit begrenzten Ressourcen bzw. kleinen IT-Teams besteht die Herausforderung also darin, sich schnell mit wirksamen Massnahmen an diese Situation anzupassen. Konsistente Patches, bewährte Abwehrmassnahmen und fortschrittliche ‚Detection & Response‘-Technologien, die schnell reagieren können, bleiben die wirksamsten Gegenmaßnahmen zur Eindämmung der einschlägigen Bedrohungen."
Weitere Erkenntnisse des WatchGuard Internet Security Reports Q2/2025:
-- Brandneue Malware-Bedrohungen nahmen um 26 Prozent zu. Diese polymorphen Bedrohungen umgehen die signaturbasierte Erkennung und wurden erst von den erweiterten Diensten von Watchguard wie APT Blocker (Advanced Persistent Threat Blocker) und IAV identifiziert.
-- Zwei USB-basierte Malware-Bedrohungen sorgten für Überraschung. Sowohl die Remote-Access-Backdoor-Variante "Pumpbech" als auch der Loader "Highreps" setzen einen Coin Miner namens XMRig ein, der die Kryptowährung Monero (XMR) schürft. Ihr Aufkommen steht wahrscheinlich im Zusammenhang mit der Verwendung von Hardware-Wallets aufseiten der Kryptowährungsbesitzer.
-- Ransomware ging um 47 Prozent zurück. Es deute alles auf eine Verlagerung zu weniger, aber wirkungsvolleren Angriffen auf hochkarätige Ziele hin – inklusive grösserer Folgen. Bemerkenswert sei, dass die Zahl der aktiven Erpressergruppen zugenommen habe, wobei Akira und Qilin zu den aggressivsten gehörten.
-- Bei Netzwerk-Malware dominieren Dropper. Sieben der zehn häufigsten Entdeckungen waren demnach Payloads der ersten Stufe, darunter Trojan.VBA.Agent.BIZ und der Credential Stealer Ponystealer, die zur initialen Kompromittierung vom Benutzer aktivierte Makros ausnutzten. Das berüchtigte Mirai-Botnetz tauchte laut Report nach fünf Jahren ebenfalls wieder auf, vor allem im asiatisch-pazifischen Raum. Die Dominanz von Droppern zeigr, dass Angreifer mehrstufige Infektionen bevorzugen.
-- Zero-Day-Malware befindet sich weiterhin auf dem Vormarsch. Sie macht über 76 Prozent aller Erkennungen und fast 90 Prozent der verschlüsselten Malware aus. Diese Ergebnisse würden die Notwendigkeit fortschrittlicher Erkennungsfunktionen unterstreichen, die über Signaturen hinausgehen, insbesondere für Bedrohungen, die im TLS-Datenverkehr verborgen seien.
-- DNS-basierte Bedrohungen halten sich wacker. Gefahr gehe u.a. von Domains aus, die mit dem Fernzugriffstrojaner (Remote Access Trojan – RAT) Darkgate in Verbindung stünden – einer Loader-Malware, die als RAT fungiert. Im Zuge dessen spiele DNS-Filterung als Verteidigungsstufe eine entscheidende Rolle.
