Barracuda full logo

SOC-Bedrohungsradar – Mai 2025

Themen:
8. Mai. 2025
|

Im letzten Monat identifizierten Sicherheitslösungen, Threat Intelligence und SOC-Analysten von Barracuda Managed XDR Entwicklungen, über die Unternehmen informiert sein sollten, darunter:

  • Anstieg von 38 % bei Angriffen auf FortiGate-Firewall-VPN-Dienste
  • Anstieg von versuchter Datenexfiltration um 26 % 
  • Anstieg der Erkennung von „gepackter“ Malware um 47 %
  • Security-Warnungen zu den Schwachstellen CrushFTP und Next.js

Anstieg von 38 % bei Angriffen auf FortiGate-Firewall-VPN-Dienste

Was steckt dahinter?

SOC-Bedrohungsanalysten haben in den letzten zwei Monaten Hunderte von Angriffen beobachtet, bei denen versucht wurde, die vielfach gemeldeten FortiGate-Firewall-Schwachstellen auszunutzen. Dabei zielten Bedrohungsakteure auf schlecht gesicherte VPN-Tunnel ab, um Erstzugang zu Unternehmen zu erhalten.

Worin besteht das Risiko?

Die FortiGate-Bugs ermöglichen es Angreifern, die Authentifizierung zu umgehen, um vollständige administrative Berechtigungen auf anfälligen Geräten zu erlangen. Dies kann es Angreifern ermöglichen, Firewall-Einstellungen zu ändern, bösartige Adminkonten zu erstellen, Zugriff auf interne Netzwerke zu erhalten und vieles mehr. Für das Opfer kann der Angriff zu Datenschutzverletzungen, Reputationsschäden, behördlichen Bußgeldern und Ransomware-Angriffen führen, wie die kürzlich veröffentlichte RansomHub-SOC-Fallakte zeigt.

Bin ich exponiert?

  • Unternehmen können gefährdet sein, wenn sie FortiGate-Firewalls eingerichtet, aber die Software noch nicht vollständig aktualisiert haben, wie von Fortinet empfohlen.
  • Ein weiterer Risikofaktor ist der Mangel an robusten – und konsequent durchgesetzten – Multi-Faktor-Authentifizierungsmaßnahmen (MFA), insbesondere bei VPN-Konten, die von außen zugänglich sind.
  • Eine Remote- oder verteilte Belegschaft kann eine größere Abhängigkeit von VPN-Diensten bedeuten, die ein beliebtes Ziel für Angreifer sind. Je mehr Mitarbeiter, Auftragnehmer und andere Personen von außerhalb des Hauptsicherheitsbereichs auf das Netz zugreifen können, desto größer ist die Angriffsfläche für Bedrohungsakteure.

Zu ergreifende Maßnahmen

  • Halten Sie Systeme und Software mit den neuesten Security-Patches auf dem neuesten Stand.
  • Erzwingen Sie die Verwendung von MFA für den VPN-Zugriff – das erschwert es Angreifern, Zugriff zu erhalten, selbst wenn sie die Zugangsdaten erfolgreich kompromittiert haben, zum Beispiel durch einen Phishing- oder Brute-Force-Angriff.
  • Implementieren Sie Geo-Fencing oder Richtlinien für den bedingten Zugriff, um nur VPN-Verbindungen von autorisierten Standorten aus zuzulassen, an denen Ihr Unternehmen tätig ist.
  • Installieren Sie umfassende, mehrschichtige Verteidigungsmaßnahmen mit integrierter und erweiterter Sichtbarkeit.
  • Barracuda Managed XDR-Funktionen wie Threat-Intelligence, Automated-Threat-Response und die Integration umfassenderer Lösungen wie XDR Server-Security, XDR Network-Security und XDR Cloud-Security bieten umfassenden Schutz und können die Verweildauer drastisch reduzieren.

Anstieg von versuchter Datenexfiltration um 26 %

Was steckt dahinter?

Im letzten Monat haben SOC-Bedrohungsanalysten einen Anstieg der Datenexfiltrationsaktivitäten um 26 % beobachtet, da die Bedrohungsakteure ihren Fokus zunehmend von der Datenverschlüsselung darauf verlagern, einfach sensible oder vertrauliche Daten zu stehlen und von Opfern Geld zu erpressen, um zu verhindern, dass die Informationen weitergegeben oder verkauft werden.

Worin besteht das Risiko?

  • Die Entfernung sensibler Daten kann den Verlust von wertvollem geistigem Eigentum und Wettbewerbsvorteilen, finanzielle Auswirkungen, Rufschädigung, Datenschutzverletzungen, Bußgelder und mehr bedeuten.
  • Die Datenexfiltration erfolgt häufig durch fortschrittliche und heimliche Maßnahmen wie Komprimierung, Steganografie (Verstecken von Inhalten in einer Text-, Audio-, Video- oder Bilddatei), Tunnelling (Verwendung eines privaten Kanals über ein öffentliches Netzwerk) oder die leise und langsame Übertragung von Daten, um nur eine minimale Bandbreite zu verbrauchen und den Anschein von normalem Datenverkehr zu erwecken. Dies kann es herkömmlichen Security-Tools erschweren, nicht autorisierte Datenübertragungen zu erkennen.
  • Datenexfiltration kann auch von Insidern wie Mitarbeitern oder Auftragnehmern durchgeführt werden, die möglicherweise legitimen Zugriff auf vertrauliche Informationen haben.
  • Phishing-Angriffe und Social Engineering können unachtsame Mitarbeiter dazu verleiten, versehentlich die Datenexfiltration zu unterstützen, indem sie beispielsweise vertrauliche Dateien teilen oder verschieben.
  • Angreifer können außerdem von ihnen installierte Hintertüren verwenden oder Schwachstellen ausnutzen, um Abwehrmaßnahmen zu umgehen und Daten unbemerkt zu exfiltrieren.

Bin ich exponiert?

  • Schwacher Netzwerkschutz und falsch konfigurierte Sicherheitseinstellungen – insbesondere bei Cloud-basierten Assets – können es Angreifern erleichtern, Informationen aus dem Netzwerk zu verschieben.
  • Auch ein nicht aktueller Bestand an Tools und Anwendungen kann ein Risiko darstellen. Angreifer installieren oder nutzen häufig legitime Tools, um Daten durch das Netzwerk und aus dem Netzwerk zu verschieben. Es ist wichtig zu wissen, welche Anwendungen und Tools von den Mitarbeitern verwendet werden, wofür sie die Tools verwenden und ob es Anomalien gibt.
  • Nicht gepatchte Softwarefehler sind ein beliebtes Ziel für Angreifer, die bösartige Tools wie Backdoors installieren möchten.
  • Fehlende Schulungen zur Stärkung des Risikobewusstseins können dazu führen, dass Mitarbeiter eher auf Phishing-Betrug hereinfallen und sensible oder vertrauliche Informationen preisgeben, wenn sie danach gefragt werden.

Zu ergreifende Maßnahmen

  • Implementieren Sie strenge Kontrollen, um den Zugriff auf vertrauliche Daten einzuschränken.
  • Legen Sie zusätzliche Kontrollen fest, um Datenübertragungen im und aus dem Unternehmen zu überwachen und zu kontrollieren.
  • Schulen Sie Ihre Mitarbeiter darin, wie sie Phishing erkennen und vertrauliche Daten schützen können.
  • Segmentieren Sie Netzwerke und implementieren Sie Zero-Trust-Security-Maßnahmen, um zu verhindern, dass unerwünschte Eindringlinge an Ihre sensibelsten Daten gelangen.
  • XDR Endpoint Security und XDR Network Security können Systeme schützen, indem sie anomale Aktivitäten im Zusammenhang mit Angreifern erkennen und eindämmen, die versuchen, Daten aus dem Netzwerk zu verschieben.

Anstieg der Erkennung von „gepackter“ Malware um 47 %

Was steckt dahinter?

SOC-Bedrohungsanalysten haben einen zunehmenden Einsatz von „gepackter“ Malware festgestellt – bösartigem Code, der komprimiert oder verschlüsselt wurde, um der Entdeckung zu entgehen. Bei den von den SOC-Analysten gesichteten Beispielen handelte es sich um ausführbare oder Binärdateien, die mit UPX (Ultimate Packer for eXecutables) gepackt wurden.

Worin besteht das Risiko?

Obwohl die Gesamtzahl der Erkennungen relativ gering ist, erwarten die SOC-Bedrohungsanalysten eine Zunahme der Verwendung gepackter Malware.

  • Dies ist auf die weit verbreitete Verfügbarkeit automatisierter Paketierungstools zurückzuführen, die es auch weniger erfahrenen Angreifern erleichtern, versteckten bösartigen Code zu erstellen.
  • Ransomware-Angriffe beinhalteten oft gepackte Malware, um die endgültige Verschlüsselungsnutzlast verborgen zu halten, bis sie ausgeführt werden kann.
  • Herkömmliche Security-Tools haben möglicherweise Schwierigkeiten, gepackte Malware zu erkennen, da der bösartige Code verborgen bleibt.

Bin ich exponiert?

  • Eine Remote- oder verteilte Belegschaft, die auf VPNs und erhebliche Cloud-basierte Ressourcen angewiesen ist, kann die Anzahl potenziell unzureichend geschützter, anfälliger Zugriffspunkte erhöhen, auf die Angreifer abzielen können.

Zu ergreifende Maßnahmen

  • Implementieren Sie erweiterten Endpunktschutz wie Barracuda Managed XDR Cloud-Security.
  • Halten Sie Systeme und Software mit den neuesten Security-Patches auf dem neuesten Stand.
  • Implementieren Sie MFA für den VPN-Zugriff – das erschwert es Angreifern, Zugriff zu erhalten, selbst wenn sie die Zugangsdaten erfolgreich kompromittiert haben, zum Beispiel durch einen Phishing- oder Brute-Force-Angriff.
  • Überprüfen Sie kontinuierlich die Einstellungen des Cloud-Dienstes auf Fehlkonfigurationen und korrigieren Sie diese.
  • Nutzen Sie Netzwerksegmentierung, um den Zugriff auf sensible Bereiche des Netzwerks zu beschränken.
  • Implementieren Sie umfassende, mehrschichtige Verteidigungsmaßnahmen mit integrierter und erweiterter Sichtbarkeit.

Andere aktuelle Bedrohungsaktivitäten, auf die Sie achten sollten

Kritische CrushFTP-Schwachstelle

CrushFTP ist ein plattformübergreifendes Dateiübertragungssystem, das sowohl für Privatanwender als auch für Unternehmen entwickelt wurde. Im April wurde eine kritische Schwachstelle gemeldet, die es Angreifern ermöglicht, die Authentifizierung zu umgehen und ohne Zugangsdaten Zugriff auf den Dateiübertragungsserver zu erhalten, wo sie möglicherweise Dateien manipulieren, Daten exfiltrieren und Dienste stören können. Ein Proof-of-Concept-Exploit wurde veröffentlicht, bevor die Schwachstelle umfassend behoben wurde. Bedrohungsakteure nutzten die Gelegenheit schnell – und SOC-Bedrohungsanalysten und andere haben gesehen, wie die Schwachstelle von Angreifern in freier Wildbahn ausgenutzt wurde.

Zu ergreifende Maßnahmen

Aktualisieren Sie CrushFTP sofort auf eine gepatchte Version und überprüfen Sie Ihre CrushFTP-Konfiguration, einschließlich Passwörter, Benutzerberechtigungen und Serverzugriffsrechte.

Weitere Informationen

Barracuda Cybersecurity Threat Advisory: Kritische CrushFTP-Schwachstelle

Kritische Next.js-Schwachstelle

Next.js ist ein Framework zum Erstellen schneller, benutzerfreundlicher Web-Applikationen und Websites. Die neu gemeldete kritische Schwachstelle ermöglicht es Angreifern, Autorisierungsprüfungen in der „Middleware“ von Next.js zu umgehen – Code, der den Zugriff auf bestimmte Teile einer Anwendung steuert. Durch die erfolgreiche Ausnutzung des Bugs erhalten Angreifer ohne entsprechende Berechtigungen Zugriff auf eingeschränkte Bereiche einer Web-Applikation und können so Daten manipulieren, Konfigurationen ändern oder die Integrität der Anwendung gefährden.

Zu ergreifende Maßnahmen

Aktualisieren Sie Next.js und all seine Abhängigkeiten auf die neueste Version und implementieren Sie robuste Zugriffs- und Authentifizierungskontrollen.

Weitere Informationen

Barracuda Cybersecurity Threat Advisory: Kritische Next.js-Schwachstelle

Wie Barracuda Managed XDR Ihrem Unternehmen helfen kann

Barracuda Managed XDR bietet durch die Kombination modernster Technologie mit fachkundiger SOC-Überwachung erweiterten Schutz vor den in diesem Bericht genannten Bedrohungen. Mit Bedrohungsinformationen in Echtzeit, automatisierten Reaktionen und einem rund um die Uhr an 365 Tagen im Jahr verfügbaren SOC-Team gewährleistet Barracuda Managed XDR umfassenden, proaktiven Schutz für Ihr Netzwerk, Ihre Cloud, Ihre E-Mails, Server und Endpunkte und gibt Ihnen die Gewissheit, den sich entwickelnden Bedrohungen immer einen Schritt voraus zu sein.

Für weitere Informationen dazu, wie wir Ihnen helfen können, wenden Sie sich bitte an Barracuda Managed XDR

Vereinbaren Sie einen Termin für Ihre Managed XDR-Demo
Verwandte Beiträge:
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
The SOC case files: Akira ransomware turns victim’s remote management tool on itself
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
Systemschock: Die Ransomware Storm-0501 verlagert sich in die Cloud
 Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Rapid threat containment: Barracuda Managed XDR adds Automated Threat Response for Microsoft and Google
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.