Cyberangriffe in Europa haben ihren Ursprung überwiegend innerhalb der eigenen Grenzen – von hier erfolgen sie mehr als aus jedem anderen Teil der Welt. Besonders häufig sind europäische Computersysteme Attacken ausgesetzt, die von IP-Adressen in den Niederlanden ausgehen. Das ergibt eine aktuelle Analyse von F5 Labs. Ausgewertet wurde der Datenverkehr von Angriffen auf europäische IP-Adressen zwischen dem 1. Dezember 2018 und dem 1. März 2019 im Vergleich zu den USA, Kanada und Australien ausgewertet.
Nach den Niederlanden folgen demnach als weitere Ursprungsländer von Angriffen die USA, China, Russland, Frankreich, Iran, Vietnam, Kanada, Indien und Indonesien. Doch die Attacken aus den Niederlanden hatten den anderthalbfachen Umfang wie die Attacken aus den Vereinigten Staaten und China zusammen – und den sechsfachen Umfang der Attacken aus Indonesien. Insgesamt bemerkten die Sicherheitsforscher, dass die Ursprungsländer der in Europa beobachteten Angriffe in ähnlicher Weise an den Angriffen auf australische und kanadische Ziele teilnahmen. In den USA hingegen waren weniger europäische IP-Adressen ursächlich an den Angriffen beteiligt.
Besonders häufig gingen die Angriffe außerdem von drei europäischen Webhosting-Providern aus, die F5 Labs regelmäßig in Listen der gefährlichsten Akteursnetzwerke erfasst. Demnach initiierte das niederländische Netzwerk von HostPalace Web Solutions die größte Zahl von Angriffen, gefolgt vom französischen Online SAS und dem niederländischen NForce Entertainment.
Als der am häufigsten angegriffene Port fiel in Europa der vom SIP-Protokoll für VoIP-Verbindungen zu Telefonen und Videokonferenzsystemen genutzte Port 5060 auf. Dem folgten der Microsoft-SMB-Port 445 sowie der oft als nicht standardisierter SSH-Port genutzte Port 2222. Die Sicherheitsexperten empfehlen daher Unternehmen laufende Überprüfungen auf Schwachstellen, um zu ermitteln, welche spezifischen Ports öffentlich zugänglich sind. Durch Firewalls zu schützen oder im Schwachstellenmanagement zu priorisieren sind die am stärksten angegriffenen offenen Ports.
Netzwerkadministratoren und Sicherheitstechniker sollten außerdem Netzwerkprotokolle auf Verbindungen zu den wichtigsten angreifenden IPs überprüfen. „Wenn sie Angriffe von einer dieser IP-Adressen bemerken, sollten sie entsprechende Beschwerden an die Betreiber richten, damit diese die angreifenden Systeme herunterfahren“, rät Ralf Sydekum, Technical Manager DACH bei F5 Networks. Das Blockieren des Datenverkehrs ganzer Netzwerke oder eines ISPs könnte allerdings problematisch sein und auch eigene Kunden betreffen. „Es sei denn, der ISP ist in einem Land tätig, das außerhalb der Vertriebsregionen liegt. Dann kann die geolokalisierte Blockierung auf Länderebene effektiv eine große Menge an Angriffsverkehr vermeiden.“
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…