Auf Basis eines Scans von über 27.000 SharePoint-Servern zwischen dem 18. und 23. Juli identifizierte Eye Security 396 kompromittierte Systeme in 145 einzigartigen Organisationen in 41 Ländern. Besonders betroffen waren Organisationen aus dem öffentlichen Sektor (30 %) sowie dem Bildungsbereich (13 %) – ein Indiz für eine gezielte Ausnutzung von Organisationen, die typischerweise im Fokus nachrichtendienstlich gesteuerter Operationen stehen.
„Diese Kampagne war weder zufällig noch opportunistisch. Die Angreifer wussten genau, wonach sie suchten“, sagt Lodi Hensen, VP Security Operations bei Eye Security.
Welche Länder waren am stärksten betroffen?
Am stärksten von den erfolgreichen SharePoint-Angriffen betroffen waren die Vereinigten Staaten, Mauritius, Deutschland und Frankreich.
Obwohl in Jordanien lediglich zwei Organisationen betroffen waren, verzeichneten beide eine ungewöhnlich hohe Anzahl an Angriffsversuchen.
Neben Behörden und Bildungseinrichtungen zeigten auch andere Branchen Anzeichen gezielter Angriffe:
- SaaS-Anbieter – 9 %
- Telekommunikationsunternehmen – 4 %
- Energieversorger – 4 %
Diese Sektoren verfügen typischerweise über besonders wertvolle Daten und fungieren als Einstiegspunkte in größere Netzwerke.
Mehr als nur ein erster Zugriff
Die Untersuchung von Eye Security offenbarte wiederkehrende Muster in der Angriffsinfrastruktur – etwa den auffälligen Einsatz von „debug_dev.js“ in Angriffen auf mauritische Organisationen. Diese Auffälligkeit wird derzeit weiter analysiert.
Mehrere Scan-Wellen innerhalb weniger Tage zeigten, dass die Zahl infizierter Systeme auch nach Veröffentlichung des Microsoft-Patches weiter anstieg. Das deutet darauf hin, dass viele Organisationen entweder nicht rechtzeitig gepatcht haben oder die Angreifer bereits persistente Zugänge eingerichtet hatten.
„Das ist das eigentliche Risiko“, warnt Hensen. „Ein Patch entfernt keinen Angreifer, der sich bereits im System befindet. Die Zeitspanne zwischen Angriff und vollständiger Bereinigung kann verheerend sein, insbesondere für mittelständische Unternehmen ohne 24/7-Überwachung.“
Eine sich ausweitende Bedrohung
Microsoft führt die initialen Angriffe auf chinesische Gruppen wie Linen Typhoon, Violet Typhoon und Storm-2603 zurück. Doch die aktuelle Lage zeigt, dass die Ausnutzung der Schwachstelle nicht mehr ausschließlich staatlich gesteuerten Gruppen vorbehalten ist.
„Bei Exploits wie diesem beobachten wir häufig eine rasche Dynamik: Sobald eine Schwachstelle öffentlich bekannt wird und technische Details kursieren, schließen sich weitere staatliche wie nichtstaatliche Gruppen an – darunter auch Cyberkriminelle mit völlig anderen Motiven, insbesondere finanzielle,“ so Lodi Hensen, VP Security Operations bei Eye Security.
In der Folge weitet sich der Fokus der Angriffe oft aus. Gerade mittelständische Unternehmen, die typischerweise nicht im Zentrum nachrichtendienstlich motivierter Angriffe stehen, geraten zunehmend ins Visier. Die Zeitspanne zwischen Entdeckung, Verfügbarkeit eines Patches und vollständiger Behebung eröffnet eine kritische Angriffsfläche, die viele Täter gezielt ausnutzen.
Eye Security rechnet in den kommenden Wochen mit einer fortgesetzten Ausnutzung der SharePoint-Schwachstelle – insbesondere im Zusammenhang mit Ransomware und Supply-Chain-Angriffen. Für Organisationen, die vor dem Patch angreifbar waren, ist das Risiko möglicherweise noch nicht gebannt. Wenn Angreifer bereits Zugriff erlangt haben, reicht ein nachträgliches Einspielen des Patches nicht aus, um sie aus dem Netzwerk zu entfernen.
Was jetzt zu tun ist
Eye Security informierte bereits am 21. Juli Microsoft, Cyber-Behörden sowie alle Kunden und Partner über die Bedrohung. Das Unternehmen ruft alle Organisationen mit On-Premises-SharePoint-Systemen dazu auf, von einem potenziellen Sicherheitsvorfall auszugehen, die Patch-Installation zu verifizieren und eine gründliche Bedrohungssuche durchzuführen.
„Microsoft Defender zu haben oder zu patchen reicht nicht aus. Wer nicht erkennt, was in Echtzeit passiert, reagiert bereits zu spät“, so Hensen.
Das 24/7-MDR-Team und das Incident-Response-Team von Eye Security stehen betroffenen Organisationen und Partnern weiterhin aktiv zur Seite.
Mit über 750 Kunden, 60 Partnern und fünf Standorten gehört Eye Security zu den am schnellsten wachsenden Cybersecurity-Unternehmen Europas. Die integrierte IT-Sicherheitslösung kombiniert 24/7 Managed Detection & Response (MDR) mit Cyber-Versicherung, speziell zugeschnitten auf die Anforderungen mittelständischer Unternehmen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Eye Security als APT-Response-Anbieter, wodurch das Unternehmen zu den wenigen hochqualifizierten Cybersecurity-Dienstleistern in Europa zählt.
Eye Security GmbH
Franz-Haniel-Platz 1
47119 Duisburg
Telefon: +49 (211) 81995603
https://www.eye.security/de/
Marketing Manager
Telefon: +49 (2036) 6888901
E-Mail: mara.jochem@eye.security
