30. Mai 2019 Wolfgang Franz/pi

Emotet machte fast zwei Drittel aller bösartigen Payloads aus

Proofpoint hat seinen neuesten Threat Report für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge konnten die Experten von Proofpoint beobachten, dass sich Emotet hinsichtlich seiner ursprünglichen Klassifizierung stark verändert hat. [...]

Banking-Trojaner machten im ersten Quartal 2019 21 Prozent aller bösartigen Payloads in E-Mails aus. (c) Joachim Roy - Fotolia
Banking-Trojaner machten im ersten Quartal 2019 21 Prozent aller bösartigen Payloads in E-Mails aus. (c) Joachim Roy - Fotolia

So entwickelte er sich von einem reinen Banking-Trojaner hin zu einem Botnetz, das Credential Stealern, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang abläuft. Das Unternehmen stellte in seiner neuesten Untersuchung in diesem Zusammenhang fest, dass hinter 61 Prozent aller im ersten Quartal dieses Jahres beobachteten bösartigen Payloads nur ein einziger Akteur steckte: Die Betreiber des Emotet-Botnetzes.

Ein Beleg für die Popularität von Emotet ist vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs – verglichen mit Attacken, die auf schädliche Datei-Anhänge setzen. Proofpoint konnte im Rahmen seiner Untersuchung für das vergangene Quartal belegen, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen. Damit wuchs diese Art von Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 an. Ein Großteil dieses Aufkommens an Cyberbedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, wurde durch das gleichnamige Emotet-Botnet verbreitet.

„Die extremen Veränderungen, die Emotet hinsichtlich seiner Verbreitung aber auch bezüglich seiner Wandlung hin zu einer neuen Bedrohungs-Klasse vollzog, zeigt, wie schnell Cyberkriminelle neue Tools und Techniken über verschiedene Angriffstypen hinweg anpassen, um ihre Attacken erfolgreich zu monetarisieren“, erklärt Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint. „Um sich bestmöglich vor der sich schnell wandelnden Bedrohungslandschaft zu schützen, ist es wichtig, dass Unternehmen einen Sicherheitsansatz verfolgen, bei dem der Mensch im Vordergrund der Betrachtung steht. Bei diesem Ansatz müssen insbesondere die am häufigsten angegriffenen Mitarbeiter vor Attacken geschützt werden. Hier ist es wichtig, dass gerade diese Nutzer intensiv geschult werden und dass der betreffende Ansatz auch den Schutz vor Social-Engineering-Angriffen via E-Mail, Social Media und Internet generell umfasst.“

Die wichtigsten Ergebnisse der Analyse

  • Banking-Trojaner machten im ersten Quartal 2019 lediglich 21 Prozent aller bösartigen Payloads in E-Mails aus. Dazu zählten hauptsächlich IcedID, The Trick, Qbot und Ursnif.
  • Abgesehen von kleineren GandCrab-Kampagnen wurden im Falle von Ransomware in den ersten drei Monaten des Jahres 2019 praktisch keine nennenswerten Vorkommnisse verzeichnet, da 82 Prozent aller Payloads entweder aus Emotet oder aktuellen Banking-Trojanern bestanden.
  • Die Maschinenbau-, Automobil- und Bildungsbranche waren im ersten Quartal 2019 am stärksten von E-Mail-Betrug (auch BEC oder CEO-Betrug genannt) betroffen.
  • Über alle Branchen hinweg waren attackierte Unternehmen durchschnittlich 47 solcher Angriffe ausgesetzt. Dieser Wert liegt zwar hinter dem Rekord des vierten Quartals 2018 zurück, könnte aber ein Zeichen für eine zunehmend selektive Ausrichtung auf einzelne Mitarbeiter, und saisonale Schwankung sein.
  • Social-Engineering-Angriffe, kompromittierte Websites sowie Malvertising-Bedrohungen verringerten sich gegenüber dem vierten Quartal 2018 um rund 50 Prozent. Dies scheint einen saisonalen Trend widerzuspiegeln ¬– die Aktivität in diesen Bereichen war dennoch 16-mal höher als im Vorjahresquartal.
  • Die Anzahl betrügerischer Domains, die über ein SSL-Zertifikat verfügten, das sie als legitime Domain auswies, verdreifachte sich im ersten Quartal 2019. Nutzer, denen diese Domains online oder bei E-Mail-Angriffen begegnen, wiegen sich mit Hilfe dieser Taktik oft in falscher Sicherheit.
  • Im ersten Quartal war der Anteil der als potenziell betrügerisch identifizierten Domains, die tatsächlich auf eine IP-Adresse weiterleiteten – also nicht nur „geparkt“ waren oder einen 404-Error ausgaben – um 26 Prozentpunkte höher als das bei allen im Web verfügbaren Domains der Fall war. Bei den HTTP-Antworten lag der Wert gar um 43 Prozentpunkte höher als bei allen Web-Domains.
  • Lookalike-Domains wurden allein im März 2019 zahlenmäßig fast genauso oft registriert wie in den vorangegangenen beiden Monaten zusammen.

Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

5. November 2024 Jiannis Papadakis *

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

5. November 2024

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*