Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

„Q1 Threat Report“ – aktueller Bericht zur Bedrohungslage veröffentlicht

[datensicherheit.de, 29.05.2019] Die Proofpoint Inc. hat am 29. Mai 2019 ihren neuesten „Threat Report“ für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge hätten die Experten von Proofpoint beobachten können, dass sich „Emotet“ hinsichtlich seiner ursprünglichen Klassifizierung stark verändert habe: So habe dich diese Malware von einem reinen Banking-Trojaner hin zu einem Botnetz entwickelt, das „Credential Stealern“, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang ablaufe. So habe hinter 61 Prozent aller im ersten Quartal 2019 beobachteten bösartigen „Payloads“ nur ein einziger Akteur gesteckt – der Betreiber des „Emotet“-Botnetzes.

Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen

Ein Beleg für die Popularität von „Emotet“ sei vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs – verglichen mit Attacken, die auf schädliche Datei-Anhänge setzten. Proofpoint habe im Rahmen seiner Untersuchung für das vergangene Quartal belegen können, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen.
Damit sei diese Art der Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 angestiegen. Ein Großteil dieses Aufkommens an Cyber-Bedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, sei eben durch das gleichnamige „Emotet“-Botnet verbreitet worden.

Der Mensch muss im Vordergrund der Betrachtung stehen

„Die extremen Veränderungen, die ,Emotet‘ hinsichtlich seiner Verbreitung aber auch bezüglich seiner Wandlung hin zu einer neuen Bedrohungs-Klasse vollzog, zeigt, wie schnell Cyber-Kriminelle neue Tools und Techniken über verschiedene Angriffstypen hinweg anpassen, um ihre Attacken erfolgreich zu monetarisieren“, erläutert Sherrod DeGrippo, „Senior Director of Threat Research and Detection“ bei Proofpoint.
„Um sich bestmöglich vor der sich schnell wandelnden Bedrohungslandschaft zu schützen, ist es wichtig, dass Unternehmen einen Sicherheitsansatz verfolgen, bei dem der Mensch im Vordergrund der Betrachtung steht“, betont DeGrippo. Bei diesem Ansatz müssten insbesondere die am häufigsten angegriffenen Mitarbeiter vor Attacken geschützt werden. „Hier ist es wichtig, dass gerade diese Nutzer intensiv geschult werden und dass der betreffende Ansatz auch den Schutz vor Social-Engineering-Angriffen via E-Mail, Social Media und Internet generell umfasst.“

Laut Proofpoint die wichtigsten Ergebnisse der aktuellen Analyse:

• Banking-Trojaner machten im ersten Quartal 2019 lediglich 21 Prozent aller bösartigen „Payloads“ in E-Mails aus – dazu zählten hauptsächlich „IcedID“, „The Trick“, „Qbot“ und „Ursnif“.
• Abgesehen von kleineren „GandCrab“-Kampagnen seien im Falle von Ransomware in den ersten drei Monaten des Jahres 2019 praktisch keine nennenswerten Vorkommnisse verzeichnet worden, da 82 Prozent aller „Payloads“ entweder aus „Emotet“ oder aktuellen Banking-Trojanern bestanden hätten.
• Die Maschinenbau-, Automobil- und Bildungsbranche seien im ersten Quartal 2019 am stärksten von E-Mail-Betrug (auch BEC- oder CEO-Betrug genannt) betroffen gewesen.
• Über alle Branchen hinweg seien attackierte Unternehmen durchschnittlich 47 solcher Angriffe ausgesetzt gewesen – dieser Wert liege zwar hinter dem Rekord des vierten Quartals 2018 zurück, „könnte aber ein Zeichen für eine zunehmend selektive Ausrichtung auf einzelne Mitarbeiter, und saisonale Schwankung sein“.
• Social-Engineering-Angriffe, kompromittierte Websites sowie Malvertising-Bedrohungen hätten sich gegenüber dem vierten Quartal 2018 um rund 50 Prozent verringert. Dies scheine einen saisonalen Trend widerzuspiegeln – die Aktivität in diesen Bereichen sei dennoch 16-mal höher als im Vorjahresquartal gewesen.
• Die Anzahl betrügerischer Domains mit SSL-Zertifikat zur Vortäuschung der Legitimität habe sich im ersten Quartal 2019 verdreifacht. Nutzer, denen diese Domains online oder bei E-Mail-Angriffen begegnen, würden sich aufgrund dieser Taktik oft in falscher Sicherheit wiegen.
• Im ersten Quartal sei der Anteil der als potenziell betrügerisch identifizierten Domains, die tatsächlich auf eine IP-Adresse weitergeleitet hätten – also nicht nur „geparkt“ gewesen seien oder einen „404-Error“ ausgegeben hätten – um 26 Prozentpunkte höher gewesen als bei allen sonst im Web verfügbaren Domains. Bei den HTTP-Antworten habe der Wert gar um 43 Prozentpunkte höher gelegen als bei allen anderen Web-Domains.
• Lookalike-Domains seien allein im März 2019 zahlenmäßig fast genauso oft registriert worden wie in den vorangegangenen beiden Monaten zusammen.

Der aktuelle „Threat Report“ zu aktuellen Bedrohungen und Trends basiere dabei auf der Auswertung von Bedrohungen, denen die weltweit tätigen Kunden von Proofpoint in diesem Zeitraum ausgesetzt gewesen seien.

Abbildung: proofpoint.

„QUARTERLY THREAT REPORT Q1 2019“: aktuelle Bedrohungen und Trends

Weitere Informationen zum Thema:

proofpoint.
QUARTERLY THREAT REPORT Q1 2019

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

datensicherheit.de, 22.04.2019
Proofpoint: Kommentar zu Sicherheitsvorfällen bei Office 365

datensicherheit.de, 12.02.2019
proofpoint: Vierteljährlicher Report zur Bedrohungslage veröffentlicht