Mimecast-Analyse zu 67 Milliarden zurückgewiesenen E-Mails

„Threat Intelligence Report / Black Hat Edition 2019“ publiziert

[datensicherheit.de, 12.08.2019] Laut dieser Studie machten Trojaner 71 Prozent der opportunistischen Angriffe aus, und der Bildungssektor sei am häufigsten zur Zielscheibe geworden. Die Mimecast Ltd. hat am 12. August 2019 seinen ersten „Threat Intelligence Report“ veröffentlicht – die „Black Hat Edition 2019“. Der Bericht enthält demnach eine technische Analyse aktueller Bedrohungen, die die Sicherheitsumgebung von Mimecast-Kunden überwinden wollten. Josh Douglas, „Vice President of Threat Intelligence“ bei Mimecast, geht auf die zentralen Erkenntnisse ein.

Foto: Mimecast Ltd.

Josh Douglas:  Unternehmen helfen, fundiertere Entscheidungen zur Stärkung ihrer Sicherheit zu treffen

Entweder einfache, opportunistische oder komplexe, gezielte Attacken

„In dem Bericht beschreiben Sicherheitsforscher aus dem ,Mimecast Threat Center‘ die Taktiken und Techniken, die aktuelle Bedrohungen einsetzen; die aktiven Bedrohungskampagnen, die beobachtet wurden; die wichtigsten Bedrohungskategorien samt Volumen sowie die am stärksten betroffenen Sektoren.“
Ausgehend von ihren Beobachtungen prognostizierten die Forscher auch, wie sich die Bedrohungslandschaft in den nächsten sechs bis 18 Monaten verändern könnte. „Zwei gegensätzliche Trends ziehen sich durch die gesamte Analyse: Die Angreifer führen entweder einfache, opportunistische Angriffe oder aber komplexe, gezielte Attacken aus – abhängig davon, wie sehr sie es auf ein bestimmtes Ziel abgesehen haben.“

Signifikante Zunahme von Angriffen mit gefälschter Identität

Der „Threat Intelligence Report“ erstrecke sich auf den Zeitraum April bis Juni 2019. Während dieser Zeit seien fast 160 Milliarden E-Mails verarbeitet worden, „von denen 67 Milliarden abgewiesen wurden, weil sie hochgradig bösartige Angriffstechniken anwendeten“. Zu beobachten gewesen sei „eine signifikante Zunahme von Angriffen mit gefälschter Identität (Impersonation-Attacken), bei denen wohlbekannte, grundlegende Social-Engineering-Techniken gegen Nutzer eingesetzt wurden, mit dem Ziel, schnell und einfach finanziellen Profit zu erzielen“.
Interessanterweise beschreibe der Bericht, dass die Bedrohungsakteure die Kommunikation mit ihren Opfern anpassten, „indem sie zunächst per E-Mail Kontakt aufnehmen und dann zu SMS wechseln, einen weniger sicheren Kommunikationskanal“. Andererseits seien immer mehr komplexere, gezielte Angriffe geführt worden, bei denen Verschleierungstaktiken und mehrere Schichten oder Bündel von Malware zum Einsatz gekommen seien. Wie die Sicherheitsforscher festgestellt hätten, „machen sich Bedrohungsakteure, die Angriffe dieser Art durchführen, zunächst mit der Sicherheitsumgebung ihres Opfers vertraut und wenden dann vielfältige Ausweichtechniken an, um nicht entdeckt zu werden“.

Excel eine der beliebtesten Dateitypen für bösartige Aktivitäten

Der Bericht führe auch konkrete Beispiele für neu auftretende Bedrohungen auf, ebenso wie beobachtete aktive Bedrohungskampagnen, die primären Bedrohungskategorien, die Bedrohungsvolumen sowie die am stärksten ins Visier genommenen Sektoren. Die Forscher hätten eine große Anzahl bekannter Malware-Kampagnen beobachtet, „darunter solche, bei denen die Schadprogramme ,Emotet‘, ,Adwin‘, ,Necurs‘ und ,Gandcrab‘ zum Einsatz kamen“.
Zu den beliebtesten Dateitypen für bösartige Aktivitäten habe „Microsoft Excel“ gezählt – mehr als 40 Prozent der erkannten Bedrohungen hätten mit „Excel“ verbundene Dateien verwendet. Bei fast 15 Prozent der Bedrohungen seien mit „Microsoft Word“ verbundene Dateitypen beobachtet worden.

„Threat Intelligence Report“ soll Unternehmen helfen, globale Bedrohungslandschaft besser zu verstehen

„Die Bedrohungslandschaft wird sich weiterentwickeln, da die Angreifer nach immer neuen Wegen suchen, um Sicherheitsmaßnahmen zu umgehen und so ihre Ziele zu erreichen. Wir sehen, dass Malware-zentrierte Kampagnen immer ausgefeilter werden und häufig verschiedene Arten von Malware in verschiedenen Angriffsphasen verwendet werden. Gleichzeitig nehmen jedoch auch sehr simple Angriffe deutlich zu“, berichtet Douglas.
Der „Threat Intelligence Report“ solle Unternehmen helfen, die globale Bedrohungslandschaft besser zu verstehen, damit sie fundiertere Entscheidungen zur Stärkung ihrer Sicherheit treffen könnten.

Weitere wichtige Erkenntnisse aus dem Threat Intelligence Report:

• Die Bedrohungsakteure seien immer besser organisiert und immer geschäftsorientierter – sie realisierten Geschäftsmodelle auf Abonnement- und As-a-Service-Basis, um sich bei der Bereitstellung von Malware Arbeit zu ersparen und ihre Investitionsrendite zu erhöhen.
• Die Bedrohungsakteure setzten in großem Stil Spam ein, um Malware zu verbreiten. Am stärksten sei der Bildungssektor von Spam betroffen gewesen. Die Angreifer sähen ihn wohl als ein Hauptziel an, weil sich die Schüler- und Studentenpopulationen schnell veränderten, das Sicherheitsbewusstsein bei dieser Gruppe in der Regel geringer sei und dort Zugang zu personenbezogenen Daten zu erhoffen sei.
• 30 Prozent aller Angriffe mit gefälschter Identität entfielen auf die Sektoren Management und Consulting sowie Biotechnologie.
• Trojaner machten 71 Prozent aller opportunistischen Angriffe aus.

Weitere Informationen zum Thema:

mimecast
The Mimecast Threat Intelligence Report

datensicherheit.de, 27.06.2019
Microsoft Excel: Mimecast veröffentlicht Bericht zu ungepatchter Schwachstelle

datensicherheit.de, 30.08.2018
Mimecast-Bericht zur E-Mail-Sicherheit veröffentlicht