Q1 Threat Report

Emotet: Die Entwicklung vom Banking-Trojaner zum Botnet

Proofpoint hat seinen neuesten Threat Report für das erste Quartal 2019 veröffentlicht. Dem Bericht zufolge konnten die Experten von Proofpoint beobachten, dass sich Emotet hinsichtlich seiner ursprünglichen Klassifizierung stark verändert hat.

So entwickelte er sich von einem reinen Banking-Trojaner hin zu einem Botnetz, das Credential Stealern, eigenständigen Downloadern und Remote-Acces-Trojanern (RATs) zunehmend den Rang abläuft. Das Unternehmen stellte in seiner neuesten Untersuchung in diesem Zusammenhang fest, dass hinter 61 Prozent aller im ersten Quartal dieses Jahres beobachteten bösartigen Payloads nur ein einziger Akteur steckte: Die Betreiber des Emotet-Botnetzes.

Anzeige

Ein Beleg für die Popularität von Emotet ist vor allem die anhaltende Zunahme von Angriffen mit gefährlichen URLs – verglichen mit Attacken, die auf schädliche Datei-Anhänge setzen. Proofpoint konnte im Rahmen seiner Untersuchung für das vergangene Quartal belegen, dass bösartige URLs in E-Mails diejenigen mit gefährlichen Datei-Anhängen um etwa das Verhältnis fünf zu eins überstiegen. Damit wuchs diese Art von Bedrohung um 180 Prozent im Vergleich zum ersten Quartal 2018 an. Ein Großteil dieses Aufkommens an Cyberbedrohungen, sowohl insgesamt als auch im Hinblick auf die Verbreitung bösartiger URLs in Nachrichten, wurde durch das gleichnamige Emotet-Botnet verbreitet.

„Die extremen Veränderungen, die Emotet hinsichtlich seiner Verbreitung aber auch bezüglich seiner Wandlung hin zu einer neuen Bedrohungs-Klasse vollzog, zeigt, wie schnell Cyberkriminelle neue Tools und Techniken über verschiedene Angriffstypen hinweg anpassen, um ihre Attacken erfolgreich zu monetarisieren“, erklärt Sherrod DeGrippo, Senior Director of Threat Research and Detection bei Proofpoint. „Um sich bestmöglich vor der sich schnell wandelnden Bedrohungslandschaft zu schützen, ist es wichtig, dass Unternehmen einen Sicherheitsansatz verfolgen, bei dem der Mensch im Vordergrund der Betrachtung steht. Bei diesem Ansatz müssen insbesondere die am häufigsten angegriffenen Mitarbeiter vor Attacken geschützt werden. Hier ist es wichtig, dass gerade diese Nutzer intensiv geschult werden und dass der betreffende Ansatz auch den Schutz vor Social-Engineering-Angriffen via E-Mail, Social Media und Internet generell umfasst.“

Im Folgenden die wichtigsten Ergebnisse der Analyse in der Übersicht:

  • Banking-Trojaner machten im ersten Quartal 2019 lediglich 21 Prozent aller bösartigen Payloads in E-Mails aus. Dazu zählten hauptsächlich IcedID, The Trick, Qbot und Ursnif.
     
  • Abgesehen von kleineren GandCrab-Kampagnen wurden im Falle von Ransomware in den ersten drei Monaten des Jahres 2019 praktisch keine nennenswerten Vorkommnisse verzeichnet, da 82 Prozent aller Payloads entweder aus Emotet oder aktuellen Banking-Trojanern bestanden.
     
  • Die Maschinenbau-, Automobil- und Bildungsbranche waren im ersten Quartal 2019 am stärksten von E-Mail-Betrug (auch BEC oder CEO-Betrug genannt) betroffen.
     
  • Über alle Branchen hinweg waren attackierte Unternehmen durchschnittlich 47 solcher Angriffe ausgesetzt. Dieser Wert liegt zwar hinter dem Rekord des vierten Quartals 2018 zurück, könnte aber ein Zeichen für eine zunehmend selektive Ausrichtung auf einzelne Mitarbeiter, und saisonale Schwankung sein.
     
  • Social-Engineering-Angriffe, kompromittierte Websites sowie Malvertising-Bedrohungen verringerten sich gegenüber dem vierten Quartal 2018 um rund 50 Prozent. Dies scheint einen saisonalen Trend widerzuspiegeln ­– die Aktivität in diesen Bereichen war dennoch 16-mal höher als im Vorjahresquartal.
     
  • Die Anzahl betrügerischer Domains, die über ein SSL-Zertifikat verfügten, das sie als legitime Domain auswies, verdreifachte sich im ersten Quartal 2019. Nutzer, denen diese Domains online oder bei E-Mail-Angriffen begegnen, wiegen sich mit Hilfe dieser Taktik oft in falscher Sicherheit.
     
  • Im ersten Quartal war der Anteil der als potenziell betrügerisch identifizierten Domains, die tatsächlich auf eine IP-Adresse weiterleiteten – also nicht nur „geparkt“ waren oder einen 404-Error ausgaben – um 26 Prozentpunkte höher als das bei allen im Web verfügbaren Domains der Fall war. Bei den HTTP-Antworten lag der Wert gar um 43 Prozentpunkte höher als bei allen Web-Domains.
     
  • Lookalike-Domains wurden allein im März 2019 zahlenmäßig fast genauso oft registriert wie in den vorangegangenen beiden Monaten zusammen.

Weitere Informationen:

Der Threat Report zu aktuellen Bedrohungen und Trends basiert dabei auf der Auswertung von Bedrohungen, denen die weltweit tätigen Kunden von Proofpoint in diesem Zeitraum ausgesetzt waren. Den vollständigen Q1 Threat Report 2019 finden Sie hier im englischen Original.

www.proofpoint.com/de
 

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.