Anzeige

Email Virus

Vor wenigen Wochen erst konnte Proofpoint die Rückkehr der Hackergruppe TA542 (Threat Actor) und damit einhergehend der Emotet-Malware vermelden. Zuvor hatte die Gruppe ihre Aktivitäten für ganze 161 Tage eingestellt – die längste bekannte Pause dieses Bedrohungsakteurs.

Proofpoint hat nun die aktuellen Kampagnen von TA542 in zwei neuen Blogs näher analysiert und konnte dabei bedeutende Veränderungen aufseiten der Cyberkriminellen feststellen.

Ab dem 17. Juli dieses Jahres, also dem Wiederaufflammen der Emotet-Bedrohung, haben die Security-Experten die jüngste Serie an Emotet-Kampagnen von TA542 genauestens studiert. Dabei waren die Sicherheitsforscher in der Lage, eine Reihe von Übereinstimmungen mit vergangenen Kampagnen aber auch einige bemerkenswerte Neuerungen zu beobachten. Analog zu Kampagnen, die vor der im Frühjahr selbstauferlegten Pause von TA542 stattfanden, konnte Proofpoint auch bei den aktuellen Aktivitäten der Gruppe umfangreiche Attacken via E-Mail belegen.

Diese hatten ein Volumen von mehr als 7 Millionen Nachrichten in einem Zeitraum von 40 Tagen. Zum Vergleich: bei Kampagnen im Januar und Februar 2020 wurden über 6 Millionen Nachrichten innerhalb von 20 Tagen verzeichnet. Die Kampagnen in diesem Sommer haben ein durchschnittliches Volumen von knapp über 180.000 Nachrichten pro Tag im Vergleich zu über 300.000/Tag Anfang dieses Jahres. Die E-Mail-Kampagnen von TA542 sind damit, gemessen am Nachrichtenvolumen, mit großem Abstand die am weitest verbreitetsten – nur wenige andere Akteure kommen dem auch nur nahe.

Darüber hinaus ist auch dieses Mal wieder eine Vielzahl von Branchen und Organisationen auf der ganzen Welt von den Kampagnen betroffen. Eine Fokussierung auf bestimmte Sektoren lässt sich daher nicht erkennen.


Das ist neu bei Emotet

Eine wichtige Veränderung, die bei diesen Kampagnen jedoch festgestellt werden konnte, ist, dass TA542 die regionale Verteilung seiner E-Mail-Attacken und die dabei verwendeten Sprachen weiter ausgebaut hat.

Neben den bisher attackierten Ländern Deutschland, Österreich, Schweiz, Australien, Kanada, UK, USA, Neuseeland, Japan sowie den Vereinigten Arabischen Emiraten und Ländern in Lateinamerika, richteten sich die neuesten Angriffe auch an Empfänger in Finnland, Indien, Indonesien, Norwegen, Schweden, Vietnam sowie in den Niederlanden und den Philippinen. Zudem wurden die E-Mails auch hinsichtlich der darin verwendeten Sprachen angepasst: Diese umfassten nun auch Hindi, Indonesisch, Schwedisch, Norwegisch, Finnisch, Niederländisch, Vietnamesisch und philippinische Sprachen.

Eine weitere bedeutende Neuerung findet sich in der Payload, die Emotet in den derzeitigen Kampagnen nachlädt. TA542 hat die Schadsoftware so konfiguriert, dass Emotet die Banking Malware (bzw. Backdoor) Qbot installiert. Nach der Infektion eines Systems stellt Qbot eine Verbindung zu einem Remote Server her, so dass die Angreifer auf das betroffene System zugreifen können. Qbot ist sodann in der Lage, Informationen wie Bank- und Finanzdaten zu stehlen sowie die getätigten Tastatureingaben zu protokollieren, wodurch Benutzernamen und Passwörter ausgespäht werden können. Ferner bedient sich TA542 in den aktuellen Kampagnen auch wieder des sogenannten „Thread-Hijacking“, also dem Einschleusen von E-Mails mit Schadinhalten in bestehende bzw. andauernde E-Mail-Threads, um die eigenen Angriffe via E-Mail legitimer erscheinen zu lassen.

www.proofpoint.com/de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cloud-Mail
Aug 24, 2020

Umfassende Verschlüsselung

Web- und Office-Programme aus der Cloud bieten Optionen, um E-Mails zu verschlüsseln.…
Emotet Malware
Aug 19, 2020

Schadsoftware Emotet ist zurück

Emotet ist zurück: Wie Phoenix aus der Asche kehrt der Trojaner nach knapp fünfmonatiger…

Weitere Artikel

RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.
Phishing

Phishing-Kampagnen: Wer ist besonders gefährdet?

Mit Gmail ist Google einer der größten E-Mail-Anbieter weltweit und zählt sowohl Privatpersonen als auch Unternehmen zu seinen Kunden. Einer der wichtigsten Faktoren bei der Auswahl des Providers dürfte für Unternehmen dabei das Thema Sicherheit sein. Dazu…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!