Meldung

Emotet wird zur globalen Bedrohung

Die Schadsoftware Emotet etabliert sich als globale Bedrohung. Zu diesem Schluss kommt Proofpoint in seinem Threat Report für das dritte Quartal 2019. Besonders auffällig ist dabei, dass die Schadsoftware Emotet allein bei 12 Prozent aller E-Mails mit Malware im Anhang zum Einsatz kam – obwohl Emotet nur in den letzten beiden Wochen des Septembers nennenswert aktiv war. Das heißt demnach, dass in diesem kurzen Zeitraum mehrere Millionen von Nachrichten mit bösartigen URLs oder Anhängen versandt wurden.
Eine der treibenden Kräfte hinter der weltweiten Verbreitung von Emotet ist laut Proofpoint [1] die in Fachkreisen als TA542 (Thread Actor 542) bezeichnete Gruppierung. Diese Gruppe Cyberkrimineller ist für den Vertrieb von Emotet "zuständig" und erweiterte in diesem Zeitraum auch ihr regionales Targeting auf eine Reihe neuer Länder, darunter Italien, Spanien, Japan, Hongkong und Singapur.

TA542 hat dabei Methoden angewandt, von denen sich die Gruppe Anfang 2019 zunächst getrennt hatte. Dazu gehören beispielsweise sehr gezielte eingesetzt saisonale und topaktuelle Köder. In diesem Zusammenhang beobachtete Proofpoint zum Beispiel am 23. September, dass in den Nachrichten häufiger als sonst von Edward Snowden die Rede war und die Cyberkriminellen ihre Köder entsprechend anpassten.

Neben der immer größer werdenden Bedrohung Emotet, hat Proofpoint noch eine andere wichtige Änderung der aktuellen Bedrohungslandschaft festgestellt: Im Bereich der Pornoerpressung (Sextortion) erschien auf dem Markt eine neue Malware, die Cyberkriminellen tatsächliche Beweise für Besuche von Erwachsenen auf Pornowebseiten im Internet liefern kann.

PsiXBot, ein Remote Access Trojaner (RAT), erweiterte seine Kommunikationsmöglichkeiten im September um ein neues "PornModule", das ein Wörterbuch mit pornographischen Schlüsselwörtern zur Überwachung von Titeln in offenen Fenstern enthält. Wenn ein Fenster mit dem Text übereinstimmt, startet es die Audio- und Webcam-Aufzeichnung auf dem infizierten Computer. Nach der Aufnahme wird das Video mit der Dateierweiterung ".avi" abgespeichert und an den Command and Control Server gesendet, um dann (vermutlich) zu Erpressungszwecken genutzt zu werden.

Insgesamt blieb Sextortion auch im dritten Quartal ein sehr großes Problem. Dabei konnten umfangreiche Kampagnen beobachtet werden, bei denen Social-Engineering-Nachrichten zum Einsatz kamen, die mit Hilfe des Phorpiex-Botnetz versandt wurden.

Die wichtigsten Erkenntnisse des Q3 Thread Report von Proofpoint im Überblick:
  • Das Volumen der weltweit versandten Nachrichten mit bösartigen URLs und Attachments sank im Vergleich zum zweiten Quartal um fast 40 Prozent. Dies ist hauptsächlich auf die Abwesenheit von Emotet in den ersten 10 Wochen des dritten Quartals zurückzuführen.
  • Bösartige URLs machten 88 Prozent des weltweiten Volumens aus, ein leichter Anstieg gegenüber dem zweiten Quartal. Damit setzt sich der bisherige Trend dieses Jahres in Sachen vermehrtem Versand bösartiger URLs weiter fort.
  • Mehr als 26 Prozent der betrügerischen Domains verwendeten SSL-Zertifikate. Somit nutzt ein dreifach höherer Anteil betrügerischer Domains diese Technologie als dies durchschnittlich im Web der Fall ist. Da in der Vergangenheit SSL-Zertifikate als Zeichen besonders sicherer Webseiten galten, entsteht ein besonders großes Bedrohungspotenzial.
  • Ransomware blieb als primäre Payload bösartiger E-Mails praktisch aus, mit Ausnahme kleinerer Kampagnen, die im Allgemeinen die Verschlüsslungs- und Erpressungssoftware Troldesh und Sodinokibi verteilen.
  • Cyberkriminelle nutzten das Keitaro TDS (Traffic Direction System) sowohl bei Malvertising als auch bei URL-basierten E-Mail-Angriffen und bauten damit auf dem Trend zu komplexeren Angriffsketten und Umleitungen auf, um ihre Aktivitäten zu verstecken und mehrere Angriffsvektoren, einschließlich Exploit-Kits, auszunutzen.
8.11.2019/dr

Tipps & Tools

Mehr Sicherheit ohne Skript [6.12.2019]

Es ist nichts Neues, dass die Sicherheit und Privatsphäre beim Surfen im Internet höchste Priorität haben. Das kostenfreie Add-on "NoScript" für Firefox und Chrome bietet die Möglichkeit, JavaScript-, Flash- und Java-Inhalte nur von vertrauenswürdigen Domänen auszuführen. In der Standardeinstellung werden auf Webseiten jegliche JavaScript-Skripte automatisch unterbunden. [mehr]

Download der Woche: FinalCrypt [3.12.2019]

In der Regel nutzen Verschlüsselungsprogramme Passwörter, um daraus einen Encryption-Key zu erzeugen. Dabei hängt die Sicherheit der Verschlüsselung von der Länge des Kennworts ab. Einen deutlich stärkeren Schutz bieten One-Time-Pads. Bei diesem als unknackbar geltenden Verfahren kommen Schlüsseldateien mindestens in der Länge der zu chiffrierenden Files zum Einsatz. Mit dem kostenfreien Tool "FinalCrypt" können Sie eine eigene Datei für den Encryption- beziehungsweise Decryption-Prozess auswählen. Hierfür lassen sich beispielsweise Fotos oder Textdokumente verwenden. [mehr]

Tracking unterbinden [8.11.2019]

Fachartikel

Darauf sollten Sie bei einem SIEM-Werkzeug achten [27.11.2019]

Um IT-Umgebungen umfassend abzusichern, verfügen Unternehmen heute über mindestens eine Firewall an jedem Punkt, an dem das Netzwerk mit dem Internet verbunden ist. Auf Workstations, auch auf Servern, kommen Lösungen zum Erkennen und Beseitigen von Malware und Viren zum Einsatz. Weitere Werkzeuge verwalten die Zugriffsberechtigungen auf interne Ressourcen. All diese Systeme sammeln und produzieren Daten, was einige Herausforderungen darstellt. Der Fachartikel erklärt, warum es sich lohnt in eine SIEM-Lösung zu investieren und was dabei zu beachten ist. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen