Der HTML-Schmuggel nimmt zu

Sie sind hier: Das Magazin für alle IT-Security-Themen » Virenwarnung » Statistiken

Schadsoftware Emotet erobert in Q1 2022 die Malware-Spitzenposition

HP Wolf Security Threat Insights Report: Anzahl der erfassten Bedrohungen stieg um 27 Prozent

HP (Hewlett-Packard) stellt die Ergebnisse des" HP Wolf Security Threat Insights Reports" für das erste Quartal 2022 vor: Im Vergleich zum vierten Quartal 2021 stellte das Forscher-Team einen Anstieg um 27 Prozent der Bedrohungen durch bösartige Emotet-Spam-Kampagnen fest – in diesem Quartal kam Emotet erstmals auf. Der aktuelle globale HP Wolf Security Threat Insights Report – der Analysen realer Cybersecurity-Angriffe umfasst – zeigt, dass Emotet im Bedrohungs-Ranking 36 Plätze nach oben geklettert ist. Damit ist die Schadsoftware in diesem Quartal mit neun Prozent aller erfassten Malware-Fälle eine der am häufigsten entdeckten Malware-Familien. Eine großangelegte Angriffskampagne zielte auf japanische Unternehmen ab und schloss das Hijacking von E-Mail-Threads ein, um die PCs der Empfänger zu infizieren. Die Kampagne war maßgeblich für einen 879-prozentigen Anstieg der erbeuteten .XLSM-Malware-Samples (Microsoft Excel) im Vergleich zum vorherigen Quartal verantwortlich.

HP Wolf Security isoliert Bedrohungen, die von Erkennungsprogrammen nicht entdeckt wurden und bis zu den Anwender-Endpunkten vorgedrungen sind. Damit sind spezifische Einblicke in die neuesten, von Cyber-Kriminellen eingesetzten, Techniken möglich. Die Beispiele umfassen unter anderem:

Getarnte Alternativen zu bösartigen Microsoft Office-Dokumenten werden immer beliebter, da Microsoft kontinuierlich Makros deaktiviert. Damit einhergehend stellt HP im Vergleich zum vergangenen Quartal einen Anstieg von nicht Office-basierten Formaten fest, darunter bösartige Java-Archivdateien (+476 Prozent) und JavaScript-Dateien (+42 Prozent). Derartige Angriffe sind für Unternehmen schwieriger zu verteidigen.

Der HTML-Schmuggel nimmt zu: Die durchschnittliche Dateigröße von HTML-Bedrohungen stieg von 3 KB auf 12 KB – dies weist auf eine Zunahme des HTML-Schmuggels hin. Bei dieser Technik betten Cyberkriminelle Malware direkt in HTML-Dateien ein – damit sind sie in der Lage, E-Mail-Gateways zu umgehen und nicht entdeckt zu werden, bevor sie sich Zugang verschaffen und wichtige Daten stehlen. Die jüngsten Kampagnen zielten auf lateinamerikanische und afrikanische Banken ab.

"Two for One"-Malware-Kampagne führt zu mehreren RAT (Remote Access Trojaner)-Infektionen: Dabei wurde ein Angriff mit einem Visual-Basic-Skript genutzt, um eine Kill-Chain zu starten. Diese führte zu mehreren Infektionen auf demselben Gerät und ermöglichte den Angreifern dauerhaften Zugriff auf die Systeme der Opfer mit VW0rm, NjRAT und AsyncRAT.

"Die Daten aus dem ersten Quartal belegen, dass dies bei weitem die größte Aktivität ist, die wir von Emotet seit dem ersten Aufkommen der Malware-Familie Anfang 2021 gesehen haben – ein klares Zeichen dafür, dass ihre Betreiber sich neu gruppieren, ihre Stärke wieder aufbauen und in das Wachstum des Botnets investieren. Emotet wurde einst von der CISA als eine der zerstörerischsten und am kostspieligsten zu behebende Malware beschrieben. Seine Betreiber arbeiten häufig mit Ransomware-Gruppen zusammen – ein Muster, das sich vermutlich fortsetzen wird. Ihr Wiederauftauchen ist also eine schlechte Nachricht für Unternehmen und den öffentlichen Sektor gleichermaßen", erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc. "Emotet bevorzugt zudem weiterhin makroaktivierte Angriffe – vielleicht, um Angriffe vor Microsofts Deadline zur Abschaltung von Makros im April durchzuführen, oder einfach, weil die Leute immer noch Makros aktiviert haben und dazu verleitet werden können, auf das Falsche zu klicken."

Die Studienergebnisse basieren auf Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft. HP Wolf Security spürt Malware auf, indem es riskante Tasks in isolierten, mikro-virtuellen Maschinen (micro-VMs) öffnet – auf diese Weise werden die Anwender geschützt. Darüber hinaus lässt sich die gesamte Infektionskette nachvollziehen und erfassen. Bedrohungen, die andere Security-Tools nicht erkennen, werden so entschärft. Bis heute haben HP Kunden auf mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und Downloads geklickt, ohne dass ein Verstoß gemeldet wurde. Die Daten bieten einzigartige Einblicke in die Art und Weise, wie Bedrohungsakteure Malware nutzen.

Weitere wichtige Ergebnisse des Berichts sind:

>> Neun Prozent der Bedrohungen waren zum Zeitpunkt ihrer Isolierung unentdeckt. 14 Prozent der isolierten E-Mail-Malware umging mindestens einen E-Mail-Gateway-Scanner.

>> Im Durchschnitt dauerte es über drei Tage (79 Stunden) bis sie von anderen Sicherheits-Tools gefunden wurden.

>> Bei 45 Prozent der von HP Wolf Security isolierten Malware handelte es sich um Office-Dateiformate.

>> Die Bedrohungen verwendeten 545 verschiedene Malware-Familien bei ihren Versuchen, Unternehmen zu infizieren – wobei Emotet, AgentTesla und Nemucod die drei Spitzenreiter waren.

>>Ein Exploit für den Microsoft Equation Editor (CVE-2017-11882) machte 18 Prozent aller erfassten bösartigen Muster aus.

>> 69 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 18 Prozent entfielen auf Web-Downloads. Die häufigsten Anhänge, die zur Verbreitung von Malware eingesetzt wurden, waren Tabellenkalkulationen (33 Prozent), ausführbare Dateien und Skripte (29 Prozent), Archive (22 Prozent) und Dokumente (elf Prozent).

>> Die häufigsten Phishing-Köder waren Geschäftsvorgänge wie "Bestellung", "Zahlung", "Kauf", "Anfrage" und "Rechnung".

"In diesem Quartal konnten wir einen deutlichen Anstieg der von HP Wolf Security erfassten Bedrohungen um 27 Prozent verzeichnen. Cyberkriminelle passen ihre Methoden regelmäßig an Veränderungen in der IT-Landschaft an. Aus diesem Grund nehmen Umfang und Vielfalt der Angriffe weiter zu – für herkömmliche Tools wird es so immer schwieriger, Angriffe zu erkennen", sagt Dr. Ian Pratt, Global Head of Security Personal Systems, HP Inc. "Angesichts der Zunahme alternativer Dateitypen und Techniken, die zur Umgehung der Erkennung eingesetzt werden, müssen Unternehmen ihren Kurs ändern und einen mehrschichtigen Ansatz für die Endpunktsicherheit wählen. Die Anwendung des Prinzips der geringsten Privilegien und die Isolierung der häufigsten Bedrohungsvektoren – von E-Mails, Browsern oder Downloads – macht Malware unschädlich, die über diese Vektoren übertragen wird. Dadurch wird das Risiko von Cyber-Bedrohungen für Unternehmen signifikant reduziert." (Hewlett-Packard: ra)

eingetragen: 17.06.22
Newsletterlauf: 01.08.22

Hewlett-Packard: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -

Meldungen: Statistiken

Statistiken

Double-Extortion Attacks: Verschlüsselung plus Datenklau

Der Internet Security Report für das zweite Quartal des Jahres 2023 von WatchGuard Technologies zeigt die wichtigsten Malware-Trends und Bedrohungen für die Netzwerk- und Endpunktsicherheit. Die Analyse der Forscher des WatchGuard Threat Labs ergab unter anderem, dass 95 Prozent der Malware über verschlüsselte Verbindungen übertragen werden. Weitere Erkenntnis: Es gibt zwar in Summe weniger Endpunkt-Malware, gleichzeitig sind entsprechende Kampagnen jedoch breiter angelegt. Eine ähnliche Entwicklung zeigt sich im Hinblick auf Ransomware.

Höhe von Lösegeldforderungen sprunghaft angestiegen

Cyber-Kriminelle setzen hauptsächlich auf Ransomware bzw. Ransomware-as-a-Service (RaaS) als bevorzugtes Angriffsmittel. Zum sechsten Mal in Folge haben die Threat-Intelligence-Experten von OpenText Cybersecurity die vorherrschende Bedrohungslandschaft genauer unter die Lupe genommen und die aktuellen Malware-Trends identifiziert.

Finanzstarke Nationen stärker im Fokus von Cyberkriminelle

In der ersten Jahreshälfte 2023 wurden auf rund 16 Prozent der ICS-Computer (Rechner für industrielle Kontrollsysteme) in Deutschland schädliche Objekte entdeckt und blockiert, wie aktuelle Analysen des Kaspersky ICS CERT zeigen. Weltweit war jeder dritte ICS-Rechner (34 Prozent) betroffen.

Wachsende Zahl unvollständiger oder fehlerhafter Patches

Trend Micro gab bekannt, dass ihre Zero Day Initiative (ZDI) in diesem Jahr bereits über 1.000 Hinweise ("Advisories") auf einzelne Schwachstellen in IT-Produkten veröffentlichte. Vor diesem Hintergrund warnt das Unternehmen davor, dass immer häufiger fehlerhafte oder unvollständige Patches veröffentlicht oder diese durch die betroffenen Hersteller heimlich ausgerollt werden.

Besuchen Sie SaaS-Magazin.de

SaaS, On demand, ASP, Cloud Computing, Outsourcing >>>

Kostenloser Newsletter

Werktäglich informiert mit IT SecCity.de, Compliance-Magazin.de und SaaS-Magazin.de. Mit einem Newsletter Zugriff auf drei Online-Magazine. Bestellen Sie hier

Fachartikel

Grundlagen

Big Data bringt neue Herausforderungen mit sich

Die Digitale Transformation zwingt Unternehmen sich mit Big Data auseinanderzusetzen. Diese oft neue Aufgabe stellt viele IT-Teams hinsichtlich Datenverwaltung, -schutz und -verarbeitung vor große Herausforderungen. Die Nutzung eines Data Vaults mit automatisiertem Datenmanagement kann Unternehmen helfen, diese Herausforderungen auch mit kleinen IT-Teams zu bewältigen. Big Data war bisher eine Teildisziplin der IT, mit der sich tendenziell eher nur Großunternehmen beschäftigen mussten. Für kleinere Unternehmen war die Datenverwaltung trotz wachsender Datenmenge meist noch überschaubar. Doch die Digitale Transformation macht auch vor Unternehmen nicht halt, die das komplizierte Feld Big Data bisher anderen überlassen haben. IoT-Anwendungen lassen die Datenmengen schnell exponentiell anschwellen. Und während IT-Teams die Herausforderung der Speicherung großer Datenmengen meist noch irgendwie in den Griff bekommen, hakt es vielerorts, wenn es darum geht, aus all den Daten Wert zu schöpfen. Auch das Know-how für die Anforderungen neuer Gesetzgebung, wie der DSGVO, ist bei kleineren Unternehmen oft nicht auf dem neuesten Stand. Was viele IT-Teams zu Beginn ihrer Reise in die Welt von Big Data unterschätzen, ist zum einen die schiere Größe und zum anderen die Komplexität der Datensätze. Auch der benötigte Aufwand, um berechtigten Zugriff auf Daten sicherzustellen, wird oft unterschätzt.

Bösartige E-Mail- und Social-Engineering-Angriffe

Ineffiziente Reaktionen auf E-Mail-Angriffe sorgen bei Unternehmen jedes Jahr für Milliardenverluste. Für viele Unternehmen ist das Auffinden, Identifizieren und Entfernen von E-Mail-Bedrohungen ein langsamer, manueller und ressourcenaufwendiger Prozess. Infolgedessen haben Angriffe oft Zeit, sich im Unternehmen zu verbreiten und weitere Schäden zu verursachen. Laut Verizon dauert es bei den meisten Phishing-Kampagnen nur 16 Minuten, bis jemand auf einen bösartigen Link klickt. Bei einer manuellen Reaktion auf einen Vorfall benötigen Unternehmen jedoch circa dreieinhalb Stunden, bis sie reagieren. In vielen Fällen hat sich zu diesem Zeitpunkt der Angriff bereits weiter ausgebreitet, was zusätzliche Untersuchungen und Gegenmaßnahmen erfordert.

Zertifikat ist allerdings nicht gleich Zertifikat

Für Hunderte von Jahren war die Originalunterschrift so etwas wie der De-facto-Standard um unterschiedlichste Vertragsdokumente und Vereinbarungen aller Art rechtskräftig zu unterzeichnen. Vor inzwischen mehr als einem Jahrzehnt verlagerten sich immer mehr Geschäftstätigkeiten und mit ihnen die zugehörigen Prozesse ins Internet. Es hat zwar eine Weile gedauert, aber mit dem Zeitalter der digitalen Transformation beginnen handgeschriebene Unterschriften auf papierbasierten Dokumenten zunehmend zu verschwinden und digitale Signaturen werden weltweit mehr und mehr akzeptiert.

Datensicherheit und -kontrolle mit CASBs

Egal ob Start-up oder Konzern: Collaboration Tools sind auch in deutschen Unternehmen überaus beliebt. Sie lassen sich besonders leicht in individuelle Workflows integrieren und sind auf verschiedenen Endgeräten nutzbar. Zu den weltweit meistgenutzten Collaboration Tools gehört derzeit Slack. Die Cloudanwendung stellt allerdings eine Herausforderung für die Datensicherheit dar, die nur mit speziellen Cloud Security-Lösungen zuverlässig bewältigt werden kann. In wenigen Jahren hat sich Slack von einer relativ unbekannten Cloud-Anwendung zu einer der beliebtesten Team Collaboration-Lösungen der Welt entwickelt. Ihr Siegeszug in den meisten Unternehmen beginnt häufig mit einem Dasein als Schatten-Anwendung, die zunächst nur von einzelnen unternehmensinternen Arbeitsgruppen genutzt wird. Von dort aus entwickelt sie sich in der Regel schnell zum beliebtesten Collaboration-Tool in der gesamten Organisation.

KI: Neue Spielregeln für IT-Sicherheit

Gerade in jüngster Zeit haben automatisierte Phishing-Angriffe relativ plötzlich stark zugenommen. Dank künstlicher Intelligenz (KI), maschinellem Lernen und Big Data sind die Inhalte deutlich überzeugender und die Angriffsmethodik überaus präzise. Mit traditionellen Phishing-Angriffen haben die Attacken nicht mehr viel gemein. Während IT-Verantwortliche KI einsetzen, um Sicherheit auf die nächste Stufe zu bringen, darf man sich getrost fragen, was passiert, wenn diese Technologie in die falschen Hände, die der Bad Guys, gerät? Die Weiterentwicklung des Internets und die Fortschritte beim Computing haben uns in die Lage versetzt auch für komplexe Probleme exakte Lösungen zu finden. Von der Astrophysik über biologische Systeme bis hin zu Automatisierung und Präzision. Allerdings sind alle diese Systeme inhärent anfällig für Cyber-Bedrohungen. Gerade in unserer schnelllebigen Welt, in der Innovationen im kommen und gehen muss Cybersicherheit weiterhin im Vordergrund stehen. Insbesondere was die durch das Internet der Dinge (IoT) erzeugte Datenflut anbelangt. Beim Identifizieren von Malware hat man sich in hohem Maße darauf verlassen, bestimmte Dateisignaturen zu erkennen. Oder auf regelbasierte Systeme die Netzwerkanomalitäten aufdecken.

DDoS-Angriffe nehmen weiter Fahrt auf

DDoS-Attacken nehmen in Anzahl und Dauer deutlich zu, sie werden komplexer und raffinierter. Darauf machen die IT-Sicherheitsexperten der PSW Group unter Berufung auf den Lagebericht zur IT-Sicherheit 2018 des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufmerksam. Demnach gehörten DDoS-Attacken 2017 und 2018 zu den häufigsten beobachteten Sicherheitsvorfällen. Im dritten Quartal 2018 hat sich das durchschnittliche DDoS-Angriffsvolumen im Vergleich zum ersten Quartal mehr als verdoppelt. Durchschnittlich 175 Angriffen pro Tag wurden zwischen Juli und September 2018 gestartet. Die Opfer waren vor allem Service-Provider in Deutschland, in Österreich und in der Schweiz: 87 Prozent aller Provider wurden 2018 angegriffen. Und bereits für das 1. Quartal dieses Jahres registrierte Link11 schon 11.177 DDoS-Angriffe.

Fluch und Segen des Darkwebs

Strengere Gesetzesnormen für Betreiber von Internet-Plattformen, die Straftaten ermöglichen und zugangsbeschränkt sind - das forderte das BMI in einem in Q1 2019 eingebrachten Gesetzesantrag. Was zunächst durchweg positiv klingt, wird vor allem von Seiten der Bundesdatenschützer scharf kritisiert. Denn hinter dieser Forderung verbirgt sich mehr als nur das Verbot von Webseiten, die ein Tummelplatz für illegale Aktivitäten sind. Auch Darkweb-Plattformen, die lediglich unzugänglichen und anonymen Speicherplatz zur Verfügung stellen, unterlägen der Verordnung. Da diese nicht nur von kriminellen Akteuren genutzt werden, sehen Kritiker in dem Gesetzesentwurf einen starken Eingriff in die bürgerlichen Rechte. Aber welche Rolle spielt das Darkweb grundsätzlich? Und wie wird sich das "verborgene Netz" in Zukunft weiterentwickeln? Sivan Nir, Threat Analysis Team Leader bei Skybox Security, äußert sich zu den zwei Gesichtern des Darkwebs und seiner Zukunft.