In der aktuellen Proofpoint Threat Summery wird über Bedrohungen, Trends und Veränderungen berichtet, die wir bei unseren Kunden und allgemein im Bereich Sicherheit im letzten Quartal beobachtet haben. Proofpoint analysiert jeden Tag mehr als eine Milliarde E-Mails, mehrere hundert Millionen Social Media Posts und mehr als 150 Millionen Schadprogramme, um Organisationen vor hochentwickelten Bedrohungen zu schützen.

Die Analyse, wie diese Bedrohungen sich von Quartal zu Quartal ändern, liefert umfangreiche Informationen, um gefährliche Trends zu erkennen und Organisationen mit umsetzbaren Sicherheitsinformationen und Empfehlungen für das Management ihres Sicherheitsstatus zu versehen. Proofpoint sieht weiterhin komplexe Bedrohungen in drei Hauptbereichen: E-Mail, soziale Medien und Mobilanwendungen.

Die wichtigsten Erkenntnisse

Umfang, Abwandlungen und dann Stille

In den ersten fünf Monaten 2016 dominierten bösartige E-Mail-Kampagnen in noch nie erlebtem Umfang. Neue Ransomware-Varianten tauchten schnell auf. Währenddessen begannen Dridex-Akteure mit der Verbreitung von Locky-Ransomware und änderten dabei häufig ihre Taktik mit neuen Loadern, Dokumentanhangtypen und Obfuskationstechniken, um unerkannt zu bleiben.

Ende Mai verschwand plötzlich eines der weltweit größten Botnets. Diese Veränderung brachte die Verbreitung von Dridex und Locky fast zum Stillstand. Gleichzeitig schaltete sich das ungemein populäre Angler-Exploit-Kit (EK) – ein All-in-One-Toolkit, das webbasierte Cyber-Angriffe weitgehend automatisiert – ab. Das Ergebnis dieser Veränderungen war ein unheimlich ruhiger Juni.

Bedrohungen in den sozialen Medien, wie betrügerische Kundenkonten, verbreiteten sich weiter.

Bedrohungen im Mobilbereich zielten auf zahlreiche Schwachstellen. Dabei ging es meistens um die Übernahme von Geräten der Opfer und bösartige Adware, besonders in älteren Android-Versionen.

Nachstehend werden die wichtigsten Erkenntnisse aus dem zweiten Quartal 2016 aufgeführt.

E-Mail und Exploit-Kits

Vor allem JavaScript-Anhänge bewirkten eine Explosion im Volumen bösartiger Mails – 230 % gegenüber dem vorherigen Quartal.
Zahlreiche Locky- und Dridex-Akteure versahen E-Mails mit JavaScript-Dateien, um Payloads zu installieren. Diese Angriffe waren Teil einer der größten Kampagnen, die wir jemals erlebt haben. Zu Spitzenzeiten waren es täglich mehrere hundert Millionen E-Mails.

Ransomware: Locky dominierte E-Mail, CryptXXX dominierte den Exploit-Kit-Traffic.
Unter den E-Mail-Angriffen mit bösartigen Dokumentanhängen nutzten 69 % im 2. Quartal die neue Locky-Ransomeware. Im 1. Quartal waren es dagegen nur 24 %. Dieser Anstieg katapultierte Locky in die Spitzenposition bei E-Mail-basierter Malware vor Dridex. CryptXXX tauchte im 2. Quartal auf und beherrschte schnell die EK-Landschaft. Insgesamt wuchs die Zahl neuer Ransomware-Varianten (meistens verbreitet durch EKs) seit dem 4. Quartal 2015 um das 5- bis 6-Fache.

Stark personalisierte Kampagnen nehmen zu.
Cyber-Kriminelle führten stark personalisierte Kampagnen mit mehreren Zehn- bis Hunderttausend Nachrichten durch. Das ist etwas anderes als die viel kleineren Kampagnen, die früher gezielt personalisierte Fallen nutzten.

Angriffsversuche gegen geschäftliche E-Mails (Business Email Compromise, BEC) sind erstaunlich verbreitet.
80% einer Repräsentativauswahl von Proofpoint-Kunden berichteten von mindestens einem BEC-Phishing-Angriff im letzten Monat. Die Angreifer änderten auch die Fallen und passten sie an saisonale Anlässe an, z.B. Steuererklärungen, und sie variierten ihre Vorgehensweise, um die Effektivität und den Umfang ihrer Angriffe zu erhöhen.

Ein Idyll im Juni?
Zwischen April und Mitte Juni ging der von Proofpoint beobachtete Exploit-Kit-Verkehr um 96 % zurück. Das Necurs-Botnet ging im Juni offline und ließ die massiven Locky-und Dridex-Kampagnen verstummen, die die erste Jahreshälfte 2016 beherrscht hatten. Der Traffic vom Angler EK war bis Anfang Juni völlig verschwunden, kurz nachdem das Nuclear EK seine Attacken eingestellt hatte. Damit blieb Ende Juni nur noch Neutrino als Top-EK übrig.

Locky-Ransomware kehrt zurück.
Etwa Ende Juni tauchten die ersten großen Locky-E-Mail-Kampagnen wieder auf, mit allen Anzeichen für eine Rückkehr des Necurs-Botnets. Es bleibt abzuwarten, ob sich im nächsten Quartal in der Exploit-Kit-Landschaft etwas Entsprechendes entwickeln wird.

Mobilgeräte

10 Millionen Android-Geräte wurden von Exploit-Kits attackiert.
Die EKs griffen zahlreiche Schwachstellen an und übernahmen damit die Kontrolle über die Geräte. Meistens wurde dabei Adware heruntergeladen, die für die Angreifer Gewinne generierte.

98 % der Mobil-Malware betrifft nach wie vor die Android-Plattform.
Dieser Anteil ist seit dem letzten Quartal unverändert.

Soziale Medien

Phishing-Versuche in den sozialen Medien nahmen um 150 % zu.
Organisationen mussten weiterhin mit Spam, nicht jugendfreien Inhalten und anderen Problemen fertig werden, die ihre Fähigkeit, die Probleme von Hand zu lösen, überforderte.

Den vollständigen Threat Report finden Sie unter https://www.proofpoint.com/sites/default/files/quarterly_threat_summary_apr-jun_2016.pdf