Übersicht
Nach einem zweiten Quartal, das durch erhebliche Unterbrechungen des Necurs Botnets und damit verbundener Ruhe in den schädlichen Dokumentenkampagnen gekennzeichnet war, erreichte das 3. Quartal Nachrichtenmengen in Rekordzahlen. Während die meisten dieser Nachrichten Locky-Ransomware verbreiteten, zeichnete sich das 3. Quartal auch durch eine erhebliche Vielfalt anderer Arten von Ransomware und Bank-Trojanern aus.
Einerseits beobachteten wir eine zunehmende Raffinesse der schädlichen Makros, mit neuen Sandbox-Ausweichmethoden und gezielteren Angriffen, sowie eine Verschiebung der BEC-Techniken (Business Email Compromise). Andererseits erreichte das Volumen der Nachrichten, die Locky-Ransomware über schädliche Dokumentenanhänge und JavaScript verteilte an manchen Tagen Hunderte von Millionen, da die Akteure mit ihren Angriffen ganze Regionen abdecken wollten.
Die Exploit-Kit (EK) Aktivität pendelte sich zwar nach der Spitze im Januar auf einem stark reduzierten Niveau ein, doch wir entdeckten Malvertising-Operationen, die EKs von bisher unerreichter Raffinesse und Umfang nutzten. Gleichzeitig beobachteten wir mobile Exploit-Kits und Zero-Day Exploits, welche die Lücke stopften, die die zurückgehenden Desktop-EKs zurückließen. Mobile und soziale Bedrohungen im Zusammenhang mit beliebten Phänomenen wie Pokémon GO und der Olympiade in Rio machten ebenfalls Schlagzeilen.
Nachstehend finden Sie einige Schlussfolgerungen des 3. Quartals 2016.
Wichtigste Schlussfolgerungen:
- Das Volumen der schädlichen E-Mails, die JavaScript-Anhänge verwendeten, stieg im Vergleich zum 2. Quartal um 69 % auf das bisher höchste Niveau an. Neue Kampagnen mit unterschiedlichen Anhangstypen brachen alle Rekorde des 2. Quartals mit einer Spitze von Hunderten von Millionen Nachrichten pro Tag. Weiterhin führten JavaScript-Anhänge diese extrem umfangreichen E-Mail-Kampagnen an, wobei Locky-Ransomware-Akteure auch neue Typen von Dateianhängen einführten.
- Die meisten E-Mails mit schädlichen Dokumentenanhängen enthielten den Ransomware-Stamm Locky. Unter den Milliarden von Nachrichten, die schädliche Dokumentenanhänge verwendeten, enthielten 97 % Locky-Ransomware, das ist ein Anstieg um 28 % gegenüber dem 2. Quartal und 64 % gegenüber dem 1. Quartal, als Locky entdeckt wurde.
- Eine Vielfalt neuer Ransomware-Varianten wuchsen im 4. Qu. 2015 um das Zehnfache. Die Vielfalt der Ransomware stieg weiter an, speziell Stämme, die über Exploit-Kits geliefert wurden. Unter diesen EK-verteilten Varianten sowie in kleineren E-Mail-Kampagnen, blieb CryptXXX die dominante Ransomware-Nutzlast, die selbst in Spam-Kampagnen auftrat.
- Cyperkriminelle verfeinern ihre Methoden in BEC-Angriffen ständig. Die Betrüger geben sich in BEC-Angriffen als hochrangige Führungskräfte aus, um die Mitarbeiter dazu zu bringen, Geld zu überweisen. „Beantworten“-Schwindlereien landeten seit Jahresbeginn 2016 ungefähr um 30 %, während „Anzeigename“-Schwindlereien anstiegen und ca. ein Drittel aller BEC-Angriffe ausmachten. Die Verschiebung zeigt, dass die Angreifer ihre Methoden weiter ausbauen und anpassen. Davon haben jedoch keine das „übliche“ Phishing ersetzt, das auch immer raffinierter wird.
- Bank-Trojaner wurden abwechslungsreicher und die Akteure personalisierten ihre Angriffe. Nach einer Periode relativer Ruhe tauchte der beliebte Bank-Trojaner Dridex wieder in gezielten Kampagnen auf, die jene des 2. Quartals mengenmäßig übertrafen, jedoch trotzdem wesentlich kleiner waren als die (seinerzeit) massiven Kampagnen von 2015. Andere Bank-Trojaner, wie z. B. Ursnif, traten in stark personalisierten Kampagnen wieder auf und beliefen sich auf Hunderte von Tausenden von Nachrichten, ein Trend, der im 2. Quartal begann und sich bis ins 3. Quartal fortsetzte. Gleichzeitig wurden auch vielfältige Bank-Trojaner in Malvertising-Kampagnen beobachtet.
- Die Exploit-Kit-Aktivität ist zwar stabil, bleibt jedoch weit unter den Spitzen von 2015. Die insgesamt beobachtete EK-Aktivität fiel im Vergleich zum 2. Quartal um 65 % im 3. Quartal und seit ihrem Hoch im Januar 2016 um 93 %, doch der Abrutsch scheint sich ausgeglichen zu haben. Da nun der einst populäre Angler verschwunden ist, wich Neutrino im Verlauf des 3. Quartals RIG als dominantem EK.
- Pokémon GO-bezogene Malware brachte bösartige Fälschungen hervor. Malware in Form von schädlichen „Side-Loaded“ Klon-Apps, gefährlichen Add-ons und anderen, riskanten Apps ist nicht mehr so populär. Benutzer können Apps von überall herunterladen und selbst die großen App-Stores bieten nur begrenztes Screening von Apps und Aktualisierungen an.
- Mobile EKs und Zero-Day-Angriffe auf iOS und Android. Die meisten mobilen Geräte haben heute 10 – 20 nutzbare Zero-Days. Ungefähr 30 % davon sind schwerwiegend und könnten Angreifern gestatten, schädliche Codes auf infizierten Geräten auszuführen.
- Negativer Social-Media-Inhalt ist im Kommen. Negative bzw. potenziell schädliche Inhalte, wie Spam, obszöne Ausdrücke und Pornografie sind im 2. Quartal über 50 % angestiegen.
- Social-Phishing hat sich seit dem 2. Quartal verdoppelt. Social Media sind die Brutstätte für Daten- und Finanz-Phishing, wobei Angreifer die Benutzer sozialer Medien dazu verleiten, ihre Anmeldedaten zu übermitteln. Betrügerische Konten, die für Angriffe verwendet wurden, die wir Angler-Phishing nennen, waren die Vorreiter.
- Die Kreuzung zwischen mobil und sozial ist im Kommen. Phänomene mit hohem Stellenwert, wie die Olympischen Spiele in Rio und Pokémon GO, schufen Möglichkeiten, mobile Malware zu verbreiten, einschließlich Zero-Day-Exploits über soziale Medien.
KLicken Sie hier, um die Proofpoint-Bedrohungsübersicht für das 3. Quartal vollständig zu lesen.