Threat Intelligence Report
Cyberangriffe erreichen neue Qualität
Fortsetzung des Artikels von Teil 1
Deutschland: Überdurchschnittlich viele Angriffe mit RAR-Dateien
Deutschland wurde im Vergleich zu anderen Regionen überdurchschnittlich oft mit der Malware Ordinypt angegriffen. Ein ähnliches Bild zeigt sich auch beim Dateityp, der für die Übermittlung der Schadsoftware verwendet wurde. In den meisten Fällen wurden gepackte Dateien versendet. Das meistverwendete Format sind ZIP-Dateien, gefolgt von RAR-Dateien. Besonders beliebt scheint in Deutschland das RAR-Format zu sein. So zeigt die Untersuchung, dass der Anteil an Angriffen via RAR-Dateien im untersuchten Zeitraum in der Bundesrepublik rund doppelt so hoch war (33 %) wie in den anderen Ländern. Verwendet wurden auch die Kompressionsformate ACE sowie VBS; sie spielten aber im Vergleich zu ZIP und RAR eine eher untergeordnete Rolle.
Zwei groß angelegte Malware-Kampagnen in Deutschland verdienen eine gesonderte Nennung:
- Der Nymeria-/Loda-Trojaner wurde vornehmlich als ZIP-Datei an eine Vielzahl verschiedener E-Mail-Adressen versendet. Die Schadsoftware ist ein Keylogger, der dem Angreifer ermöglicht, aus der Ferne sämtliche Eingaben, die ein Nutzer tätigt, mitzuverfolgen und damit an vertrauliche Daten zu gelangen.
- Im Fall des Wisdomeyes-Trojaners wurde eine groß angelegte Phishing-Attacke gegen ein Unternehmen gefahren. Die Schadsoftware wurde via RAR-Datei versendet und enthielt eine Win32.exe.
So geht es weiter
Kriminelle werden für ihre Angriffe auch künftig gepackte Dateiformate verwendet. Der Grund: Mit ihnen lassen sich – ebenso einfach wie günstig – großflächige, ungezielte Angriffe starten. Da Malware-Scanner aber mittlerweile sehr effizient sind, scheitern Angriffe mithilfe von Dateianhängen häufig bereits an dieser Stelle.
Bei gezielten Angriffen kommen deshalb immer öfter dateilose Angriffstechniken wie Phishing oder das Vorgaukeln einer Identität zum Einsatz. So sind Angreifer heute in Lage KI zu verwendet, die Stimme von Geschäftsführern oder anderen Entscheidern zu imitieren. Mit diesem Vorgehen brachten Kriminelle im vergangenen Jahr beispielsweise einen britischen Energieproduzenten dazu 200.000 Pfund auf ihr Konto in Ungarn zu überweisen. Dazu synthetisierten sie die Stimme eines hochrangigen Entscheiders aus der Firma.
Nicht unterschätzt werden sollten in Zukunft außerdem staatlich geförderte, kriminelle Akteure. Sie attackieren gezielt die Infrastruktur und Logistik rivalisierender Länder, um deren Produktions- und Lieferketten zu unterbrechen oder die Beweglichkeit ihrer Streitkräfte einzuschränken.
Als letzte Prognose verweist der Threat Intelligence Report auf das mobile 5G-Netz im Zusammenspiel mit dem Internet of Things (IoT) und die damit einhergehende Multiplikation der Einfallstore für Cyberkriminalität. In einer Zeit, in der fast alle elektronischen Geräte mit dem Internet verbunden sind, steigt die Angriffsfläche für Hacker. Die damit einhergehende, gesamtgesellschaftliche Herausforderung besteht darin, jedes einzelne Endgerät ausreichend abzusichern. Bereits heute rekrutieren sich Botnets vornehmlich aus Endgeräten, wie Smart-TVs und anderen vernetzten Haushaltsgeräten, da diese oft unzureichend oder gar nicht gesichert mit dem Netz verbunden sind.
Mit der im Eiltempo voranschreitenden Industrie 4.0 betreten jeden Tag unzählige neue Geräte und Maschinen die große Bühne des Internets. Viele von ihnen sind Teil der kritischen Infrastruktur eines Landes und bedürfen deshalb eines besonders lückenlosen Schutzes.
Der quartalsweise erscheinende “Threat Intelligence Report“ von Mimecast stützt sich auf die Ergebnisse aus Milliarden von Emails. Die Datenbasis wird in Zusammenarbeit mit Partnerorganisationen aus der IT-Sicherheit, Akademikern und Spezialisten aus dem Strafvollzug ausgewertet.
- Cyberangriffe erreichen neue Qualität
- Deutschland: Überdurchschnittlich viele Angriffe mit RAR-Dateien
Lesen Sie mehr zum Thema
