Rekordwert: Über zwei Millionen Phishing-Websites im Jahr 2020

Laut dem neuesten Transparency Report von Google werden im Jahr 2020 wöchentlich durchschnittlich 46 Tausend Phishing-Websites entdeckt. Die Gesamtzahl der erfassten Phishing-Websites beläuft sich seit Anfang des Jahres auf satte 2,02 Millionen. [...]

Eines der am weitesten verbreiteten Mittel der Cyberkriminalität sind Phishing-Websites. (c) Pixabay
Eines der am weitesten verbreiteten Mittel der Cyberkriminalität sind Phishing-Websites. (c) Pixabay

Rachel Welch, COO von Atlas VPN, erklärt, warum Phishing-Betrügereien im Jahr 2020 so weit verbreitet sind: „Es ist recht einfach, die Pandemie mit der Zunahme von Phishing-Angriffen zu korrelieren, nicht nur wegen der gestiegenen Internetnutzung, sondern auch wegen der Panik. Panik führt zu irrationalem Denken, und die Menschen vergessen grundlegende Sicherheitsschritte im Internet. Benutzer laden dann bösartige Dateien herunter oder versuchen, gefragte Artikel von unsicheren Websites zu kaufen, und werden so Opfer eines Betrugs“.

G Data bestätigt in seiner aktellen Bedrohungsanalyse, dass die Angreifer immer noch die Corona-Pandemie ausnutzen, um Unternehmen und Privatanwender zu attackieren. 

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders aktiv: Malware wie Emotet, Agent Tesla, Gozi oder RanumBot. Die Verunsicherung der Menschen in der Corona-Krise sowie die weiterhin hohe Zahl an Mitarbeitern im Homeoffice lassen Cybercrime boomen. 

Insgesamt konnten die Analysten bei G DATA 200 aktive Malware-Familien im dritten Quartal identifizieren. Besonders aktiv waren Gozi, Agent Tesla, Emotet sowie Ranumbot/Glupteba. Schadsoftware, die bereits seit längerem ihr Unwesen treibt und hohe Schäden verursacht.

So existiert Gozi bereits seit 2006. Gozi dringt in der Regel über Phishing-Mails in die Systeme der Opfer ein und verfügt über Screen-Capture- und Keylogging-Funktionen. So leitet die Schadsoftware Anmeldedaten, die in Browsern und Mail-Programmen gespeichert sind, ab.

Nach einer Pause im Frühjahr dieses Jahres hat Emotet, die Allzweckwaffe der Cyberkriminellen, wieder Fahrt aufgenommen. Das Schadprogramm ist mittlerweile sehr komplex. Von seiner ursprünglichen Funktion – dem Manipulieren von Onlinebanking-Transaktionen – ist mittlerweile nichts mehr übrig. Dafür hat sich Emotet auf andere Bereiche verlegt. Vom Abgreifen von Mailkontakten zur Erstellung detaillierter Kommunikationsprofile von Angriffsopfern bis hin zur Rolle als Türöffner für andere Schadprogramme.

Agent Tesla ist seit mehr als sechs Jahren aktiv und ein ausgeklügelter Keylogger und Informationsstealer, der Tastatureingaben aufzeichnet, Daten mitliest, Screenshots erstellt und Zugangsdaten abfängt. Zurzeit verknüpfen Angreifer diese Attacken mit aktuellen Social-Engineering-Methoden und nehmen in Phishinig-Mails Bezug auf Covid-19, sodass sie immer noch großen Schaden anrichten.

RanumBot deaktiviert auf einem infizierten System alle Sicherheitsdienste und die Windows-Firewall und öffnet so eine Tür für weitere Schadsoftware wie etwa den Trojaner Glupteba. Darüber hinaus ändert die Malware die Standardeinstellungen in der Windows-Registry, um bei jedem Neustart von Windows automatisch aktiviert zu werden, so die Spezialisten von G Data. 

Ransomware-Neueinsteiger

Der aktuelle Sophos Threat Report 2021 prognostiziert für das kommende Jahr folgende Trends: 

Die Kluft zwischen den Fähigkeiten und Ressourcen der verschiedenen Ransomware-Akteure vergrößert sich weiter. Versierte Ransomware-Kriminelle verfeinern und ändern ihre Taktiken, Techniken und Verfahren kontinuierlich, um größere Organisationen und Unternehmen mit Lösegeldforderungen in Millionenhöhe ins Visier zu nehmen. Im Jahr 2020 gehörten zu dieser Ransomware-Kategorie beispielsweise Ryuk und RagnarLocker. Zudem rechnen die Sophos-Experten mit einer steigenden Zahl an Ransomware-Neueinsteigern. Diese arbeiten meist mit menügesteuerter Miet-Ransomware wie Dharma, mit der sie viele Ziele mit kleinen Lösegeldforderungen attackieren können.

Einen weiteren Ransomware-Trend für 2021 bildet die sogenannte „Sekundär- Erpressung”. Neben der Datenverschlüsselung stehlen die Angreifer hierbei auch sensible oder vertrauliche Informationen und drohen damit, sie bei Nichterfüllung der Forderungen zu veröffentlichen. Populäre Beispiele für diesen Ansatz sind die Ransomware-Familien Maze, RagnerLocker, Netwalker und REvil.

„Das Ransomware-Geschäftsmodell ist dynamisch und komplex. Im Jahr 2020 sahen wir bei Sophos einen klaren Trend darin, dass sich die Angreifer hinsichtlich ihrer Fähigkeiten und Ziele unterscheiden. Auffällig war zudem, dass „Best-of-Breed”-Tools bei bestimmten Ransomware-Familien immer wieder zum Einsatz kamen und kommen”, sagt Chester Wisniewski, Principal Research Scientist bei Sophos. „Einige Ransomware-Familien wie Maze schienen zu verschwinden, aber die bei diesen Attacken verwendeten Werkzeuge und Techniken tauchten unter dem Deckmantel einer neuen Ransomware wie Egregor wieder auf. Das Verschwinden bekannter Spieler auf dem Ransomware-Markt ist also kein Anzeichen für Entwarnung, denn wenn eine Bedrohung verschwindet, nimmt schnell eine andere ihren Platz ein. In vielerlei Hinsicht ist es fast unmöglich vorherzusagen, wie Ransomware-Attacken zukünftig aussehen. Aber die Angriffstrends, die Anfang 2020 im Sophos Threat Report diskutiert wurden, werden voraussichtlich auch im Jahr 2021 anhalten.“

Alltägliche Bedrohungen wie Malware einschließlich Loader-Programmen und Botnets oder opportunistische Hacker, die mit Zugangsdaten handeln, stellen weiterhin eine große Herausforderung für IT-Sicherheitsteams dar. Solche Angriffe sind so konzipiert, dass sie von ihrem Ziel wichtige Daten sammeln und diese an ein Command-and-Control-Netzwerk übermitteln. Dort überprüfen die Eindringlinge jedes kompromittierte Gerät auf seine Geolokalisierung und andere Informationen von hohem Wert und verkaufen diese Informationen an den Meistbietenden, etwa an eine große Ransomware-Gruppe. Beispielsweise setzte Ryuk in diesem Jahr den Buer Loader ein, um Ransomware bei den Opfern zu platzieren.

„Gerade alltägliche Malware sollte nicht als ‚Grundrauschen‘ abgetan werden, da diese Angriffe mit vielen einzelnen Attacken das Sicherheitswarnsystem regelrecht verstopfen können. Aus unseren Analysen geht klar hervor, dass auch diese Angriffe sehr ernst genommen werden müssen, da jede einzelne Infektion zur Infektion eines ganzen Systems führen kann. Sobald Malware blockiert oder entfernt und der kompromittierte Rechner gesäubert ist, schließen viele das Kapitel final ab“, so Wisniewski. „Vielen ist aber möglicherweise nicht bewusst, dass der Angriff wahrscheinlich gegen mehr als nur einen Rechner gerichtet war und dass scheinbar einfach abgeblockte Malware wie Emotet oder Buer Loader in der Folge Tür und Tor für fortgeschrittenere Angriffe mit z.B. Ryuk oder Netwalker führen kann. Diese bemerken IT-Abteilungen vielfach erst dann, wenn die Ransomware zum Einsatz kommt. Eine Unterschätzung dieser ‚geringfügigen‘ Infektionen kann sich also als sehr kostspielig erweisen.“


Mehr Artikel

Be the first to comment

Leave a Reply

Your email address will not be published.


*