X-Force Threat Intelligence Index 2020 - IBM
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
X-Force Threat
Intelligence Index
2020
Erstellt von IBM X-Force Incident Response and Intelligence Services (IRIS)
Inhaltsverzeichnis
Zusammenfassung und wesentliche Trends 4
Ziel- und Erstinfektionsvektoren 6
Explosionsartiger Anstieg der Angriffe 6
auf die OT-Infrastruktur
Drastischer Anstieg der kompromittierten Datensätze 8
Angriffe auf IoT-Geräte erstrecken sich auch 9
auf Unternehmensumgebungen
Phishing stellt 2019 der am häufigsten verwendete 11
Vektor für Erstzugriffe dar
Malware-Trends 13
Destruktive Malware-Angriffe nehmen drastisch zu 13
Aggressive Angriffe im Jahr 2019 mit Ransomware 15
und Crypto-Minern
Die wichtigsten Innovatoren bei der Entwicklung 16
von Malware-Code im Jahr 2019
Banktrojaner und Ransomware – Eine heimtückische 19
Vereinigung, die immer schlimmere Ausmaße annimmt
Spam- und Phishing-Trends 21
Sicherheitslücken von 2017 wurden auch 21
noch 2019 für Spam-Angriffe genutzt
Im Westen gehostete Spam-Botnets wirken 23
sich weltweit aus
Spam-Opfer nach Region 24
Blockierte schädliche Domänen heben die 25
zunehmende Verbreitung von
Anonymisierungsservices hervor
Impersonation von Technologieunternehmen und 26
Social-Media-Plattformen bei Phishing-Kampagnen
Die Top 10 Marken bei Spoofing-Kampagnen 28
2
Inhaltsverzeichnis
Branchen, die am häufigsten gezielten 29
Angriffen ausgesetzt werden
Finanz- und Versicherungssektor 30
Einzelhandel 31
Transport 32
Medien und Unterhaltung 33
Professional Services 34
Behörden 35
Bildungswesen 36
Fertigung 37
Energie 38
Gesundheitswesen 39
Geozentrische Erkenntnisse 40
Nordamerika 41
Asien 42
Europa 43
Naher Osten 44
Südamerika 45
Vorbereitung auf eine geringe Anfälligkeit im Jahr 2020 46
Zukünftige Berücksichtigung wichtiger Punkte 47
Über X-Force 48
3
Zusammenfassung und wesentliche Trends Teil 1
Zusammenfassung und wesentliche Trends
IBM Security entwickelt intelligente Sicherheitslösungen und
Services für Unternehmen, mit denen Sie sich heute schon gegen
die Internetsicherheitsbedrohungen von morgen wappnen können.
IBM® X-Force® stellt regelmäßig Blogs, Whitepapers, verwalteten Sicherheitsservices, Incident-
Webinare und Podcasts über neue Bedrohungen Response-Services, Penetrationstests und
und TTPs (Taktiken, Techniken und Prozesse) von Sicherheitsrisikomanagement-Services.
Angreifern bereit, um Sicherheitsexperten über
die wichtigsten Bedrohungen auf dem Laufenden Die IBM X-Force Forschungsteams analysieren
zu halten. Daten von mehreren hundert Millionen geschützten
Endpunkten und Servern sowie von Nichtkunden-
IBM Security® veröffentlicht jährlich den IBM X-Force Ressourcen stammende Daten wie beispielsweise
Threat Intelligence Index, der eine Zusammenfassung Spamsensoren und Honeynets. IBM Security Research
der wichtigsten von unseren verschiedenen verwendet auch weltweit Spamfallen, überwacht
Forschungsteams angesprochenen Bedrohungen des täglich mehrere Millionen Spam- und Phishing-Angriffe
letzten Jahres bereitstellt und Sicherheitsteams somit und analysiert Milliarden von Webseiten und Bildern,
Informationen liefert, mit denen sie ihre Unternehmen um Angriffskampagnen, betrügerische Aktivitäten und
besser schützen können. Markenmissbräuche zu erkennen und unsere Kunden
und die vernetzte Welt, in der wir heute leben, besser
Die in diesem Bericht enthaltenen Daten und schützen zu können.
Erkenntnisse stammen von von IBM Security
4
Zusammenfassung und wesentliche Trends Teil 1
Die von IRIS (X-Force Incident Response and Intelligence
Services) kompilierten Analysen von IBM Security Software- und
Sicherheitsservices zeigen auf, dass 2019 alte Bedrohungen erneut
auftauchten, die nun auf neue Weisen verwendet wurden.
— Laut X-Force Daten könnte ein Anstieg der auf die — X-Force Analysen der weltweiten Spamaktivitäten
Operationstechnologie (OT) abgezielten Vorfälle um weisen darauf hin, dass Spam-E-Mails auch
2000 Prozent 2019 auf das zunehmende Interesse weiterhin nur bestimmte Schwachstellen nutzen,
von Threat-Akteuren im neuen Jahr hindeuten, mit besonderem Augenmark auf lediglich zwei
Industriesysteme zu ihrem Ziel zu machen. Schwachstellen (oder sogenannte CVEs): 2017-0199
und 2017-11882. Bei beiden handelt es sich um
— 2019 wurden über 8,5 Milliarden Datensätze gepatchte Sicherheitslücken, die fast 90 Prozent der
kompromittiert. Diese Zahl stieg im Vergleich Schwachstellen ausmachen, die Threat-Akteure über
zum Vorjahr um über 200 Prozent an. Für Spam-Kampagnen auszunutzen versuchen.
diesen erheblichen Anstieg sind hauptsächlich
versehentliche interne Angriffe verantwortlich. — Obwohl Finanzdienstleistungen bezüglich der
Datensätze, die aufgrund von falsch konfigurierten Zielbranchen auch 2019 ganz oben stehen,
Servern (darunter öffentlich zugängliche Cloud- konzentrieren sich Threat-Akteure weltweit vermehrt
Speicher, nicht gesicherte Cloud-Datenbanken und auch auf andere Bereiche wie Einzelhandel, Medien,
nicht ordnungsgemäß gesicherte rsync-Backups oder Bildungswesen und Behörden.
mit dem offenen Internet verbundene Speichergeräte)
Angriffen ausgesetzt waren, stellten 86 Prozent aller — Dieses Jahr neu für den X-Force Threat Intelligence
2019 kompromittierten Datensätze dar. Index sind geozentrische Erkenntnisse, die Daten zu
rund um die Welt beobachteten Trends bereitstellen.
— Die Malware-Landschaft hat sich 2019 erneut IBM Security verfolgt auch weiterhin mehrere Threat-
verändert, wobei Threat-Akteure zu Ransomware Akteure, die sämtliche Regionen ins Visier nehmen,
und zum Ausbau von Botnets zurückkehrten. 2019 und dieser Bericht hebt wichtige Angreifer für jede
haben X-Force IRIS-Teams in 12 verschiedenen Region hervor sowie 2019 beobachtete Angriffe und
Ländern auf 5 verschiedenen Kontinenten und in potenzielle Daten für Internetsicherheitsbelange im
13 verschiedenen Bereichen auf Ransomware- Jahr 2020.
Aktivitäten reagiert. Zudem zeigen entsprechende
Malware-Aktivitäten auf, dass dieser potenziell
katastrophale Malware-Trend auch weiterhin eine
wachsende Bedrohung darstellt.
— Die drei Spitzenreiter unter den Erstinfektionsvektoren,
auf die X-Force IRIS-Teams 2019 reagierten, lagen
eng beieinander: Phishing (31 Prozent), Scan & Exploit In den nachstehenden Abschnitten
(30 Prozent) und gestohlene Anmeldedaten dieses jährlichen Berichts werden
(29 Prozent). Phishing machte 2018 fast die Hälfte die wichtigsten Trends beschrieben
aller Vorfälle aus, während dies 2019 auf weniger und detaillierte Informationen dazu
als ein Drittel fiel. Im Gegensatz dazu stiegen bereitgestellt, was sie 2019 prägte.
Scan & Exploit-Vorfälle auf fast ein Drittel an,
während dies 2018 lediglich bei acht Prozent lag.
5
Ziel- und Erstinfektionsvektoren Teil 2
Ziel- und Erstinfektionsvektoren
Abbildung 1:
Trends bei Angriffen auf die Operationstechnologie (OT)
Umfang der monatlichen OT-Angriffe – Vergleich zwischen den Jahren 2016 bis 2019 (Quelle: IBM X-Force)
Jan. Feb. März Apr. Mai Jun. Jul. Aug. Sept. Okt. Nov.
2016 2017 2018 2019
Explosionsartiger Anstieg der Angriffe auf die
OT-Infrastruktur
IBM X-Force Daten zeigen auf, dass Vorfälle, bei denen Im Mittelpunkt der meisten beobachteten Angriffe
Threat-Akteure auf ICS (Industrial Control Systems / stand eine Kombination aus der Ausnutzung bekannter
industrielle Steuerungssystem) und ähnliche OT- Schwachstellen innerhalb von SCADA- und ICS-
Assets abzielten, seit 2018 um über 2000 Prozent Hardware-Komponenten und Brute-Force-Angriffen
zunahmen. Tatsächlich war die Anzahl der Angriffe zur Entwendung von ICS-Passwörtern.
auf OT-Assets 2019 höher als in allen vorherigen drei
Jahren zusammen.
6
Ziel- und Erstinfektionsvektoren Teil 2
Bestimmte ICS-Angriffe wurden mit zwei bekannten dazu, dass nicht gepatchte OT-Systeme eine leichte
Threat-Akteuren in Verbindung gebracht und fielen Beute darstellen können, selbst wenn sie nicht über
zeitlich mit dem Anstieg in der Angriffszeitleiste das Internet zugänglich sind. Nachdem ein Angreifer
zusammen, den wir in unseren Telemetriedaten erst einmal Fuß gefasst hat, ist bei einer lateralen
beobachten konnten. Zwei spezifische Kampagnen Bewegung ein Zugriff auf diese Systeme innerhalb
wurden von der Xenotime Gruppe und von des Netzwerks möglich und es können relativ einfache
IBM Hive0016 (APT33) durchgeführt, wobei vermehrt Exploit-Methoden angewandt werden.
ICS-Angriffe beobachtet werden konnten.
Obwohl der in Abbildung 1 gezeigte Trend im Hinblick
Die Überlappung von IT-Infrastrukturen und auf ICS-Netzwerkangriffe seit Anfang Oktober 2019
Operationstechnologien, wie beispielsweise bei abgenommen hat, erwartet X-Force, dass OT/ICS-
speicherprogrammierten Steuerungen (PLCs) und Angriffe auch 2020 weiterhin zunehmen werden,
ICS, stellte auch weiterhin ein Risiko für Unternehmen während verschiedene Threat-Akteure weltweit neue
dar, die sich 2019 auf solche hybriden Infrastrukturen Kampagnen gegen Industrienetzwerke planen und
verließen. starten. 2019 wurden der Schwachstellendatenbank
von IBM X-Force mehr als 200 neue CVEs hinzugefügt,
Aufgrund dieser Konvergenz der IT/OT-Infrastruktur die sich auf ICS beziehen.Somit kann angenommen
können IT-Angriffe OT-Geräte, die physische werden, dass ICS-Bedrohungen wahrscheinlich auch
Ressourcen steuern, im Visier haben, was die 2020 zunehmen werden.
Wiederherstellungskosten erheblich in die Höhe treiben
kann. IBM X-Force IRIS war beispielsweise Anfang
2019 bei der Reaktion auf eine Sicherheitsverletzung in
einem globalen Fertigungsunternehmen behilflich, wo
sich eine Infizierung mit Ransomware von einem
IT-System lateral zur OT-Infrastruktur ausbreitete und
den ganzen Betrieb zum Stillstand brachte. Dieser Angriff
wirkte sich nicht nur auf das Unternehmen aus, sondern
Erwartungen von X-Force zufolge
hatte auch einen Welleneffekt auf globale Märkte.
werden ICS-Angriffe 2020 weiterhin
Von X-Force IRIS durchgeführte zunehmen, während verschiedene
Sicherheitsbewertungen, die unseren Kunden 2019
Threat-Akteure weltweit neue
bereitgestellt wurden, hoben die Sicherheitslücken
der OT-Systeme hervor, für die oftmals veraltete Kampagnen gegen Industrienetzwerke
Software und Hardware verwendet werden. Die planen und starten.
weitere Verwendung von Fertigungssystemen, für
die keine neuen Patchs mehr erhältlich sind und die
längst bekannte Schwachstellen aufweisen, führt
7
Ziel- und Erstinfektionsvektoren Teil 2
Drastischer Anstieg der kompromittierten Datensätze Dieser erhebliche branchenübergreifende Anstieg
verloren gegangener Datensätze hebt das wachsende
2019 nahm die Anzahl der kompromittierten Risiko von Datensicherheitsverletzungen hervor –
Datensätze erheblich zu. Es wurden über 8,5 Milliarden selbst für Unternehmen in Branchen, die herkömmlich
Datensätze Angriffen ausgesetzt – mehr als drei Mal so nicht als Hauptziele gegolten haben.
viel im Vergleich zu 2018. Der Hauptgrund für diesen
erheblichen Anstieg besteht darin, dass die Anzahl
der Datensätze, die aufgrund von Fehlkonfigurationen Kompromittierte Datensätze im Jahr 2019
8,5 Milliarden
Angriffen ausgesetzt wurden, im Vergleich zum Vorjahr
um fast das 10-Fache anstieg. Diese Datensätze
machten 86 Prozent der 2019 kompromittieren
Datensätze aus. Dies ist ein krasser Gegensatz zu dem,
was wir 2018 berichteten, als es im Vergleich zu 2017
52 Prozent weniger Datensätze gab, die aufgrund von
Fehlkonfigurationen Angriffen ausgesetzt wurden. Dies
machte weniger als die Hälfte aller Datensätze aus.
Jedoch gab es 2019 im Vergleich zum Vorjahr 14
Prozent weniger Fehlkonfigurationen. Diese Tatsache
deutet darauf hin, dass sich 2019 Fehlkonfigurationen
auf eine erheblich größere Anzahl von Datensätzen
auswirkten. So handelte es sich bei fast 75 % der
Vorfälle, bei denen über 100 Millionen Datensätze
betroffen waren, um Fehlkonfigurationen. Bei zwei
dieser auf Fehlkonfigurationen basierenden Vorfälle,
die im Professional Services-Sektor auftraten, ging die
Zahl der Datensätze, die Angriffen ausgesetzt waren,
bei jedem Vorfall in die Milliardenhöhe.
8
Ziel- und Erstinfektionsvektoren Teil 2
Abbildung 2:
IoT-Angriffe – Verbraucher vs. Unternehmen
Umfang der monatlichen IoT-Angriffe im Jahr 2019 – Verbraucher vs. Unternehmen (Quelle: IBM X-Force)
Jan. Feb. März Apr. Mai Jun. Jul. Aug. Sept. Okt. Nov.
Verbraucher Unternehmen
Angriffe auf IoT-Geräte erstrecken sich auch auf
Unternehmensumgebungen
Mit über 38 Milliarden Geräten, die Erwartungen mit Netzwerkzugriff können von Angreifern als
entsprechend 2020 an das Internet angeschlossen Ausgangspunkt für mögliche Versuche verwendet
sein werden, wird das Internet der Dinge allmählich zu werden, im Unternehmen Fuß zu fassen.
einem der Bedrohungsvektoren, die sich sowohl auf
Verbraucher- als auch auf Enterprise-Level-Prozesse
auswirken können, wobei relativ einfache Malware-
und automatisierte, oftmals skriptbasierte, Angriffe
verwendet werden.
Im Hinblick auf die Verwendung von Malware
zur Infizierung von IoT-Geräten wurden bei
Forschungsarbeiten von IBM X-Force 2019
mehrere Mirai-Malware-Kampagnen verfolgt, bei
denen merklich ersichtlich war, dass nun nicht nur
Unterhaltungselektronik sondern auch Enterprise-
Level-Hardware im Visier war, was sich 2018 noch
nicht beobachten ließ. Kompromittierte Geräte
9
Ziel- und Erstinfektionsvektoren Teil 2
Mirai ist eine überaus produktive IoT-Malware, die Zu den für solche Angriffe am anfälligsten Geräten
seit 2016 von vielen Angreifern verwendet wird, gehören IoT-Geräte mit schwachen oder Standard-
um massive Störungen zu verursachen, indem eine Passwörtern, die sich mithilfe eines einfachen
große Anzahl von IoT-Geräten infiziert wird und diese Wörterbuchangriffs leicht erraten lassen.
dann für DDoS-Angriffe verwendet werden. Unsere
Analysen zu 2019 durchgeführten Kampagnen haben
ergeben, dass TTPs, die Mirai-Malware umfassen, sich
seit 2018 stark verändert haben und sich 2019 nicht
nur auf Verbraucherelektronik konzentrierten, sondern
auch vermehrt auf Unternehmens-Hardware.
Bei der genaueren Untersuchung von im Jahr 2019
getätigten Angriffen auf IoT-Geräte konnten wir eine
weit verbreitete Verwendung von CMDi-Angriffen
beobachten, die Befehle zum Herunterladen
schädlicher Payloads enthalten, die auf verschiedene
Arten von IoT-Geräten abzielen. Die meisten dieser
Angriffe durch Einschleusung von Befehlen werden
mithilfe eines Skripts automatisiert, die nach Geräten
suchen und diese infizieren können. Wenn das
entsprechende IoT-Gerät für solche Angriffe anfällig
ist, wird die Payload heruntergeladen und ausgeführt
und das Gerät einem großen IoT-Botnet hinzugefügt.
10Ziel- und Erstinfektionsvektoren Teil 2
Abbildung 3:
Die am häufigsten verwendeten Angriffsvektoren für Erstzugriffe
Aufteilung der 6 am häufigsten verwendeten Angriffsvektoren für Erstzugriffe nach Prozent (Quelle: IBM X-Force)
Phishing 31 %
Scan & Exploit 30 %
Unbefugte Verwendung
29 %
der Anmeldedaten
Brute-Force-Angriffe 6%
Kompromittierung
2%
von Mobilgeräten
Wasserloch 1%
0% 5% 10 % 15 % 20 % 25 % 30 % 35 %
Phishing stellt 2019 der am häufigsten verwendete
Vektor für Erstzugriffe dar
Dank der umfassenden Reaktionsfähigkeit auf Vorfälle
von IBM X-Force IRIS werden wertvolle Erkenntnisse
zu den Methoden und Beweggründen von Angreifern
bereitgestellt.
Mit 31 Prozent stellte Phishing 2019 der am häufigste
verwendete Vektor für einen Erstzugriff dar. 2018
machte Phishing jedoch noch fast die Hälfte aller
Angriffe aus.1
1 Gemäß dem 2019 X-Force Threat Intelligence Index waren an 29 Prozent – also fast einem Drittel – der Angriffe, die von X-Force IRIS analysiert wurden, Phishing-E-Mails
beteiligt. Diese Zahl wurde inzwischen berichtigt, um zusätzliche Nachweise zu berücksichtigen, die nach der Veröffentlichung für mehrere Vorfälle zur Verfügung standen,
und beläuft sich für 2018 nun auf 44 Prozent.
11Ziel- und Erstinfektionsvektoren Teil 2
Zusammenfassung und wesentliche Trends Teil 1
Besonders aufgefallen ist, dass Angreifer 2019 erbeutet. Threat-Akteure können gestohlene
vermehrt Zielumgebungen auf ausnutzbare Anmeldedaten verwenden, um im zulässigen
Schwachstellen scannten. Diese Methode wurde bei Datenverkehr unterzutauchen, was die Erkennung
30 Prozent der Vorfälle verwendet, was im Vorjahr noch schwieriger gestaltet.
bei lediglich 8 Prozent lag.
Brute-Force-Angriffe nahmen im Vergleich zum
Threat-Akteuren stehen Unmengen von Möglichkeiten Vorjahr ab und fielen mit 6 Prozent aller Fälle
offen, wenn es darum geht, was gescannt und ausgenutzt auf Platz 4, dem folgen BYODs mit 2 Prozent als
werden kann. IBM X-Force konnte über 150.000 Erstzugriffsmöglichkeit.
öffentlich bekannte Sicherheitslücken identifizieren.
Während ausgeklügelte Kriminelle Zero-Day-Exploits X-Force Forscher beobachteten im Juni und Juli 2019
entwickeln können, ist es üblicher, dass Kriminelle einen merkbaren Anstieg der Aktivitäten von Threat-
bekannte Schwachstellen ausnutzen, da sie damit Akteuren, wobei die Anzahl der Vorfälle in diesen
anfänglich Fuß fassen können, ohne Ressourcen für neue Monaten die Gesamtzahl aller bis dahin in diesem
TTPs aufwenden zu müssen und ihre besten Waffen Jahr aufgezeichneten Vorfälle überschritt. Zwar ist
somit für die am stärksten verteidigten Netzwerke der Grund für diesen plötzlichen Aktivitätsanstieg
einsetzen können. Angreifer verlassen sich zudem nicht bekannt, aber die Sommermonate scheinen
darauf, dass Unternehmen nicht immer die neuesten auch im Hinblick auf Spam aktiver zu sein, wobei
Patchs verwenden – selbst für Sicherheitslücken, für im August 2019 die höchsten Zahlen verzeichnet
die Patchs schon für längere Zeit zur Verfügung stehen. wurden. Es kann sein, dass Threat-Akteure einfach
So konnten WannaCry-Infizierungen noch länger als mehr Aufmerksamkeit auf sich lenkten und einfacher
zwei Jahre nach der Erstinfektion und allgemeinen erkennbar waren, oder dass andere Taktiken oder
Verfügbarkeit des relevanten Patchs (MS17-010) Tools zu dem erheblichen Aktivitätsanstieg führten.
beobachtet werden. Bei kurzzeitigen hohen Aktivitätsanstiegen ist
es unwahrscheinlicher, dass sich diese auf neue
Die Verwendung gestohlener Anmeldedaten, bei Threat-Akteure zurückführen lassen, da man in dem
der Threat-Akteure zuvor erbeutete Anmeldedaten Fall erwarten würde, dass sich der Aktivitätsanstieg
für einen gezielten Angriff auf Unternehmen nutzen, längerfristig fortsetzen würde.
nimmt mit 29 Prozent den dritten Platz ein. Die
Anmeldedaten werden oftmals von einer Website
Dritter gestohlen oder über einen Phishing-Angriff
12Malware-Trends Teil 3
Malware-Trends
Destruktive Malware-Angriffe nehmen drastisch zu
Untersuchungsergebnisse von IBM X-Force IRIS
weisen darauf hin, dass destruktive Malware-Angriffe
im Jahr 2019 im Umfang zunahmen und sich weiter in
neue Regionen ausbreiteten.
Destruktive Malware wird von Cyberkriminellen
und Threat-Akteuren verwendet und ist bösartige
Software, die betroffene Systeme außer Funktion
setzen und eine Wiederherstellung zu einer größeren
Herausforderung machen kann. Die meisten
destruktiven Malware-Varianten verursachen
Schäden, indem sie Dateien, die zur Ausführung eines
Betriebssystems unerlässlich sind, löschen oder
überschreiben. In manchen Fällen kann es auch sein,
dass destruktive Malware spezifische Meldungen an
Industrieanlagen sendet, um so Fehlfunktionen zu
verursachen. Zu unserer Definition einer destruktiven
Malware gehört auch Ransomware, mit der Daten von
Maschinen gelöscht oder irreversibel verschlüsselt Schätzungen zufolge kosten
werden können.
destruktive Angriffe im Durchschnitt
Zwischen der zweiten Hälfte des Jahres 2018 und 239 Millionen USD, also über 60-mal
der zweiten Hälfte des Jahres 2019 reagierte X-Force mehr als die durchschnittlichen Kosten
IRIS auf dieselbe Anzahl destruktiver Angriffe wie
einer Datensicherheitsverletzung.
im Vorjahr, was verdeutlicht, dass dieser potenziell
katastrophale Malware-Trend Unternehmen auch
weiterhin einem Risiko aussetzt.
Traditionell lassen sich destruktive Angriffe
gewöhnlich auf staatliche Threat-Akteure
zurückführen. Wir können jedoch einen Trend
beobachten, bei dem destruktive Elemente auch in
finanziell motivierte Ransomware-Angriffe integiert
werden. Beispiele hierfür sind LockerGoga und
MegaCortex, die seit Ende 2018 bzw. Anfang 2019
für destruktive Angriffe verantwortlich sind.
13Malware-Trends Teil 3
Ende 2019 gab X-Force IRIS die Entdeckung einer Institute durchgeführten Kalkulationen). Im Gegensatz
neuen destruktiven Malware bekannt, der wir den zu Datensicherheitsverletzungen, bei denen Daten
Namen ZeroCleare gaben. Diese datenlöschende- gestohlen oder offengelegt werden, werden bei
Malware zielte auf den Energiesektor im Nahen Osten destruktiven Angriffen gewöhnlich bis zu drei Viertel
ab und wurde von IBM der mit Iran verbundenen oder mehr Geräte im Netzwerk des Unternehmens,
APT-Gruppe ITG13 zugeschrieben, die auch als
2
das einem Angriff ausgesetzt war, zerstört.
APT34/OilRig bekannt ist.
Laut X-Force IRIS können die mit destruktiven
Malware-Angriffen verbundenen Kosten für
Unternehmen besonders hoch sein, wobei
Schätzungen zufolge in größeren multinationalen
Unternehmen im Durchschnitt pro Vorfall Kosten in
Höhe von 239 Mio. USD anfallen. Die geschätzten
Kosten betragen somit über 60-mal mehr als die
2019 anfallenden durchschnittlichen Kosten einer
Datensicherheitsverletzung (laut der vom Ponemon
2 ITG steht für IBM Threat Group, ein Begriff der im Abschnitt zu den Branchen, die am häufigsten gezielten Angriffen ausgesetzt werden, eingehender behandelt wird.
X-Force verwendet ITG-Bezeichnungen, wobei die anderen Namen für Bedrohungsgruppen nach der ITG-Bezeichnung in Klammern angegeben werden.
14Malware-Trends Teil 3
Aggressive Angriffe im Jahr 2019 mit Ransomware
und Crypto-Minern
Im 4. Quartal 2019 stieg die Anzahl der
Art und Anzahl der Malware-Angriffe sind das ganze
Ransomware-Angriffe im Vergleich zum
Jahr über nicht immer gleich, aber trotzdem können
Erkenntnisse über Bedrohungen, denen besondere 4. Quartal 2018 um 67 Prozent an.
Beachtung geschenkt werden sollte, Unternehmen
dabei unterstützen, Risiken besser managen zu
können.
Im ersten Halbjahr 2019 handelte es sich bei
ca. 19 Prozent der beobachteten Angriffe um
Ransomware-Vorfälle, während dies im zweiten
Halbjahr 2018 nur 10 Prozent betrug. Im 4. Quartal
2019 wurde im Vergleich zum 4. Quartal im Vorjahr
ein Anstieg der Ransomware-Angriffe um 67 Prozent
beobachtet. 2019 haben X-Force IRIS-Teams in
12 verschiedenen Ländern auf 5 verschiedenen
Kontinenten und in 13 verschiedenen Bereichen auf
Ransomware-Aktivitäten reagiert.
Dieser enorme Anstieg lässt sich möglicherweise
auf die wachsende Anzahl von Threat-Akteuren
und Kampagnen zurückführen, die 2019 gegen
verschiedenste Unternehmen und Einrichtungen
gestartet wurden. Besonders auffällig waren
Ransomware-Angriffe auf städtische und öffentliche
Einrichtungen sowie örtliche Regierungsbehörden
und Gesundheitsdienstleister. Sie waren oftmals
nicht auf solche Angriffe vorbereitet und zahlten eher
das verlangte Lösegeld, da sie in manchen Fällen
aufgrund der Bedrohung der öffentlichen Sicherheit
und möglicherweise auch von Menschenleben unter
extremem Druck standen.
X-Force Daten zeigen im Hinblick auf Ransomware-
Angriffe auf, dass der größte Angriffsvektor im Jahr
2019 Exploitversuche waren, bei denen über mögliche
Sicherheitslücken im Windows Server-Message-Block-
(SMB-)Protokoll eine Ausbreitung im Netz das Ziel war.
Diese Taktik, die zuvor schon bei WannaCry-Angriffen
angewendet wurde, wurde bei über 80 Prozent
der beobachteten Angriffsversuche verwendet.
15Malware-Trends Teil 3
Malspam/Phishing Emotet/Trickbot- Laterale Bewegung
Ransomware-Angriff
mit PowerShell-Skript Infektion PSExec/WMI
Abbildung 4:
Mehrphasige Ransomware-Infektion
Ransomware-Angriff über eine mehrphasige Infektion (Quelle: IBM X-Force)
Malspam/Phishing Emotet/Trickbot- Laterale Bewegung
Ransomware-Angriff
mit PowerShell-Skript Infektion PSExec/WMI
Angriffe auf anfällige Versionen des SMB-Protokolls Nicht nur Ransomware-Angriffe nahmen 2019 zu.
können automatisiert erfolgen und stellen somit eine 2019 waren auch Malware-Aktivitäten mit Kryptowährung
mit niedrigen Kosten verbundene Möglichkeit für extrem beliebt.
Angriffsversuche dar. Außerdem lassen sie sich leichter
im Umfang anpassen, um möglichst viele Systeme Laut X-Force Telemetriedaten nahmen Cryptomining-
während eines einzelnen Angriffs zu infizieren. Aktivitäten Mitte 2019 einen noch nie da gewesenen
Umfang an, wobei im Juni der Höchststand erreicht
Threat-Akteure verwenden außerdem oftmals wurde.
Trojaner wie beispielsweise Emotet und TrickBot, um
Ransomware auf einem anvisierten System auszuführen. Während Malware-Trends je nach Motiven und
Bei dieser Taktik wird oftmals PowerShell verwendet, Ressourcen der Kriminellen, die die entsprechenden
um die Malware herunterzuladen und unter Verwendung Botnets betreiben, steigen und fallen können, könnte
nativer Funktionen wie beispielsweise PSExec oder sich dieser Anstieg auf die Verdreifachung des Werts
WMI (Windows Management Instrumentation) von Monero zurückführen lassen, einer Kryptowährung,
zu verbreiten, was die Erkennung erschwert. die oftmals von Malware-Minern verwendet wird.
Angreifer verwenden mehrere Phasen zur Infizierung
von Systemen, anstatt einen Direktangriff mit
Ransomware vorzunehmen. Damit behalten sie eine
bessere Kontrolle über den Angriff, um möglichst nicht
erkannt zu werden und die Ransomware auf möglichst
vielen Geräten zu verbreiten, was wiederum die
Wahrscheinlichkeit erhöht, dass das Lösegeld bezahlt
wird. Ihre Geduld und lange Planung zahlen sich aus:
innerhalb von fünf Monaten brachten Ryuk-Angriffe
über 3,7 Mio. USD an Lösegeld ein. Und ein Ryuk-
Angriff auf Pflegeheime in den USA führte zu einer
Lösegeldforderung in Höhe von 14 Mio. USD.
16Malware-Trends Teil 3
Abbildung 5:
Innovationen im Hinblick auf genetischen Malware-Code
Anteil des neuen (zuvor nicht beobachteten) Codes nach Kategorie, 2018-2019 (Quelle: Intezer)
50 %
45 %
40 %
36 %
34 %
33 %
30 % 29 %
23 %
20 %
11 %
10 % 8%
0%
Banktrojaner Botnet Crypto-Miner Ransomware
2018 2019
Die wichtigsten Innovatoren bei der Entwicklung
von Malware-Code im Jahr 2019
Das Unternehmen Intezer setzte seine genetische Entwicklung und den weiteren Ausbau der Codebasis
Malware-Analysetechnologie zur Aufzeigung des von Banktrojanern und Ransomware konzentrierten,
genetischen Ursprungs aller Softwarecodes ein, um aber auch größere Bemühungen zur Modifizierung
Code-Gemeinsamkeiten und -Wiederverwendungen und Entwicklung von Cryptomining-Malwarevarianten
zu ermitteln und so Malware-„Innovationen“ erfassen unternommen wurden.
zu können. Dabei stützte sich das Unternehmen auch
auf Erkenntnisse, die sich durch eine Zusammenarbeit
mit X-Force zur Erkennung neuer Malware-Varianten Dieser Abschnitt des Berichts basiert
ergaben. Dadurch lässt sich das Ausmaß ermitteln, auf einer Zusammenarbeit zwischen
in dem Threat-Akteure in die Entwicklung neuen IBM X-Force und Intezer Forschern.
Codes investieren, um so ihre Angriffsfähigkeiten Intezer führt genetische Analysen
zu erweitern und unentdeckt zu bleiben. des Binärcodes von Malware durch.
Die von Intezer erfassten Daten zeigen auf, dass
sich Threat-Akteure 2019 hauptsächlich auf die
17Malware-Trends Teil 3
2019 konnte bei Banktrojanern die größte Zunahme Im Hinblick auf 2020 können diese Code-
hinsichtlich neuen Codes (45 Prozent) beobachtet Innovationstrends auf die Malware-Typen hinweisen,
werden; dem folgte Ransomware mit 36 Prozent. die sich aufgrund von größeren Investitionen
Bisher konnte IBM umfangreiches Interesse und zur laufenden Weiterentwicklung der Codes
größere Investitionen der Threat-Akteure in Malware- möglicherweise schwerer identifizieren und
Varianten beobachten, die bei Unternehmensbenutzern eindämmen lassen.
zum gewünschten Erfolgen führen. Dies lässt
vermuten, dass diese Malware-Varianten auch 2020 für
gezielte Angriffe auf Unternehmen verwendet werden.
Kriminelle müssen eine ständige Weiterentwicklung
der Banktrojaner und Ransomware sicherstellen, da
2019 stand bei Threat-Akteuren die
die Malware ansonsten schneller erkannt wird und eine
geringere Investitionsrendite zu erwarten ist. Entwicklung und der weitere Ausbau
der Codebasis von Banktrojanern und
Bei Crypto-Minern war 2019 ein Innovationsrückgang
zu beobachten, aber die Anzahl der Mining-Aktivitäten
Ransomware im Mittelpunkt.
war dennoch hoch, was darauf hindeutet, dass Threat-
Akteure auch weiterhin neue Crypto-Miner-Versionen
entwickeln, sich dabei aber vermehrt auf vorherigen
Code verlassen. IBMs Erfahrung nach verlassen sich
diese einfachen Malware-Codes oftmals auf andere,
nicht bösartige Vorgänge wie beispielsweise der
Trojaner XMRig, der zum rechtswidrigen Mining von
Kryptowährung modifiziert wurde. Es werden aber
auch neue Miner für andere Zwecke geschrieben, wie
beispielsweise das Mining von Kryptowährung auf IoT-
Geräten oder – im anderen Extremfall – auf infizierten
Servern, wo eine höhere CPU-Leistung als bei kleineren
Geräten oder einzelnen PCs vorliegt.
Im Gegensatz dazu nehmen Code-Innovationen
für generische Botnet-Malware (11 Prozent) im
Jahresvergleich ab, was darauf hinweist, dass weniger
Investitionen in die Modifizierung deren Fähigkeiten
getätigt werden. Beobachtungen von IBM zufolge
werden diese Codes über Spam oder Malvertising
verbreitet. Die Hauptaufgabe generischer Botnet-
Malware besteht darin, auf einem infizierten Gerät Fuß
zu fassen. Ihre Funktionalität bleibt jedoch minimal,
was erklären könnte, weshalb entsprechende Codes
nicht umfangreicher weiterentwickelt werden.
18Malware-Trends Teil 3
Abbildung 6:
Die wichtigsten Banktrojaner
Aufteilung der neun wichtigsten Banktrojaner 2019 nach Prozent (Quelle: IBM X-Force)
TrickBot 23 %
Ramnit 20 %
Gozi 15 %
QakBot 9%
IcedID 8%
Dridex 8%
URLZone 7%
DanaBot 6%
GootKit 4%
0% 5% 10 % 15 % 20 % 25 %
Banktrojaner und Ransomware – Eine heimtückische
Vereinigung, die immer schlimmere Ausmaße annimmt
Vor etwas mehr als einem Jahrzehnt wurde finanzielle Das Diagramm, das die aktivsten Trojaner in dieser
Malware zu einem allgemeinen Problem, da Malware Kategorie für das Jahr 2019 aufzeigt, ähnelt dem
wie Zeus Trojan (der zu diesem Zeitpunkt erste für 2018 sehr. TrickBot, Gozi und Ramnit nehmen
Banktrojaner) nun Cyberkriminellen umfangreich auch weiterhin die ersten drei Plätze ein. Diese
weltweit zur Verfügung stand. Eine Prüfung der Trojaner werden von organisierten Verbrecherbanden
Finanzkriminalitätslandschaft im Jahr 2019 zeigte betrieben, die anderen Cybercrime-Akteuren
im Hinblick auf die größten Banktrojaner einen klaren verschiedene Geschäftsmodelle anbieten, wie
Trend auf: Diese Malware-Botnets werden zunehmend beispielsweise Botnet als Service und eine Verbreitung
dazu verwendet, um gezielte Ransomware-Angriffe über kompromittierte Assets.
zu ermöglichen, bei denen viel auf dem Spiel steht.
19Malware-Trends Teil 3
Die Verbrecherbande, die TrickBot betreibt, war Berichte gegen Ende von 2019 zeigen zudem auf, dass
2019 in der Cybercrime-Welt bei weitem die aktivste auch bei ITG08 (FIN6) Angriffen, die herkömmlich
Crimeware-Bande. Zu ihren Aktivitäten gehörten: auf den Massendiebstahl von Zahlungskartendaten
abzielten, Taktiken, Techniken und Prozesse
— Häufigkeit der Code-Updates und (TTPs) geändert wurden. Mittlerweile umfasst
Fehlerkorrekturen (Weiterentwicklungen in Bezug dies auch die Verwendung von Ransomware auf
auf Code, Version und Funktionen) Unternehmensnetzwerken. Die Erfassung und
der anschließende Verkauf oder die Verwendung
— Häufigkeit und Umfang von Infektionskampagnen gestohlener Kartendaten kann Zeit und Mühe
kosten, bevor sich daraus Geld schlagen lässt.
— Häufigkeit und Umfang der Angriffsaktivitäten Bei Ransomware-Angriffen ist es im Gegensatz
dazu möglich, in einem Schlag Millionenbeträge zu
Bei den Banden, die 2019 Schlagzeilen mit massiven
ergattern. Dies führt dazu, dass immer mehr Banden
Ransomware-Angriffen machten, handelt es sich auch
Ransomware und Cyber-Erpressung erwägen.
um die gleichen Banden, die 2015 groß angelegte
Überweisungsbetrugsversuche starteten. Die
Strategie ist in gewissem Sinne die gleiche, nur die
Taktiken haben sich geändert: gezielte Angriffe auf
Unternehmen, bei denen sich möglichst viel Geld
herausschlagen lässt.
Top-Beispiele für den Umstieg von
Banktrojanern auf Ransomware sind:
Dridex
Hat zuvor LokiBot auf Benutzergeräten verbreitet
und infiltriert jetzt mithilfe von BitPaymer/
DopplePaymer Unternehmensnetzwerke.
GootKit
Ist vermutlich für die Infizierung von
Unternehmensnetzwerken mit LockerGoga
verantwortlich. LockerGoga tauchte Anfang
2019 auf und ist seither für lähmende Angriffe
auf Unternehmen verantwortlich.
QakBot
Infiziert Unternehmensnetzwerke mit
MegaCortex.
TrickBot
Infiziert Unternehmensnetzwerke mit Ryuk.
20Spam-
Zusammenfassung
und Phishing-Trends
und wesentliche Trends Teil 4
1
Spam- und Phishing-Trends
Abbildung 7:
Die wichtigsten Sicherheitslücken, die für Malspam genutzt wurden
Aufteilung der wichtigsten Sicherheitslücken, die 2019 in Malspam-Anhängen ausgenutzt wurden – nach Umfang (Quelle: IBM X-Force)
CVE-2017-11882
CVE-2017-0199
CVE-2017-8759
CVE-2018-0802
CVE-2017-1182
Anzahl der Malspam-E-Mails
Sicherheitslücken von 2017 wurden auch noch 2019
für Spam-Angriffe genutzt
IBM X-Force verwendet weltweit Spamfallen und CVEs betreffen Microsoft Word und erfordern außer
überwacht täglich mehrere Millionen Spam-Meldungen dem Öffnen eines schädlichen Dokuments keinen
und Phishing-E-Mails. Unsere Teams und Technologie weiteren Benutzereingriff.
analysieren Milliarden von Webseiten und Bildern, um
betrügerische Aktivitäten und Markenmissbräuche
ausfindig zu machen.
X-Force Analysen der weltweiten Spamaktivitäten
weisen darauf hin, dass Spam-E-Mails auch
weiterhin nur bestimmte Schwachstellen nutzen,
mit besonderem Augenmark auf lediglich zwei
Schwachstellen (oder sogenannte CVEs): 2017-0199
und 2017-11882. Bei beiden handelt es sich um
gepatchte Sicherheitslücken, die fast 90 Prozent der
Schwachstellen ausmachen, die Threat-Akteure über
Spam-Kampagnen auszunutzen versuchen. Beide
21Spam- und Phishing-Trends Teil 4
Unsere Ereignisdaten zeigen auf, dass diese Die weitere Nutzung alter Schwachstellen hebt die
beiden Sicherheitslücken 2019 mehr als lange Kette bösartiger Aktivitäten hervor und wie
irgendwelche anderen Sicherheitslücken, die bedeutende Schwachstellen auch noch mehrere Jahre
eine Remotecodeausführung in Microsoft Word nach deren Bekanntgabe und erhältlichen Patchs für
ermöglichen, von Angreifern genutzt wurden – und Angriffe genutzt werden können.
zwar mit einem Verhältnis von fast 5 zu 1.
Während sich viele Spam-E-Mails auf diese
Sicherheitslücken beziehen, gibt es keinen
Hinweis darauf, wie erfolgreich sie tatsächlich bei
Exploitversuchen sind. Allerdings handelt es sich
bei Spam-E-Mails oftmals um ein Zahlenspiel. Bei
einer ausreichenden Anzahl reicht selbst eine geringe
Erfolgsquote aus, um für Threat-Akteure wertvoll zu
sein. Da viele Benutzer und selbst Unternehmen nicht
immer die neuesten Patchs verwenden, kann es sein,
dass Geräte noch immer ältere Sicherheitslücken
aufweisen.
Für die bleibende Beliebtheit älteren Schwachstellen
kann es viele Erklärungen geben, wie beispielsweise
die einfache Integration und Verfügbarkeit kostenloser
Dokumentgeneratoren, ihre weiterhin bestehende
Effektivität oder ihre Vielseitigkeit, wenn es um das
Ablegen verschiedener schädlicher Payloads geht.
22
22Spam- und Phishing-Trends Teil 4
Abbildung 8:
Die Top 20 Spam-C2-Hosting-Länder
Aufteilung der Top 20 Länder nach Anteil ihrer Spam-Command-and-Control-(C2-)Server weltweit im Jahr 2019 (Quelle: IBM X-Force)
1. USA 26.46 %
1. USA 26.46 %
2. Frankreich 7.56 %
2. Frankreich 7.56 %
3. Niederlande 6.31 %
3. Niederlande 6.31 %
4. Russland 6.13 %
4. Russland 6.13 %
5. Brasilien 5.82 %
5. Brasilien 5.82 %
6. Deutschland 4.05 %
6. Deutschland 4.05 %
7. China 3.05 %
7. China 3.05 %
8. Vereinigtes Königreich 2.42 %
8. Vereinigtes Königreich 2.42 %
9. Japan 2.21 %
9. Japan 2.21 %
10. Pakistan 1.94 %
10. Pakistan 1.94 %
11. Indien 1.92 %
11. Indien 1.92 %
12. Argentinien 1.85 %
12. Argentinien 1.85 %
13. Italien 1.83 %
13. Italien 1.83 %
14. Kanada 1.63 %
14. Kanada 1.63 %
15. Republik Korea 1.62 %
15. Republik Korea 1.62 %
16. Spanien 1.43 %
16. Spanien 1.43 %
17. Türkei 1.32 %
17. Türkei 1.32 %
18. Litauen 1.07 %
18. Litauen 1.07 %
19. Indonesien 1.05 %
19. Indonesien 1.05 %
20. Singapur 0.93 %
20. Singapur 0.93 %
0% 5% 10 % 15 % 20 % 25 % 30 %
0% 5% 10 % 15 % 20 % 25 % 30 %
Im Westen gehostete Spam-Botnets wirken
sich weltweit aus
Die Forschungsarbeiten von IBM X-Force bezüglich In vielen Fällen wird Spam-Botnet-C2-Infrastruktur
Spam-Botnets befassen sich mit verschiedensten auf kompromittierten Servern gehostet, und die
geospezifischen Datenpunkten, die mit der Verwendung von Servern in Nordamerika und Europa
Command-and-Control-(C2-)Infrastruktur für basiert auf der allgemeinen Annahme, dass Server
Spam-Botnets verknüpft sind. Bei einem der in diesen Ländern gewöhnlich eine längere Laufzeit
Parameter, mit dem wir uns genauer befasst haben, aufweisen. Cyberkriminelle bevorzugen es außerdem,
handelt es sich um den geografischen Standort, an ihre Angriffe auf lokalen Ressourcen zu hosten, bei
dem Botnet-C2s gehostet werden. Wir haben ermittelt, denen es unwahrscheinlicher ist, dass bei einer
dass C2s 2019 hauptsächlich in Nordamerika und Interaktion dieser Server mit Geräten und Netzwerken
in westeuropäischen Ländern gehostet wurden. in der Zielgeografie die Alarmglocken läuten.
Dies traf 2019 auf über die Hälfte aller C2-Instanzen
zu. Die restlichen C2s wurden in einer Vielzahl
verschiedener Regionen gehostet.
23Spam- und Phishing-Trends Teil 4
Abbildung 9:
Die Top 20 Länder in Bezug auf Spam-Botnet-Opfer
Aufteilung der Top 20 Länder nach Anteil ihrer Spam-Botnet-Clients (Opfer) weltweit im Jahr 2019 (Quelle: IBM X-Force)
1. USA 11.72 %
1. USA 11.72 %
2. Indien 6.42 %
2. Indien 6.42 %
3. Indonesien 5.89 %
3. Indonesien 5.89 %
4. Russland 5.81 %
4. Russland 5.81 %
5. China 5.19 %
5. China 5.19 %
6. Spanien 4.45 %
6. Spanien 4.45 %
7. Frankreich 3.93 %
7. Frankreich 3.93 %
8. Vietnam 3.88 %
8. Vietnam 3.88 %
9. Brasilien 3.87 %
9. Brasilien 3.87 %
10. Vereinigtes Königreich 2.25 %
10. Vereinigtes Königreich 2.25 %
11. Deutschland 2.11 %
11. Deutschland 2.11 %
12. Ukraine 2.10 %
12. Ukraine 2.10 %
13. Mexiko 1.88 %
13. Mexiko 1.88 %
14. Türkei 1.87 %
14. Türkei 1.87 %
15. Italien 1.79 %
15. Italien 1.79 %
16. Argentinien 1.48 %
16. Argentinien 1.48 %
17. Ägypten 1.28 %
17. Ägypten 1.28 %
18. Thailand 1.27 %
18. Thailand 1.27 %
19. Polen 1.19 %
19. Polen 1.19 %
20. Pakistan 1.19 %
20. Pakistan 1.19 %
0% 2% 4% 6% 8% 10 % 12 %
0% 2% 4% 6% 8% 10 % 12 %
Spam-Opfer nach Region
Opfer von Spam-Botnets erstreckten sich 2019
über die ganze Welt, wobei die Vereinigten Staaten
die meisten Opfer aufwiesen, gefolgt von Indien,
Indonesien, Russland und China. Diese Verteilung
entspricht den Beweggründen der Spammer, mit
hochvolumigen Spam-Kampagnen möglichst viele
Empfänger zu erreichen. Logischerweise landet in
Ländern mit größerer Bevölkerung auch eine höhere
Anzahl von Spam-E-Mails.
24Spam- und Phishing-Trends Teil 4
Blockierte schädliche Domänen heben Spam-E-Mails mit Links zu schädlichen URLs stellen
die zunehmende Verbreitung von auch für die meisten finanziell motivierten Akteure die
Anonymisierungsservices hervor bevorzugte Methode dar, da sie mit nur wenig Aufwand
möglichst viele Benutzer erreichen oder gezielte
Ein gängiges Verfahren, Netzwerke möglichst Angriffe in bestimmten Regionen vornehmen können.
vor Online-Bedrohungen zu schützen, ist die
Verhinderung, dass Benutzer und Assets mit potenziell Das Diagramm in Abbildung 10 zeigt die Verteilung
schädlichen oder bekannten schädlichen Domänen der Bedrohungsarten bei schädlichen Domänen auf
kommunizieren können. Zur Risikominimierung und basiert auf Aufzeichnungen von IBM Security
verwenden die meisten Unternehmen Blockierlisten, vom Jahr 2019.
um verdächtige IP-Adressen auf eine schwarze Liste
zu setzen. Quad9 beruht auf globaler Ebene auf
demselben Prinzip und stellt einen frei zugänglichen
DNS-(Domain-Name-Server-)Service bereit3, der
im Durchschnitt täglich 10 Millionen DNS-Anfragen
Spam-E-Mails bleiben auch weiterhin
an schädliche Websites blockiert. eine der effektivsten Methoden, um
möglichst viele potenzielle Opfer
Gemäß Stichproben der Quad9 Daten, die mit
IBM Security Bedrohungsdaten korreliert wurden,
zu erreichen.
handelt es sich bei den meisten verdächtigen
DNS-Anfragen um URLs in Spam-E-Mails. 2019 lag
diese Zahl bei 69 Prozent. Obwohl dies 2018 noch
bei 77 Prozent lag, stellen Spam-URLs auch weiterhin
die bedeutendste Kategorie bezüglich schädlicher
Domänen dar. Diese Abnahme von 8 Prozent könnte
sich auf Anonymisierungsservices zurückführen
lassen, die 24 Prozent der DNS-Anfragen ausmachten.
Spam-E-Mails bleiben dank großer Spam-Botnets,
wie beispielsweise das Necurs-Botnet, mit dem täglich
Millionen von E-Mails gesendet werden können,
auch weiterhin eine der effektivsten Methoden, um
eine möglichst hohe Anzahl potenzieller Opfer zu
erreichen. Schädliche Domänen verbreiten oftmals
Malware, mit der wiederum Ransomware, Skripts zum
Stehlen von Anmeldedaten oder Links zu weiteren
Scams verbreitet werden. Sie sind darauf ausgerichtet,
Benutzer zu täuschen, indem sie echt aussehen oder
vorgeben, eine bekannte Marke zu sein.
3 Quad9 basiert auf der Zusammenarbeit von IBM, Packet Clearing House (PCH) und Global Cyber Alliance (GCA).
25Spam- und Phishing-Trends Teil 4
Abbildung 10:
Die wichtigsten Bedrohungsarten bei schädlichen Domänen
Aufteilung der 6 wichtigsten Bedrohungsarten bei schädlichen Domänen im Jahr 2019 nach Prozent (Quelle: IBM X-Force und Quad9)
Spam-URLs 69.46 %
Computerkriminalität / Hacken 24.16 %
Malware 2.80 %
Anonymisierungsservice 2.29 %
Phishing-URLs 0.79 %
Botnet-C2-Server 0.50 %
0% 10 % 20 % 30 % 40 % 50 % 60 % 70 % 80 %
Spam-URLs: Phishing-URLs:
Domänen mit Links zu Websites, die mit Spam- Domänen, die sich als andere, legitime
Kampagnen verbunden sind. Sie stellen oftmals Domänen ausgeben; gewöhnlich für den
ein Ärgernis dar, sind aber nicht mit weiteren Zweck, Anmeldedaten oder andere vertrauliche
kriminellen Aktivitäten verbunden. Informationen von Benutzern zu erhalten.
Anonymisierungsservices: Botnet-Befehl und -Steuerung:
Domänen mit Links zu Anonymisierungsanbietern, Domänen mit Links zu Botnet-Aktivitäten, die eine
die dafür sorgen, dass weiterer Verkehr nicht mögliche Infektionsgefahr für Besucher darstellen
sichtbar ist
Malware:
Computerkriminalität / Hacking: Domänen, die bekannte Malware hosten
Domänen, die eindeutig für kriminelle Zwecke
verwendet werden, wie beispielsweise Sites,
die Skripts zur Ausnutzung von Webbrowser-
Schwachstellen hosten
26Spam- und Phishing-Trends Teil 4
Zusammenfassung und wesentliche Trends Teil 1
Anonymisierungsanbieter wie beispielsweise
Tor ermöglichen es Benutzern, die Quelle ihres
Internet-Datenverkehrs zu anonymisieren, indem
sie durch von anderen Akteuren betriebene Knoten
browsen. Obwohl Anonymisierungsservices einem
legitimen Zweck dienen können und dies auch oftmals
der Fall ist, indem sie bei Browsing-Aktivitäten für
mehr Vertraulichkeit sorgen, können sie auch dazu
beitragen, dass sich bösartige Aktivitäten nur schwer
oder gar nicht verfolgen und blockieren lassen.
Cyberkriminelle verwenden eine Anonymisierung
oftmals dazu, ihre Spuren zu verwischen, da damit
schädliche Links verschleiert, Daten ohne Auslösung
von DLP-(Data-Loss-Protection-)Regeln herausgefiltert
oder zusätzliche schädliche Payloads heruntergezogen
werden können, bevor die IP des Remoteservers
blockiert werden kann.
Vier Prozent der schädlichen DNS-Anfragen wurden
als Computerkriminalität oder Blackhat-Hacking-
Webseiten eingestuft, bei denen Kriminelle versuchen,
Webbrowser-Schwachstellen auszunutzen, Daten mit
betrügerischen Absichten zu verbreiten oder sonstige
Cyberverbrechen zu verüben. Dieser relativ niedrige
Anteil lässt sich wahrscheinlich auf die Tatsache
zurückführen, dass diese Links entweder über
Anonymisierungsknoten weitergeleitet oder von Proxys
und Firewalls entdeckt und blockiert und anschließend
deaktiviert werden.
27Spam- und Phishing-Trends Teil 4
Abbildung 11:
Die Top 10 Marken bei Spoofing-Kampagnen
Aufteilung der Top 10 Marken bei Spoofing-Kampagnen im Jahr 2019 (Quelle: IBM X-Force)
Google 39 %
YouTube 17 %
Apple 15 %
Amazon 12 %
Spotify 5%
Netflix 5%
Microsoft 3%
Facebook 2%
Instagram 1%
WhatsApp 1%
0% 5% 10 % 15 % 20 % 25 % 30 % 35 % 40 % 45 %
Impersonation von Technologieunternehmen und
Social-Media-Plattformen bei Phishing-Kampagnen
Phishing blieb auch 2019 ein wesentlicher wurden und basieren auf der Cybersquatting-
Bedrohungsvektor. Laut X-Force Daten handelte es Erkennungsfunktion von IBM X-Force.
sich bei den bei Phishing-Kampagnen am häufigsten
gefälschten Marken um Technologie und Social-Media- Angriffe auf Social-Media- oder Content-Streaming-
Plattformen. Gefälschte Domänen können sich von Sites, wie beispielsweise Instagram und Spotify,
Benutzern oftmals nur schwer erkennen lassen und werden Threat-Akteuren zwar nicht unbedingt sofort
sind häufig eine Spiegelung legitimer Domänen, die monetarisierbare Daten bereitstellen, wie dies beim
vom imitierten Unternehmen verwendet werden. Diebstahl von Google- oder Amazon-Konten der Fall ist,
Eine echt aussehende Website kann Benutzer dazu aber entsprechende Akteure werden vielleicht hoffen,
verleiten, persönliche Daten auf einer schädlichen dass die gleichen Passwörter für verschiedene Konten
Website preiszugeben. und Services verwendet werden und versuchen,
die gestohlenen Anmeldedaten für einen Zugriff auf
Diese Daten wurden durch Analyse aller schädlichen wertvollere Konten derselben Benutzer zu verwenden.
Domänen erhalten, die 2019 von Quad9 blockiert
28Branchen, die am häufigsten gezielten Angriffen ausgesetzt werden Teil 5
Branchen, die am häufigsten gezielten Angriffen ausgesetzt werden
In der heutigen Bedrohungslandschaft kann das Risikomanagement
im Hinblick auf Internetsicherheit aufgrund verschiedener
Angriffsarten und Beweggründe der Threat-Akteure je nach Sektor
sehr unterschiedliche Formen annehmen.
X-Force Forscher sortieren die für jeden Sektor Die Zahlen für den Bereich Finanzdienstleistungen
beobachteten Angriffe der Rangfolge nach, um einen sind wenig überraschend, aber im Hinblick auf die
besseren Überblick dazu zu erhalten, welche Branchen Einzelhandelsbranche lässt sich leicht erkennen,
jedes Jahr den meisten gezielten Angriffen ausgesetzt dass das Interesse der Angreifer zugenommen
werden. Die Branchen, die am häufigsten gezielten hat. Dasselbe gilt auch für die Bereiche Medien
Angriffen ausgesetzt werden, wurden mithilfe von und Unterhaltung, für das Bildungswesen und für
Daten zu Angriffen und Sicherheitsvorfällen ermittelt, Regierungsbehörden.
die über von X-Force verwaltete Netzwerke sowie
Daten und Erkenntnisse erhalten wurden, die von In den folgenden Abschnitten werden detaillierte
unseren Incident Response Services und öffentlich Angaben zur relativen Häufigkeit gezielter Angriffe
bekanntgegebenen Vorfällen stammen. bereitgestellt, die auf verschiedenen Datenquellen
und unseren Untersuchungsergebnissen für die
Abbildung 12: einzelnen Branchen für 2019 basieren. Dabei werden
Top 10 Zielbranchen auch gewisse Threat-Akteure hervorgehoben,
Top 10 Zielbranchen nach Umfang der Angriffe – Vergleich die in den letzten Jahren in bestimmten Sektoren
zwischen den Jahren 2019 und 2018 (Quelle: IBM X-Force) besonders aktiv waren. Diese Liste erhebt jedoch
Sektor Rang 2019 Rang 2018 Änderung
keinen Anspruch auf Vollständigkeit und umfasst auch
Daten, die weiter als 2019 zurückreichen. X-Force
Finanzdienstleistungen 1 1 – IRIS verfolgt eine Vielzahl von staatlichen Threat-
Einzelhandel 2 4 2
Akteuren und cyberkriminellen Gruppen und erstellt
Transport 3 2 -1
entsprechende Profile. Nicht zuzuordnende Aktivitäten
Medien 4 6 2
und Kampagnen werden unter „HIVEs“ erfasst.
Professional Services 5 3 -2
Wenn eine Aktivität einmal strenge Analyseschwellen
Behörden 6 7 1
erreicht hat, wird sie in eine IBM Threat Group (ITG)
Bildungswesen 7 9 2
aufgenommen, die jeweils auf bestimmten TTPs,
Fertigung 8 5 -3
Infrastrukturen, Zielgruppen und Spionagemethoden
Energie 9 10 1
Gesundheitswesen 10 8 -2
basiert.
Abbildung 12 stellt ein Vergleichsdiagramm dar, in dem
Branchen, die 2019 den häufigsten Angriffen ausgesetzt
waren, mit Zahlen für 2018 verglichen werden.
29Branchen, die am häufigsten gezielten Angriffen ausgesetzt werden Teil 5
Finanz- und Versicherungssektor
Beim Finanz- und Versicherungssektor handelte es
sich 2019 seit vier Jahren in Folge um die am meisten
angegriffene Branche. Angriffe in diesem Sektor
machten 17 Prozent aller Angriffe in den Top 10
Branchen aus.
Der größte Anteil aktiver Threat-Akteure, die
Finanzeinrichtungen im Visier haben, dürfte aus
finanziell motivierten Cyberkriminellen bestehen,
und der Anreiz für sie in diesem Sektor ist klar:
potenziell hohe und schnelle Gewinne, die bei einem erstellt und von IBM Security gesponsert wurde. Wenn
erfolgreichen Angriff in die Millionen gehen können. es bei Unternehmen, die ihren Notfallplan bezüglich
möglicher Cyberangriffe umfangreich testeten, zu
X-Force Daten, die sich auf Reaktionen auf Vorfälle einer Sicherheitsverletzung kam, betrugen die Verluste
beziehen, zeigten auf, dass es sich beim Finanz- und im Durchschnitt 320.000 USD weniger als die mit
Versicherungssektor um eine der Branchen einer Datensicherheitsverletzung im Durchschnitt
handelt, auf die die meisten gezielten Angriffe verbundenen Kosten von 3,92 Mio. USD-Dollar.
erfolgen. Gleichzeitig wurden jedoch relativ wenige
Verletzungen der Datensicherheit gemeldet. Vorherrschende Bedrohungsgruppen im Jahr 2019,
die gezielte Angriffe auf Unternehmen im Finanzsektor
Dies lässt darauf schließen, das Finanz- und vornahmen, waren ITG03 (Lazarus), ITG14 (FIN7) und
Versicherungsunternehmen zwar mehr Angriffen verschiedene Magecart Splittergruppen. Banktrojaner
als andere Branchen ausgesetzt werden, sie jedoch wie TrickBot, Ursnif und URLZone gehörten 2019
wahrscheinlich über effektivere Tools und Prozesse zu den größten Bedrohungen für Banken, da sie
verfügen, mit denen sich Bedrohungen erkennen Zugriff auf Kundenkonten verschaffen und diese
und eindämmen lassen, bevor ein größerer Schaden für betrügerische Zwecke verwenden können.
angerichtet werden kann. Finanzunternehmen neigen
außerdem eher dazu, ihre Notfallpläne im Ernstfall
zu testen und machen den Großteil der Unternehmen
aus, die IBM Security Command Center verwenden,
um sich ausreichend auf Cyberangriffe vorzubereiten.
Umfangreiche Tests von Notfallplänen und -teams
unter entsprechenden Bedingungen ergaben,
dass sie den durch Datensicherheitsverletzungen
verursachten finanziellen Schäden effektiv
entgegenwirken konnten. Diese Angaben basieren
auf dem 2019 durchgeführten Bericht „Kosten einer
Datenschutzverletzung“4 , der vom Ponemon Institute
4 Der jährliche Bericht zu den Kosten einer Datenschutzverletzung wird vom Ponemon Institute erstellt und von IBM gesponsert.
30Branchen, die am häufigsten gezielten Angriffen ausgesetzt werden Teil 5
Einzelhandel im Aufbau relativ einfach sein können, kann die
Backend-Kompromittierung der zugrunde liegenden
Die Einzelhandelsbranche nahm laut X-Force Daten Plattformen zu kumulierten Auswirkungen führen, bei
2019 Platz 2 bei den am häufigsten angegriffenen denen Kriminelle Tausende von Läden gleichzeitig mit
Branchen ein. Angriffe auf diesen Sektor machten demselben Verfahren kompromittieren können.
16 Prozent aller Angriffe auf die Top 10 Zielbranchen
aus. Dies ist ein deutlicher Anstieg von Platz 4 und
11 Prozent im Vorjahr. Die Branche musste 2019 die
zweitgrößte Anzahl von Netzwerkangriffen hinnehmen.
Angaben zu Rang 2 der Einzelhandelsbranche
im Jahr 2019 basieren auf X-Force IRIS-
Daten sowie öffentlich bekanntgegebenen
Informationen zu Datensicherheitsverletzungen.
Bei den Threat-Akteuren, die gezielte Angriffe auf
Einzelhandelsunternehmen vornehmen, handelt
es sich hauptsächlich um finanziell motivierte
Cyberkriminelle, die versuchen, Zugriff auf
personenbezogene Daten (PPI) von Verbrauchern,
Zu größeren Bedrohungsgruppen,
Zahlungskartendaten, Finanzdaten, Einkaufshistorien die gezielte Angriffe auf die
und Treueprogramm-Daten zu erhalten. Einzelhandelsbranche vornehmen, gehören:
Cyberkriminelle verwenden diese Daten gewöhnlich
dazu, sich Zugriff auf Kundenkonten zu verschaffen, ITG14 (FIN7) Hive0061 (Magecart 10)
Kunden zu betrügen und Daten für verschiedene HIVE0065 (TA505) Hive0062 (Magecart 11)
Identitätsdiebstahlszenarien wiederzuverwenden. ITG08 (FIN6) Hive0066 (Magecart 12)
Hive0038 (FIN6) Hive0067 (FakeCDN)
Beliebte Angriffsmethoden von Cyberkriminellen
Hive0040 (Cobalt Gang) Hive0068 (GetBilling)
waren 2019 POS-Malware und Skimming-Attacken,
Hive0053 (Magecart 2) Hive0069 (Illum Group)
die jeweils das Ziel verfolgten, während einer
Hive0054 (Magecart 3) Hive0070 (PostEval)
Transaktion über ein physisches Kartenterminal
Hive0055 (Magecart 4) Hive0071 (PreMage)
oder einer Online-Transaktion Zugriff auf
Hive0056 (Magecart 5) Hive0072 (Qoogle)
Zahlungskartendaten zu bekommen.
Hive0057 (Magecart 6) Hive0073 (ReactGet)
Hive0058 (Magecart 7) Hive0083 (Inter Skimmer)
Insbesondere die Hackergruppe Magecart nimmt
Hive0059 (Magecart 8) Hive0084 (MirrorThief)
gezielte Direktangriffe auf Zahlungsplattformen Dritter
Hive0060 (Magecart 9) Hive0085 (TA561)
und bekannte Online-Einzelhändler vor, um schädlichen
JavaScript-Code in die Zahlungskartenseiten ihrer
Website zu injizieren. Der Code wird während des
Außer den Skimmer-Angriffen im E-Commerce stellt
Bezahlvorgangs ausgeführt, um die Zahlungskartendaten
auch POS-Malware weiterhin eine beliebte Methode
des Opfers nicht nur an den jeweiligen Verkäufer,
dar, die Cyberkriminelle in Ladengeschäften verwenden,
sondern gleichzeitig auch an die Cyberkriminellen
um über POS-Geräte und Backend-Server während
weiterzuleiten.
einer Transaktion oder der Datenspeicherung Zugriff
auf Zahlungskartendaten zu erhalten.
X-Force IRIS konnte diese Art der Angriffe 2019 bei
mehreren Sicherheitsverletzungen aus erster Hand
beobachten. Obwohl die schädlichen Codeausschnitte
31Sie können auch lesen
