
Neue Techniken bringen Opfer ins Fadenkreuz von Ransomware-Banden
HP stellt den neuen HP Wolf Security Threat Insights Report vor. Die globale Studie analysiert reale Cyber-Angriffe, die durch die Isolierungs-Tools von HP Wolf Security entdeckt wurden.
Das HP Wolf Security Team identifizierte eine Vielzahl von Angriffen, bei denen Excel-Add-in-Dateien zur Verbreitung von Malware genutzt wurden. Diese gewährten Cyber-Kriminellen Zugang zu Unternehmen und Einzelpersonen, stahlen ihre Daten und setzten sie zerstörerischen Ransomware-Angriffen aus. Die Zahl der Angreifer, die Systeme mit bösartigen Microsoft Excel-Add-in-Dateien (.xll) kompromittieren, hat sich im Vergleich zum letzten Quartal versechsfacht (+588 Prozent). Diese Technik ist besonders gefährlich, da sich die Malware mit nur einem einzigen Klick ausführen lässt. Darüber hinaus fand das Team Werbung für .xll-Dropper und Malware-Baukästen, die es unerfahrenen Angreifern erleichtern, Angriffe auszuführen.
Weitere Bedrohungen, die das HP Wolf Security Threat Insight Team isolierte, waren:
- Die Rückkehr von TA505? HP identifizierte eine MirrorBlast-E-Mail-Phishing-Kampagne, deren Taktiken, Techniken und Verfahren (TTPs) der Bedrohungsgruppe TA505 ähnelte. Die Gruppe ist für massive Malware-Spam-Kampagnen und den monetären Zugriff auf infizierte Systeme mittels Ransomware bekannt. Der Angriff zielte auf Organisationen mit dem FlawedGrace Remote Access Trojan (RAT) ab.
- Eine gefälschte Gaming-Plattform, die Opfer mit RedLine infiziert: Eine gefälschte Discord-Installationswebsite verleitete Besucher dazu, den Infostealer RedLine herunterzuladen und stahl so ihre Anmeldedaten.
- Die Umstellung ungewöhnlicher Dateitypen umgeht immer noch die Erkennung: Die Aggah-Bedrohungsgruppe nahm koreanischsprachige Organisationen mit bösartigen PowerPoint-Add-In-Dateien (.ppa) ins Visier, die als Bestellungen getarnt waren und Systeme mit Remote-Access-Trojanern infizierten. PowerPoint-Malware ist selten und macht nur ein Prozent der Malware aus.
Die Ergebnisse basieren auf Millionen Endpunkt-Daten von HP Wolf Security. HP Wolf Security spürt Malware durch die Isolierung risikoreicher Aufgaben in mikro-virtuellen Maschinen auf. Dies ermöglicht ein besseres Verständnis und Erfassen der gesamten Infektionskette: So lassen sich Bedrohungen entschärfen, die anderen Sicherheitstools entgangen sind. Kunden konnten so auf mehr als zehn Milliarden E-Mail-Anhänge, Webseiten und Downloads klicken, ohne dass ein Verstoß gemeldet wurde[i]. Das bessere Verständnis für Malware ermöglicht Forschern und Ingenieuren von HP Wolf Security, den Schutz von Endgeräten und die allgemeine Widerstandsfähigkeit von Systemen zu verbessern.
Weitere Ergebnisse:
- 13 Prozent der isolierten E-Mail-Malware hatte mindestens einen Gateway-Scanner umgangen.
- Bei den Versuchen, Unternehmen zu infizieren, wurden 136 verschiedene Dateierweiterungen verwendet.
- 77 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 13 Prozent per Internet-Downloads.
- Die häufigsten Anhänge, die zur Verbreitung von Malware verwendet wurden, waren Dokumente (29 Prozent), Archive (28 Prozent), ausführbare Programmdateien (21 Prozent) und Tabellen (20 Prozent).
- Die häufigsten Phishing-Köder bezogen sich auf das neue Jahr oder geschäftliche Transaktionen mit Schlagwörtern wie „Bestellung“, „2021/2022“, „Bezahlung“, „Kauf“, „Anfrage“ und „Rechnung“.
Über die Studie
Die Daten wurden innerhalb der virtuellen Maschinen von HP Wolf Security-Kunden zwischen Oktober und Dezember 2021 gesammelt.
Fachartikel
Studien

Studie: Sicherheitsbedenken bremsen Tech-Innovation aus

Mainframe-Investitionen zeigen signifikante Dynamik in DevOps, AIOps, mit Fokus auf Sicherheit

Forrester-Report: Unzureichende unternehmensweite Kollaboration erschwert Management des externen Cyber-Risikos

BSI will Sicherheit von Open-Source-Software erhöhen

Von Cyber Security zur Cyber Resilience: So begegnen Finanzdienstleister und Unternehmen der wachsenden Bedrohung im Netz
Whitepaper

Incident Response Ransomware Report: KMU am stärksten von Ransomware betroffen

IBM X-Force Report: „Freifahrtschein“ zum Datendiebstahl – Angreifer verwenden gültige Anmeldedaten, um Cloud-Umgebungen zu kompromittieren

Trotz gutem Gehalt: Drei viertel aller IT-Fachkräfte sind wechselbereit

Verizon Business 2023 Payment Security Report: Neue Erkenntnisse zur Optimierung der Zahlungssicherheit
