Über 1.000 bösartige Domains pro Tag: Ein Bericht

25. April 2025

Ermittlungen von DomainTools + In der Cybersicherheits-Community ist allgemein anerkannt, dass die Bedrohungslage schnelllebig ist und sich ständig weiterentwickelt. Es gibt jedoch einige wenige Konstanten, die sich kaum verändern: Domains und DNS stehen ganz oben auf dieser Liste. Der Zweck dieses Berichts ist es, Domain-Muster und DNS-Infrastrukturen aufzuzeigen, die von Cyberkriminellen geschaffen wurden, um die Abwehrmaßnahmen der Community insgesamt zu verbessern.

Im Jahr 2024 wurden über 106 Millionen neu beobachtete Domains registriert – das sind etwa 289.000 pro Tag. Aus der Beobachtung dieser Daten lassen sich Muster und Zusammenhänge erkennen. Der Bericht von DomainTools enthält unter anderem folgende Ergebnisse:

Keyword-Analyse zur Erkennung von Bedrohungen: Es lassen sich klare Muster bei neu erstellten Domainnamen erkennen, die häufig Begriffe wie „Phishing“, „Betrug“, „Bitcoin“, „Scam“ und andere enthalten.
Ausnutzung von Ereignissen mit hoher Öffentlichkeitswirkung: Große Ereignisse wie Wahlen/Politik, technologische Fortschritte, Naturkatastrophen, soziale Bewegungen usw. führen zu einer erhöhten Domainregistrierung.
Gemeinsamkeiten bei den Attributen bösartiger Domains: Wiederkehrende Muster bei bevorzugten Registrierungsstellen, ISPs, Nameservern und SSL-Ausstellern, die von bösartigen Domains verwendet werden.
Analyse neu registrierter Top-Level-Domains (TLDs): Analyse, um zu verstehen, wie Bedrohungsakteure neue TLDs (.lifestyle, .vana, .living, .music, um nur einige zu nennen) in ihren Kampagnen nutzen.

„Warum ist das relevant? Unser Ziel ist es, der Community eine Blaupause an die Hand zu geben. Durch die Bereitstellung fundierter Analysen zu Domain-Intelligence möchten wir Fachleute in der Cybersicherheit dabei unterstützen, riskante Domains frühzeitig zu erkennen und Bedrohungen proaktiv einzudämmen – für ein sichereres Internet für alle.“ Domain Intelligence Report

Hacker zeigen Vorlieben: Muster in der Domain-Nutzung offenbaren Risiken

Cybersicherheitsforscher beobachten seit Langem bestimmte Muster im Verhalten von Cyberkriminellen. Öffentliche Bedrohungsdaten legen nahe, dass Hacker bei der Registrierung bösartiger Domains klare Präferenzen zeigen – etwa bei Registraren, Hosting-Diensten, Nameservern und SSL-Zertifikatsausstellern. Diese wiederkehrenden Kombinationen ermöglichen es Analysten, Risikodomänen schneller zu identifizieren.

Ein besonders häufig genutzter Domain-Registrar ist Namecheap, der mit über 10 Prozent aller bösartigen Domains an der Spitze liegt. Dahinter folgen Anbieter wie Namesilo, Realtime, GoDaddy.com, Dynadot und Gname.com, die jeweils mehr als fünf Prozent ausmachen.

„Die auffällige Konzentration auf bestimmte Anbieter kann darauf hindeuten, dass diese Plattformen von Angreifern bevorzugt werden – etwa wegen einfacher Kontoerstellung oder unzureichender Sicherheitskontrollen“, erklärt das Unternehmen DomainTools. In manchen Fällen könnten auch die Nutzerfreundlichkeit oder schlecht durchgesetzte Richtlinien eine Rolle spielen, die es Angreifern erlauben, weitgehend unbehelligt zu operieren.

Auch bei der technischen Infrastruktur zeigen sich klare Tendenzen: Die Dienste von Cloudflare werden besonders häufig für Domain-Parking, DNS-Auflösung und Content-Auslieferung genutzt – dicht gefolgt von Amazon Web Services (AWS), deren legitime Cloud-Dienste zunehmend für kriminelle Zwecke missbraucht werden. Bei den SSL-Zertifikatsstellen tauchen insbesondere WE1, R11 und R10 häufig im Zusammenhang mit bösartigen Aktivitäten auf.

Trotz rechtlicher Verantwortung tun sich viele Registrare schwer, gezielt gegen missbräuchliche Domain-Registrierungen vorzugehen. Die zunehmende Komplexität der Internet-Infrastruktur erschwert zudem eine klare Zuweisung von Zuständigkeiten. „Das enorme Volumen neuer Domains macht eine konsequente Überwachung nahezu unmöglich – es ist nicht nur ein Problem mangelhafter Richtlinien“, so die Einschätzung der Forscher.

Auch sprachlich zeigen sich Muster: Um Seriosität vorzutäuschen, nutzen Angreifer oft Begriffe wie „login“, „account“, „verify“, „portal“ oder „webmail“ in Domainnamen. Für Malware-Verbreitung tauchen Wörter wie „update“, „install“, „sync“, „vpn“, „flash“ oder „critical“ besonders häufig auf. Im Kontext von Betrug oder finanzieller Täuschung finden sich Begriffe wie „phishing“, „airdrop“, „bitcoin“, „wallet“, „unlock“, „lottery“ oder „investment“.

Cyberkriminelle nutzen darüber hinaus aktuelle Ereignisse, um ihre Kampagnen möglichst glaubwürdig erscheinen zu lassen – darunter Wahlen, Naturkatastrophen, technologische Entwicklungen oder soziale Bewegungen. Themen wie generative KI und Wahlen gehörten im vergangenen Jahr zu den am häufigsten instrumentalisierten Schlagwörtern.

Die schiere Menge neu registrierter Domains stellt Sicherheitsteams vor große Herausforderungen. Zwar ist nur ein kleiner Teil tatsächlich bösartig – doch gerade das macht eine schnelle und zuverlässige Identifizierung besonders schwierig.