Schadsoftware Emotet erobert in Q1 2022 die Malware-Spitzenposition

HP Wolf Security Threat Insights Report: Anzahl der erfassten Bedrohungen stieg um 27 Prozent  

HP Inc. stellt die Ergebnisse des HP Wolf Security Threat Insights Reports für das erste Quartal 2022 vor: Im Vergleich zum vierten Quartal 2021 stellte das Forscher-Team einen Anstieg um 27 Prozent der Bedrohungen durch bösartige Emotet-Spam-Kampagnen fest – in diesem Quartal kam Emotet erstmals auf. Der aktuelle globale HP Wolf Security Threat Insights Report – der Analysen realer Cybersecurity-Angriffe umfasst – zeigt, dass Emotet im Bedrohungs-Ranking 36 Plätze nach oben geklettert ist. Damit ist die Schadsoftware in diesem Quartal mit neun Prozent aller erfassten Malware-Fälle eine der am häufigsten entdeckten Malware-Familien. Eine großangelegte Angriffskampagne zielte auf japanische Unternehmen ab und schloss das Hijacking von E-Mail-Threads ein, um die PCs der Empfänger zu infizieren. Die Kampagne war maßgeblich für einen 879-prozentigen Anstieg der erbeuteten .XLSM-Malware-Samples (Microsoft Excel) im Vergleich zum vorherigen Quartal verantwortlich.

HP Wolf Security isoliert Bedrohungen, die von Erkennungsprogrammen nicht entdeckt wurden und bis zu den Anwender-Endpunkten vorgedrungen sind. Damit sind spezifische Einblicke in die neuesten, von Cyber-Kriminellen eingesetzten, Techniken möglich. Die Beispiele umfassen unter anderem:

Getarnte Alternativen zu bösartigen Microsoft Office-Dokumenten werden immer beliebter, da Microsoft kontinuierlich Makros deaktiviert. Damit einhergehend stellt HP im Vergleich zum vergangenen Quartal einen Anstieg von nicht Office-basierten Formaten fest, darunter bösartige Java-Archivdateien (+476 Prozent) und JavaScript-Dateien (+42 Prozent). Derartige Angriffe sind für Unternehmen schwieriger zu verteidigen.

Der HTML-Schmuggel nimmt zu: Die durchschnittliche Dateigröße von HTML-Bedrohungen stieg von 3 KB auf 12 KB – dies weist auf eine Zunahme des HTML-Schmuggels hin. Bei dieser Technik betten Cyberkriminelle Malware direkt in HTML-Dateien ein – damit sind sie in der Lage, E-Mail-Gateways zu umgehen und nicht entdeckt zu werden, bevor sie sich Zugang verschaffen und wichtige Daten stehlen. Die jüngsten Kampagnen zielten auf lateinamerikanische und afrikanische Banken ab.

„Two for One“-Malware-Kampagne führt zu mehreren RAT (Remote Access Trojaner)-Infektionen: Dabei wurde ein Angriff mit einem Visual-Basic-Skript genutzt, um eine Kill-Chain zu starten. Diese führte zu mehreren Infektionen auf demselben Gerät und ermöglichte den Angreifern dauerhaften Zugriff auf die Systeme der Opfer mit VW0rm, NjRAT und AsyncRAT.

„Die Daten aus dem ersten Quartal belegen, dass dies bei weitem die größte Aktivität ist, die wir von Emotet seit dem ersten Aufkommen der Malware-Familie Anfang 2021 gesehen haben – ein klares Zeichen dafür, dass ihre Betreiber sich neu gruppieren, ihre Stärke wieder aufbauen und in das Wachstum des Botnets investieren. Emotet wurde einst von der CISA als eine der zerstörerischsten und am kostspieligsten zu behebende Malware beschrieben. Seine Betreiber arbeiten häufig mit Ransomware-Gruppen zusammen – ein Muster, das sich vermutlich fortsetzen wird. Ihr Wiederauftauchen ist also eine schlechte Nachricht für Unternehmen und den öffentlichen Sektor gleichermaßen“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team, HP Inc. „Emotet bevorzugt zudem weiterhin makroaktivierte Angriffe – vielleicht, um Angriffe vor Microsofts Deadline zur Abschaltung von Makros im April durchzuführen, oder einfach, weil die Leute immer noch Makros aktiviert haben und dazu verleitet werden können, auf das Falsche zu klicken.“

Die Studienergebnisse basieren auf Daten von Millionen Endgeräten, auf denen HP Wolf Security läuft. HP Wolf Security spürt Malware auf, indem es riskante Tasks in isolierten, mikro-virtuellen Maschinen (micro-VMs) öffnet – auf diese Weise werden die Anwender geschützt. Darüber hinaus lässt sich die gesamte Infektionskette nachvollziehen und erfassen. Bedrohungen, die andere Security-Tools nicht erkennen, werden so entschärft. Bis heute haben HP Kunden auf mehr als 18 Milliarden E-Mail-Anhänge, Webseiten und Downloads geklickt, ohne dass ein Verstoß gemeldet wurde. Die Daten bieten einzigartige Einblicke in die Art und Weise, wie Bedrohungsakteure Malware nutzen.

Weitere wichtige Ergebnisse des Berichts sind:

• Neun Prozent der Bedrohungen waren zum Zeitpunkt ihrer Isolierung unentdeckt. 14 Prozent der isolierten E-Mail-Malware umging mindestens einen E-Mail-Gateway-Scanner.
• Im Durchschnitt dauerte es über drei Tage (79 Stunden) bis sie von anderen Sicherheits-Tools gefunden wurden.
• Bei 45 Prozent der von HP Wolf Security isolierten Malware handelte es sich um Office-Dateiformate.
• Die Bedrohungen verwendeten 545 verschiedene Malware-Familien bei ihren Versuchen, Unternehmen zu infizieren – wobei Emotet, AgentTesla und Nemucod die drei Spitzenreiter waren.
• Ein Exploit für den Microsoft Equation Editor (CVE-2017-11882) machte 18 Prozent aller erfassten bösartigen Muster aus.
• 69 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 18 Prozent entfielen auf Web-Downloads. Die häufigsten Anhänge, die zur Verbreitung von Malware eingesetzt wurden, waren Tabellenkalkulationen (33 Prozent), ausführbare Dateien und Skripte (29 Prozent), Archive (22 Prozent) und Dokumente (elf Prozent).
• Die häufigsten Phishing-Köder waren Geschäftsvorgänge wie „Bestellung“, „Zahlung“, „Kauf“, „Anfrage“ und „Rechnung“.

„In diesem Quartal konnten wir einen deutlichen Anstieg der von HP Wolf Security erfassten Bedrohungen um 27 Prozent verzeichnen. Cyberkriminelle passen ihre Methoden regelmäßig an Veränderungen in der IT-Landschaft an. Aus diesem Grund nehmen Umfang und Vielfalt der Angriffe weiter zu – für herkömmliche Tools wird es so immer schwieriger, Angriffe zu erkennen“, sagt Dr. Ian Pratt, Global Head of Security Personal Systems, HP Inc. „Angesichts der Zunahme alternativer Dateitypen und Techniken, die zur Umgehung der Erkennung eingesetzt werden, müssen Unternehmen ihren Kurs ändern und einen mehrschichtigen Ansatz für die Endpunktsicherheit wählen. Die Anwendung des Prinzips der geringsten Privilegien und die Isolierung der häufigsten Bedrohungsvektoren – von E-Mails, Browsern oder Downloads – macht Malware unschädlich, die über diese Vektoren übertragen wird. Dadurch wird das Risiko von Cyber-Bedrohungen für Unternehmen signifikant reduziert.“

Die Daten wurden anonym mithilfe von VMs der HP Wolf Security-Kunden von Januar bis März 2022 gesammelt.

Weitere Informationen auf http://www.hp.com.