Emotet erobert die Malware-Spitzenposition

Emotet ist im 1. Quartal 2022 gegenüber dem letzten Quartal 2021 im Bedrohungs-Ranking um 36 Plätze nach oben geklettert. Dies ist ein Ergebnis des aktuellen globalen HP Wolf Security Threat Insights Report. Er enthält Analysen realer Cybersecurity-Angriffe. Eine großangelegte Angriffskampagne zielte auf japanische Unternehmen ab und schloss das Hijacking von E-Mail-Threads ein, um die PCs der Empfänger zu infizieren. Die Kampagne war maßgeblich für einen 879-prozentigen Anstieg der erbeuteten .XLSM-Malware-Samples (Microsoft Excel) im Vergleich zum vorherigen Quartal verantwortlich.

Getarnte Alternativen zu bösartigen Microsoft Office-Dokumenten werden immer beliebter, da Microsoft kontinuierlich Makros deaktiviert. Damit einhergehend stellt HP im Vergleich zum vergangenen Quartal einen Anstieg von nicht Office-basierten Formaten fest, darunter bösartige Java-Archivdateien (+476 Prozent) und JavaScript-Dateien (+42 Prozent). Derartige Angriffe sind für Unternehmen schwieriger zu verteidigen.

Der HTML-Schmuggel nimmt zu

Die durchschnittliche Dateigröße von HTML-Bedrohungen stieg von 3 KB auf 12 KB – dies weist auf eine Zunahme des HTML-Schmuggels hin. Bei dieser Technik betten Cyberkriminelle Malware direkt in HTML-Dateien ein – damit sind sie in der Lage, E-Mail-Gateways zu umgehen und nicht entdeckt zu werden, bevor sie sich Zugang verschaffen und wichtige Daten stehlen. Die jüngsten Kampagnen zielten auf lateinamerikanische und afrikanische Banken ab.

„Die Daten aus dem ersten Quartal ist ein klares Zeichen dafür, dass die Betreiber sich neu gruppieren, ihre Stärke wieder aufbauen und in das Wachstum des Botnets investieren. Emotet wurde einst von der CISA als eine der zerstörerischsten und am kostspieligsten zu behebende Malware beschrieben. Seine Betreiber arbeiten häufig mit Ransomware-Gruppen zusammen – ein Muster, das sich vermutlich fortsetzen wird. Ihr Wiederauftauchen ist also eine schlechte Nachricht für Unternehmen und den öffentlichen Sektor gleichermaßen“, erklärt Alex Holland, Senior Malware Analyst, HP Wolf Security Threat Research Team. „Emotet bevorzugt zudem weiterhin makroaktivierte Angriffe – vielleicht, um Angriffe vor Microsofts Deadline zur Abschaltung von Makros im April durchzuführen, oder einfach, weil die Leute immer noch Makros aktiviert haben und dazu verleitet werden können, auf das Falsche zu klicken.“

545 verschiedene Malware-Familien

• Neun Prozent der Bedrohungen waren zum Zeitpunkt ihrer Isolierung unentdeckt. 14 Prozent der isolierten E-Mail-Malware umging mindestens einen E-Mail-Gateway-Scanner.
• Im Durchschnitt dauerte es über drei Tage (79 Stunden) bis sie von anderen Sicherheits-Tools gefunden wurden.
• Bei 45 Prozent der von HP Wolf Security isolierten Malware handelte es sich um Office-Dateiformate.
• Die Bedrohungen verwendeten 545 verschiedene Malware-Familien bei ihren Versuchen, Unternehmen zu infizieren – wobei Emotet, AgentTesla und Nemucod die drei Spitzenreiter waren.
• Ein Exploit für den Microsoft Equation Editor (CVE-2017-11882) machte 18 Prozent aller erfassten bösartigen Muster aus.
• 69 Prozent der entdeckten Malware wurde per E-Mail verbreitet, 18 Prozent entfielen auf Web-Downloads. Die häufigsten Anhänge, die zur Verbreitung von Malware eingesetzt wurden, waren Tabellenkalkulationen (33 Prozent), ausführbare Dateien und Skripte (29 Prozent), Archive (22 Prozent) und Dokumente (elf Prozent).
• Die häufigsten Phishing-Köder waren Geschäftsvorgänge wie „Bestellung“, „Zahlung“, „Kauf“, „Anfrage“ und „Rechnung“.