Email Threat Review September 2021
Executive Summary
In diesem Monat gab es groß angelegte Phishing-Angriffe auf zwei deutsche Bankenverbände (Sparkassen, und Volksbanken und Raiffeisenbanken).
Zusammenfassung
In dieser Ausgabe unseres monatlichen E-Mail-Bedrohungsberichts geben wir einen Überblick über die im September 2021 beobachteten E-Mail-basierten Bedrohungen und vergleichen sie mit den Bedrohungen des Vormonats.
Der Bericht bietet Einblicke in:
- Unerwünschte E-Mails nach Kategorie
- Bei Angriffen verwendete Dateitypen
- Branchen Email Threat Index
- Angriffstechniken
- Imitierte Firmenmarken oder Organisationen
- Ransomleaks
Unerwünschte E-Mails nach Kategorie
Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien.
| E-Mail-Kategorie | % |
| Abgelehnt | 80.83 |
| Spam | 14.15 |
| Threat | 4.07 |
| AdvThreat | 0.91 |
| Content | 0.03 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Kategorie und Stunde.
Die Spitze der abgelehnten E-Mails um den 23.09.2021 kann auf eine monatlich wiederkehrende, in deutscher Sprache verfasste E-Mail-Kampagne mit Sextortionsbetrug zurückgeführt werden, die wir jeden Monat beobachten.
Methodik
Die aufgelisteten E-Mail-Kategorien entsprechen den E-Mail-Kategorien, die im Email Live Tracking des Hornetsecurity Control Panels aufgelistet sind. Unsere Benutzer sind also bereits mit ihnen vertraut. Für andere sind die Kategorien:
| Kategorie | Beschreibung |
| Spam | Diese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt. |
| Content | Diese E-Mails haben einen ungültigen Anhang. Welche Anhänge ungültig sind, legen die Administratoren im Modul Content Control fest. |
| Threat | Diese E-Mails enthalten gefährliche Inhalte wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten wie Phishing verschickt. |
| AdvThreat | Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können. |
| Rejected | Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert. |
Bei Angriffen verwendete Dateitypen
Die folgende Tabelle zeigt die Verteilung der in Angriffen verwendeten Dateitypen.
| Dateityp (verwendet in bösartigen E-Mails) | % |
| HTML | 37.2 |
| Archive | 28.8 |
| 11.3 | |
| Excel | 6.4 |
| Disk image files | 4.6 |
| Other | 4.0 |
| Word | 3.7 |
| Executable | 3.5 |
| Powerpoint | 0.2 |
| Script file | 0.2 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Dateityp, der in Angriffen verwendet wird, pro 7 Tage.
Wir sehen die Fortsetzung der Beobachtung vom letzten Monat bezüglich der Zunahme von HTML-Dateianhängen (.htm, .html, etc.), die bei Angriffen verwendet werden. Bei genauerer Analyse lässt sich die Zunahme auf mehrere Kampagnen zurückführen, die HTML-Dateien für Phishing verwenden, indem die Phishing-Website direkt an die E-Mail angehängt wird1 (und so URL-Filter umgangen werden). Wir haben bereits in unserem Blog über diese Technik berichtet.
Branchen Email Threat Index
Die folgende Tabelle zeigt die Top 10 unseres Branchen-E-Mail-Bedrohungsindex, der anhand der Anzahl der bedrohlichen E-Mails im Vergleich zu den empfangenen sauberen E-Mails (im Median) für jede Branche berechnet wurde.
| Branchen | Anteil der Threat Emails an Threat und Gültigen Emails |
| Manufacturing industry | 6.0 |
| Research industry | 5.7 |
| Media industry | 5.3 |
| Healthcare industry | 5.2 |
| Automotive industry | 5.1 |
| Education industry | 5.1 |
| Transport industry | 5.0 |
| Construction industry | 4.9 |
| Mining industry | 4.9 |
| Retail industry | 4.4 |
Das folgende Balkendiagramm visualisiert die E-Mail-basierte Bedrohung für jede Branche.
Wir beobachten in allen Branchen einen Anstieg der Bedrohungs-E-Mails pro erhaltener gültiger E-Mail.
Methodik
Unterschiedlich große Organisationen erhalten eine unterschiedliche absolute Anzahl von E-Mails. Um Organisationen zu vergleichen, haben wir daher den prozentualen Anteil der Threat E-Mails an den Threat und Gültigen E-Mails jeder Organisation berechnet. Anschließend berechnen wir den Median dieser Prozentwerte über alle Organisationen innerhalb derselben Branche, um den endgültigen Threat Index für die Branche zu ermitteln.
Angriffstechniken
Die folgende Tabelle zeigt die bei Angriffen verwendete Angriffstechnik.
| Angriffstechnik | % |
| Andere | 39.0 |
| Phishing | 29.1 |
| Impersonation | 10.3 |
| URL | 10.0 |
| Advance-fee scam (dt. Vorschussbetrug) | 3.5 |
| Erpressung | 3.1 |
| Executable in archive/disk-image | 3.1 |
| Maldoc | 1.9 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro eingesetzter Angriffstechnik pro Stunde.
Imitierte Firmenmarken oder Organisationen
Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am häufigsten bei Impersonationsangriffen entdeckt haben.
| Imitierte Firmenmarke oder Organisation | % |
| Sparkasse | 19.7 |
| Volks- und Raiffeisenbank | 15.0 |
| Deutsche Post / DHL | 13.5 |
| DocuSign | 12.5 |
| Other | 11.3 |
| Amazon | 8.9 |
| PayPal | 4.6 |
| 1.9 | |
| Microsoft | 1.7 |
| UPS | 1.3 |
| HSBC | 1.1 |
Das folgende Zeithistogramm zeigt das E-Mail-Volumen für Firmenmarken, die bei Impersonationsangriffen entdeckt wurden, pro Stunde.
Die Zahl der Kampagnen, die sich als die deutschen Banken Sparkasse und Volks- und Raiffeisenbank ausgeben, ist deutlich gestiegen. Wir haben mehrere verschiedene Phishing-E-Mail-Kampagnen entdeckt, die auf diese beiden deutschen Banken abzielen.
Ein Beispiel für eine Phishing-E-Mail, die sich als Sparkasse ausgibt:
Ein Beispiel für eine Phishing-E-Mail, die sich als Volks- und Raiffeisenbank ausgibt:
Bei allen Varianten der groß angelegten Kampagnen haben die Banken angeblich ihre (Sicherheits-)Prozesse geändert, und der Benutzer muss sich anmelden, um die Änderung zu bestätigen, damit er weiterhin Zugang zu seinem Bankkonto hat.
Ransomleaks
Bedrohungsakteure veröffentlichen weiterhin Daten, die von Ransomware-Opfern gestohlen wurden, um sie unter Druck zu setzen, nicht nur für die Entschlüsselung der von der Ransomware verschlüsselten Dateien zu zahlen, sondern auch dafür, dass die vor der Verschlüsselung gestohlenen Daten nicht veröffentlicht werden. Wir haben die folgende Anzahl von Leaks auf Ransomware-Leak-Seiten beobachtet:
| Leak-Seite | Anzahl der Opfer |
| Conti | 40 |
| LockBit 2.0 | 34 |
| Pysa | 15 |
| Everest | 8 |
| Vice Society | 7 |
| Hive | 5 |
| REvil | 5 |
| RansomEXX | 3 |
| Lorenz | 1 |
Das folgende Balkendiagramm visualisiert die Anzahl der Opfer pro Leak-Seite.
Am 16.09.2021 erlangte eine ungenannte Strafverfolgungsbehörde die Entschlüsselungsschlüssel für die Ransomware REvil und BitDefender veröffentlichte ein Entschlüsselungsprogramm.
Am 19.09.2021 setzte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums die virtuelle Währungsbörse SUEX OTC, S.R.O. (SUEX) auf die OFAC-Sanktionsliste, weil sie finanzielle Transaktionen für Ransomware-Akteure erleichtert. Eine Analyse der bekannten SUEX-Transaktionen zeigt, dass über 40 % der bekannten Transaktionen von SUEX mit illegalen Akteuren im Zusammenhang mit Ransomware in Verbindung stehen.2
Diesen Monat hat LockBit 2.0 einen DDOS-Schutz CAPTCHA zu seiner Website hinzugefügt.
Cl0p Ransomware hat ebenfalls ein CAPTCHA zu ihrer Leak-Seite hinzugefügt, das die automatische Überwachung von Ankündigungen verhindert.
