Header Monthly Email Threat Review

Email Threat Review Juli 2021

Written by Security Lab / 04.08.2021 /
Home » Blog » Email Threat Review Juli 2021

Zusammenfassung

In dieser Ausgabe unseres monatlichen E-Mail-Bedrohungsberichts geben wir einen Überblick über die im Juli 2021 beobachteten E-Mail-basierten Bedrohungen und vergleichen sie mit den Bedrohungen des Vormonats.

Der Bericht bietet Einblicke in:

Unerwünschte E-Mails nach Kategorie

Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien.

E-Mail-Kategorie%
Rejected84.05
Spam11.99
Threat3.02
AdvThreat0.91
Content0.03

Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Kategorie und Stunde.

Der Anstieg der abgelehnten E-Mails am 30.07.2021 kann auf die monatlich wiederkehrende, in deutscher Sprache verfasste Sextortion-Betrugs-E-Mail-Kampagne zurückgeführt werden, die in den vorangegangenen Monaten ähnliche Spitzenwerte verursachte.

Methodik

Die aufgelisteten E-Mail-Kategorien entsprechen den E-Mail-Kategorien, die im Email Live Tracking des Hornetsecurity Control Panels aufgelistet sind. Unsere Benutzer sind also bereits mit ihnen vertraut. Für andere sind die Kategorien:

KategorieBeschreibung
SpamDiese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt.
ContentDiese E-Mails haben einen ungültigen Anhang. Welche Anhänge ungültig sind, legen die Administratoren im Modul Content Control fest.
ThreatDiese E-Mails enthalten gefährliche Inhalte wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten wie Phishing verschickt.
AdvThreatBei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können.
RejectedDiese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert.

Bei Angriffen verwendete Dateitypen

Die folgende Tabelle zeigt die Verteilung der in Angriffen verwendeten Dateitypen.

Dateityp (verwendet in bösartigen E-Mails)%
Archive30.0
PDF20.8
HTML17.1
Executable11.7
Excel7.0
Word5.4
Other4.3
Disk image files3.3
Script file0.1
Powerpoint0.1
Email0.0
LNK file0.0

Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro Dateityp, der in Angriffen verwendet wird, pro 7 Tage.

Hier ist eine Zunahme der Angriffe mit bösartigen Word-Dokumenten zu beobachten. Im Vormonat wurden nur 3,6 % der Angriffe mit Word-Dokumenten durchgeführt. Früher waren Word-Dokumente das vorherrschende Dokumentformat bei dokumentenbasierten Angriffen. Im Jahr 2020 wechselten viele Bedrohungsakteure jedoch zu Excel-Dokumenten und nutzten die alte Excel 4.0-Makrofunktion, um bösartigen Code auszuführen, wodurch die Zahl der in Angriffen verwendeten bösartigen Word-Dokumente zurückging. Sicherheitsanbieter erkannten die Excel 4.0-Makro-Angriffe deutlich weniger im Vergleich zu VBA-Makro-basierten Angriffen. Da Microsoft jedoch die Unterstützung von Excel 4.0-Makros in AMSI1 aufgenommen hat, könnte die Zunahme bösartiger Word-Dokumente bedeuten, dass Bedrohungsakteure in Erwägung ziehen, für ihre dokumentenbasierten Angriffe wieder vorwiegend Word-Dokumente statt Excel-Dokumente zu verwenden.

Branchen Email Threat Index

Die folgende Tabelle zeigt die Top 10 unseres Branchen-E-Mail-Bedrohungsindex, der anhand der Anzahl der bedrohlichen E-Mails im Vergleich zu den empfangenen sauberen E-Mails (im Median) für jede Branche berechnet wurde.

BranchenAnteil der Threat Emails an Threat und Gültigen Emails
Research industry4.3
Manufacturing industry3.8
Agriculture industry3.4
Transport industry3.4
Education industry3.2
Entertainment industry3.1
Mining industry3.1
Media industry2.9
Hospitality industry2.9
Healthcare industry2.8

Das folgende Balkendiagramm visualisiert die E-Mail-basierte Bedrohung für jede Branche.

Zum Vergleich das Balkendiagramm des E-Mail-basierten Bedrohungsindex des letzten Monats:

Wir beobachten einen Rückgang der Gesamtbewertung der E-Mail-Bedrohung.

Methodik

Unterschiedlich große Organisationen erhalten eine unterschiedliche absolute Anzahl von E-Mails. Um Organisationen zu vergleichen, haben wir daher den prozentualen Anteil der Threat E-Mails an den Threat und Gültigen E-Mails jeder Organisation berechnet. Anschließend berechnen wir den Median dieser Prozentwerte über alle Organisationen innerhalb derselben Branche, um den endgültigen Threat Index für die Branche zu ermitteln.

Angriffstechniken

Die folgende Tabelle zeigt die bei Angriffen verwendete Angriffstechnik.

Angriffstechnik%
Andere53.2
Phishing24.2
URL8.1
Executable in archive/disk-image4.7
Advance-fee scam (dt. Vorschussbetrug)3.7
Extortion (dt. Erpressung)2.8
Impersonation2.2
Maldoc1.1
LNK0.0

Das folgende Zeithistogramm zeigt das E-Mail-Volumen pro eingesetzter Angriffstechnik pro Stunde.

Es gibt keine signifikanten Anomalien.

Imitierte Firmenmarken oder Organisationen

Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am häufigsten bei Impersonationsangriffen entdeckt haben.

Imitierte Firmenmarke oder Organisation%
DocuSign20.5
PayPal13.4
Deutsche Post / DHL12.4
Amazon11.7
LinkedIn4.3
Microsoft2.5
HSBC2.2
Santander2.2
O21.7
Volks- und Raiffeisenbank1.6

Das folgende Zeithistogramm zeigt das E-Mail-Volumen für Firmenmarken, die bei Impersonationsangriffen entdeckt wurden, pro Stunde.

Es ist ein konstanter Strom von Phishing- und anderen Angriffen, die sich als große Marken ausgeben, um die Empfänger zum Öffnen der E-Mails zu verleiten.

Hervorgehobene Threat E-Mail-Kampagnen

In diesem Abschnitt möchten wir einige Malspam-Kampagnen prominenter, bekannter Bedrohungsakteure hervorheben.

Bitte beachten Sie, dass hier nicht alle Kampagnen aufgeführt sind. Die Rangliste sowie die Volumenangaben sollten daher nicht als globale Rangliste verstanden werden. Wir bemühen uns, diesen Teil unserer Berichterstattung in Zukunft zu erweitern.

Das folgende Zeithistogramm zeigt das E-Mail-Volumen für hervorgehobene Bedrohungs-E-Mail-Kampagnen pro Stunde.

Methodik

Hornetsecurity beobachtet hunderte und tausende verschiedene Bedrohungs-E-Mail-Kampagnen von unterschiedlichen Bedrohungsakteuren, die von sehr einfachen Angriffen mit geringem Aufwand bis hin zu hochkomplexen verschleierten Angriffsschemata reichen. Unsere Hervorhebung umfasst nur die wichtigsten ausgefeilten Bedrohungs-E-Mail-Kampagnen.

Ransomleaks

Bedrohungsakteure veröffentlichen weiterhin Daten, die von Ransomware-Opfern gestohlen wurden, um sie unter Druck zu setzen, nicht nur für die Entschlüsselung der von der Ransomware verschlüsselten Dateien zu zahlen, sondern auch dafür, dass die vor der Verschlüsselung gestohlenen Daten nicht veröffentlicht werden. Wir haben die folgende Anzahl von Leaks auf Ransomware-Leak-Seiten beobachtet:

Leak-SeiteAnzahl der Opfer
LockBit 2.066
Conti36
Hive16
Synack11
Lorenz8
REvil7
Everest5
Promethous5
Vice Society4
Grief3
RansomEXX3
Cl0p2
LV2
RagnarLocker2
Xing Team2
Nephilim1

Das folgende Balkendiagramm visualisiert die Anzahl der Opfer pro Leak-Seite.

Ein neuer Zugang zu unserem Datensatz ist die Leak-Site von LockBit 2.0. Die Seite war bereits im Juni online, und die Akteure hinter der Seite waren auf der Suche nach Affiliates.

Die Webseite bot seinen potenziellen Partnern einen Leistungsvergleich der LockBit 2.0 Ransomware im Vergleich zu anderen RaaS (Ransomware-as-a-Service)-Angeboten an.

Auch ein Vergleich der Übertragungsgeschwindigkeiten für die Datenexfiltration wurde bereitgestellt.

Dann, am 2021-07-13, begann die Leak-Site, Daten von Opfern zu veröffentlichen.

Mit 66 Opfern meldete LockBit 2.0 fast doppelt so viele Opfer wie Conti, die Leak-Seite mit den zweitmeisten Opfern in diesem Monat.

Verweise

Dies könnte Sie auch interessieren