E-Mail und Exploit-Kits
- Vor allem JavaScript-Anhänge bewirkten eine Explosion im Volumen bösartiger Mails – 230 % gegenüber dem vorherigen Quartal. Zahlreiche Locky- und Dridex-Akteure versahen E-Mails mit JavaScript-Dateien, um Payloads zu installieren. Diese Angriffe waren Teil einer der größten Kampagnen, die wir jemals erlebt haben. Zu Spitzenzeiten waren es täglich mehrere hundert Millionen E-Mails.
- Ransomware: Locky dominierte E-Mail, CryptXXX dominierte den Exploit-Kit-Traffic. Unter den E-Mail-Angriffen mit bösartigen Dokumentanhängen nutzten 69 % im 2. Quartal die neue Locky-Ransomeware. Im 1. Quartal waren es dagegen nur 24 %. Dieser Anstieg katapultierte Locky in die Spitzenposition bei E-Mail-basierter Malware vor Dridex. CryptXXX tauchte im 2. Quartal auf und beherrschte schnell die EK-Landschaft. Insgesamt wuchs die Zahl neuer Ransomware-Varianten (meistens verbreitet durch EKs) seit dem 4. Quartal 2015 um das 5- bis 6-Fache.
- Stark personalisierte Kampagnen nehmen zu. Cyber-Kriminelle führten stark personalisierte Kampagnen mit mehreren Zehn- bis Hunderttausend Nachrichten durch. Das ist etwas anderes als die viel kleineren Kampagnen, die früher gezielt personalisierte Fallen nutzten.
- Angriffsversuche gegen geschäftliche E-Mails (Business Email Compromise, BEC) sind erstaunlich verbreitet. 80 % einer Repräsentativauswahl von Proofpoint-Kunden berichteten von mindestens einem BEC-Phishing-Angriff im letzten Monat. Die Angreifer änderten auch die Fallen und passten sie an saisonale Anlässe an, z.B. Steuererklärungen, und sie variierten ihre Vorgehensweise, um die Effektivität und den Umfang ihrer Angriffe zu erhöhen.
- Ein Idyll im Juni? Zwischen April und Mitte Juni ging der von Proofpoint beobachtete Exploit-Kit-Verkehr um 96 % zurück. Das Necurs-Botnet ging im Juni offline und ließ die massiven Locky-und Dridex-Kampagnen verstummen, die die erste Jahreshälfte 2016 beherrscht hatten. Der Traffic vom Angler EK war bis Anfang Juni völlig verschwunden, kurz nachdem das Nuclear EK seine Attacken eingestellt hatte. Damit blieb Ende Juni nur noch Neutrino als Top-EK übrig.
- Locky-Ransomware kehrt zurück. Etwa Ende Juni tauchten die ersten großen Locky-E-Mail-Kampagnen wieder auf, mit allen Anzeichen für eine Rückkehr des Necurs-Botnets. Es bleibt abzuwarten, ob sich im nächsten Quartal in der Exploit-Kit-Landschaft etwas Entsprechendes entwickeln wird.
