Malware
Rückblick 2022: Mail der häufigste Angriffsvektor
Unser Jahresbericht zu den Mail-Bedrohungen 2022 zeigt einen Anstieg der gestoppten Bedrohungen auf 146 Milliarden, davon 55 % Mails. Dies zeigt, dass Mail immer noch der häufigste Angriffsvektor ist und entsprechend sorgfältig geschützt werden muss.
Save to Folio
Unser Forschungsteam veröffentlicht jedes Jahr Cloud App Security (CAS)-Daten in der Rückschau auf die Mail-Bedrohungslandschaft des vergangenen Jahres. 2022 haben wir mehr als 79 Milliarden Mails unserer Kunden gescannt (ein Anstieg von 14 % gegenüber 2021) und nach Malware untersucht. Davon wurden mehr als 39 Millionen als risikobehaftet eingestuft und für unsere Kunden blockiert. Insgesamt stoppte Trend Micro 2022 über 146 Milliarden Bedrohungen, und 55 % davon waren Mails. Unseren Ergebnissen zufolge ist E-Mail immer noch der häufigste Angriffsvektor.
Ein interessanter Aspekt der Analyse war die Verwendung von Anhängen mit bekannter versus unbekannter Malware. Bekannte Malware ist leicht zu erkennen, deshalb ging die Verwendung dieser Art von Anhängen um 32 % zurück. Bei unbekannter Malware handelt es sich um neu erstellte Schadprogramme, auch Zero-Hour genannt, die schwieriger zu erkennen und abzuwehren sind. Die Verwendung von Anhängen mit unbekannter Malware erhöhte sich um 46 %.
Trend Micro verfügt über eine Technologie, die eine Datei analysieren und feststellen kann, ob sie bösartig ist oder nicht, so dass wir auch diese blockieren konnten. Cloud App Security erkannte und blockierte 2022 4.263.650 Malware-Dateien, ein Anstieg von 29 % gegenüber 2021. Die Zahl der unbekannten Malware-Dateien stieg ebenfalls auf 3.757.812, ein Anstieg von 46 %.
Ein Trend, den wir bei allen Angriffen beobachten konnten: Die böswilligen Akteure schneiden ihren Angriff individuell auf das Ziel zu und entwickeln neue Komponenten, die zuvor noch nie gesehen wurden, und die Bedrohung wird wahrscheinlich auch nicht wieder verwendet werden. Das alte Sicherheitsparadigma, bei dem Lösungen mehrerer Anbieter schützen sollen, um sicherzustellen, dass eine davon die Bedrohung erkennen kann, ist nicht mehr adäquat. Unternehmen brauchen eine Lösung, die unbekannte Bedrohungen erkennt oder zumindest schnell feststellt, dass etwas nicht in Ordnung ist.
Auch die Zahl der Ransomware-Anhänge ging deutlich zurück, logischerweise, da die Ransomware-Komponente eines Angriffs heute meist die letzte Phase darstellt, weil sie so auffällig ist. Eine Ransomware-Infektion erkennt man daran, dass auf den betroffenen Computern ein Pop-up-Fenster mit einer Lösegeldforderung erscheint. Die Zahl dieser Anhänge ging 2022 gegenüber dem Vorjahr um 42 % zurück.
Business Email Compromise (BEC) ist eine Bedrohung, die vom FBI als größere Gefahr als Ransomware eingestuft wird. Verluste in Milliardenhöhe durch diese Bedrohung übersteigen bei weitem die Schäden, die durch Erpressersoftware entstehen. Unsere Daten zeigen auch, dass die Nutzung von BEC durch böswillige Akteure zunimmt. Die Zahl der entsprechenden Mails an Kunden ist im Vergleich zum Vorjahr um 35 % gestiegen. Das Besondere an solchen Mails ist, dass sie keine Links oder Anhänge enthalten, an denen man sie leicht erkennen könnte. Es handelt sich einfach um mit Social Engineering-Techniken manipulierte Nachrichten, die versuchen, einen Mitarbeiter dazu zu bringen, eine Überweisung auszuführen, was die betroffenen Mitarbeiter in der Regel täglich im Rahmen ihrer Arbeit tun. Die Erkennung des Betrugs kann also schwierig sein, ist aber nicht unmöglich:
Wir haben eine neue KI-basierte Technologie entwickelt, Writing Style DNA, die analysiert, wie Mitarbeiter in ihren Mails formulieren. Nach der Analyse von Hunderten von Mails konnten wir herausfinden, ob ein böswilliger Akteur eine betrügerische BEC-Mail erstellt hat, den Absender und den Empfänger über die verdächtige Mail informieren und ihnen die Möglichkeit geben, Maßnahmen zu ergreifen.
Ein weiterer Bereich, in dem wir viele unbekannte Bedrohungen beobachten, sind Phishing-Angriffe mit dem Ziel, Zugangsdaten zu stehlen. Obwohl die Zahl der unbekannten Phishing-Versuche nicht in gleichem Maße gestiegen ist, machen sie immer noch den größten Teil der gesamten Phishing-Angriffe aus.
Der Diebstahl von Zugangsdaten ist eine Taktik, die Angreifer immer häufiger anwenden. BEC-Attacken erfolgen heute zunehmend über Mail-Konten, die durch den Diebstahl von Zugangsdaten gekapert werden. Diese gefälschten Anmeldeanfragen werden weiterhin mit Hilfe bösartiger Links in Mails genutzt, um an die Office 365-Kontodaten des Opfers zu gelangen. Viele dieser gezielt ausgesuchten Opfer sind Führungskräfte sowie Mitarbeiter aus dem Finanz- und Personalwesen.
Über die von Trend Micro entwickelte Technologie Computer Vision, die Bildanalyse und Machine Learning (ML) kombiniert, lassen sich Branding-Elemente, Anmeldeformulare und anderen Website-Inhalte prüfen, um Phishing-Mails mit Zugangsdaten und in Mails eingebetteten URLs erkennen.
Standard-Phishing-Mails sind nach wie vor ein beliebter Angriffsvektor, der auf Mitarbeiter abzielt, um Zugang zu ihren Computern und dem Netzwerk zu erhalten. 2022 blockierten wir über 22 Millionen Phishing-Mails, ein Anstieg von 29 % gegenüber 2021.
Zudem lässt sich ein Rückgang der Verwendung von Covid-19 als Köder in Mails sowie die Verwendung von Mails, die auf Kryptowährungen und NFTs abzielen, beobachten.
Fazit
Unternehmen sollten ihre Messaging-Sicherheitslösungen überprüfen und sicherstellen, dass die Mails vollständig geschützt sind. Dabei geht es um Mails von außen nach innen, von innen nach außen sowie von intern nach intern gerichtet sind. Der Einsatz von fortschrittlichen Erkennungstechnologien wie Schreibstil-DNA und Computer Vision sollten Teil der Lösung sein, ebenso wie mehrschichtige Technologien, die alle bei der Analyse von Nachrichten zum Einsatz kommen.
Weitere Einzelheiten bietet der „Trend Micro Annual Cloud App Security Threat Report“.