Monthly Threat Report October 2024

E-Mail-Bedrohungen steigen zum Jahresende rasant an

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert Ihnen jeden Monat wertvolle Einblicke in Sicherheits-Trends bei M365, E-Mail-Bedrohungen und Kommentare zu aktuellen Entwicklungen im Bereich Cybersicherheit. In dieser Ausgabe konzentrieren wir uns auf die wichtigsten Branchenthemen aus September und pr?sentieren Ihnen aussagekr?ftige Datenpunkte aus unseren Services für das dritte Quartal 2024.

You can find the English version here

Zur Erinnerung: Vor einigen Monaten haben wir die Diskussion der hier genannten Datenpunkte von einem monatlichen auf einen viertelj?hrlichen Rhythmus umgestellt. Diese Entscheidung haben wir getroffen, um die Ver?nderungen der Angriffstrends klarer darzustellen, anstatt uns auf die kleineren Schwankungen zu konzentrieren, die wir zuvor monatlich beobachtet hatten. Gr??ere Vorf?lle, die eine eigene Betrachtung verdienen, werden weiterhin gesondert behandelt.

?

Zusammenfassung

• Im dritten Quartal stieg der Anteil an Bedrohungen, die per E-Mail zugestellt wurden, im Vergleich zum zweiten Quartal deutlich an.
• In den Monaten Juli, August und September gab es einen leichten Anstieg bei den einfachen E-Mail-Angriffen.
• W?hrend des Berichtszeitraums waren PDFs, Archivdateien und HTML-Dateien die beliebtesten schadhaften E-Mail-Anh?nge.
• Die am meisten gef?hrdeten Branchen im Berichtszeitraum umfassten Bergbau, Unterhaltung und Fertigung.
• Fast alle Branchen verzeichneten im dritten Quartal einen Anstieg des Bedrohungsindexes.
• DHL und DocuSign waren die beiden meistimitierten Marken im dritten Quartal.
• Zudem beobachteten wir einen markanten Anstieg bei Markenimitationen von American Express, wahrscheinlich bedingt durch die Sommerreisezeit.
• Microsoft hielt kürzlich einen Windows Security Summit ab, um die Auswirkungen des Crowdstrike-Vorfalls zu er?rtern, und beginnt nun, langfristige Strategien zu entwickeln, um ?hnliche Vorf?lle in Zukunft zu verhindern.
• Eine hochriskante CUPS-Sicherheitsanf?lligkeit, die Remote-Code-Ausführung erm?glicht, l?sst Administratoren ihre Linux-Systeme besonders sorgf?ltig überprüfen.

Unerwünschte E-Mails nach Kategorie

Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorien im Vergleich Q2 (April – Juni) zu Q3 (Juli bis September).

Unsere Daten zeigen, dass im dritten Quartal mehr E-Mail-Bedrohungen gegen Unternehmen gerichtet wurden als im zweiten Quartal. Dies ist ein relativ konstanter Trend, der sich von Jahr zu Jahr wiederholt, da es üblich ist, dass die Anzahl der Bedrohungen in den Sommermonaten abnimmt. Cyberkriminelle sind sich bewusst, dass in dieser Zeit weniger Mitarbeiter im Büro sind, weshalb ein Rückgang des E-Mail-Verkehrs im zweiten Quartal normal ist. Dieser Trend setzt sich oft bis ins dritte Quartal fort, da auch Juli und August stark von Reisen gepr?gt sind. Wir vermuten, dass die Anzahl der bedrohlichen E-Mails in der verbleibenden Jahreszeit wieder ansteigen wird.

Besonders erw?hnenswert ist, dass wir im dritten Quartal einen Anstieg der abgelehnten E-Mail-Bedrohungen festgestellt haben. Diese Bedrohungen sind in der Regel simple Angriffe, die eine breite Zielgruppe ansprechen, im Gegensatz zu gezielten Spear-Phishing-Angriffen. Dennoch bleibt das Bedrohungsniveau im Bereich E-Mail-Sicherheit insgesamt hoch.

Zur Erinnerung: Die Kategorie "Abgelehnt" bezieht sich auf E-Mails, die von den Hornetsecurity-Diensten w?hrend des SMTP-Dialogs aufgrund ?u?erer Merkmale, wie der Identit?t des Absenders oder der IP-Adresse, abgelehnt wurden. Wenn ein Absender bereits als kompromittiert erkannt wurde, erfolgt keine weitere Analyse. Der SMTP-Server blockiert die Verbindung bereits beim ersten Verbindungspunkt aufgrund der negativen Reputation der IP und der Identit?t des Absenders.

Die anderen Kategorien in der Abbildung werden in der folgenden Tabelle beschrieben:

Spam: Diese E-Mails sind unerwünscht und haben h?ufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine gro?e Anzahl von Empf?ngern verschickt.

Content: Diese E-Mails haben einen ungültigen Anhang. Welche Anh?nge ungültig sind, legen die Administratoren im Modul Content Control fest.

Threat: Diese E-Mails enthalten gef?hrliche Inhalte, wie b?sartige Anh?nge oder Links oder werden zur Begehung von Straftaten, wie Phishing verschickt.

AdvThreat: Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden k?nnen.

Rejected: Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identit?t des Absenders betreffen k?nnen, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert.

Clean: Diese E-Mails waren frei von Bedrohungen und wurden zugestellt.

Bei Angriffen verwendete Dateitypen

Die folgende Tabelle zeigt die Verteilung der bei Angriffen verwendeten Dateitypen.

B?sartige PDFs, Archivdateien und HTML-Dateien bleiben die beliebtesten Formate unter Cyberkriminellen für die Zustellung sch?dlicher Payloads. Dieser Trend ist seit einiger Zeit konstant, und wir beobachten ihn bereits seit dem letzten Jahr. Besonders bemerkenswert ist der Anstieg der b?sartigen Microsoft Word- und Excel-Dokumente. Obwohl Microsoft bereits seit einiger Zeit Office-Makros standardm??ig deaktiviert hat, haben Bedrohungsakteure effektive Methoden gefunden, um diese Einschr?nkungen zu umgehen, z:B. indem sie die Nutzer auffordern, die Makros wieder zu aktivieren.

Branchen Email Threat Index

Die folgende Tabelle zeigt unseren Branchen-E-Mail-Bedrohungsindex, der auf der Anzahl der schadhaften E-Mails im Vergleich zu den gültigen E-Mails der einzelnen Branchen (im Durchschnitt) basiert. Da Organisationen unterschiedliche absolute E-Mail-Zahlen erhalten, berechnen wir den prozentualen Anteil der schadhaften E-Mails im Verh?ltnis zu den gültigen E-Mails einer jeden Organisation, um eine Vergleichbarkeit herzustellen. Anschlie?end ermitteln wir den Median dieser Prozents?tze für alle Organisationen innerhalb derselben Branche und erhalten so den endgültigen Bedrohungs-Score für die Branche.

Im dritten Quartal waren die Branchen Bergbau, Unterhaltung und Fertigung die am h?ufigsten angegriffenen Sektoren, was einen Trend fortsetzt, den wir bereits seit einiger Zeit beobachten. Die angegriffenen Unternehmen sind in der Regel gro? genug, um über ausreichende Ressourcen zur Zahlung von L?segeldern zu verfügen, und geh?ren oft nicht zu stark regulierten Sektoren, was bedeutet, dass sie weniger Sicherheitsinfrastruktur zum Schutz gegen Cyberkriminellen haben. Daher ist es nicht ungew?hnlich, sie an der Spitze dieser Liste zu sehen.

Ebenfalls bemerkenswert ist, dass wir für diesen spezifischen Punkt einen Anstieg des Bedrohungsindexes in nahezu allen Branchen festgestellt haben. Dies steht im Einklang mit unseren oben dargestellten Daten, die zeigen, dass die Anzahl der cleanen E-Mails im Vergleich zu den b?sartigen E-Mails im Berichtszeitraum zurückgegangen ist.

Imitierte Firmenmarken oder Organisationen

Die folgende Tabelle zeigt, welche Firmenmarken unsere Systeme am h?ufigsten bei Impersonations-Angriffen entdeckt haben.

DHL und DocuSign sind im dritten Quartal die beiden am h?ufigsten gef?lschten Marken. Darüber hinaus haben wir einen deutlichen Anstieg bei den Markenimitationen von American Express festgestellt, was auf eine gezielte Kampagne von Cyberkriminellen hinweist, die speziell diese Marke ins Visier genommen haben. DHL geh?rt zu den gr??ten Versandmarken weltweit, weshalb es nicht ungew?hnlich ist, dass sie an der Spitze dieser Liste steht.

Bei den st?rker finanzorientierten Marken beobachten wir über das Jahr hinweg Schwankungen. Der Anstieg bei American Express l?sst sich wahrscheinlich darauf zurückführen, dass die Sommerreisezeit gerade vorbei ist, in der die Marke voraussichtlich h?ufiger genutzt wurde als in anderen Monaten. Cyberkriminelle sind sich dessen bewusst und passen wie gewohnt ihre Taktiken, Techniken und Verfahren (TTPs) entsprechend an.

Hervorzuhebende Vorf?lle und branchenrelevante Events

• Microsoft nimmt ?nderungen aufgrund des Crowdstrike-Vorfalls vor

Der Crowdstrike-Vorfall aus diesem Sommer ist sowohl bei IT-Profis als auch bei Reisenden noch immer pr?sent. In unserer August 2024-Ausgabe des Monthly Threat Reports haben wir das Thema ausführlicher behandelt, falls Sie mehr über den Vorfall erfahren m?chten. Eine der zentralen Kritiken an diesem Vorfall ist, dass der Einfluss des Problems nicht so weitreichend gewesen w?re, h?tte Crowdstrike nicht das Niveau an Zugriff auf den Kernelmodus in Windows gehabt, das ihnen gew?hrt wurde. Dies wirft die Frage auf: ?Wie viel Zugriff sollte ein Drittanbieter im Kernelmodus haben?“

Es scheint, dass Microsoft sich tats?chlich mit dieser Frage auseinandersetzt, und glücklicherweise nicht im luftleeren Raum. Tats?chlich hat Microsoft kürzlich einen Windows Security Summit mit wichtigen Mitgliedern der Community und Anbietern von Sicherheitssoftware abgehalten. Neben Diskussionen über das Sicherheitssystem war eines der zentralen Themen die oben genannte Frage, die sich um den Zugriff auf den Kernel dreht.

Als Ergebnis des Summits hat Microsoft angekündigt, dass sie daran arbeiten, F?higkeiten au?erhalb des Kernelmodus zu entwickeln, die Sicherheitsanbietern den tiefen Zugriff erm?glichen, der erforderlich ist, um ihre Kernfunktionen auszuführen. In Anlehnung an den offiziellen Blogbeitrag von Microsoft, der dem Treffen folgte:

Darüber hinaus befasste sich unser Dialog beim Summit mit langfristigen Schritten zur St?rkung von Resilienz und Sicherheitszielen. In diesem Zusammenhang er?rterten wir neue Plattformf?higkeiten, die Microsoft in Windows verfügbar machen will, und bauten dabei auf den Sicherheitsinvestitionen auf, die wir in Windows 11 get?tigt haben. Die verbesserte Sicherheitsarchitektur und die Sicherheitsvorgaben von Windows 11 erm?glichen es der Plattform, mehr Sicherheitsfunktionen für L?sungsanbieter au?erhalb des Kernelmodus bereitzustellen. Sowohl unsere Kunden als auch unsere Partner aus dem ?kosystem haben Microsoft aufgefordert, zus?tzliche Sicherheitsfunktionen au?erhalb des Kernelmodus bereitzustellen, die zusammen mit SDP verwendet werden k?nnen, um hochverfügbare Sicherheitsl?sungen zu schaffen. W?hrend des Gipfels diskutierten Microsoft und die Partner die Anforderungen und Herausforderungen bei der Schaffung einer neuen Plattform, die den Bedürfnissen der Sicherheitsanbieter gerecht werden kann.

Welche Art von Zugriff dies für Sicherheitsanbieter bedeutet, wird sich noch zeigen. Wir werden diese Situation in den kommenden Wochen und Monaten weiterhin beobachten.

• Neue NIST-Richtlinien für Passw?rter

NIST hat seine Richtlinien für Passw?rter für Identit?tsanbieter und die allgemeine Nutzung aktualisiert. Eine Zusammenfassung der ?nderungen lautet wie folgt:??

• Neue Mindestanforderung an die Passwortl?nge: 8 Zeichen als ABSOLUTES Minimum, empfohlen werden jedoch 15 Zeichen oder mehr.
• NIST empfiehlt, die Regeln zur Passwortzusammensetzung zu streichen. Beispiel: Die Anforderung, dass ein Passwort eine Zahl und ein Sonderzeichen enthalten muss.
• Eine ?nderung von ?Empfehlung“ zu ?darf nicht“ erfordert regelm??ige Passwortwechsel, ES SEI DENN, es liegen Hinweise auf einen Sicherheitsvorfall vor.
• Die Verwendung von ASCII- und Unicode-Zeichen in Passw?rtern ist erlaubt.?

Dies ist bei weitem keine umfassende Liste. Das vollst?ndige Dokument ist unter dem Namen NIST-800-63b zu finden.

Darüber hinaus haben wir dieses Thema ausführlich in einer Episode des Podcasts The Security Swarm besprochen.

• CUPS-Sicherheitsanf?lligkeit für Remote-Code-Ausführung

Eine weitere gro?e Sicherheitsnachricht, die in den letzten Monaten Schlagzeilen gemacht hat, ist die Entdeckung einer schwerwiegenden Schwachstelle im Linux-Drucksystem CUPS. CUPS steht für Common UNIX Printing System und ist in der Regel nicht im laufenden Zustand auf den meisten Linux-Systemen aktiv. Sollte der Dienst jedoch laufen, h?rt er auf UDP-Port 631 und erm?glicht Verbindungen von jedem Ger?t im Netzwerk, um einen neuen Drucker einzurichten.

Dieser Zustand k?nnte potenziell eine Remote-Code-Ausführung über mehrere nachverfolgbare CVEs erm?glichen, die im Folgenden aufgeführt sind:

• CVE-2024-47076
• CVE-2024-47175
• CVE-2024-47176
• CVE-2024-47177

Zu den effektiven Schutzma?nahmen geh?rt das Deaktivieren des laufenden Dienstes oder das Blockieren und/oder strenge Kontrollieren des Zugriffs auf UDP-Port 631.

Prognosen für die kommenden Monate

• ?E-Mail-Bedrohungen werden voraussichtlich den ansteigenden Trend bis zum Ende des Jahres fortsetzen, bedingt durch die bevorstehende Weihnachts-Shopping-Saison.
• Aufgrund der Art der Bedrohungserkennung k?nnten wir zus?tzliche Sicherheitsanf?lligkeiten in weit verbreiteten und beliebten Open-Source-Systemen sowie -Bibliotheken erwarten.

Monatliche Empfehlungen vom Security Lab

• ?Bereiten Sie Ihre Endnutzer auf die bevorstehenden Anstiege bei E-Mail-Bedrohungen vor, indem Sie einen vertrauenswürdigen Anbieter für Security Awareness Trainings nutzen, um ihre F?higkeiten im Umgang mit potenziellen Bedrohungen zu st?rken.
• Wenn Sie Linux-Systeme nutzen, stellen Sie sicher, dass Sie diese auf Risiken im Zusammenhang mit den aktuellen CUPS-Sicherheitsanf?lligkeiten überprüfen, insbesondere den Zugang zu UDP-Port 631.

Entdecken Sie alle Ausgaben des Monthly Threat Reports unter Security Lab Insights.