Cyber Threat Report: Gefahr durch Brand Impersonation und Ransomleaks wächst

Laut der Cyber Threat Report Edition 2021/2022 von Hornetsecurity Security Labs stellten 40 Prozent aller eingehenden E-Mails des gesamten E-Mail-Verkehrs im Untersuchungszeitraum eine potenzielle Bedrohung dar. Darunter fallen vor allem Spam, Phishing E-Mails sowie Advanced Threats, wie CEO-Fraud und jegliche Art von Schadsoftware. Das Security Lab klassifizierte 15,54 Prozent aller unerwünschten E-Mails als Spam, 4 Prozent als Threats und 1 Prozent als „fortschrittliche Bedrohungen“. Dazu zählen CEO-Fraud, Spear Phishing oder Angriffe mit neuartiger, teilweise noch unbekannter Malware. Um nicht von den Spam- und Virenfiltern ihrer Opfer entdeckt zu werden, verbergen Cyberkriminelle Malware auf verschiedene Art und Weise in ihren E-Mail-Attacken. In 2021 galten Archivdateien mit mehr als 33 Prozent als häufigstes Vorgehen, um Schadsoftware zu verbreiten.

Markenfake bei E-Mails nimmt zu

Beliebt ist vor allem die „Brand Impersonation“. Hierfür kopieren Cyberkriminelle das Corporate Design der imitierten Firma und benennen die Absenderadresse so, dass sie von der originalen E-Mail-Adresse kaum zu unterscheiden ist. Ziel ist es vor allem an die Zugangsdaten der Nutzer zu gelangen oder über versteckte Links Malware zu verbreiten. Amazon liegt in der Statistik der Experten vom Hornetsecurity Security Lab mit 17,7 Prozent auf Platz 1 der meist kopierten Unternehmen. Mit 16,5 Prozent ist die Deutsche Post / DHL unter den Top 5 der am häufigsten imitierten Marken, gefolgt von Docusign, Paypal und LinkedIn. Die Security-Experten ermitteln mit dem Threat Index auch die Angriffsrate für unterschiedliche Branchen. Im ersten Halbjahr 2021 waren vor allem die Fertigungsbranche, Forschungs- undEntwicklungseinrichtungen sowie Firmen des öffentlichen Transportwesens, wie beispielsweise Bus und Bahn, Fluglinien sowie Taxiunternehmen von Cyberattacken betroffen.

Hacker veröffentlichen Daten nach Ransomleaks 

Weit verbreitet sind inzwischen Ransomleaks, eine Erweiterung der bisher bekannten Ransomware-Angriffe. Bei Ransomleak-Angriffen kopieren die Angreifer zunächst sensible Daten der Betroffenen und verschlüsseln sie anschließend. Wird die Zahlung des Lösegelds für die Entschlüsselung allerdings abgelehnt, drohen die Cyberkriminellen, die kopierten Daten auf sogenannten Leak-Webseiten zu veröffentlichen. Auf der Leak-Website der Ransomware REvil wurden rund 140 Daten veröffentlicht, beinahe täglich kommen neue hinzu. Damit liegt die Hackergruppe jedoch „nur“ auf dem 5. Platz der Leak-Webseiten mit den meisten veröffentlichten Daten von Ransomleak-Opfern. Im Januar 2022 soll laut russischem Inlandsgeheimdienst FSB die Infrastruktur der Hacker-Gruppe REvil aufgelöst wurde sein.