Proofpoint: Mobile Phishing in den USA steigt um mehr als 300 Prozent
Dies geht aus der Analyse jüngster Daten von Proofpoints Systemen hervor, da rund 80 Prozent aller mobilen Nachrichten in den USA von Proofpoint verarbeitet werden. Dabei konnten 36 Prozent der Messages den Anbietern von Communication Platform as a Service (CPaaS) zugeordnet werden, was für eine starke automatisierte Nutzung dieser Plattformen spricht.
Unter den ersten zehn Markennamen, die die Cyberkriminellen dabei missbrauchten, sind sechs Banken, ein Online-Marktplatz, eine Versicherung, ein Telekommunikationsunternehmen sowie ein weltweit tätiger Elektronikkonzern.
Weitere Details, darunter auch, wie ein solche Phishing-Versuch abläuft, finden Sie im aktuellen Blogpost unseres Kunden Proofpoint.
Proofpoint ist ein eingetragenes Warenzeichen von Proofpoint, Inc. in den USA und / oder anderen Ländern. Alle anderen hier erwähnten Marken sind das Eigentum ihrer jeweiligen Inhaber.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
AxiCom GmbH
Telefon: +49 (89) 80090-815
E-Mail: Frank.Mihm-Gebauer@axicom.com
Neuer Proofpoint-Report: Gesundheitswesen gerät zunehmend unter Beschuss
Nicht erst seit der Corona-Pandemie ist das Gesundheitswesen ein lohnendes Ziel für Cyberkriminelle. Immer wieder kommt es hier zu aufsehenerregenden Angriffen. Doch gerade im Zuge der derzeit grassierenden zweiten Welle des Virus richtet sich das Augenmerk vieler wieder auf diesen Sektor – auch den Angreifern ist dies nicht verborgen geblieben. Entsprechend versuchen sie sich die Bedeutung dieses Wirtschaftszweigs in ihrem Sinn zunutze zu machen und Einrichtungen aus dem Gesundheitswesen gezielt anzugreifen.
Proofpoint hat daher die Gefährdungslage von Organisationen aus dem Gesundheitssektor genauer unter die Lupe genommen – speziell im Hinblick der sich verschärfenden Situation im Verlauf der letzten Monate. Auf Basis einer Datenanalyse zum Aufkommen und Inhalt von Cyberbedrohungen im vergangenen Jahr, unter besonderer Berücksichtigung des Zeitraums seit dem Beginn der Pandemie, zeigt der US-amerikanische Cybersecurity-Spezialist in seinem Report auf, wie sich die Gefährdungslage in diesem Bereich verschärft hat.
Die wichtigsten Erkenntnisse des Healthcare Threat Lanscape Report von Proofpoint in aller Kürze:
- Am bisherigen Höhepunkt der Pandemie im März 2020 erhielten Organisationen aus dem Gesundheitswesen etwa 16 Prozent mehr gefährliche E-Mails verglichen mit anderen Branchen.
- Bei 77 Prozent aller Cyberkampagnen in der ersten Jahreshälfte 2020 erhielt mindestens ein Unternehmen aus dem Gesundheitswesen eine gefährliche E-Mail.
- Bei 90 Prozent der von Proofpoint analysierten BEC-Angriffe (Business Email Compromise, auch Chef-Masche genannt) im Gesundheitswesen hatte die E-Mail eine leere Betreffzeile. Für Security-Teams und Nutzer ist dies ein wichtiger Hinweis, dass es sich hierbei um einen Angriffsversuch handelt.
Beispiele für Cyberbedrohungen im Gesundheitswesen:
- Pharma-Branche: Als die Pandemie auf ihren Höhepunkt zusteuerte, fokussierte sich die Hackergruppe TA505 (Threat Actor) speziell auf Pharmahersteller. Im Rahmen ihrer Kampagne adressierten 78 Prozent der mehr als 250.000 bösartigen E-Mails pharmazeutische und Bio-Tech-Unternehmen.
- Krankenhäuser: Proofpoint identifizierte eine Cyberkampagne, die mittels einer kompromittierten Drittanbieter-Lösung zur Zahlungsabwicklung gezielt Geschenkartikelläden in Krankenhäusern ins Visier nahm. Da diese Läden oft an die IT-Systeme der Kliniken angebunden sind, stellt dies ein erhebliches Risiko für die Sicherheit der Einrichtungen dar. Im konkreten Fall wurde die Webseite des Zahlungsabwicklungssystems durch MageCart kompromittiert. Die legitimen E-Mails des Anbieters, dessen Webseite durch die Cyberkriminellen so präpariert wurde, dass sie Kreditkartendaten abgreifen konnten, wurden an über 200 Organisationen versandt. Davon stammten 74 Prozent aus dem Gesundheitswesen.
- Fake-Versicherungsportal: Eine unbekannte Gruppe von Cyberkriminellen klonte das Online-Portal einer Versicherung und versendete E-Mails als Köder, um Kunden der Versicherung auf das gefälschte Portal zu locken und Zugangsdaten zu erbeuten.
Den kompletten Report von Proofpoint können Sie hier herunterladen.
Sherrod DeGrippo, Senior Director of Threat Research and Protection bei Proofpoint, steht Ihnen gerne für ein Interview (in englischer Sprache) zu diesem Thema zur Verfügung. Geben Sie uns bitte Bescheid, sollten Sie hieran Interesse haben.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Proofpoint präsentiert eine neue Compliance- und Archivierungslösung für Microsoft Teams
Angesichts der Tatsache, dass die Mehrheit oder zumindest eine große Anzahl von Mitarbeitern plötzlich von zu Hause aus arbeitet, gilt es für die Unternehmen – stärker denn je – dafür Sorge zu tragen, dass ihre Angestellten miteinander kommunizieren können. Gleichzeitig muss jedoch auch die Einhaltung der Compliance-Vorschriften bei der digitalen Kommunikation sichergestellt werden. Unternehmen stehen folglich vor der Aufgabe, die Kommunikation ihrer Mitarbeiter zu erfassen, aufzubewahren und zu überprüfen, um die von den Regulierungsbehörden vorgegebenen Regeln einzuhalten. Für Unternehmen ist es zudem von entscheidender Bedeutung, dass sie auch für juristische Auseinandersetzungen gewappnet sind, insbesondere wenn es sich um eine erstmalige Fallbewertung oder eine Vorermittlung handelt. Aus diesem Grund arbeitet Proofpoint in der Produktentwicklung sehr eng mit Anbietern von Produktivitäts- und Collaboration-Lösungen zusammen.
„Die Unterstützung von Microsoft Teams ist für regulierte Branchen von entscheidender Bedeutung. Vor allem, da sie das produktive Arbeiten ihrer Mitarbeiter mit der Notwendigkeit in Einklang bringen müssen, Kommunikationsinhalte aus regulatorischen Gründen auch im Zeitalter des Homeoffice zu erfassen und zu überwachen“, sagt Darren Lee, Executive Vice President und General Manager of Compliance and Digital Risk bei Proofpoint. „Millionen von Benutzern verlassen sich auf digitale Collaboration-Plattformen wie Microsoft Teams, um erfolgreich von Zuhause aus arbeiten zu können. Proofpoint Content Capture macht es Unternehmen leicht, die Einhaltung von Richtlinien sicherzustellen, wenn die Mitarbeiter diese Tools nutzen. Und da sich die Kommunikationsgewohnheiten immer weiterentwickeln, werden wir auch weiterhin an Innovationen arbeiten, um auf die sich verändernden Anforderungen unserer Kunden einzugehen".
„In der derzeit weitverteilten Arbeitsumgebung ermöglicht es Microsoft Teams den Mitarbeitern, miteinander in Verbindung und produktiv zu bleiben“, so Mike Ammerlaan, Director, Microsoft 365 Ecosystem bei Microsoft Corp. „Die Integration mit Proofpoint stellt sicher, dass regulierte Unternehmen in der Lage sind, Vorschriften einzuhalten und ihren Mitarbeiter zu ermöglichen, auch in dieser neuen Arbeitswelt ihrer Tätigkeit nachzugehen.“
Proofpoint bietet folgende Vorteile Content Capture für Microsoft Teams:
- Erfassen von Nachrichten und Inhalten im nativen Format, einschließlich Texten, Bildern und anderem
- Der ursprüngliche Kontext von Nachrichten und Inhalten zum Zeitpunkt der Erfassung und der Übermittlung bleibt erhalten
- Änderungen und Löschungen von erfassten Inhalten können aufgezeichnet werden
- Gewährleistung einer absoluten Genauigkeit des Erfassten bei der Speicherung
Die Capture-Plattform von Proofpoint, auf der Content Capture für Teams gehostet wird, ermöglicht es Unternehmen, eine Vielzahl der beliebtesten digitalen Kommunikationskanäle zu erfassen, zu verwalten und zu überwachen. Mit Proofpoint können Organisationen Vorschriften wie die der FCA, FINRA, IIROC, SEC und anderen einhalten. Proofpoint Capture lässt sich auch nahtlos in das breitere Compliance-Portfolio von Proofpoint integrieren, darunter das preisgekrönte Enterprise Archive, Intelligent Supervision und eDiscovery Analytics.
Weitere Informationen über das umfassende Produktportfolio von Proofpoint – angefangen mit der Erfassung bis hin zur Aufbewahrung und Überwachung – finden Sie unter: https://www.proofpoint.com/us/products/archiving-and-compliance/content-capture
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Mehr zu Proofpoint unter: Twitter | LinkedIn | Facebook | YouTube
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Emotet ist zurück
Vor allem im letzten Jahr, beherrschte Emotet weltweit die Schlagzeilen, wenn es um Cybersicherheit ging. Doch in den letzten Monaten wurde es ruhig um die Malware. Und fast sah es so aus, als wäre die akute Bedrohung, die von Emotet ausgeht, bereits gebannt, aber nun kehrt die Schadsoftware mit voller Wucht zurück. Cyberkriminelle der Gruppe TA542 versendeten im Rahmen einer Kampagne bis vergangenen Freitag bereits über 250.000 E-Mails, die Emotet als Payload nutzen. Die Angriffe, die mittels englischsprachiger Köder durchgeführt werden, gelten verschiedenen Industriezweigen in den USA und Großbritannien. Versendet werden die Nachrichten mit präparierten Word-Dateianhängen bzw. beinhalten URLs, die auf solche präparierten Word-Dokumente verweisen (siehe Abbildungen im Folgenden).
Bekannt als vielseitig einsetzbare und aggressive Bedrohung, verfügten frühe Versionen von Emotet lange Zeit über ein Banking-Modul, mit dessen Hilfe Cyberkriminelle betrügerische Überweisungen tätigen konnten. Daher wurde die Malware auch jahrelang Banking-Trojaner klassifiziert. Spätere Versionen von Emotet jedoch, luden nicht mehr das eigene Banking-Modul, sondern stattdessen Banking-Malware von Drittanbietern. In jüngerer Zeit beobachtete Proofpoint Emotet-Payloads von Drittanbietern wie Qbot, The Trick, IcedID und Gootkit. Darüber hinaus lädt Emotet zudem seine Module für Spamming, Diebstahl von Zugangsdaten, E-Mail-Harvesting und zur Verbreitung in lokalen Netzwerken.
Sherrod DeGrippo, Senior Director, Threat Research and Detection bei Proofpoint erläutert die aktuelle Kampagne: „Sicherheitsforscher von Proofpoint waren jetzt in der Lage, die Rückkehr der Malware Emotet belegen. Diese wird via E-Mail verbreitet. Emotet, eine vielseitige und weitgehend zerstörerische Bedrohung. Sie wurde zuvor zuletzt am 7. Februar dieses Jahres in einer E-Mail-Kampagne genutzt. Die damit in Verbindung stehende Gruppe, TA542, nutzt seine Infrastruktur häufig zu Testzwecken, um den Erfolg und den Umfang von Kampagnen zu überprüfen. Dennoch scheint die aktuell groß angelegte Kampagne kein Test zu sein – aber das ist auch nicht neu. Die Gruppe war 161 Tage lang abgetaucht und kam jetzt im Grunde zurück, als sei nichts gewesen. Die verwendeten Köder sind auch nicht neu oder ungewöhnlich. Ferner nutzen sie keine aktuellen Ereignisse wie COVID-19 oder andere Themen rund um die Pandemie. Zudem nutzen sie dasselbe Botnetz.“
Weitere Details zur Kampagne finden Sie im aktuellen Blogbeitrag von Proofpoint.
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Mehr zu Proofpoint unter: Twitter | LinkedIn | Facebook | YouTube
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
Cyberangriff auf deutsche Hersteller
Als Türöffner fungiert die Schadsoftware GuLoader, die dann im Verlauf der Infektion die Ransomware Hakbit herunterlädt, installiert und damit den Rechner des Opfers verschlüsselt. Die Angreifer weisen in ihren E-Mails darauf hin, dass der Empfänger die Nachricht auf einem PC öffnen soll, weil ein mobiles Gerät wie ein Smartphone die Datei nicht richtig darstellen könne. Dies soll den Erfolg ihrer Attacke sicherstellen, da Microsoft Office-VBA-Makros nicht auf mobilen Geräten ausgeführt werden.
Als Sendeadresse nutzen die Kriminellen eine GMX-Adresse. Nachdem GMX zur 1&1-Gruppe gehört, erhöht dies zunächst auch die Glaubwürdigkeit der eingehenden E-Mail. Die Empfänger sind in vielen Fällen in mittleren Positionen von Unternehmen tätig. Die Hakbit-Kampagne wurde an Firmen folgender Branchen versendet: Pharmazie, Recht, Finanzen, Geschäftsdienstleistungen, Einzelhandel und Gesundheitswesen. Der größte Anteil der beobachteten Hakbit-Nachrichten ging jedoch an Unternehmen aus den Branchen Informationstechnologie, Fertigung, Versicherung und Technologie.
Die Proofpoint-Sicherheitsexperten haben zudem festgestellt, dass die Mehrzahl, der in den Hakbit-Kampagnen anvisierten Positionen in irgendeiner Weise Kundenkontakt haben. Die Angreifer haben dafür öffentlich verfügbare Informationen über die Empfänger recherchiert, beispielsweise über Websites der Unternehmen sowie Anzeigen. Zum Empfängerkreis gehören Rechtsanwälte, Kundenberater, Direktoren, Versicherungsberater, Geschäftsführer und Projektmanager. Auch dies ist ein Faktor, der die Glaubwürdigkeit der E-Mails verstärkt. Gleichzeitig wird damit auch deutlich, wie gezielt Angreifer heutzutage vorgehen, um ihren potenziellen Erfolg zu maximieren.
„Bei der aktuellen Kampagne mit der Ransomware Hakbit nehmen Kriminelle Unternehmen aus Deutschland, Österreich und der Schweiz ins Visier. Sie setzen dabei auf Mails und Dokumente in deutscher Sprache,“ erklärt Michael Heuer, Vice President DACH von Proofpoint. „Bemerkenswert ist, dass es in dieser Kampagne überhaupt keinen Bezug zur aktuellen COVID-19-Pandemie gibt. Dies sollte für alle Anwender eine Warnung sein. Denn auch abseits der COVID-19 bedingten Unsicherheit, haben es Cyberkriminelle nach wie vor mit Ransomware- und anderen Cyberangriffen auf Unternehmen und private Anwender abgesehen. Während jeder bei E-Mails, deren Inhalt einen Bezug zu COVID-19 aufweist, mittlerweile Vorsicht walten lässt, sollte man sich klar machen, dass das selbstverständlich auch für alle anderen E-Mails gelten muss.“
Im Folgenden finden sich Beispiele für Köder und den Infektionsverlauf bei der Hakbit-Kampange, in der viele Nachrichten mit Betreffzeilen wie „Fwd: Steuerrückzahlung“ und „Ihre Rechnung" versandt wurden.
Dieser Köder ist auf Deutsch verfasst und missbraucht das Logo und Branding von 1&1. Die Nachricht enthält einen Microsoft Excel-Anhang namens 379710.xlsm, der bösartige Makros nutzt. Da die Makros und die Malware auf einem mobilen Gerät nicht funktionieren, wird in der Nachricht der Empfänger angewiesen, einen Computer zu verwenden, um den Anhang lesen zu können. Nach dem Öffnen des Excel-Arbeitsblatts wird der Empfänger in Deutsch und Englisch angewiesen, die Makros zu aktivieren (Abbildung 2).
Sobald die Makros aktiviert sind, lädt die Datei die Schadsoftware GuLoader herunter und führt sie aus. Dabei handelt es sich um einen relativ neuen, in VB 6.0 geschriebenen Downloader. Wenn GuLoader ausgeführt wird, lädt er die Ransomware Hakbit nach und führt sie ebenfalls aus. In der Folge werden die Dateien auf dem Rechner auf Basis von AES-256 verschlüsselt.
Die Kriminellen verlangen in ihrer Lösegeldforderung die Zahlung von 250 Euro in Bitcoin, um die verschlüsselten Dateien wieder freizugeben. Die Text-Datei enthält hierzu Anweisungen, wie das Lösegeld zu zahlen ist.
Hakbit ist ein Beispiel einer besonders gut gemachten Cyberkampagne, die auf den Menschen abzielt, anstatt technische Schwachstellen auszunutzen. Sie belegt, wie zielgerichtet Cyberkriminelle ein bestimmtes Publikum, also bestimmte Personen und Positionen im Unternehmen in bestimmten Branchen, in deren Muttersprache angreifen. Je individueller und spezifischer die für die Angriffe verwendeten E-Mails gestaltet und geschrieben werden, desto höher ist ihre Glaubwürdigkeit und somit die damit verbundene Gefahr, dass Anwender dem Köder auf den Leim gehen. Es gilt daher auch bei E-Mails ohne einen Bezug zu COVID-19 stets die Augen offen zu halten und größte Vorsicht walten zu lassen.
Proofpoint, Inc. (NASDAQ: PFPT) ist ein führendes Cybersicherheitsunternehmen. Im Fokus steht für Proofpoint dabei der Schutz der Mitarbeiter. Denn diese bedeuten für ein Unternehmen zugleich das größte Kapital aber auch das größte Risiko. Mit einer integrierten Suite von Cloud-basierten Cybersecurity-Lösungen unterstützt Proofpoint Unternehmen auf der ganzen Welt dabei, gezielte Bedrohungen zu stoppen, ihre Daten zu schützen und IT-Anwender in Unternehmen für Risiken von Cyberangriffen zu sensibilisieren. Führende Unternehmen aller Größen, darunter mehr als die Hälfte der Fortune-1000-Unternehmen, verlassen sich auf Proofpoints Sicherheits- und Compliance-Lösungen, bei denen der Mensch im Mittelpunkt steht, um ihre wichtigsten Risiken bei der Nutzung von E-Mails, der Cloud, Social Media und dem Internet zu minimieren.
Weitere Informationen finden Sie unter www.proofpoint.com/de.
Proofpoint
Zeppelinstr. 73
80333 München
Telefon: +49 (871) 78064258
http://www.proofpoint.com/de
iCom GmbH
Telefon: +49 (89) 80090-819
Fax: +49 (89) 80090-810
E-Mail: matthias.uhl@axicom.com
