Email Compromise
Bedrohliche Entwicklung der nigerianischen E-Mail-Angriffe auf Unternehmen
Unit 42 analysieren die Entwicklung von SilverTerrier
In den letzten fünf Jahren haben sich Business Email Compromise (BEC)-Programme als eine der profitabelsten und am weitesten verbreiteten cyberkriminellen Aktivitäten etabliert. Dieser rasante Anstieg hat nationale und internationale Strafverfolgungsbehörden in Alarmzustand versetzt. Im Jahr 2016 bezifferte das Internet Crime Complaint Center (IC3) in seinem Jahresbericht den geschätzten jährlichen Schaden durch BEC auf 360 Millionen US-Dollar. Seitdem stieg dieser deutlich an und zeigte auch zuletzt keine Anzeichen einer Verlangsamung. Laut dem kürzlich veröffentlichten Bericht von IC3 für das Jahr 2018, soll der jährliche Schaden inzwischen 1,29 Milliarden US-Dollar überstiegen haben.
Unit 42, das Security-Forschungsteam von Palo Alto Networks, hat die Entwicklung dieser Bedrohung – mit Schwerpunkt auf der nigerianischen Cyberkriminalität – aktiv verfolgt. Während BEC eine globale Bedrohung darstellt, gibt der Fokus von Unit 42 Einblicke in die Aktivitäten, die von Nigeria aus erfolgen, das als einer der fünf wichtigsten Hotspots für Cyberkriminalität gilt.
Im Jahr 2014 veröffentlichte Unit 42 seinen ersten Bericht „419 Evolution“, der einen der ersten Fälle dokumentierte, in denen cyberkriminelle aus Nigeria Malware zur finanziellen Bereicherung einsetzten. Zwei Jahre später veröffentlichte Unit 42 „The Next Evolution of Nigerian Cybercrime“. Darin beschrieben die Malware-Forscher das enorme Wachstum dieser Masche und wiesen den Kriminellen den Codenamen „SilverTerrier“ zu. Im Jahr 2017 beobachtete Unit 42, dass sich die Bedrohung auf Hunderte von Akteuren ausgedehnt hatte, was in „The Rise of Nigerian Business Email Compromise“ veröffentlicht wurde. Im vergangenen Jahr lag die Zahl der SilverTerrier-Angreifer bei über 400.
Zusammengenommen werden diesen Kriminellen heute über 51.000 Malware-Samples und 1,1 Millionen Angriffe in den letzten vier Jahren zugeordnet. Der aktuelle Blog von Unit 42 zu diesem Thema beschreibt die neuesten SilverTerrier-Malware-Trends und gibt einen Überblick zu den Maßnahmen, die von Strafverfolgungsbehörden und der Industrie zur Bekämpfung dieser Aktivität ergriffen wurden.
Insgesamt haben die nigerianischen Cyberakteure ihre Fähigkeit unter Beweis gestellt, ein beträchtliches Wachstum der Angriffe im Jahresvergleich zu erzielen. Im Jahr 2017 beobachteten die Forscher durchschnittlich 18.294 Angriffe pro Monat, was einem Anstieg von 23 Prozent gegenüber 2016 entspricht. Dieser Zeitraum beinhaltete auch einen neuen Rekord von 41.000 Angriffen im August 2017. Im Jahr 2018 stieg die Zahl der Angriffe auf durchschnittlich 28.227 pro Monat, wobei die Anstiege im März und April jeweils die bisherigen Rekorde übertrafen. Dieses Wachstum stellt eine alarmierende jährliche Zunahme von 54 Prozent dar und bedeutet, dass sowohl die Anzahl als auch das Tempo der Angriffe zunimmt. Darüber hinaus ist zu beachten, dass diese Zahlen nur Angriffe auf den Kundenstamm von Palo Alto Networks widerspiegeln. Es ist sehr wahrscheinlich, dass die tatsächliche Anzahl der globalen Angriffe diese Zahlen weit übersteigt.
Neben dem quantitativen Wachstum setzen die nigerianischen Cyberkriminellen ihre Angriffe quer durch alle Branchen fort. Die Daten von Unit 42 zeigen, dass die High-Tech-Industrie die meisten Angriffe erlitten hat, mit einer Zunahme im vergangenen Jahr von 46.000 auf 120.000. Der Großhandel folgt an zweiter Stelle und verzeichnete ab 2017 ein Wachstum von 400 Prozent. Das verarbeitende Gewerbe verzeichnete ebenfalls einen deutlichen Anstieg der Angriffe von 32.000 auf 57.000, gefolgt vom Bildungswesen und Dienstleistungsbereich, ebenfalls mit starkem Wachstum.
Die Analyse der Angriffsvektoren ergab ein einheitliches Ranking zwischen 2017 und 2018. E-Mail-Anwendungen standen ganz oben auf der Liste mit SMTP, POP3 und IMAP an erster, zweiter und vierter Stelle als häufigste Bereitstellungsanwendungen. Web-Browsing blieb die dritthäufigste Bereitstellungsanwendung und FTP folgte mit deutlichem Abstand an fünfter Stelle. Diese Zahlen liefern wertvolle Erkenntnisse für Netzwerkadministratoren und zeigen den Bedarf an E-Mail-basierten Erkennungsfunktionen auf, um sich angemessen gegen diese Bedrohung zu schützen.
Weiterführende Erkenntnisse zu den Cyberattacken der Gruppe SilverTerrier finden Sie hier .