Neue Domains stellen Cybersecurity auf die Probe
München, 28.06.2022 – Neue Domains schießen in Krisenzeiten wie Pilze aus dem Boden. Doch ist helpukraine.center eine seriöse Webseite oder maliziös? Die Infoblox Cyber Intelligence Unit (CIU), die regelmäßig Informationen über Bedrohungen erstellt, zusammenfasst und aufbereitet, hat Trends rund um Domain-Aktivitäten im Zusammenhang mit dem Krieg in der Ukraine seit Anfang dieses Jahres bis heute zusammengefasst. Die Analyse verdeutlicht, wie neu registrierte Domains als Reaktion auf die politische Lage sowohl für bösartige als auch für legitime Zwecke genutzt wurden. Unmittelbar nach dem Einmarsch Russlands in die Ukraine hat die CIU angefangen Analysen zu erstellen, um verdächtige Domains im Zusammenhang mit dem Krieg zu identifizieren und gleichzeitig zu verhindern, dass beispielsweise legitime Spendenaktionen verhindert werden. Die Ergebnisse der Analysen wurden dafür über GitHub für jedermann zugänglich gemacht.
Hunderte von Indikatoren dienten als Analysegrundlage für die Infoblox CIU und über tausend Domains wurden im Analysezeitraum auf GitHub hinzugefügt. Insgesamt zeigen die Infoblox-Daten, dass das Volumen der legitimen Domänen größer ist als das der bösartigen Websites. Im Detail handelt es sich bei 61 % der neuen Domains um legitime Websites, bei 23 % um verdächtige oder bösartige Inhalte, bei 11 % um geparkte Domains und bei 5 % um nicht verfügbare Websites. Abbildung 1 zeigt einen Vergleich zwischen legitimen, bösartigen (in diesem Fall Domains, die als verdächtig, Phishing, Malware oder Spam markiert wurden), geparkten und nicht verfügbaren Inhalten.
Der Anstieg der neu beobachteten Domains begann in der ersten Woche nach der Invasion (Anfang März – Woche 9 in Abbildung 1). Mehrere Wochen lang wurden viele legitime Websites erstellt, um den Menschen in der Ukraine zu helfen. Allerdings nutzten auch Cyber-Bedrohungsakteure und Betrüger die Situation, um ihre eigenen Websites zu erstellen. Das hat das Volumen der neu beobachteten Domains ebenfalls erhöht.
Ende März (Woche 13) begann die Zahl der Domains mit Bezug zur Ukraine zu sinken und die Zahl der neu beobachteten Domains begann sich zu stabilisieren, wie in Abbildung 2 dargestellt. Seit April (Woche 14) zeigt sich, dass die Zahl der neu beobachteten Domains (legitim sowie verdächtig/bösartig) im Durchschnitt weiterhin höher ist als vor der Invasion, wenn auch nur leicht.
Der tägliche Prozentsatz neuer bösartiger Domänen im Vergleich zur Gesamtzahl neuer Domains mit Bezug zur Ukraine schwankt während des Analysezeitraums. Wie in Abbildung 3 dargestellt, gibt es jedoch an bestimmten Tagen Spitzenwerte, wobei der höchste durchschnittliche Anteil bösartiger Websites Ende März/Anfang April auftritt. Der tägliche Medianwert der neuen bösartigen Domains im Vergleich zur Gesamtzahl beträgt 34 % (dargestellt durch die horizontale rote Linie im Diagramm).
Obwohl die Zahl der bösartigen Domänen tendenziell zurückgeht, sollten die Nutzer wachsam bleiben. Die Experten von Infoblox gehen aufgrund früherer Erfahrungen davon aus, dass Bedrohungsakteure weiterhin Einzelpersonen über E-Mails, Malvertising und andere Mittel ins Fadenkreuz nehmen werden, solange sie können. Zum Vergleich: Während Malware-Kampagnen im Zusammenhang mit Covid im Jahr 2020 ihren Höhepunkt erreichten, sehen wir sie zwei Jahre später teilweise immer noch.
- Bleiben Sie wachsam! Sensibilisieren Sie Ihre Mitarbeiter erneut, Spendenaufrufe von Organisationen, die sie nicht kennen, sorgfältig zu prüfen und nicht auf Links von unbekannten Quellen zu klicken.<\/li><\/ul>
- Die Zahl der Bedrohungen nimmt aktuell mehr denn je zu. Die Security-Experten aber sind in vielen Unternehmen Mangelware. Setzten Sie deshalb auf eine Threat-Intelligence-Lösung, die mithilfe von Automatisierung und externer Data Feeds bei der Selektion zwischen Gut und Böse unterstützt und die SecOps-Teams entlastet.<\/li><\/ul>
Die Infoblox Threat Intelligence Unit verfügt über langjährige Erfahrung in der Erstellung, Zusammenfassung und Aufbereitung von Informationen über Bedrohungen, um qualitativ hochwertige, zeitnahe und zuverlässige Informationen bereitstellen zu können. Die Bedrohungsinformationen von Infoblox filtern False Positives heraus und liefern Unternehmen die Informationen, die sie benötigen, um die neuesten Bedrohungen zu blockieren und eine einheitliche Sicherheitsrichtlinie für die gesamte Sicherheitsinfrastruktur ihres Unternehmens aufrechtzuerhalten.
Infoblox ist Marktführer für Next Generation DNS-Management und -Sicherheit. Mehr als 12.000 Kunden, darunter 70 % der Fortune 500, vertrauen auf Infoblox, um ihre hybriden Netzwerke zu skalieren, zu vereinfachen und zu sichern und so den modernen Herausforderungen einer Cloud-first-Welt zu begegnen. Erfahren Sie mehr unter https://www.infoblox.com
- Die Zahl der Bedrohungen nimmt aktuell mehr denn je zu. Die Security-Experten aber sind in vielen Unternehmen Mangelware. Setzten Sie deshalb auf eine Threat-Intelligence-Lösung, die mithilfe von Automatisierung und externer Data Feeds bei der Selektion zwischen Gut und Böse unterstützt und die SecOps-Teams entlastet.<\/li><\/ul>