Symantec (Nasdaq: SYMC) hat den neuen MessageLabs Intelligence Report für März 2010 vorgelegt. Die aktuellen Analysen zur weltweiten Online-Sicherheit förderten einige bemerkenswerte Erkenntnisse zur Herkunft gezielter Attacken zutage. Dabei handelt es sich um E-Mails, die mit Schadprogrammen belastet sind und von Online-Kriminellen in kleinen Stückzahlen verbreitet werden, um sich Zugriff auf vertrauliche Geschäftsdaten zu verschaffen. Legt man den jeweiligen Server-Standort zugrunde, hatte mit einem Anteil von 36,6 Prozent das größte Aufkommen solcher gezielten Angriffe seinen Ursprung in den Vereinigten Staaten. Ein anderes Bild ergab hingegen die Auswertung derartiger Attacken nach der geografischen Herkunft der Absender. Demnach war China mit 28,2 Prozent das wichtigste Ausgangsland, gefolgt von Rumänien mit 21,1 Prozent und den USA mit 13,8 Prozent.
"Betrachtet man weniger den reinen Standort des E-Mail-Servers, sondern vielmehr die tatsächliche Herkunft des Absenders, werden in der Realität wesentlich weniger E-Mails für gezielte Angriffe aus Nordamerika verschickt, als es auf den ersten Blick den Anschein haben mag", kommentiert Paul Wood, MessageLabs Intelligence Senior Analyst bei Symantec Hosted Services, und ergänzt: "Ein großer Teil der gezielten Attacken wird heute über rechtmäßige Webmail-Accounts bei Anbietern verbreitet, die in den Vereinigten Staaten ansässig sind. Vor diesem Hintergrund ergeben sich aus der IP-Adresse des für den Versand verwendeten Mail-Servers kaum aussagekräftige Rückschlüsse darüber, wo ein solcher Angriff tatsächlich seinen Ursprung genommen hat. Der wahre Ausgangsort offenbart sich also vielmehr erst, wenn man die IP-Adressen der Absender und nicht jene der E-Mail-Server unter die Lupe nimmt."
Eine weiterführende Analyse der gezielten Attacken im Hinblick auf die Adressaten und deren Position im jeweiligen Unternehmen ergab, dass folgende fünf Personenkreise am häufigsten derartige E-Mails erhalten: Firmenchefs, Vorstandsvorsitzende, deren Stellvertreter, höhere Beamte, Manager und Geschäftsführer. Die meisten derartigen Malware-Angriffe richten sich dabei gegen Mitarbeiter und Entscheidungsträger, die mit Außenhandel und Verteidigungspolitik befasst sind, und zwar insbesondere wenn die grenzüberschreitenden Kontakte Länder aus dem asiatischen Raum betreffen.
Bezogen auf alle Malwarebelasteten E-Mails sind XLS und DOC die gängigsten Formate, die als Attachments verschickt werden. Als gefährlichster Dateityp erwiesen sich jedoch verschlüsselte RAR-Ordner, ein Format zur Archivierung, das auf einem proprietären Kompressionsverfahren beruht. Auf XLS und DOC entfielen im März jeweils 15,4 Prozent aller Dateianhänge von E-Mails, und die vier am häufigsten verwendeten Formate, zu denen darüber hinaus auch ZIP-Ordner und PDF-Dokumente zählen, vereinten 50 Prozent aller E-Mail-Attachments auf sich. Im Durchschnitt bei einer von 312 (bzw. 0,32 Prozent) aller angehängten Schadprogramm-Dateien handelte es sich im März um verschlüsselte RAR-Archive. Zwar findet dieses Attachment-Format relativ selten Verwendung, jedoch sind verschlüsselte RAR-Dateien auch in 96,8 Prozent der Fälle manipuliert, wenn sie im Anhang einer E-Mail verschickt werden.
"Im Vergleich dazu repräsentieren unverschlüsselte RAR-Ordner, die in 1,1 Prozent der E-Mails auftauchen, nur selten einen Malware-Angriff", betont Paul Wood. "Sie sind zwar deutlich gebräuchlicher als verschlüsselte RAR-Archive, aber gleichzeitig auch mit wesentlich geringerer Wahrscheinlichkeit in schadprogrammverseuchten E-Mails zu finden."
Von allen denkbaren Formaten für E-Mail-Anhänge wecken EXE-Dateien generell am ehesten den Verdacht seitens des Empfängers, dass es sich um ein Schadprogramm handeln könnte. Dennoch entfielen im März immerhin 6,7 Prozent aller E-Mail-Attachments auf ausführbare Dateitypen, und diese waren in 15 Prozent der Fälle in irgendeiner Weise manipuliert. Gleichzeitig gibt es zwar ein enormes Aufkommen an Malware-E-Mails, die sich der gängigsten Dateiendungen XLS, DOC, ZIP und PDF als Attachments bedienen, jedoch werden diese noch weitaus öfter im Anhang von Nachrichten verschickt, die sich als völlig unbedenklich erweisen.
Und schließlich hat MessageLabs Intelligence im März auch die Beobachtung gemacht, dass das Botnet Rustock spürbar mehr Spam unter Rückgriff auf TLS (Transport Layer Security) verschickte. Im Berichtsmonat nutzten 77 Prozent der von Rustock verbreiteten Werbe-Mails sichere TLS-Verbindungen.
Im Durchschnitt beläuft sich bei Nachrichten, die per TLS verschickt werden, der zusätzlich Inbound- und Outbound-Verkehr auf rund ein Kilobyte. Das ist deshalb bemerkenswert, weil das Datenvolumen vieler E-Mails im Allgemeinen oft deutlich weniger als ein Kilobyte beträgt. Im März vereinten über TLS-Verbindungen verbreitete E-Mails rund 20 Prozent des gesamten Spam-Aufkommens auf sich, wobei dieser Anteil seinen Höchstwert mit 35 Prozent am 10. März erreichte.
"TLS ist ein beliebtes Verfahren, um E-Mails über einen verschlüsselten Kanal zu versenden", erläutert Paul Wood und fügt hinzu: "Jedoch beanspruchen solche Nachrichten erheblich mehr Server-Ressourcen, werden zudem deutlich langsamer übermittelt als reine Text-Mails und erfordern auch stets eine zusätzliche Übertragung von Daten - sowohl eingehend als auch ausgehend. Gerade der Outbound-Traffic ist in der Regel signifikant größer als die Spam-Nachricht selbst und kann die E-Mail-Server von Unternehmen und deren Lastgrenzen in erheblichem Maße strapazieren."
Weitere Ergebnisse im Überblick:
Spam: Im März 2010 betrug der weltweite Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen oder bisher nicht als bösartig bekannten Quellen 90,7 Prozent (bzw. eine von 1,10 E-Mails). Das waren 1,5 Prozentpunkte mehr als noch im Februar.
Viren: Auf 1 zu 358,3 (bzw. 0,28 Prozent) belief sich im März der Anteil virenverseuchter Nachrichten am gesamten E-Mail-Verkehr, der von neuen oder bis dato nicht als gefährlich bekannten Absenderadressen stammte. Im Vergleich zum Vormonat bedeutet dies einen Rückgang um 0,05 Prozentpunkte. Insgesamt 16,8 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im März einen Link zu gefährlichen Websites - ein Minus von 13,7 Prozentpunkten gegenüber Februar.
Phishing: Hinter einer von 513,7 E-Mails (bzw. 0,19 Prozent des gesamten Mail-Aufkommens) verbarg sich im März ein Phishing-Versuch. Die Belastung mit derartigen Attacken hat demnach im Vergleich zum Februar um 0,02 Prozentpunkte abgenommen. Der Anteil von Phishing-Nachrichten an allen abgefangenen, per E-Mail verbreiteten Malware-Gefahren wie beispielsweise Viren und Trojanern legte hingegen im März um 8,4 Prozentpunkte auf 64,6 Prozent zu.
Web-Sicherheit: Die Analyse der zur Web-Sicherheit erfolgten Maßnahmen ergab, dass es sich bei 14,9 Prozent der über das Surfen im Internet verbreiteten Malware, die im März abgefangen wurde, um neue Schadprogramme gehandelt hat. Das waren 1,6 Prozentpunkte mehr als im Monat zuvor. Weiterhin hat MessageLabs Intelligence pro Tag durchschnittlich 1.919 neue Websites aufgespürt, über die Malware oder andere möglicherweise unerwünschte Programme etwa in Form von Spyware und Adware ins Netz gestellt wurden - ein Rückgang um 61,6 Prozent im Vergleich zum Februar.
Die wichtigsten Ländertrends:
- Nach einem Anstieg der Spam-Quote auf 95,7 Prozent war Ungarn im März das Land, das weltweit am meisten unter unerwünschten Werbe-Mails zu leiden hatte.
- In den USA stieg die Spam-Quote auf 91,1 Prozent, in Kanada auf 89,5 Prozent und in Großbritannien auf 90,1 Prozent.
- In den Niederlanden entfielen 93,0 Prozent des E-Mail-Aufkommens auf Spam, während dieser Anteil in Australien auf 90,1 Prozent zulegte und in Deutschland unverändert 91,3 Prozent betrug.
- Hongkong sah sich mit einem Anstieg der Spam-Quote auf 92,0 Prozent konfrontiert, während sich dieser Anteil in Japan auf 87,5 Prozent belief.
- In Taiwan war im Februar eine von 90,9 E-Mails mit einer Malware verseucht. Das bedeutet im Hinblick auf die Belastung mit per E-Mail verbreiteten Schadprogrammen den ersten Platz im weltweiten Viren-Ranking.
- In den Vereinigten Staaten belief sich der Anteil Malwarebelasteter E-Mails auf 1 zu 551,4 und in Kanada auf 1 zu 492,8. In Deutschland betrug das entsprechende Verhältnis 1 zu 462,0 und in den Niederlanden 1 zu 834,7. Für Australien hat MessageLabs Intelligence eine Viren-Quote von 1 zu 351,6 ermittelt, in Hongkong waren es 1 zu 505,5, in Japan 1 zu 1.063,3 und in Singapur 1 zu 504,1.
- Mit einer Phishing-Quote von 1 zu 254,8 hatte Großbritannien im März stärker als alle anderen Länder unter E-Mail-Attacken zum Auskundschaften von Authentisierungsdaten zu leiden.
Die wichtigsten Branchentrends:
- Maschinenbauunternehmen sahen sich im März mit einer Spam-Quote von 94,7 Prozent konfrontiert und standen damit stärker unter Beschuss von unaufgefordert zugesandten Werbe-Mails als jede andere Branche.
- Der Bildungssektor verzeichnete eine Spam-Quote von 91,9 Prozent und die Chemie- und Pharma-Industrie von 91,1 Prozent. Bei IT-Dienstleistern belief sich dieser Wert auf 91,6 Prozent, im Einzelhandel auf 91,8 Prozent, bei Behörden auf 89,1 Prozent und in der Finanzindustrie auf 89,5 Prozent.
- Bei Behörden wurde im März im Durchschnitt eine von 77,1 E-Mails zurückgewiesen, weil sie eine Malware enthielt. Damit belegte die öffentliche Hand weiterhin Platz eins in der Rangliste der Wirtschaftssektoren, die sich mit dem höchsten Anteil an verseuchten E-Mails konfrontiert sahen.
- In der Chemie- und Pharma-Industrie belief sich die Viren-Quote auf 1 zu 642,9, bei IT-Dienstleistern auf 1 zu 510,9, bei Einzelhandelsunternehmen auf 1 zu 728,6, im Bildungswesen auf 1 zu 189,1 und bei Finanzinstituten auf 1 zu 301,8.
Der MessageLabs Intelligence Report für den März 2010 liefert weiterführende Daten und Analysen zu den in dieser Pressemitteilung erläuterten Trends und Zahlen sowie detaillierte Informationen zur Entwicklung in den einzelnen Ländern und Branchen. Der komplette Bericht steht unter der folgenden Internetadresse zum Download bereit: http://www.messagelabs.com/....
MessageLabs Intelligence von Symantec genießt hohes Renommee als Lieferant von Daten und Analysen, die sich mit den Herausforderungen, Trends und Statistiken rund um die Messaging-Sicherheit befassen. Über Kontrollzentren in aller Welt, die pro Woche mehrere Milliarden Mails überprüfen, erfasst MessageLabs Intelligence fortwährend Live-Daten, um auf dieser Grundlage umfassende Informationen über die aktuelle globale Bedrohungssituation bereitstellen zu können.
"Betrachtet man weniger den reinen Standort des E-Mail-Servers, sondern vielmehr die tatsächliche Herkunft des Absenders, werden in der Realität wesentlich weniger E-Mails für gezielte Angriffe aus Nordamerika verschickt, als es auf den ersten Blick den Anschein haben mag", kommentiert Paul Wood, MessageLabs Intelligence Senior Analyst bei Symantec Hosted Services, und ergänzt: "Ein großer Teil der gezielten Attacken wird heute über rechtmäßige Webmail-Accounts bei Anbietern verbreitet, die in den Vereinigten Staaten ansässig sind. Vor diesem Hintergrund ergeben sich aus der IP-Adresse des für den Versand verwendeten Mail-Servers kaum aussagekräftige Rückschlüsse darüber, wo ein solcher Angriff tatsächlich seinen Ursprung genommen hat. Der wahre Ausgangsort offenbart sich also vielmehr erst, wenn man die IP-Adressen der Absender und nicht jene der E-Mail-Server unter die Lupe nimmt."
Eine weiterführende Analyse der gezielten Attacken im Hinblick auf die Adressaten und deren Position im jeweiligen Unternehmen ergab, dass folgende fünf Personenkreise am häufigsten derartige E-Mails erhalten: Firmenchefs, Vorstandsvorsitzende, deren Stellvertreter, höhere Beamte, Manager und Geschäftsführer. Die meisten derartigen Malware-Angriffe richten sich dabei gegen Mitarbeiter und Entscheidungsträger, die mit Außenhandel und Verteidigungspolitik befasst sind, und zwar insbesondere wenn die grenzüberschreitenden Kontakte Länder aus dem asiatischen Raum betreffen.
Bezogen auf alle Malwarebelasteten E-Mails sind XLS und DOC die gängigsten Formate, die als Attachments verschickt werden. Als gefährlichster Dateityp erwiesen sich jedoch verschlüsselte RAR-Ordner, ein Format zur Archivierung, das auf einem proprietären Kompressionsverfahren beruht. Auf XLS und DOC entfielen im März jeweils 15,4 Prozent aller Dateianhänge von E-Mails, und die vier am häufigsten verwendeten Formate, zu denen darüber hinaus auch ZIP-Ordner und PDF-Dokumente zählen, vereinten 50 Prozent aller E-Mail-Attachments auf sich. Im Durchschnitt bei einer von 312 (bzw. 0,32 Prozent) aller angehängten Schadprogramm-Dateien handelte es sich im März um verschlüsselte RAR-Archive. Zwar findet dieses Attachment-Format relativ selten Verwendung, jedoch sind verschlüsselte RAR-Dateien auch in 96,8 Prozent der Fälle manipuliert, wenn sie im Anhang einer E-Mail verschickt werden.
"Im Vergleich dazu repräsentieren unverschlüsselte RAR-Ordner, die in 1,1 Prozent der E-Mails auftauchen, nur selten einen Malware-Angriff", betont Paul Wood. "Sie sind zwar deutlich gebräuchlicher als verschlüsselte RAR-Archive, aber gleichzeitig auch mit wesentlich geringerer Wahrscheinlichkeit in schadprogrammverseuchten E-Mails zu finden."
Von allen denkbaren Formaten für E-Mail-Anhänge wecken EXE-Dateien generell am ehesten den Verdacht seitens des Empfängers, dass es sich um ein Schadprogramm handeln könnte. Dennoch entfielen im März immerhin 6,7 Prozent aller E-Mail-Attachments auf ausführbare Dateitypen, und diese waren in 15 Prozent der Fälle in irgendeiner Weise manipuliert. Gleichzeitig gibt es zwar ein enormes Aufkommen an Malware-E-Mails, die sich der gängigsten Dateiendungen XLS, DOC, ZIP und PDF als Attachments bedienen, jedoch werden diese noch weitaus öfter im Anhang von Nachrichten verschickt, die sich als völlig unbedenklich erweisen.
Und schließlich hat MessageLabs Intelligence im März auch die Beobachtung gemacht, dass das Botnet Rustock spürbar mehr Spam unter Rückgriff auf TLS (Transport Layer Security) verschickte. Im Berichtsmonat nutzten 77 Prozent der von Rustock verbreiteten Werbe-Mails sichere TLS-Verbindungen.
Im Durchschnitt beläuft sich bei Nachrichten, die per TLS verschickt werden, der zusätzlich Inbound- und Outbound-Verkehr auf rund ein Kilobyte. Das ist deshalb bemerkenswert, weil das Datenvolumen vieler E-Mails im Allgemeinen oft deutlich weniger als ein Kilobyte beträgt. Im März vereinten über TLS-Verbindungen verbreitete E-Mails rund 20 Prozent des gesamten Spam-Aufkommens auf sich, wobei dieser Anteil seinen Höchstwert mit 35 Prozent am 10. März erreichte.
"TLS ist ein beliebtes Verfahren, um E-Mails über einen verschlüsselten Kanal zu versenden", erläutert Paul Wood und fügt hinzu: "Jedoch beanspruchen solche Nachrichten erheblich mehr Server-Ressourcen, werden zudem deutlich langsamer übermittelt als reine Text-Mails und erfordern auch stets eine zusätzliche Übertragung von Daten - sowohl eingehend als auch ausgehend. Gerade der Outbound-Traffic ist in der Regel signifikant größer als die Spam-Nachricht selbst und kann die E-Mail-Server von Unternehmen und deren Lastgrenzen in erheblichem Maße strapazieren."
Weitere Ergebnisse im Überblick:
Spam: Im März 2010 betrug der weltweite Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen oder bisher nicht als bösartig bekannten Quellen 90,7 Prozent (bzw. eine von 1,10 E-Mails). Das waren 1,5 Prozentpunkte mehr als noch im Februar.
Viren: Auf 1 zu 358,3 (bzw. 0,28 Prozent) belief sich im März der Anteil virenverseuchter Nachrichten am gesamten E-Mail-Verkehr, der von neuen oder bis dato nicht als gefährlich bekannten Absenderadressen stammte. Im Vergleich zum Vormonat bedeutet dies einen Rückgang um 0,05 Prozentpunkte. Insgesamt 16,8 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im März einen Link zu gefährlichen Websites - ein Minus von 13,7 Prozentpunkten gegenüber Februar.
Phishing: Hinter einer von 513,7 E-Mails (bzw. 0,19 Prozent des gesamten Mail-Aufkommens) verbarg sich im März ein Phishing-Versuch. Die Belastung mit derartigen Attacken hat demnach im Vergleich zum Februar um 0,02 Prozentpunkte abgenommen. Der Anteil von Phishing-Nachrichten an allen abgefangenen, per E-Mail verbreiteten Malware-Gefahren wie beispielsweise Viren und Trojanern legte hingegen im März um 8,4 Prozentpunkte auf 64,6 Prozent zu.
Web-Sicherheit: Die Analyse der zur Web-Sicherheit erfolgten Maßnahmen ergab, dass es sich bei 14,9 Prozent der über das Surfen im Internet verbreiteten Malware, die im März abgefangen wurde, um neue Schadprogramme gehandelt hat. Das waren 1,6 Prozentpunkte mehr als im Monat zuvor. Weiterhin hat MessageLabs Intelligence pro Tag durchschnittlich 1.919 neue Websites aufgespürt, über die Malware oder andere möglicherweise unerwünschte Programme etwa in Form von Spyware und Adware ins Netz gestellt wurden - ein Rückgang um 61,6 Prozent im Vergleich zum Februar.
Die wichtigsten Ländertrends:
- Nach einem Anstieg der Spam-Quote auf 95,7 Prozent war Ungarn im März das Land, das weltweit am meisten unter unerwünschten Werbe-Mails zu leiden hatte.
- In den USA stieg die Spam-Quote auf 91,1 Prozent, in Kanada auf 89,5 Prozent und in Großbritannien auf 90,1 Prozent.
- In den Niederlanden entfielen 93,0 Prozent des E-Mail-Aufkommens auf Spam, während dieser Anteil in Australien auf 90,1 Prozent zulegte und in Deutschland unverändert 91,3 Prozent betrug.
- Hongkong sah sich mit einem Anstieg der Spam-Quote auf 92,0 Prozent konfrontiert, während sich dieser Anteil in Japan auf 87,5 Prozent belief.
- In Taiwan war im Februar eine von 90,9 E-Mails mit einer Malware verseucht. Das bedeutet im Hinblick auf die Belastung mit per E-Mail verbreiteten Schadprogrammen den ersten Platz im weltweiten Viren-Ranking.
- In den Vereinigten Staaten belief sich der Anteil Malwarebelasteter E-Mails auf 1 zu 551,4 und in Kanada auf 1 zu 492,8. In Deutschland betrug das entsprechende Verhältnis 1 zu 462,0 und in den Niederlanden 1 zu 834,7. Für Australien hat MessageLabs Intelligence eine Viren-Quote von 1 zu 351,6 ermittelt, in Hongkong waren es 1 zu 505,5, in Japan 1 zu 1.063,3 und in Singapur 1 zu 504,1.
- Mit einer Phishing-Quote von 1 zu 254,8 hatte Großbritannien im März stärker als alle anderen Länder unter E-Mail-Attacken zum Auskundschaften von Authentisierungsdaten zu leiden.
Die wichtigsten Branchentrends:
- Maschinenbauunternehmen sahen sich im März mit einer Spam-Quote von 94,7 Prozent konfrontiert und standen damit stärker unter Beschuss von unaufgefordert zugesandten Werbe-Mails als jede andere Branche.
- Der Bildungssektor verzeichnete eine Spam-Quote von 91,9 Prozent und die Chemie- und Pharma-Industrie von 91,1 Prozent. Bei IT-Dienstleistern belief sich dieser Wert auf 91,6 Prozent, im Einzelhandel auf 91,8 Prozent, bei Behörden auf 89,1 Prozent und in der Finanzindustrie auf 89,5 Prozent.
- Bei Behörden wurde im März im Durchschnitt eine von 77,1 E-Mails zurückgewiesen, weil sie eine Malware enthielt. Damit belegte die öffentliche Hand weiterhin Platz eins in der Rangliste der Wirtschaftssektoren, die sich mit dem höchsten Anteil an verseuchten E-Mails konfrontiert sahen.
- In der Chemie- und Pharma-Industrie belief sich die Viren-Quote auf 1 zu 642,9, bei IT-Dienstleistern auf 1 zu 510,9, bei Einzelhandelsunternehmen auf 1 zu 728,6, im Bildungswesen auf 1 zu 189,1 und bei Finanzinstituten auf 1 zu 301,8.
Der MessageLabs Intelligence Report für den März 2010 liefert weiterführende Daten und Analysen zu den in dieser Pressemitteilung erläuterten Trends und Zahlen sowie detaillierte Informationen zur Entwicklung in den einzelnen Ländern und Branchen. Der komplette Bericht steht unter der folgenden Internetadresse zum Download bereit: http://www.messagelabs.com/....
MessageLabs Intelligence von Symantec genießt hohes Renommee als Lieferant von Daten und Analysen, die sich mit den Herausforderungen, Trends und Statistiken rund um die Messaging-Sicherheit befassen. Über Kontrollzentren in aller Welt, die pro Woche mehrere Milliarden Mails überprüfen, erfasst MessageLabs Intelligence fortwährend Live-Daten, um auf dieser Grundlage umfassende Informationen über die aktuelle globale Bedrohungssituation bereitstellen zu können.
