Eine Cyberattacke der besonderen Art sorgt f\u00fcr immer gr\u00f6\u00dferes Aufsehen. Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit immer mehr aus \u2013 auch im deutschsprachigen Raum. Im heutigen Beitrag erkl\u00e4ren wir Ihnen, was Shathak \u00fcberhaupt ist, wie die T\u00e4ter bei den Angriffen vorgehen und wie Sie sich vor Shathak sch\u00fctzen k\u00f6nnen. Au\u00dferdem gehen wir konkret darauf ein, warum sich Shathak so schnell ausbreitet und was die Angriffe so gef\u00e4hrlich macht.<\/p>\n
<\/p>\n
Im Jahr 2019 gab es weltweit \u00fcber 3,9 Milliarden E-Mail-Nutzer. Die Anzahl der Nutzer soll im Jahr 2023 auf 4,3 Milliarden Menschen ansteigen, womit mehr als die H\u00e4lfte der Weltbev\u00f6lkerung \u00fcber ein E-Mail-Konto verf\u00fcgt. Die enorme Verbreitung der E-Mail als Kommunikationskanal hat viele Vorteile mit sich gebracht, zum Beispiel eine h\u00f6here Flexibilit\u00e4t oder eine hohe Zeitersparnis f\u00fcr Nutzer. Mit der zunehmenden Beliebtheit der E-Mail ist diese aber auch immer mehr zum Einfallstor f\u00fcr Cyberangriffe geworden. Ein Cyberangriff, der zunehmend an Dynamik gewinnt, ist Shathak (TA551).<\/p>\n
Bei Shathak handelt es sich um eine E-Mail-basierte Malware-Angriffskampagne, von der weltweit immer mehr Endanwender betroffen sind. Palo Alto Networks<\/a> berichtete zuletzt im Juli 2020 \u00fcber Shathak und erw\u00e4hnte damals vornehmlich englischsprachige Opfer, die von den Angriffen betroffen waren. Das Besondere an dieser Art der Malware-Angriffskampagne: Shathak ist enorm wandelbar, die gef\u00e4lschten E-Mails wirken t\u00e4uschend echt und sind so f\u00fcr die Betroffenen \u00e4u\u00dferst schwer zu erkennen. Dadurch, dass jeder Angriff anders verl\u00e4uft und diese sehr gut getarnt sind, ist die Infektionsgefahr bei Betroffenen, die nicht \u00fcber die Angriffskampagne informiert sind, als hoch einzuordnen.<\/p>\n Das Vorgehen bei den Shathak-Angriffen ist \u00e4u\u00dferst raffiniert: Zentraler Bestandteil der Angriffe ist eine E-Mail als K\u00f6der, bei der eine E-Mail-Kette vorget\u00e4uscht wird. Die T\u00e4ter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten t\u00e4uschend echte E-Mails zusammen, sodass der Nutzer von einer vertrauensw\u00fcrdigen E-Mail ausgeht. Die gef\u00e4lschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen \u2013 zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst.<\/p>\n Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgesch\u00fctzter Zip-Anhang, der ein malwareverseuchtes Dokument enth\u00e4lt, z. B. eine Microsoft-Office-Datei. Der Benutzer wird im Text der E-Mail \u00fcber das Passwort f\u00fcr den Zip-Anhang informiert. \u00d6ffnet der Nutzer das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert. Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi\/ISFB) verwendet.<\/p>\n Shathak (TA551), das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat sich seit dem Bericht von Palo Alto Networks im Juli 2020 enorm weiterentwickelt: Der Sicherheitsspezialist Mimecats ging so bereits Ende 2020 von 2000-7000 E-Mails pro Tag aus, die auf die Angriffskampagne Shathak zur\u00fcckzuf\u00fchren sind. Mittlerweile ist TA551 sogar zu einer weltweiten Bedrohung geworden \u2013 bisher sind ebenfalls Opfer aus Deutschland, Italien und Japan bekanntgeworden. Auch bei der Verbreitungsmethode hat sich Shatak weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun F\u00e4lle zu beobachten, in denen h\u00e4ufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsf\u00e4higer Trojaner, der urspr\u00fcnglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig f\u00fcr andere Angriffe einsetzen l\u00e4sst. Weiterhin ist das Vorgehen bei Shathak aber sehr dynamisch, wodurch versucht wird, eine bessere Erkennung der Malware zu erschweren.<\/p>\n Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gef\u00e4lschte E-Mails zu erkennen. Seien Sie bei Ihrer E-Mail-Kommunikation daher besonders vorsichtig \u2013 wenn Sie sich nicht sicher sind, ob die E-Mail vertrauensw\u00fcrdig ist, hilft auch ein kurzer Anruf beim Absender, um sich \u00fcber die Korrektheit der E-Mail zu vergewissern. Grunds\u00e4tzlich gilt beim Umgang mit Shathak:<\/p>\n \u2022 Legen Sie eine gesunde Skepsis an den Tag und vertrauen Sie nicht auf scheinbar echt wirkende E-Mails. Ein kurzer Anruf beim Absender kann vor hohem Schaden und einer Infektion bewahren. Wir, die PSW GROUP, bieten Ihnen umfangreiche und individuelle L\u00f6sungen zum Schutz Ihrer E-Mail-Kommunikation an: Mit individuellen E-Mail-Zertifikaten<\/a> verschl\u00fcsseln Sie Ihre Kommunikation und sorgen f\u00fcr einen sicheren Informationsaustausch. Haben Sie Fragen zu den einzelnen Zertifikaten oder unseren Awareness-Schulungen? Unsere Experten freuen sich auf das Gespr\u00e4ch mit Ihnen \u2013 nehmen Sie einfach Kontakt<\/a> auf.<\/p>\n <\/p>\n Gender-Disclaimer:Raffiniertes Vorgehen bei den Angriffen<\/h3>\n
Weltweite Verbreitung und Weiterentwicklung von Shathak<\/h3>\n
Hinweise f\u00fcr Ihre Sicherheit<\/h2>\n
\n\u2022 Eine angemessene Spam-Filterung, ordnungsgem\u00e4\u00dfe Systemadministration und aktuelle Windows-Hosts sorgen f\u00fcr ein deutlich geringeres Infektionsrisiko mit Shathak.<\/p>\n
\nZur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum f\u00fcr Substantive und meinen damit alle nat\u00fcrlichen Personen unabh\u00e4ngig ihres Geschlechts.<\/p>\n