Bedrohungslage

Shathak: Weltweite Ausbreitung droht

22. Juni 2021 von Marek Röhner
shathak-e-Mail-angriff
© oatawa stock.adobe.com

5
(4)

Eine Cyberattacke der besonderen Art sorgt für immer größeres Aufsehen. Die E-Mail-basierte Angriffskampagne TA551, besser bekannt als Shathak, breitet sich weltweit immer mehr aus – auch im deutschsprachigen Raum. Im heutigen Beitrag erklären wir Ihnen, was Shathak überhaupt ist, wie die Täter bei den Angriffen vorgehen und wie Sie sich vor Shathak schützen können. Außerdem gehen wir konkret darauf ein, warum sich Shathak so schnell ausbreitet und was die Angriffe so gefährlich macht.

 

Shathak: Angriffe per E-Mail

Im Jahr 2019 gab es weltweit über 3,9 Milliarden E-Mail-Nutzer. Die Anzahl der Nutzer soll im Jahr 2023 auf 4,3 Milliarden Menschen ansteigen, womit mehr als die Hälfte der Weltbevölkerung über ein E-Mail-Konto verfügt. Die enorme Verbreitung der E-Mail als Kommunikationskanal hat viele Vorteile mit sich gebracht, zum Beispiel eine höhere Flexibilität oder eine hohe Zeitersparnis für Nutzer. Mit der zunehmenden Beliebtheit der E-Mail ist diese aber auch immer mehr zum Einfallstor für Cyberangriffe geworden. Ein Cyberangriff, der zunehmend an Dynamik gewinnt, ist Shathak (TA551).

Bei Shathak handelt es sich um eine E-Mail-basierte Malware-Angriffskampagne, von der weltweit immer mehr Endanwender betroffen sind. Palo Alto Networks berichtete zuletzt im Juli 2020 über Shathak und erwähnte damals vornehmlich englischsprachige Opfer, die von den Angriffen betroffen waren. Das Besondere an dieser Art der Malware-Angriffskampagne: Shathak ist enorm wandelbar, die gefälschten E-Mails wirken täuschend echt und sind so für die Betroffenen äußerst schwer zu erkennen. Dadurch, dass jeder Angriff anders verläuft und diese sehr gut getarnt sind, ist die Infektionsgefahr bei Betroffenen, die nicht über die Angriffskampagne informiert sind, als hoch einzuordnen.

Raffiniertes Vorgehen bei den Angriffen

Das Vorgehen bei den Shathak-Angriffen ist äußerst raffiniert: Zentraler Bestandteil der Angriffe ist eine E-Mail als Köder, bei der eine E-Mail-Kette vorgetäuscht wird. Die Täter verwenden gestohlene SMTP-Anmeldeinformationen und stellen aus zuvor erbeuteten Inhalten täuschend echte E-Mails zusammen, sodass der Nutzer von einer vertrauenswürdigen E-Mail ausgeht. Die gefälschten E-Mails enthalten dabei Betreffzeilen und Inhalte, die sich auf die vorherige E-Mail-Kommunikation beziehen – zum Beispiel werden die Betreffzeile sowie interne Informationen aus dem Unternehmen individuell auf das jeweilige Opfer angepasst.

Die E-Mail-Ketten werden von E-Mail-Clients auf zuvor infizierten Hosts abgerufen. In der E-Mail befindet sich ein passwortgeschützter Zip-Anhang, der ein malwareverseuchtes Dokument enthält, z. B. eine Microsoft-Office-Datei. Der Benutzer wird im Text der E-Mail über das Passwort für den Zip-Anhang informiert. Öffnet der Nutzer das Dokument, das in Form von Makros mit Malware infiziert ist, wird das System des Opfers mit der Malware infiziert. Bisher hat Shathak verschiedene Malware-Familien, wie zum Beispiel IcedID, Valak und Ursnif (Gozi/ISFB) verwendet.

Weltweite Verbreitung und Weiterentwicklung von Shathak

Shathak (TA551), das zu Anfang vornehmlich auf englischsprachige Opfer abzielte, hat sich seit dem Bericht von Palo Alto Networks im Juli 2020 enorm weiterentwickelt: Der Sicherheitsspezialist Mimecats ging so bereits Ende 2020 von 2000-7000 E-Mails pro Tag aus, die auf die Angriffskampagne Shathak zurückzuführen sind. Mittlerweile ist TA551 sogar zu einer weltweiten Bedrohung geworden – bisher sind ebenfalls Opfer aus Deutschland, Italien und Japan bekanntgeworden. Auch bei der Verbreitungsmethode hat sich Shatak weiterentwickelt: Zu Anfang setzte die E-Mail-Angriffskampagne auf mehrere Malware-Familien. Vermehrt sind nun Fälle zu beobachten, in denen häufig IcedID als Schadsoftware eingesetzt wird. Dabei handelt es sich um einen sehr leistungsfähiger Trojaner, der ursprünglich auf die Erbeutung von Banking-Informationen eingesetzt wurde, sich aber nun vielseitig für andere Angriffe einsetzen lässt. Weiterhin ist das Vorgehen bei Shathak aber sehr dynamisch, wodurch versucht wird, eine bessere Erkennung der Malware zu erschweren.

Hinweise für Ihre Sicherheit

Shathak ist besonders schwer erkennbar und wandelt sich sehr schnell, dadurch ist es sehr schwer, gefälschte E-Mails zu erkennen. Seien Sie bei Ihrer E-Mail-Kommunikation daher besonders vorsichtig – wenn Sie sich nicht sicher sind, ob die E-Mail vertrauenswürdig ist, hilft auch ein kurzer Anruf beim Absender, um sich über die Korrektheit der E-Mail zu vergewissern. Grundsätzlich gilt beim Umgang mit Shathak:

• Legen Sie eine gesunde Skepsis an den Tag und vertrauen Sie nicht auf scheinbar echt wirkende E-Mails. Ein kurzer Anruf beim Absender kann vor hohem Schaden und einer Infektion bewahren.
• Eine angemessene Spam-Filterung, ordnungsgemäße Systemadministration und aktuelle Windows-Hosts sorgen für ein deutlich geringeres Infektionsrisiko mit Shathak.

Wir, die PSW GROUP, bieten Ihnen umfangreiche und individuelle Lösungen zum Schutz Ihrer E-Mail-Kommunikation an: Mit individuellen E-Mail-Zertifikaten verschlüsseln Sie Ihre Kommunikation und sorgen für einen sicheren Informationsaustausch. Haben Sie Fragen zu den einzelnen Zertifikaten oder unseren Awareness-Schulungen? Unsere Experten freuen sich auf das Gespräch mit Ihnen – nehmen Sie einfach Kontakt auf.

 

Gender-Disclaimer:
Zur besseren Lesbarkeit und zur Vermeidung von Gender-Sternchen verwenden wir das generische Maskulinum für Substantive und meinen damit alle natürlichen Personen unabhängig ihres Geschlechts.

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 4

0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu