M?nchen, 28.06.2022 – Neue Domains schie?en in Krisenzeiten wie Pilze aus dem Boden. Doch ist helpukraine.center eine seri?se Webseite oder malizi?s? Die Infoblox Cyber Intelligence Unit (CIU), die regelm??ig Informationen ?ber Bedrohungen erstellt, zusammenfasst und aufbereitet, hat Trends rund um Domain-Aktivit?ten im Zusammenhang mit dem Krieg in der Ukraine seit Anfang dieses Jahres bis heute zusammengefasst. Die Analyse verdeutlicht, wie neu registrierte Domains als Reaktion auf die politische Lage sowohl f?r b?sartige als auch f?r legitime Zwecke genutzt wurden. Unmittelbar nach dem Einmarsch Russlands in die Ukraine hat die CIU angefangen Analysen zu erstellen, um verd?chtige Domains im Zusammenhang mit dem Krieg zu identifizieren und gleichzeitig zu verhindern, dass beispielsweise legitime Spendenaktionen verhindert werden. Die Ergebnisse der Analysen wurden daf?r ?ber GitHub f?r jedermann zug?nglich gemacht.
Gut oder b?se? Detaillierte Analyse neuer Domains
Hunderte von Indikatoren dienten als Analysegrundlage f?r die Infoblox CIU und ?ber tausend Domains wurden im Analysezeitraum auf GitHub hinzugef?gt. Insgesamt zeigen die Infoblox-Daten, dass das Volumen der legitimen Dom?nen gr??er ist als das der b?sartigen Websites. Im Detail handelt es sich bei 61 % der neuen Domains um legitime Websites, bei 23 % um verd?chtige oder b?sartige Inhalte, bei 11 % um geparkte Domains und bei 5 % um nicht verf?gbare Websites. Abbildung 1 zeigt einen Vergleich zwischen legitimen, b?sartigen (in diesem Fall Domains, die als verd?chtig, Phishing, Malware oder Spam markiert wurden), geparkten und nicht verf?gbaren Inhalten.
Der Anstieg der neu beobachteten Domains begann in der ersten Woche nach der Invasion (Anfang M?rz – Woche 9 in Abbildung 1). Mehrere Wochen lang wurden viele legitime Websites erstellt, um den Menschen in der Ukraine zu helfen. Allerdings nutzten auch Cyber-Bedrohungsakteure und Betr?ger die Situation, um ihre eigenen Websites zu erstellen. Das hat das Volumen der neu beobachteten Domains ebenfalls erh?ht.
Ende M?rz (Woche 13) begann die Zahl der Domains mit Bezug zur Ukraine zu sinken und die Zahl der neu beobachteten Domains begann sich zu stabilisieren, wie in Abbildung 2 dargestellt. Seit April (Woche 14) zeigt sich, dass die Zahl der neu beobachteten Domains (legitim sowie verd?chtig/b?sartig) im Durchschnitt weiterhin h?her ist als vor der Invasion, wenn auch nur leicht.
Der t?gliche Prozentsatz neuer b?sartiger Dom?nen im Vergleich zur Gesamtzahl neuer Domains mit Bezug zur Ukraine schwankt w?hrend des Analysezeitraums. Wie in Abbildung 3 dargestellt, gibt es jedoch an bestimmten Tagen Spitzenwerte, wobei der h?chste durchschnittliche Anteil b?sartiger Websites Ende M?rz/Anfang April auftritt. Der t?gliche Medianwert der neuen b?sartigen Domains im Vergleich zur Gesamtzahl betr?gt 34 % (dargestellt durch die horizontale rote Linie im Diagramm).
Empfehlungen
Obwohl die Zahl der b?sartigen Dom?nen tendenziell zur?ckgeht, sollten die Nutzer wachsam bleiben. Die Experten von Infoblox gehen aufgrund fr?herer Erfahrungen davon aus, dass Bedrohungsakteure weiterhin Einzelpersonen ?ber E-Mails, Malvertising und andere Mittel ins Fadenkreuz nehmen werden, solange sie k?nnen. Zum Vergleich: W?hrend Malware-Kampagnen im Zusammenhang mit Covid im Jahr 2020 ihren H?hepunkt erreichten, sehen wir sie zwei Jahre sp?ter teilweise immer noch.
– Bleiben Sie wachsam! Sensibilisieren Sie Ihre Mitarbeiter erneut, Spendenaufrufe von Organisationen, die sie nicht kennen, sorgf?ltig zu pr?fen und nicht auf Links von unbekannten Quellen zu klicken.
– Die Zahl der Bedrohungen nimmt aktuell mehr denn je zu. Die Security-Experten aber sind in vielen Unternehmen Mangelware. Setzten Sie deshalb auf eine Threat-Intelligence-L?sung, die mithilfe von Automatisierung und externer Data Feeds bei der Selektion zwischen Gut und B?se unterst?tzt und die SecOps-Teams entlastet.
?ber die Infoblox Cyber Intelligence Unit
Die Infoblox Threat Intelligence Unit verf?gt ?ber langj?hrige Erfahrung in der Erstellung, Zusammenfassung und Aufbereitung von Informationen ?ber Bedrohungen, um qualitativ hochwertige, zeitnahe und zuverl?ssige Informationen bereitstellen zu k?nnen. Die Bedrohungsinformationen von Infoblox filtern False Positives heraus und liefern Unternehmen die Informationen, die sie ben?tigen, um die neuesten Bedrohungen zu blockieren und eine einheitliche Sicherheitsrichtlinie f?r die gesamte Sicherheitsinfrastruktur ihres Unternehmens aufrechtzuerhalten.
Keywords:Security; Domains; Betrug