Seit fast zwei Jahrzehnten nutzen Bedrohungsakteure DGAs (Domain Generation Algorithms) zur Verbreitung von Malware und Phishing-Kampagnen. Nun ist mit RDGA (Registered Domain Generation Algorithm) eine neue Technik auf dem Vormarsch, bei der alle generierten Domains registriert werden. Dies ermöglicht eine schnelle Skalierung und erschwert die Entdeckung.
Eine neue Bedrohung erobert das Netz: Registered Domain Generation Algorithms (RDGAs) ermöglichen es Cyberkriminellen, Millionen von Domains zu registrieren und ihre Angriffe unentdeckt zu skalieren.
(Bild: Sergey Nivens - stock.adobe.com)
Registered Domain Generation Algorithmen (RDGAs) sind ein programmierter Mechanismus, der es Bedrohungsakteuren ermöglicht, eine große Anzahl von Domainnamen auf einmal oder über einen längeren Zeitraum zu erstellen und für die Verwendung in ihren kriminellen Infrastrukturen zu registrieren. Sie unterscheiden sich grundlegend von herkömmlichen Domain Generation Algorithms (DGAs), die seit langem mit Malware in Verbindung gebracht werden. Bei einem RDGA ist der Algorithmus das Betriebsgeheimnis des Angreifers, und er registriert alle Domainnamen. Im Gegensatz dazu enthält eine herkömmliche DGA einen Algorithmus, der entdeckt werden kann, und die meisten Domainnamen werden nicht registriert. Während DGAs ausschließlich für die Kommunikation mit einem Malware-Controller verwendet werden, werden RDGAs für ein breites Spektrum bösartiger Aktivitäten eingesetzt.
RDGAs sind wesentlich schwieriger zu erkennen und abzuwehren als herkömmliche DGAs, und obwohl sie im Netz weit verbreitet sind, schenkt ihnen die Security-Community viel zu wenig Aufmerksamkeit. Doch die stille Verbreitung von RDGA-Bedrohungen hat massive Auswirkungen auf die aktuelle Bedrohungslandschaft.
Nutzung von RDGAs
RDGAs werden von Kriminellen, kriminellen Organisationen und seriösen Unternehmen gleichermaßen verwendet. Registrierungsstellen wie Namecheap bieten sogar Tools an, mit denen Variationen eines ausgewählten Domainnamens generiert werden können.
Während herkömmliche DGAs nach wie vor die beliebteste Wahl für Malware-Autoren sind, haben sich einige Bedrohungsakteure dazu entschlossen, stattdessen auf RDGAs für ihre Malware zu setzen. RDGA-Domains werden häufig dazu verwendet, bösartige Payloads oder Drive-by-Exploits zu hosten. Sie fungieren dann nicht als C2 für die Malware, auch wenn es Fälle gibt, in denen Bedrohungsakteure fest kodierte RDGA-Domains in ihre Payloads einbetten.
Einsatzmöglichkeiten von RDGAs
Phishing: Phishing, einschließlich Spear-Phishing, Business Email Compromises (BECs) und ähnlicher Varianten, ist eine der bekanntesten und am häufigsten gemeldeten Cyberbedrohungen, weshalb böswillige Akteure ständig neue Domains benötigen, um Sicherheitsmaßnahmen zu umgehen und ihre Phishing-Operationen effektiv zu gestalten.
Spam: Spam-Domains erzeugen naturgemäß ein hohes Aktivitätsvolumen und sind daher anfällig für die Erkennung und Blockierung durch E-Mail-Anbieter und Anti-Spam-Lösungen. Die Verwendung eines RDGA zur Registrierung großer Mengen neuer Domains kann Betrügern dabei helfen, domainbasierte Blockierungen zu umgehen und sicherzustellen, dass ihre Nachrichten so viele Empfänger wie möglich erreichen.
Scam: Betrüger nutzen RDGAs aus den gleichen Gründen wie andere Bedrohungsakteure: Ihre Domains werden häufig von Service Providern blockiert oder abgeschaltet. Daher ist es für sie von Vorteil, über einen ständigen Zufluss neuer Domains zu verfügen, mit denen sie ihre Betrügereien durchführen können.
Glücksspiel: Illegale Glücksspielanbieter haben genauso viele Motive RDGAs zu verwenden wie alle anderen Cyberkriminellen. RDGA-Domains mit Glücksspielinhalten, die auf ein chinesisches Publikum abzielen, sind besonders weit verbreitet, was wahrscheinlich auf die "Great Firewall of China" zurückzuführen ist, die den Zugang zu bekannten Glücksspielseiten blockiert. Die Betreiber dieser Websites nutzen daher RDGAs, um eine große Anzahl neuer Domains einzurichten, die ihre Inhalte spiegeln, um sie den Nutzern in China ohne Umwege über ein VPN zugänglich zu machen.
Traffic-Distribution-Systems: Traffic Distribution Systems (TDS) werden für die Weiterleitung des eingehenden Webverkehrs auf der Grundlage von Benutzereigenschaften wie IP-Geolokalisierung, Browser-Funktionen, HTTP-Anfrage-Header und mehr verwendet. Seriöse Unternehmen nutzen TDS in der Regel für Marketing- und SEO-Zwecke, da sie ausgefeilte Funktionen für die Durchführung gezielter Werbung und die Verfolgung des Erfolgs von Werbekampagnen bieten. Cyberkriminelle nutzen TDS auf ganz ähnliche Weise: Sie nutzen deren Fähigkeiten, um gezielte Angriffe durchzuführen und den Erfolg ihrer Phishing- und Malware-Kampagnen zu verfolgen.
VPNs: VPNs können den Datenverkehr anonymisieren und Nutzern den Zugriff auf Websites ermöglichen, die ansonsten im Netzwerk des Nutzers gesperrt wären. Netzwerkadministratoren und Sicherheitslösungen können daher bekannte VPN-Infrastrukturen sperren, um zu verhindern, dass sie zur Umgehung der Netzwerksicherheit genutzt werden. Unternehmen, die VPN-Dienste anbieten, möchten jedoch, dass ihre Infrastruktur in möglichst vielen Netzwerken zugänglich bleibt, da ihr Geschäft davon abhängt. Aus diesem Grund setzen einige VPN-Unternehmen RDGAs ein, um die Sperrmechanismen auf die gleiche Weise zu umgehen, wie es die Angreifer tun.
Wie diese Beispiele zeigen, können RDGAs viele verschiedene Formen annehmen und unzähligen Zwecken dienen. Noch wichtiger ist jedoch die Tatsache, dass die bekannten RDGA-Bedrohungen nur die Spitze des Eisbergs sind.
Für jeden RDGA, der von Sicherheitsteams im Detail untersucht und veröffentlicht wird, werden Tausende weiterer RDGAs entdeckt, deren Funktion weitgehend unbekannt ist. Angesichts des breiten Spektrums bösartiger Aktivitäten, die von bekannten RDGAs ausgehen, ist die Menge der unbekannten RDGAs von großem Interesse – und Besorgnis erregend. Die Muster und DNS-Signaturen, die RDGA-Domains miteinander verbinden, können nur durch groß angelegte Analysen identifiziert werden. Unbekannte RDGA-Domains können daher weitgehend ungehindert in Netzwerken operieren, die nicht durch fortgeschrittene DNS-Analysen geschützt sind.
In einem Zeitraum von sechs Monaten (17. Oktober 2023 bis 17. April 2024) haben die RDGA-Detektoren von Infoblox Threat Intel mehr als 2 Millionen einzigartige RDGA-Domains identifiziert, das entspricht durchschnittlich mehr als 11.000 neuen RDGA-Domains pro Tag.
RDGA-Domains werden mit einer Reihe von fragwürdigen Aktivitäten in Verbindung gebracht, die die meisten Unternehmen nicht in ihren Netzwerken haben wollen. Obwohl RDGAs für die Registrierung von Millionen neuer Domains verwendet werden, bleiben sie in der Sicherheitsbranche fast völlig unbemerkt. Dies ist wahrscheinlich darauf zurückzuführen, dass deren Erkennung sowohl umfassende DNS-Kenntnisse als auch den Zugriff auf große Mengen von DNS-Daten erfordert. Unternehmen sollten sich der Bedrohung, die RDGAs für ihre Netzwerke darstellen, bewusst sein und Sicherheitslösungen implementieren, die eine automatische Erkennung von RDGAs beinhalten.
Über die Autorin: Dr. Renée Burton ist die Leiterin der Abteilung Threat Intel bei Infoblox. Sie ist Expertin für DNS-basierte Bedrohungen und leitet die Algorithmenentwicklung und Forschung im Bereich DNS-Intelligence.
(ID:50214107)
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/d7/82/d782d0f09740b3c0e0a1a0d78d61a65c/0116708065.jpeg "Deutsche Forschende haben „den schlimmsten je entdeckten Angriff auf DNS“ entdeckt. Mit KeyTrap könnte ein Angreifer große Teile des weltweiten Internets vollständig lahmlegen. (Bild: Pablo Lagarto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d2/94d24f387235116dcf144724fb1e9067/0115784504.jpeg "Die Sicherheit von Domains stellt einen essentiellen Eckpfeiler einer robusten IT-Sicherheitsstrategie dar. (Bild: Sashkin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/77/5477035921af7d932251832d4275d549/0123577556v1.jpeg "Manche der von den Angreifern verwendeten Domains haben seit mehr als 20 Jahren keine Inhalte mehr gehostet. Dies macht sie besonders attraktiv für Cyberkriminelle. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/17/c117a56c5982733e6b7c941bfd9b0f9f/0126586830v2.jpeg "Pharming ist eine Form des Cyberbetrugs durch DNS-Manipulation, bei der Benutzerdaten durch Umleitung auf gefälschte Webseiten gestohlen werden. (Bild: gemeinfrei)")