Malware Ranking

Androxgh0st verstärkt sich durch Integration in das Mozi-Bot-Netz

Androxgh0st verstärkt sich durch Integration in das Mozi-Bot-Netz

Check Point`s Most Wanted Malware November 2024

Der jüngste Global Threat Index von Check Point Software Technologies verdeutlicht erneut die wachsende Bedrohung durch Cyberkriminelle, die mit immer raffinierteren Methoden agieren. Besonders im Fokus steht aktuell die Malware Androxgh0st, die durch ihre Integration in das Mozi-Bot-Netz erheblich an Reichweite und Angriffskraft gewonnen hat. Gleichzeitig halten sich altbekannte Bedrohungen wie die mobilen Malwares Joker und Anubis hartnäckig in der Sicherheitslandschaft.

Die Integration von Androxgh0st in das Mozi-Bot-Netz

Androxgh0st, eine Malware, die Schwachstellen auf IoT-Geräten und Webservern ausnutzt, hat sich durch die Integration in das Mozi-Bot-Netz zu einer noch bedrohlicheren Gefahr entwickelt. Mozi gilt weltweit als eines der aktivsten Bot-Netze und steht auf Platz 1 der am meisten verbreiteten Malware-Typen. Androxgh0st profitiert von den Taktiken und der Reichweite Mozis und hat seine Angriffsfähigkeiten auf kritische Infrastrukturen ausgeweitet.

Die Security-Experten von Check Point stellten fest, dass die Malware gezielt Schwachstellen zur Remote-Code-Ausführung ausnutzt und Anmeldeinformationen stiehlt. Dies ermöglicht den Angreifern nicht nur Zugriff auf die Systeme, sondern auch die Vorbereitung von DDoS-Angriffen und Datendiebstahl zu einem späteren Zeitpunkt. Die Angriffe auf kritische Infrastrukturen, darunter IoT-Geräte und Webserver, ziehen gravierende Kaskadeneffekte nach sich. Die Infizierung und Kontrolle einer breiteren Basis von IoT-Geräten steigert das Gefahrenpotenzial erheblich – ein wachsendes Risiko für Regierungen, Unternehmen und Einzelpersonen, die auf diese Infrastrukturen angewiesen sind.

Die Bedrohungslage in Deutschland

In Deutschland zeichnet sich ein leicht anderes Bild als auf globaler Ebene ab. Während Androxgh0st weltweit als eine der größten Bedrohungen gilt, bleibt der Infostealer Formbook hierzulande Spitzenreiter. Formbook verursacht rund 18,5 % aller Malware-Infektionen in Deutschland. Auf Platz 2 folgt der Schadsoftware-Downloader CloudEye mit 12,8 %, während Androxgh0st aktuell Platz 3 belegt und etwa 4,5 % der Malware-Infektionen ausmacht.

Top 3 Malware in Deutschland:

  1. Formbook (18,51 %): Ein Infostealer für Windows-Systeme, der Anmeldeinformationen sammelt, Tastenanschläge überwacht und Dateien herunterladen kann.
  2. CloudEye (12,83 %): Ein Downloader, der zur Verbreitung weiterer Schadsoftware genutzt wird.
  3. Androxgh0st (4,28 %): Eine Malware, die sensible Informationen wie AWS-Schlüssel und SMTP-Daten stiehlt und mehrere Sicherheitslücken ausnutzt.

Mobile Malware: Joker und Anubis bleiben dominant

Im Bereich der mobilen Bedrohungen dominieren die bekannten Schädlinge Joker und Anubis die Rangliste. Joker, eine Android-Spyware, bleibt an der Spitze und ist vor allem dafür bekannt, SMS-Nachrichten, Kontakte und Geräteinformationen zu stehlen. Besonders gefährlich ist die Fähigkeit der Malware, Premiumdienste stillschweigend zu abonnieren und damit finanzielle Verluste bei den Opfern zu verursachen. Der Banking-Trojaner Anubis steht auf Platz 2 und hat im Laufe der Zeit zusätzliche Funktionen wie Keylogging, Remote Access und sogar Ransomware-Funktionalität erhalten. Besonders besorgniserregend ist, dass Anubis in Hunderten von Apps im Google Play Store entdeckt wurde.

Top 3 Mobile Malware:

  1. Joker: Android-Spyware, die Geräteinformationen stiehlt und Premium-Abonnements stillschweigend abschließt.
  2. Anubis: Ein Banking-Trojaner mit Keylogging-, Fernzugriffs- und Ransomware-Funktionen.
  3. Necro: Ein Android-Trojaner-Dropper, der weitere Malware installiert und Premium-Abos belastet.

Ransomware: RansomHub dominiert die Szene

Bei den aktivsten Ransomware-Gruppen zeichnet sich ein klarer Trend ab. RansomHub, ein Ransomware-as-a-Service (RaaS)-Anbieter, verantwortet derzeit rund 16 % der weltweiten Ransomware-Angriffe. RansomHub hat sich als Nachfolger der Knight-Ransomware etabliert und fokussiert sich auf Angriffe gegen verschiedene Plattformen wie Windows, macOS, Linux und VMware ESXi. Auf Platz 2 folgt die Akira-Ransomware, die sowohl Windows- als auch Linux-Systeme ins Visier nimmt. Sie verbreitet sich über infizierte E-Mail-Anhänge und Sicherheitslücken in VPN-Endpunkten. Die Dateien der Opfer werden verschlüsselt, wobei die „.akira“-Erweiterung hinzugefügt wird. Platz 3 belegt KillSec3, eine russischsprachige Bedrohungsgruppe, die ebenfalls ein RaaS-Modell betreibt und sich auf den Gesundheits- und Regierungssektor spezialisiert hat.

Top 3 Ransomware-Gruppen:

  1. RansomHub (16 %): Ein aggressives RaaS, das auf alle wichtigen Betriebssysteme zielt und für seine Verschlüsselungstechniken bekannt ist.
  2. Akira (6 %): Verschlüsselt Dateien und verbreitet sich über Sicherheitslücken in VPNs und infizierte E-Mails.
  3. KillSec3 (6 %): Eine Gruppe, die neben Ransomware auch DDoS-Angriffe und andere offensive Dienste anbietet.

Sicherheitslücken: Exploits auf dem Vormarsch

Cyberkriminelle setzen vermehrt auf die Ausnutzung von Schwachstellen, um Systeme zu infiltrieren und Malware zu verbreiten. Besonders häufig wurde im November die Command Injection Over HTTP-Schwachstelle (CVE-2021-43936 und CVE-2022-24086) ausgenutzt. Diese Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auf Zielrechnern auszuführen. Darüber hinaus wurde eine Zunahme von Angriffen beobachtet, die sich die Offenlegung von Informationen aus Git-Repositories sowie die Schwachstellen des ZMap Security Scanners zunutze machen.

Top 3 Sicherheitslücken:

  1. Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) : Ermöglicht Remote-Code-Ausführung durch speziell gestaltete Anfragen.
  2. Offenlegung von Informationen aus Git-Repositories: Führt zur unbeabsichtigten Preisgabe sensibler Daten.
  3. ZMap Security Scanner (CVE-2024-3378) : Ein Tool, das Schwachstellen auf Zielservern erkennt und potenzielle Angriffsflächen aufzeigt.

Fazit: Cyber-Resilienz ist entscheidend

Die Bedrohungslandschaft entwickelt sich kontinuierlich weiter, und Angreifer nutzen verstärkt Schwachstellen sowie automatisierte Bot-Netze wie Mozi zur Verbreitung von Malware. Die zunehmende Integration von Androxgh0st in bestehende Bot-Netzwerke zeigt, dass Cyberkriminelle ihre Angriffe immer gezielter und effektiver gestalten.

Maya Horowitz, VP of Research bei Check Point Software, betont die Dringlichkeit für Unternehmen, auf diese Entwicklungen zu reagieren: „Der Anstieg von Androxgh0st und die Integration von Mozi verdeutlichen, wie flexibel und anpassungsfähig Cyber-Bedrohungen geworden sind. Unternehmen müssen schnell handeln und auf robuste Sicherheitsmaßnahmen setzen, um diesen Gefahren entgegenzuwirken.“ Regierungen, Organisationen und Privatpersonen sind gleichermaßen gefordert, ihre Sicherheitsstrategien zu aktualisieren, Schwachstellen proaktiv zu schließen und durch Schulungen ein verstärktes Bewusstsein für Cyber-Risiken zu schaffen. Nur so lässt sich die wachsende Bedrohung durch Malware wie Androxgh0st, Joker und Ransomware-Gruppen wie RansomHub effektiv eindämmen.