Malware Ranking Mai 2022

Bildungswesen und Forschung werden in Deutschland am häufigsten attackiert

, San Carlos, Check Point | Autor: Herbert Wieler

Bildungswesen und Forschung werden in Deutschland am häufigsten attackiert

Top Malware im Mai 2022

In der Tabelle von Check Point Research bleibt derweil Emotet auch im Mai 2022 unangefochten an der Spitze. Dahinter stehen Formbook und Qbot.

Check Point hat den Global Threat Index für Mai 2022 veröffentlicht. Emotet bleibt an der Spitze und traf 8,16 Prozent aller deutschen, von Check Point erfassten, Unternehmen und Behörden – ein winziger Rückgang im Vergleich zum April. Formbook steht als Infostealer auf Platz zwei, Qbot als Banking-Trojaner auf Platz drei.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

Weltweit dagegen sorgt der Snake Keylogger für Aufmerksamkeit. Aus diesem Grund warnt Maya Horowitz, VP Research bei Check Point :

„Wie die jüngsten Snake-Keylogger-Kampagnen zeigen, sind Nutzer bei allem, was sie im Internet tun, dem Risiko eines Cyber-Angriffes ausgesetzt. Viren und bösartiger ausführbarer Code können in Multimedia-Inhalten und Links lauern, wobei die Malware, in diesem Fall der Snake Keylogger, zur Attacke bereit ist, sobald ein Benutzer die schädliche PDF-Datei öffnet. Genauso wie Anwender die Legitimität eines docx- oder xlsx-E-Mail-Anhangs in Frage stellen würden, müssen diese daher auch bei PDFs die gleiche Vorsicht walten lassen. Es war für Unternehmen nie so wichtig, über eine robuste E-Mail-Sicherheitslösung zu verfügen, die Anhänge unter Quarantäne stellt und dort prüft, um zu verhindern, dass bösartige Dateien überhaupt in das Netzwerk gelangen.“

Top 3 Most Wanted Malware für Deutschland:

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat. Emotet steht weiterhin auf Platz Eins. Platz Zwei übernimmt Formbook und Drei belegt Qbot.

  1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↑ Formbook – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Ausweichtechniken kennt und einen recht niedrigen Preis kostet. FormBook sammelt und stiehlt Anmeldeinformationen von verschiedenen Webbrowsern, macht Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.
  3. ↑ Qbot – Qbot, auch bekannt als Qakbot, ist ein Banking-Trojaner, der erstmals im Jahr 2008 auftauchte. Qbot wird häufig über Spam-E-Mails verbreitet und nutzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und die Erkennung zu umgehen.

Die Top 3 Most Wanted Schwachstellen:

In diesem Monat ist Web Servers Malicious URL Directory Traversal die am häufigsten ausgenutzte Schwachstelle, von der 46 Prozent der Unternehmen weltweit betroffen sind, gefolgt von Apache Log4j Remote Code Execution (CVE-2021-44228), die ebenfalls 46 Prozent der Unternehmen weltweit betrifft. Web Server Exposed Git Repository Information Disclosure rutscht mit einer weltweiten Auswirkung von 45 Prozent auf den dritten Platz.

  1. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Auf verschiedenen Webservern gibt es eine Schwachstelle bei der Pfadfindung von Verzeichnissen. Die Schwachstelle ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URL für die Pfadfindungsmuster nicht richtig bereinigt. Eine erfolgreiche Ausnutzung erlaubt es Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
  2. ↔ Apache Log4j Remote Code Execution (CVE-2021-44228) – Es gibt eine Schwachstelle in Apache Log4j, welche die Ausführung von schädlichem Code durch einen Angreifer nach Belieben ermöglicht.
  3. ↓ Web Server Exposed Git Repository Information Disclosure – Es wurde eine Schwachstelle in Git Repository gemeldet, durch die Informationen offengelegt werden. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.

Die Top 3 Most Wanted Mobile Malware:

In diesem Monat ändert sich nichts: AlienBot die am häufigsten verbreitete mobile Malware. FluBot und xHelper folgen.

  1. ↔ AlienBot – Bei der AlienBot-Malware-Familie handelt es sich um eine Malware-as-a-Service (MaaS) für Android-Geräte, die es einem Angreifer ermöglicht, in einem ersten Schritt verbrecherischen Code in legitime Finanz-Anwendungen zu schleusen. Der Angreifer verschafft sich Zugang zu den Konten der Opfer und übernimmt schließlich die vollständige Kontrolle über deren Gerät.
  2. ↔ FluBot – FluBot ist eine Android-Malware, die über Phishing-SMS-Nachrichten (Smishing) verbreitet wird, die sich meist als Logistik-Lieferanten ausgeben. Sobald der Benutzer auf den Link in der Nachricht klickt, wird er zum Download einer gefälschten Anwendung weitergeleitet, die FluBot enthält. Nach der Installation verfügt die Malware über verschiedene Funktionen zum Sammeln von Anmeldedaten und zur Unterstützung der Smishing-Operation selbst, einschließlich des Hochladens von Kontaktlisten und des Versendens von SMS-Nachrichten an andere Telefonnummern.
  3. ↔ xHelper – Eine Mobile-Malware, die seit März 2019 auftritt und zum Herunterladen anderer verseuchter Apps und zur Anzeige von Werbung verwendet wird. Die Anwendung ist in der Lage, sich vor dem Benutzer zu verstecken und kann sich sogar selbst neu installieren, wenn sie deinstalliert wurde.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland:

  1. ↑ Bildung/Forschung.
  2. ↓ Software Vendor (Software-Anbieter).
  3. ↔ ISP/MSP.

Der Global Threat Impact Index von Check Point und seine ThreatCloud Map basieren auf der ThreatCloud-Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone gesammelt werden. Angereichert wird diese Datenbank durch KI-basierte Engines und exklusive Forschungsdaten von Check Point Research, der Intelligence-&-Research-Abteilung von Check Point Software Technologies.