Malware Ranking
Check Point Malware Ranking: Zunahme von KI-gestützter Malware
Der Global Threat Index von Check Point für September 2024 hebt Formbook als die am häufigsten verbreitete Malware in Deutschland hervor, die 21,2 % aller Infektionen ausmacht. Formbook, ein Infostealer, wurde erstmals 2016 entdeckt und zielt auf Windows-Systeme ab. Es wird in Hackerforen als „Malware as a Service“ (MaaS) verkauft und ist für seine Verschleierungstechniken bekannt. Zu den Funktionen gehören das Sammeln von Anmeldedaten aus Browsern, das Erstellen von Screenshots, das Aufzeichnen von Tastatureingaben und das Herunterladen von Dateien. Damit löste es CloudEye, das im August noch dominierte, ab.
Auf den Plätzen zwei und drei der aktivsten Malware in Deutschland folgen Androxgh0st mit 4,6 % und FakeUpdates mit 3,3 %. Androxgh0st ist ein Botnetz, das plattformübergreifend auf Windows, macOS und Linux abzielt. Es nutzt bekannte Schwachstellen in Programmen wie PHPUnit, dem Laravel-Framework und dem Apache-Webserver aus, um sensible Informationen wie Twilio-Kontodaten oder AWS-Schlüssel zu stehlen. FakeUpdates, auch bekannt als SocGholish, ist ein schädlicher Downloader, der in JavaScript geschrieben ist und oft zur Verbreitung weiterer Malware wie GootLoader, Dridex oder AZORult dient.
Ein weiterer bedeutender Trend im September 2024 ist der verstärkte Einsatz von KI-gesteuerter Malware. Ein bemerkenswertes Beispiel ist die Entdeckung eines von Hackern mit KI erstellten Skripts, das die AsyncRAT-Malware verbreitet. Diese Malware rangiert nun auf Platz 10 der weltweit aktivsten Bedrohungen. AsyncRAT ermöglicht es Angreifern, Tastenanschläge aufzuzeichnen, Geräte aus der Ferne zu steuern und zusätzliche Malware zu installieren. Der Einsatz von KI zeigt, dass Cyberkriminelle immer weniger technische Fähigkeiten benötigen, um effektive Malware zu erstellen.
Maya Horowitz, VP of Research bei Check Point, betont, dass die Nutzung von KI in der Cyberkriminalität die ständige Weiterentwicklung der Angriffstechniken widerspiegelt. Sie warnt Unternehmen, dass es entscheidend sei, präventive Sicherheitsmaßnahmen zu ergreifen und ihre Teams in Cybersicherheit zu schulen, um solchen Bedrohungen effektiv entgegenzuwirken.
In Deutschland war neben der Malware auch das Transportwesen im September wieder besonders im Fokus von Cyberangriffen, nachdem es zuletzt etwas aus dem Visier der Hacker geraten war. Das Bildungssystem und die Kommunikationsbranche blieben unverändert die meist angegriffenen Sektoren. Auf der globalen Ebene zeigt der Bericht, dass Ransomware weiterhin eine dominierende Bedrohung darstellt. RansomHub führte im September die Liste der aktivsten Ransomware-Gruppen an und war für 17 % der veröffentlichten Angriffe verantwortlich. RansomHub ist ein „Ransomware-as-a-Service“-Dienst, der sich durch seine ausgeklügelten Verschlüsselungsmethoden auszeichnet. Besonders bekannt ist RansomHub für Angriffe auf VMware-ESXi-Umgebungen. Die Play-Ransomware, die 2022 erstmals auftauchte, belegte den zweiten Platz. Sie nutzt Schwachstellen wie die in Fortinet SSL-VPNs aus, um sich Zugang zu Netzwerken zu verschaffen. Qilin, auch als Agenda bekannt, belegte den dritten Platz. Diese Gruppe ist spezialisiert auf Angriffe auf große Unternehmen und Organisationen, insbesondere im Gesundheits- und Bildungssektor.
Auch die mobile Malware nahm im September nicht ab. Die Android-Malware Joker führte die Liste der am weitesten verbreiteten mobilen Bedrohungen an. Joker stiehlt SMS-Nachrichten, Kontaktlisten und Geräteinformationen und meldet betroffene Nutzer unbemerkt bei Premium-Diensten an. An zweiter Stelle rangiert Anubis, eine Banking-Trojaner-Malware, die Funktionen eines Keyloggers, eines Remote-Access-Trojans und Ransomware enthält. Hiddad, eine Android-Malware, die legitime Apps neu verpackt und mit Werbung versieht, belegte Platz drei.
Im Bereich der Schwachstellen waren Command-Injection-Angriffe (CVE-2021-43936 und CVE-2022-24086) am weitesten verbreitet. Diese Schwachstellen ermöglichen es Angreifern, über manipulierte HTTP-Anfragen beliebigen Code auf den betroffenen Geräten auszuführen. Eine zweite verbreitete Schwachstelle betraf Verzeichnisdurchquerung auf Webservern (CVE-2010-4598 u. a.), den Angreifern den Zugriff auf sensible Dateien erlaubt. Auch Remote-Code-Ausführung über HTTP-Header (CVE-2020-10826 u. a.) zählte zu den am häufigsten ausgenutzten Schwachstellen.
Der September-Bericht von Check Point hebt also mehrere zentrale Trends hervor: die wachsende Bedeutung von KI in der Malware-Entwicklung, die ungebrochene Bedrohung durch Ransomware und den fortgesetzten Fokus auf mobile Malware. Unternehmen sind mehr denn je gefordert, ihre Sicherheitsstrategien zu aktualisieren und auf die veränderten Bedrohungen zu reagieren.