Top Malware Ranking April 21

Check Point veröffentlicht Top Malware für April 2021

, San Carlos, Check Point | Autor: Herbert Wieler

Check Point veröffentlicht Top Malware für April 2021

Bot-Netze und Banking-Trojaner

Laut Check Points Security-Forscher waren im April in Deutschland vor allem Trickbot, Qbot und Dridex sehr tätig. Die hohe Beliebtheit von modularen Banking-Trojanern unter Hackern hält also an.

Security-Anbieter Check Point hat den Global Threat Index für April 2021 veröffentlicht. Weiterhin ringen verschiedene Kandidaten darum, wer nach der Zerschlagung des Emotet-Botnets im Januar in dessen Fußstapfen treten wird. Im März kam mit IcedID ein Neuling hinzu, der bereits wieder die Segel streichen musste, denn ein alter Bekannter, Trickbot, schob sich auf Platz eins, während Qbot und Dridex die Plätze zwei und drei besetzt halten. Damit zeigt sich sehr deutlich: Der Trend in der Szene der Cyber-Kriminellen verharrt bei modularen Banking-Trojanern, die ein umfangreiches Bot-Netz im Schlepptau haben und mehr können, als nur Bank-Daten stehlen, sondern auch Hintertüren für andere Malware, wie Ransomware, öffnen.

Dridex wurde dabei im Zuge der QickBook-Spam-Kampagne verbreitet. Hacker missbrauchten den Markennamen für Phishing, um infizierte Excel-Dateien als E-Mail-Anhang zu verschicken. Betreffzeilen drehten sich um Zahlungsaufforderungen und Rechnungen. Darüber hinaus wird modulare Malware derzeit sehr gerne für Ransomware-Kampagnen als Türöffner genutzt. Check Point Research hat weltweit einen starken Anstieg dieser Art von Attacken um 102 Prozent in den ersten Monaten des Jahres 2021 im Vergleich zum selben Zeitraum im Vorjahr beobachtet. In aller Munde ist die kürzlich erfolgte Attacke gegen die Pipeline des US-Konzerns Colonial, doch deren Hacker mussten nun aufgeben – die Pipeline war jedoch längst lahmgelegt worden. Mittlerweile wird geschätzt, dass Ransomware-Attacken alle Unternehmen weltweit zusammen genommen im Jahr rund 16,4 Milliarden Euro (20 Milliarden Dollar) kosten – diese Zahl ist um 75 Prozent höher, als im Jahr 2019. Hinzu kommt eine neue Masche: Nach Doppelter Erpressung verlegen sich manche Gruppen nun auf die Dreifache Erpressung – der getroffenen Firma wird mit der Veröffentlichung gestohlener Daten gedroht, sie erhält eine Lösegeldforderung und durch das Datenleck ebenfalls betroffene Kunden, Partner oder Patienten erhalten über E-Mail ebenfalls kleine Forderungen.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

„Da wir weltweit einen enormen Anstieg von Ransomware-Angriffen beobachten, hängt die Top-Malware dieses Monats natürlich mit dieser Mode zusammen. Im Durchschnitt wird weltweit alle 10 Sekunden eine Organisation das Opfer einer Ransomware,“ erklärt Frau Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point : „In letzter Zeit gab es die Forderung an Regierungen, mehr gegen diese wachsende Bedrohung zu unternehmen, doch es gibt keine Anzeichen für eine Verlangsamung der Angriffswelle. Alle Organisationen müssen sich nun des Risikos bewusst sein und sicherstellen, dass angemessene Anti-Ransomware-Lösungen vorhanden sind. Umfassende Schulungen aller Mitarbeiter sind ebenfalls von entscheidender Bedeutung, damit sie mit den notwendigen Fähigkeiten ausgestattet werden, um die Arten von bösartigen E-Mails zu erkennen, die Dridex und andere Malware verbreiten.“

Top 3 Most Wanted Malware für Deutschland:

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat. Trickbot erobert die Spitze, während Qbot und Dridex die Plätze zwei und drei halten.

  1. ↑ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.
  2. ↔ Qbot – Qbot – auch bekannt als Qakbot oder Pinkslipbot – ist ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
  3. ↔ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Die Top 3 Most Wanted Mobile Malware:

Die Spitze erobert xHelper, auf den zweiten Platz schiebt sich Triada als Rückkehrer und an dritte Stelle fällt Hiddad.

  1. ↑ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
  2. ↑ Triada – Modularer Hintertür-Trojaner gegen Android-Mobilgeräte, der für heruntergeladene Malware den Vollzugriff einrichtet.
  3. ↓ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

Die Top 3 Most Wanted Schwachstellen:

Die Schwachstelle Web Server Exposed Git Repository Information Disclosure erringt mit 46 Prozent weltweiter Auswirkung den ersten Rang. Auf den zweiten fällt sich HTTP Headers Remote Code Execution (CVE-2020-13756) mit 45,5 Prozent. MVPower DVR Remote Code Execution rutscht auf Platz drei mit 44 Prozent.

  1. ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
  2. ↓ HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
  3. ↓ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.