Check Point Global Threat Index
Cryptomining-Angriffe auf Apple-Geräte nehmen zu
Most Wanted Malware im September 2018
Die Security Forscher von Check Point haben bei Angriffen mit Cryptomining-Malware auf iPhones einen Anstieg von fast 400 Prozent festgestellt. Die Attacken konzentrierten sich in den letzten beiden Septemberwochen vor allem auf Nutzer des Safari-Browsers. Hierbei wurde die Mining-Software Coinhive eingesetzt, die im September 2017 erstmals auftrat und bereits zwei Monate später auf Platz 1 des Threat Indexes stand.
Check Points Global Threat Index zeigt einen fast vierfachen Anstieg von Cryptomining-Malware-Attacken auf iPhone-Nutzer
Krypto-Mining bleibt daher eine wichtige Cyberbedrohung. Anzumerken ist außerdem, dass bei den Angriffen auf die Apple-Geräte keine neuen Angriffsvektoren genutzt wurden. Der Grund für diesen Trend ist zwar noch nicht bekannt, sollte Unternehmen allerdings zu denken geben, sind Mobilgeräte ein oft vernachlässigtes Element in den Unternehmensnetzwerken. Umso wichtiger ist es, dass Mobilgeräte mithilfe einer umfassenden Threat-Prevention-Lösung geschützt werden, um nicht länger ein Einfallstor in die Sicherheitsstruktur eines Unternehmens darzustellen.
Coinhive kompromittiert 19 Prozent der Organisationen weltweit. Erneut dominieren Cryptominer den Bedrohungsindex. Dorkbot blieb wie auch im Vormonat auf Rang 2 mit einem weltweiten Anteil von sieben Prozent. Dieser Wurm stiehlt sensible Daten und startet Denial-of-Service-Angriffe.
Die Top 10 der ‘Most Wanted’ Malware im September 2018
- ↔ Coinhive: Cryptominer, der entwickelt wurde, um die Kryptowährung Monero online, ohne Wissen oder Zustimmung des Nutzers, zu schürfen, sobald dieser eine infizierte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer, um Coins zu schürfen, und kann außerdem für einen Systemausfall sorgen.
- ↔ Dorkbot: Wurm, der Remote-Code-Ausführung sowie das Downloaden zusätzlicher Malware in das infizierte System erlaubt.
- ↑ Cryptoloot: Cryptominer, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt. Ein Konkurrent von Coinhive, der durch geringeres Lösegeld versucht, den bekannteren Crypotminer auszustechen.
- ↔ Andromeda: Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren. Es kann modifiziert werden, um verschiedene Botnetz-Typen zu kreieren.
- ↔ Jsecoin: JavaScript-Miner, der in Webseiten eingebettet werden kann. Besucher einer Jsecoin-Webseite stellen einen Teil ihrer CPU-Ressourcen im Austausch gegen eine werbefreie Nutzung der Homepage zur Verfügung.
- ↑ Roughted: Großflächiger Malvertising-Vertreter, der für viele bösartige Webseiten und Payloads, wie Scams, Adware, Exploits und Ransomware verantwortlich ist. Er kann für Angriffe auf alle Arten von Plattformen und Betriebssystemen eingesetzt werden und nutzt die Umgehung von Werbeblockern und Fingerprinting, um sicherzustellen, dass der relevanteste Angriff verbreitet wird.
- ↓ Ramnit: Banking-Trojaner, der nach Banking-Zugangsdaten, FTP-Passwörtern, Session-Cookies und persönlichen Daten sucht und diese kopiert.
- ↓ XMRig: XMRig ist eine Open-Source CPU-Mining-Software, die zum Schürfen der Kryptowährung Monero eingesetzt wird und im Internet erstmals im May 2017 auftrat.
- ↔ Conficker: Ein Wurm, der Remote-Operations und Malware-Download zulässt. Die infizierte Maschine wird von einem Botnetz gesteuert, das über die Kommunikation mit seinem Command-&-Control-Server weitere Anweisungen erhält.
- ↑ Emotet: Emotet ist ein Trojaner, der Windows-Plattformen angreift. Diese Malware versendet Systeminformationen zu mehreren Control-Servern und kann Konfigurationsdateien und andere Komponenten herunterladen. Offensichtlich richtet er sich gegen Kunden von bestimmten Banken und hookt mehrere APIs, um den Netzwerkverkehr zu überwachen und zu protokollieren. Die Malware erzeugt ein Register für Ausführungsschlüssel, um nach einem Systemneustart fortfahren zu können.
Lokibot, ein Banking-Trojaner für Android und Beschaffer von Informationen ist die beliebteste Malware für Angriffe auf die mobilen Geräte von Unternehmen, gefolgt von Lotoor und Triada.
Die Top 3 der “Most Wanted” Mobile Malware im September
- Lokibot: Banking-Trojaner für Android und Beschaffer von Informationen, der auch als Ransomware-Tool genutzt werden kann. Das betroffene Smartphone wird im Falle eines Entzuges der Administratorenrechte verschlüsselt.
- Lotoor: Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Privilegien auf kompromittierten Mobilgeräten zu erlangen.
- Triada: Malware-Modulefür Android, die Superuser-Privilegien zum Download der Malware gewährt um ihr bei der Einbettung in Prozesse zu helfen. Triada wurde auch beim Spoofen von in den Browser geladenen URLS entdeckt.
Die Sicherheitsforscher von Check Point analysierten auch die am meisten ausgenutzten Cyber-Schwachstellen. CVE-2017-7269 ist zum siebten Mal hintereinander die Top-Schwachstelle, von der weltweit 48 Prozent der Organisationen betroffen waren. An zweiter Stelle folgt CVE-2016-6309 mit einem globalen Anteil von 43 Prozent, dicht gefolgt von der PHPMyAdmin Misconfiguration Code Injection bei Web-Servern, die 42 Prozent der Organisationen kompromittierte.
Die Top 3 der ‘Most Exploited’ Schwachstellen im September
- ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) : Angreifer können durch das Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist.
- ↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) : In der OpenSSL-Funktion tls_get_message_body wurde eine Use-After-Free-Schwachstelle gefunden. Ein entfernter, nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er dem angreifbaren Server eine spezifische Nachricht sendet. Ist dieses Vorgehen erfolgreich, wird dem Angreifer ermöglicht auf dem System einen beliebigen Code auszuführen.
- ↑ Web servers PHPMyAdmin Misconfiguration Code Injection: Es wurde eine Code-Injection-Schwachstelle in PHPMyAdmin gemeldet. Die Schwachstelle geht auf die PHPMyAdmin-Fehlkonfiguration zurück. Ein externer Angreifer kann diese Schwachstelle über die Zusendung einer spezifischen http-Anfrage an sein Zielobjekt nutzen.
Check Points Global Threat Impact Index und die ThreatCloud Map werden von Check Points ThreatCloud Intelligence, dem größten Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, betrieben. Bedrohungsdaten und Angriffstrends werden aus einem weltweiten Netz von Bedrohungssensoren gewonnen. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über elf Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.