Check Point veröffentlicht Global Threat Index für März

Security-Anbieter Check Point hat seinen aktuellen Global Threat Index für März 2025 veröffentlicht. Die Analyse zeigt: FakeUpdates, auch bekannt als SocGholish, bleibt die am weitesten verbreitete Malware – sowohl in Deutschland als auch weltweit.

Im Fokus der aktuellen Bedrohungslage steht eine neue Angriffskampagne der Ransomware-Gruppe RansomHub, die ihre Attacken mithilfe von FakeUpdates startet. Bereits im Vormonat war diese Downloader-Malware führend im Ranking. Im März fiel sie besonders durch eine ausgeklügelte Angriffskette auf: Kompromittierte Webseiten, betrügerische Keitaro-TDS-Instanzen und täuschend echte Browser-Update-Benachrichtigungen sollten Nutzer dazu verleiten, FakeUpdates herunterzuladen. Der eingesetzte, verschleierte JavaScript-Loader ermöglicht es Angreifern, Daten zu exfiltrieren, Befehle auszuführen und dauerhaften Zugriff auf die Systeme zu behalten.

Cyberkriminelle nutzen dabei zunehmend legitime Plattformen wie Dropbox und TryCloudflare, um ihre Aktivitäten zu verschleiern und die Erkennung durch Sicherheitssysteme zu umgehen.

Parallel dazu entdeckten Sicherheitsforscher eine massive Phishing-Kampagne mit dem Lumma Stealer , die über 1.150 Unternehmen und 7.000 Nutzer in Nordamerika, Südeuropa und Asien ins Visier nahm. Die Angreifer nutzten nahezu 5.000 infizierte PDF-Dateien, gehostet im Content Delivery Network von Webflow, sowie gefälschte CAPTCHA-Bilder, um schädliche PowerShell-Skripte auszuführen. Auch über manipulierte Roblox-Spiele und ein mit Trojanern infiziertes Windows-Tool, verbreitet über kompromittierte YouTube-Kanäle, wurde der Lumma Stealer verteilt.

Maya Horowitz, VP Research bei Check Point Software, warnt: „Cyberkriminelle passen ihre Strategien kontinuierlich an und nutzen zunehmend seriöse Plattformen zur Verbreitung von Malware. Unternehmen müssen wachsam bleiben und in proaktive Sicherheitsmaßnahmen investieren, um sich effektiv zu schützen.“

Top-Malware in Deutschland (März 2025)

Veränderungen gegenüber dem Vormonat mit Pfeilen gekennzeichnet.

1. ↑ FakeUpdates (4,87 %) Als vermeintliches Browser-Update getarnt, verbreitet sich diese Downloader-Malware über manipulierte Webseiten. FakeUpdates wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht und dient häufig dazu, weitere Schadsoftware nachzuladen.
2. ↓ Androxgh0st (2,25 %) Diese Python-basierte Malware greift Anwendungen an, die das Laravel PHP-Framework nutzen, um ungeschützte .env-Dateien mit sensiblen Zugangsdaten (z. B. für AWS, Twilio oder Office 365) auszulesen. Die gestohlenen Informationen können für weitere Angriffe verwendet werden.
3. ↔ AsyncRAT (1,48 %) Ein Remote-Access-Trojaner (RAT), der seit 2019 bekannt ist und über Phishing-Kampagnen verbreitet wird. Er ermöglicht umfangreiche Systemkontrolle und wird primär für Spionage und Datendiebstahl eingesetzt.

Am häufigsten angegriffene Branchen in Deutschland:

1. ↔ Bildung – weiterhin der meistattackierte Sektor.
2. ↑ Telekommunikation – gewinnt an Bedeutung im Visier der Angreifer.
3. ↔ Biotechnologie & Pharmazie – bleibt konstant unter den Top 3.

Top Mobile Malware (März 2025):

1. ↔ Anubis – Ein gefährlicher Banking-Trojaner für Android mit umfassenden Spionagefunktionen, darunter OTP-Abgriff, Audioaufzeichnung und Ransomware-Funktionalitäten.
2. ↔ Necro – Ein Android-Downloader, der über modifizierte Apps schädliche Komponenten nachlädt und betroffene Geräte in Proxy-Botnetze einbindet.
3. ↔ AhMyth – Tarnt sich als legitime App und verschafft sich weitreichenden Zugriff auf Android-Geräte. Die Malware kann unter anderem Kamera und Mikrofon steuern sowie Zugangsdaten stehlen.

Aktive Ransomware-Gruppen (basierend auf „Shame Sites“):

1. RansomHub (12 % der gemeldeten Angriffe) Eine Ransomware-as-a-Service (RaaS), die aus der früheren Knight-Ransomware hervorgegangen ist. Ziel sind unter anderem VMware ESXi-Umgebungen.
2. Qilin / Agenda (6 %) Seit 2022 aktiv, spezialisiert auf Phishing-Angriffe und gezielte Verschlüsselung in kritischen Infrastrukturen wie Gesundheits- und Bildungswesen.
3. Akira (6 %) Nutzt Sicherheitslücken, etwa in VPN-Endpunkten, um Windows- und Linux-Systeme zu kompromittieren und Dateien zu verschlüsseln. Die betroffenen Dateien erhalten die Endung „.akira“.