Bildungs- und Gesundheitssektor besonders betroffen

Check Point hat seinen Global Threat Index für Februar 2025 veröffentlicht. Die Analyse zeigt erneut deutliche Verschiebungen in der deutschen Bedrohungslandschaft. Während im Januar noch der Infostealer Formbook mit 16,5 Prozent dominierte, ist dieser nun komplett aus den Top 3 verschwunden. Stattdessen haben sich neue Bedrohungen an die Spitze gesetzt: FakeUpdates und AsyncRAT. Letzterer ist ein Remote Access Trojaner (RAT), der zunehmend Systeme kompromittiert – auch über Deutschlands Grenzen hinaus. Die am häufigsten verbreitete Malware in Deutschland war im Februar Androxgh0st, eine Python-basierte Schadsoftware, die Backdoor-Verbindungen herstellt und auch für das Mining von Kryptowährungen eingesetzt wird.

Sicherheitsanalysten von Check Point Research (CPR) haben festgestellt, dass AsyncRAT verstärkt in gezielten Kampagnen eingesetzt wird. Cyberkriminelle nutzen Plattformen wie TryCloudflare und Dropbox zur Verbreitung der Malware, indem sie Sicherheitsmaßnahmen umgehen und unbemerkt in Zielsysteme eindringen. Die Angriffe starten meist mit Phishing-E-Mails, die Dropbox-URLs enthalten, und setzen sich über einen mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien fort.

Maya Horowitz, VP of Research bei Check Point Software, warnt: „Cyberkriminelle nutzen zunehmend legitime Plattformen zur Verbreitung von Schadsoftware und umgehen so traditionelle Sicherheitsmaßnahmen. Unternehmen sollten daher proaktive Schutzmechanismen implementieren, um sich gegen diese wachsende Bedrohung zu wappnen.“

Die gefährlichste Malware in Deutschland (Februar 2025)

Die Pfeile zeigen die Veränderungen im Vergleich zum Vormonat.

• ↑ Androxgh0st (2,07 %): Diese Python-basierte Malware greift Anwendungen an, die das Laravel PHP-Framework nutzen. Sie sucht nach ungeschützten .env-Dateien, um sensible Zugangsdaten für Cloud-Dienste wie AWS, Twilio und Office 365 zu extrahieren. Zudem ermöglicht sie Backdoor-Zugriffe und den Einsatz zusätzlicher Malware.
• ↑ FakeUpdates (2,04 %): Auch als SocGholish bekannt, handelt es sich hierbei um eine Downloader-Malware, die Nutzer über Drive-by-Downloads zu gefälschten Browser-Updates verleitet. Die Schadsoftware wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht.
• ↑ AsyncRAT (1,83 %): Ein Remote Access Trojaner, der Windows-Systeme infiziert. Er sendet Systeminformationen an einen Command-and-Control-Server und führt schadhafte Befehle aus, darunter das Herunterladen zusätzlicher Plugins, das Beenden von Prozessen und das Anfertigen von Screenshots. AsyncRAT wird meist über Phishing-Kampagnen verbreitet und dient dem Datendiebstahl.

Betroffene Branchen in Deutschland

• ↔ Bildung
• ↑ Gesundheitswesen und Medizintechnik
• ↔ Biotechnologie und Pharmazeutik

Die gefährlichste mobile Malware

• ↔ Anubis: Der Banking-Trojaner bleibt die führende Bedrohung im mobilen Bereich. Er kann Multi-Faktor-Authentifizierung (MFA) umgehen, Keylogging betreiben und sogar Ransomware-Angriffe durchführen.
• ↑ Necro: Ein auf Android spezialisierter Downloader, der Cyberkriminellen ermöglicht, bösartige Komponenten auf infizierten Geräten auszuführen.
• ↓ AhMyth: Ein Remote Access Trojaner für Android-Geräte, der nach wie vor erhebliche Bedrohungen darstellt, jedoch an Verbreitung verloren hat.

Die aktivsten Ransomware-Gruppen

• ↔ Clop: Bleibt mit 35 Prozent aller identifizierten Angriffe die dominierende Ransomware-Gruppe. Sie setzt auf doppelte Erpressung, indem sie gestohlene Daten veröffentlicht, falls kein Lösegeld gezahlt wird.
• ↑ RansomHub: Eine Ransomware-as-a-Service (RaaS)-Operation, die aus der früheren Knight-Ransomware hervorgegangen ist. Sie zielt auf Windows-, macOS- und Linux-Systeme ab.
• ↑ Akira: Diese Gruppe ist auf Windows- und Linux-Systeme spezialisiert und nutzt Phishing-Kampagnen sowie Exploits in VPN-Endpunkten, um Unternehmen anzugreifen.