Check Point Top Malware
Mobile Malware Necro nach Update noch heimtückischer
Check Point hat seinen Global Threat Index für Oktober 2024 veröffentlicht . Im Fokus steht die Zunahme von Infostealern und die Raffinesse der von Hackern eingesetzten Angriffsmethoden.
Der Bedrohungsindex zeigt einen deutlichen Anstieg von Infostealern, wie Lumma Stealer, während der Trojaner-Dropper Necro nach einer Aktualisierung noch gefährlicher geworden ist
In Deutschland blieben die Machtverhältnisse unter den bekannten Malware-Ausläufern stabil: Formbook war weiterhin die aktivste Malware, machte jedoch nur noch 12 Prozent der von Check Point beobachteten Infektionen aus – ein Rückgang um rund 9 Prozentpunkte zum Vormonat. Auf Platz zwei und drei halten sich Androxgh0st mit 4,5 Prozent und FakeUpdates mit 3,4 Prozent bei weitestgehend unveränderten Verbreitungsraten. Die größte Veränderung beobachteten die Sicherheitsforscher bei den Sektoren: Hier liegen nun Versorgungsunternehmen auf Platz drei (zuvor war hier der Transport-Sektor gelistet) hinter der Kommunikationsbranche auf Platz zwei und dem Bildungs- und Forschungssektor weiterhin an der Spitze.
Letzten Monat entdeckten die Experten eine Infektionskette, bei der gefälschte CAPTCHA-Seiten zur Verbreitung der Lumma-Stealer-Malware genutzt werden. In Check Points globalem Ranking saß der Stealer zuletzt auf dem vierten Platz der meistverbreiteten Malwares. Die Kampagne zeichnet sich durch ihre globale Reichweite aus und betrifft mehrere Länder über zwei primäre Infektionsvektoren: einer davon über geknackte URLs zum Herunterladen von Videospielen und der andere über Phishing-E-Mails, die als neuartiger Angriffsvektor auf GitHub-Benutzer abzielen. Der Infektionsprozess verleitet die Opfer dazu, ein bösartiges Skript auszuführen, das in die Zwischenablage kopiert wird. Die Vorgehensweise zeugt von der zunehmenden Verbreitung von Infostealern zum Klau von sensiblen Daten aus infizierten Systemen.
RansomHub nutzt neuartige Fernverschlüsselung für Datenerpressung
Wie bereits kürzlich im Ransomware Report von Check Point angedeutet, ist RansomHub die derzeit berüchtigtste Gruppe in Sachen Datenerpressung. Die Erfolgsquote von RansomHub liegt vor allem darin begründet, dass sie sich der fortschrittlichen Methode der Fernverschlüsselung bedienen. Diese gefährliche Innovation wurde von Check Point erstmals im vergangenen Jahr beobachtet und hat sich im Jahr 2024 rasant ausgebreitet. Dem Angreifer reicht bei dieser Taktik ein einziger ungeschützter Endpunkt, beispielsweise ein Mobiltelefon, um Daten auf anderen Geräten im selben Netzwerk zu verschlüsseln. Die Hacker rufen dabei die Daten über das ungeschützte Gerät ab, verschlüsseln sie und ersetzen die Originaldateien durch die verschlüsselten.
Der Clou: Bisher versuchten Hacker, die Dateien direkt vom verwalteten und geschützten Endpunkt aus zu verschlüsseln. Bei einer Fernverschlüsselung wird keine Malware/Ransomware direkt auf dem verschlüsselten Gerät ausgeführt, sondern nur auf dem einen, infizierten Endpunkt. Von dort erfolgt die Verschlüsselung im restlichen Netzwerk. Die Cyber-Kriminellen müssen keine Ransomware mehr durch die Netzwerke hüpfen lassen. Angreifer suchen daher im Unternehmensnetzwerk ungesicherte Geräte oder Server, und führen von diesem Gerät die Verschlüsselung im gesamten Netzwerk aus. Das bedeutet, dass mehrere Geräte/Server im Netzwerk ohne eine geeignete Endpunktlösung ein erhebliches Risiko für das gesamte Netzwerk darstellen. Da die betroffenen Geräte ungesichert sind, ist es erheblich schwerer, diese Angriffe zu erkennen und unschädlich zu machen.
Im Bereich der mobilen Malware ist die neue Version von Necro noch perfider in ihren Methoden geworden und rangiert global auf Platz zwei der mobilen Malware-Typen. Necro hat verschiedene beliebte Anwendungen infiziert, darunter Spielmodifikationen, die auf Google Play verfügbar sind, und erreicht damit insgesamt über 11 Millionen Android-Geräte. Die Malware verwendet Verschleierungstechniken, um der Erkennung zu entgehen, und nutzt Steganografie, das ist die Praxis, Informationen in einer anderen Nachricht oder einem physischen Objekt zu verbergen, um der Erkennung zu entgehen und schadhafte Nutzlasten zu verbergen. Einmal aktiviert, kann sie Anzeigen in unsichtbaren Fenstern einblenden, mit ihnen interagieren und sogar Opfer für kostenpflichtige Dienste anmelden – ein weiteres der zahlreichen Beispiele für die rasant fortschreitenden Taktiken der Angreifer zur Monetarisierung ihrer Operationen.
Maya Horowitz, Vice President of Research bei Check Point Software Technologies, kommentierte die aktuelle Bedrohungslandschaft wie folgt: „Die Zunahme hochentwickelter Infostealer zeigt eine neue Realität: Cyber-Kriminelle entwickeln ihre Methoden ständig weiter und nutzen innovative Angriffsvektoren. Um diesen anhaltenden Herausforderungen wirksam zu begegnen, müssen Organisationen über die traditionellen Abwehrmaßnahmen hinausblicken und adaptive-präventive Sicherheitsmaßnahmen ergreifen, die neu auftretende Bedrohungen bestmöglich vorhersehen.“
Top-Malware in Deutschland
Die Pfeile beziehen sich auf die Rangänderung im Vergleich zum Vormonat.
- ↔ Formbook (12,01 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.
- ↔ Androxgh0st (4,52 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
- ↔ FakeUpdates (3,4 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Meist angegriffene Branchen und Sektoren in Deutschland
- ↔ Bildung/Forschung
- ↔ Kommunikation
- ↑ Versorgungsunternehmen
Top Mobile Malware
In diesem Monat belegte Joker den ersten Platz bei der am weitesten verbreiteten Mobile Malware, gefolgt von Necro und Anubis.
- ↔ Joker – Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.
- ↑ Necro – Necro ist ein Android-Trojaner-Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, indem er kostenpflichtige Abonnements belastet.
- ↓ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, Audioaufzeichnungsfunktionen und verschiedene Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von „Shame Sites“ für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe und für 17 % der veröffentlichten Angriffe verantwortlich, gefolgt von Play mit 10 % und Meow mit 5 %.
- RansomHub – RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.
- Play – Play Ransomware, auch bekannt als PlayCrypt, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie sich im System befinden, nutzen sie Techniken wie „Living-off-the-land binaries (LOLBins)“ für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldedaten.
- Meow – Meow Ransomware ist eine Variante, die auf der Conti-Ransomware basiert. Diese ist dafür bekannt, dass sie eine Vielzahl von Dateien auf kompromittierten Systemen verschlüsselt und die Erweiterung „.MEOW“ an sie anhängt. Sie hinterlässt eine Lösegeldforderung mit dem Namen „readme.txt“, in der die Opfer angewiesen werden, sich per E-Mail oder Telegramm an die Angreifer zu wenden, um Lösegeldzahlungen auszuhandeln. Meow Ransomware verbreitet sich über verschiedene Vektoren, darunter ungeschützte RDP-Konfigurationen, E-Mail-Spam und böswillige Downloads, und verwendet den ChaCha20-Verschlüsselungsalgorithmus, um Dateien zu sperren, mit Ausnahme von „.exe“- und Textdateien.
Am meisten ausgenutzte Sicherheitslücken
- ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es gibt eine Schwachstelle bei der Verzeichnisdurchquerung auf verschiedenen Webservern. Die Schwachstelle ist auf einen Fehler bei der Eingabevalidierung in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern aus der Ferne, beliebige Dateien auf dem anfälligen Server offenzulegen oder darauf zuzugreifen.
- ↓ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen.
- ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – In Zyxel ZyWALL besteht eine Sicherheitslücke durch Befehlseinschleusung. Eine erfolgreiche Ausnutzung dieser Sicherheitslücke würde es Angreifern ermöglichen, beliebige Betriebssystembefehle im betroffenen System auszuführen.