Threat Report

Most Wanted Malware: Ransomware GandCrab zurück in die Top 3

, San Carlos, Check Point | Autor: Herbert Wieler

Most Wanted Malware: Ransomware GandCrab zurück in die Top 3

Global Threat Index

Check Point® Software Technologies Ltd. (NASDAQ: CHKP), weltweit führender Security-Anbieter von Cybersicherheitslösungen, hat seinen neuesten Global Threat Index für Januar 2019 veröffentlicht. Der Index enthüllt einen neuen Backdoor-Trojaner für Linux-Server, der den XMRig-Krypto-Miner ablöst. Die neue Malware SpeakUp ist in der Lage, jede beliebige Nutzlast bereitzustellen und auf kompromittierten Rechnern auszuführen.

Im aktuellen Global Threat Index von Check Point kehrt GandCrab im Januar 2019 in die Top 3 der Top-Malware-Indexliste zurück

Der neue Trojaner entzieht sich derzeit der Antivirensoftware aller Sicherheitsanbieter. Er wurde durch eine Reihe von Angriffen verbreitet, die auf Befehlen basieren, die er von seinem Kontrollzentrum erhält, einschließlich der 8-beliebtesten Sicherheitslücke, "Command Injection over HTTP". Die Forscher von Check Point sehen SpeakUp als eine große Bedrohung, da es zum Herunterladen und Verbreiten jeglicher Malware verwendet werden kann.

Im Januar führt in Deutschland weiterhin der Krypto-Miner Emotet die Rangliste an. Auch sein Kollege Coinhive ist wieder mit von der Partie und damit zum 14. Mal in Folge unter den großen Drei. Neu kam ein alter Bekannter hinzu: GandCrab, global beinah unbedeutend geworden, schlich sich auf Platz zwei in Deutschland vor. Damit wurde das Thema Ransomware nach kurzer Auszeit wieder wichtig.

Maya Horowitz, Threat Intelligence Group Manager bei Check Point , kommentiert dies so:

Maya Horowitz, Threat Intelligence Group Manager bei Check Point

„Während sich im Januar wenig an den Malwareformen für Unternehmen weltweit geändert hat, beginnen wir, neue Wege zur Verbreitung von Malware zu sehen. Bedrohungen wie diese sind eine deutliche Warnung vor größeren Bedrohungen. Hintertüren wie SpeakUp können der Erkennung entgehen und dann weitere, potenziell gefährlichere Malware an gefährdete Computer verteilen. Da Linux in großem Umfang in Unternehmensservern eingesetzt wird, gehen wir davon aus, dass SpeakUp eine Bedrohung sein wird, die im Laufe des Jahres an Umfang und Schwere zunehmen wird."

Die Top 3 ‘Most Wanted’ Malware im Monat Januar 2019:

Die Pfeile beziehen sich auf die Rangfolgeänderung gegenüber dem Vormonat.

  1. ↔ Emotet – Fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↑ GandCrab – GandCrab ist eine Ransomware, die über das RIG und GrandSoft Exploit Kits sowie E-Mail-Spam vertrieben wird. Der Schädling wird in einem Partnerprogramm betrieben, wobei diejenigen, die dem Programm beitreten, 30 – 40 Prozent der Lösegeldeinnahmen an den GandCrab-Autor zahlen. Im Gegenzug erhalten Affiliates ein vollwertiges Web-Panel und technischen Support.
  3. ↔ Coinhive – Cryptominer, der entwickelt wurde, um Online-Mining der Cryptowährung Monero durchzuführen, während ein Benutzer eine Webseite besucht, ohne dass der Nutzer es merkt, zustimmt oder am Gewinn beteiligt wird. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen. Hiddad, die modulare Hintertür für Android, die Berechtigungen für heruntergeladene Malware vergibt, hat Triada an erster Stelle in der Liste der besten mobilen Malware ersetzt. Lotoor folgt auf Platz zwei, während Triada auf Platz drei gefallen ist.

Die Top 3 ‘Most Wanted’ Mobile Malware im Monat Januar 2019:

  1. ↑ Hiddad – Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist die Anzeige von Werbung, aber sie ist auch in der Lage, Zugriff auf wichtige Sicherheitsdetails zu erhalten, die in das Betriebssystem integriert sind, so dass ein Angreifer sensible Benutzerdaten erhalten kann.
  2. ↑ Lotoor – Hack-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.
  3. ↓ Triada – Modulare Backdoor für Android, die Superuser-Rechte für heruntergeladene Malware gewährt und dieser hilft, sich in Systemprozesse einzubetten. Bei Triada haben Sicherheitsforscher auch gesehen, wie URLs, die im Browser geladen wurden, gefälscht wurden. Die Forscher von Check Point analysierten auch die am häufigsten ausgenutzten Schwachstellen. CVE-2017-7269 blieb mit einem globalen Einfluss von 47 Prozent an erster Stelle. Nach dicht dahinter lag Web Server Exposed Git Repository Information Disclosure an zweiter Stelle und OpenSSL TLS DTLS Heartbeat Information Disclosure folgte an dritter Stelle und betraf 46 bzw. 45 Prozent der Unternehmen weltweit.

Die Top 3 ‘Most Exploited’ Schwachstellen im Monat Januar 2019:

  1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Angreifer von außen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
  2. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außen nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.
  3. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

Die komplette Most Wanted Malware Top 10 Analyse für den Januar 2019 finden Sie hier .