Top Malware im Juli 2024: Remcos und RansomHub

Der aktuelle Threat Index von Check Point zeigt, dass RansomHub weiterhin die aktivste Ransomware-Gruppe ist. Gleichzeitig haben die Forscher eine Remcos-Windows-Malware-Kampagne identifiziert, die ein kürzlich veröffentlichtes Sicherheitsupdate ausnutzt.

Check Point Software Technologies Ltd. hat seinen Global Threat Index für Juli 2024 veröffentlicht. Trotz eines deutlichen Rückgangs im Juni ist LockBit im vergangenen Monat wieder zur zweitgefährlichsten Ransomware-Gruppe aufgestiegen, während RansomHub an der Spitze bleibt. In der Zwischenzeit haben die Forscher sowohl eine Kampagne zur Verbreitung von Remcos-Malware im Anschluss an ein CrowdStrike-Update-Problem als auch eine Reihe neuer FakeUpdate-Taktiken identifiziert, die im Juli erneut an die Spitze der Top-Malware-Liste gelangten.

Ein Problem im CrowdStrike Falcon Sensor für Windows ermöglichte es Cyberkriminellen, eine bösartige ZIP-Datei namens crowdstrike-hotfix.zip zu verbreiten. Diese Datei enthielt den HijackLoader, der anschließend die Malware Remcos aktivierte, die weltweit im Juli auf Platz 7 der meistgesuchten Malware stand. Die Kampagne richtete sich an Unternehmen, die spanischsprachige Anweisungen verwandten, und beinhaltete die Erstellung gefälschter Domänen für Phishing-Angriffe.

In der Zwischenzeit haben die Forscher eine Reihe neuer Taktiken mit FakeUpates entdeckt, welche die weltweite Malware-Rangliste für einen weiteren Monat anführten. Benutzer, die verseuchte Websites besuchten, wurden mit gefälschten Browser-Update-Aufforderungen konfrontiert, die zur Installation von Remote Access Trojanern (RATs), wie AsyncRAT, führten, der derzeit weltweit auf Platz 9 des Check-Point-Indexes rangiert. Beunruhigend ist, dass Cyber-Kriminelle nun begonnen haben, BOINC, eine freiwillige Computer-Plattform, auszunutzen, um die Fernkontrolle über infizierte Systeme zu erlangen.

„Die anhaltende Hartnäckigkeit und das Wiederaufleben von Ransomware-Gruppen, wie Lockbit und RansomHub, unterstreichen die anhaltende Konzentration von Hackern auf Ransomware, die eine große Herausforderung für Unternehmen darstellt und weitreichende Auswirkungen auf ihre Geschäftskontinuität und Datensicherheit hat. Die jüngste Ausnutzung eines Sicherheit-Software-Updates zur Verbreitung der Remcos-Malware zeigt, dass Cyber-Kriminelle bei der Verbreitung von Malware opportunistisch vorgehen und damit die Abwehr von Unternehmen weiter schwächen. Um diesen Bedrohungen zu begegnen, müssen Unternehmen eine mehrschichtige Sicherheitsstrategie verfolgen, die einen robusten Endpunktschutz, eine aufmerksame Überwachung und die Schulung von Anwendern umfasst, um den Ansturm dieser immer massiver werdenden Cyber-Angriffe zu schmälern“, sagt Maya Horowitz, VP of Research bei Check Point Software Technologies.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

1. ↑ CloudEye (12,5 %) – CloudEye ist ein Downloader, der auf das Windows-System zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
2. ↓ Androxgh0st (4,5 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
3. ↔ FormBook (4,35 %) ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacker-Foren als Malware as a Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C-Server herunterladen und ausführen.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

1. ↔ Bildung/Forschung
2. ↔ Kommunikation
3. ↔ Gesundheitswesen

Top Mobile Malware

Im letzten Monat stand Joker an erster Stelle der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und AhMyth. Keine Änderung.

1. ↔ Joker – Eine Android-Spyware in Google Play, die dazu entwickelt wurde, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem signiert die Malware das Opfer unbemerkt für Premium-Dienste auf Werbe-Websites.
2. ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
3. ↔ AhMyth – AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet wird.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von Ransomware-Shame Sites, die von Ransomware-Gruppen mit Doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist die am weitesten verbreitete Ransomware-Gruppe in diesem Monat und für 11 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Lockbit3 mit 8 Prozent und Akira mit 6 Prozent.

1. RansomHub – RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight auftauchte. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten. Diese Malware ist dafür bekannt, dass sie ausgeklügelte Verschlüsselungsmethoden einsetzt.
2. Lockbit3 – LockBit ist eine RaaS-basierte Ransomware, die erstmals im September 2019 gemeldet wurde. LockBit richtet sich gegen große Unternehmen und Regierungsbehörden in verschiedenen Ländern, jedoch nicht gegen Privatpersonen in Russland und der Gemeinschaft Unabhängiger Staaten.
3. Akira – Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine „.akira”-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.

Am meisten ausgenutzte Sicherheitslücken

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle für Command Injection over HTTP gemeldet. Ein Angreifer kann dieses Problem ausnutzen, in dem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
2. ↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – In Zyxel ZyWALL besteht eine Sicherheitslücke durch Befehlsinjektion. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.
3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.

Weitere Informationen finden Sie hier.

(vp/Check Point)