Thought Leadership
18 Prozent aller Malware-Infektionen in Deutschland sind dem Windows-Downloader CloudEye zuzuschreiben – das stellt Check Point in seinem neuesten Global Threat Index für August 2024 fest.
Check Point Software Technologies Ltd. hat seinen Global Threat Index für August 2024 veröffentlicht. Der Index zeigt, dass Ransomware weiterhin eine dominierende Kraft ist, wobei RansomHub seine Position als führende Ransomware-Gruppe beibehält. Diese Ransomware-as-a-Service (RaaS)-Operation hat sich seit ihrer Umbenennung von Knight-Ransomware rasch ausgebreitet und weltweit über 210 Opfer angegriffen. Zudem ist eine neue Bedrohung aufgetaucht: Meow Ransomware, die sich zuvor auf die Verschlüsselung von Daten fokussierte und nun ihre Aktivität auf den Verkauf gestohlener Daten auf Leak-Marktplätzen verlagert.
Letzten Monat hat RansomHub seine Position als größte Ransomware-Bedrohung gefestigt, wie in einer gemeinsamen Stellungnahme der US-amerikanischen Behörden FBI, CISA, MS-ISAC und HHS beschrieben. Diese RaaS-Operation zielt aggressiv auf Systeme in Windows-, macOS-, Linux- und insbesondere VMware ESXi-Umgebungen ab und setzt dabei ausgefeilte Verschlüsselungstechniken ein.
Im August wurde auch die Ransomware Meow bekannt, die direkt auf dem zweiten Platz der meistverbreiteten Ransomwares landete. Meow, ursprünglich eine Variante der geleakten Conti-Ransomware, hat seinen Schwerpunkt von der Verschlüsselung auf die Datenextraktion verlagert und seine Erpressungsseite in einen Marktplatz für Datenlecks verwandelt. Bei diesem Modell werden die gestohlenen Daten an den Meistbietenden verkauft – eine Abweichung traditioneller Erpressungstaktiken für Ransomware.
„Das Auftauchen von RansomHub als Top-Ransomware-Bedrohung im August unterstreicht die zunehmende Raffinesse von Ransomware-as-a-Service-Operationen“, sagt Maya Horowitz, VP of Research bei Check Point Software. „Unternehmen müssen wachsamer denn je sein. Der Aufstieg von Meow Ransomware unterstreicht die Verlagerung hin zu Marktplätzen für Datenlecks und signalisiert eine neue Methode der Monetarisierung für Ransomware-Betreiber, bei der gestohlene Daten zunehmend an Dritte verkauft werden, anstatt sie einfach online zu veröffentlichen. Da sich diese Bedrohungen weiterentwickeln, müssen Unternehmen wachsam bleiben, proaktive Sicherheitsmaßnahmen ergreifen und ihre Abwehr gegen immer raffiniertere Angriffe kontinuierlich stärken“.
Top-Malware in Deutschland
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
1. ↔ CloudEye (17,9 %) – CloudEye ist ein Downloader, der auf Windows-Systeme zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
2. ↔ Androxgh0st (4,36 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
3. ↑ FakeUpdates (3,9 %) – FakeUpdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Meist angegriffene Branchen und Sektoren in Deutschland
- ↔ Bildung/Forschung
- ↔ Kommunikation
- ↔ Gesundheitswesen
Top Mobile Malware
Diesen Monat liegt Joker erneut auf Platz 1 der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und Hydra.
1. ↔ Joker – Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen kann. Die Malware registriert das Opfer zudem unbemerkt für Premium-Dienste auf Werbe-Websites.
2. ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
3. ↑ Hydra – Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer auffordert, gefährliche Berechtigungen und Zugriffsrechte zu aktivieren, wenn sie eine Banking-App aufrufen.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist in diesem Monat die weltweit aktivste Ransomware-Gruppe und für 15 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Meow mit 9 Prozent und Lockbit3 mit 8 Prozent.
1. RansomHub – RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten und ausgeklügelte Verschlüsselungsmethoden einsetzten.
2. Meow – Meow Ransomware ist eine auf der Conti-Ransomware basierende Variante, die dafür bekannt ist, dass sie eine Vielzahl von Dateien auf kompromittierten Systemen verschlüsselt und die Erweiterung „.MEOW“ an sie anhängt. Sie hinterlässt eine Lösegeld-Notiz namens „readme.txt“, in der die Opfer angewiesen werden, die Angreifer per E-Mail oder Telegram zu kontaktieren, um Lösegeldzahlungen auszuhandeln. Meow Ransomware verbreitet sich über verschiedene Vektoren, darunter ungeschützte RDP-Konfigurationen, E-Mail-Spam und bösartige Downloads, und verwendet den Verschlüsselungsalgorithmus ChaCha20, um Dateien zu sperren, ausgenommen „.exe“- und Textdateien.
3. Lockbit3 – LockBit ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten.
Am meisten ausgenutzte Sicherheitslücken
1. ↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Es wurde eine Sicherheitslücke durch Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde einem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.
2. ↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.
3. ↔ HTTP-Header Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Weitere Informationen finden Sie im Check Point Blog.
(vp/Check Point)
