Check Point hat seinen „H2 2017 Global Threat Intelligence Trends Report“ vorgestellt. Dabei fand das Unternehmen heraus, dass Cyberkriminelle zunehmend zu Kryptominern tendieren, um illegal Einnahmequellen zu generieren. Ransomware und „Malvertising“-Adware betreffen jedoch weiterhin Unternehmen auf der ganzen Welt.
Zwischen Juli und Dezember 2017 war eine von fünf Organisationen von Kryptomining-Malware betroffen. Die Schadsoftware ermöglicht es Cyberkriminellen die CPU- oder GPU-Leistung und vorhandene Ressourcen der Opfer zu hijacken. Mit diesen Ressourcen werden dann Kryptowährungen geschürft, wodurch bis zu 65 Prozent der CPU-Leistung des Endusers blockiert wird.
Der H2 2017 Global Threat Intelligence Trends Report gibt eine detaillierte Übersicht der Cyberbedrohungslandschaft in den folgenden Top-Malware-Kategorien: Ransomware, Banking und Mobile. Zudem basiert die Studie auch auf Daten von Check Points ThreatCloud Intelligence zwischen Juli und Dezember 2017, in der die wichtigsten Methoden und Voraussetzungen der Cyberkriminellen für ihre Angriffe auf Unternehmen aufgezeigt wurden.
Die wichtigsten Malware-Trends im zweiten Halbjahr 2017
Die Sicherheitsforscher von Check Point konnten eine Reihe von wichtigen Malwaretrends während der überwachten Zeit ausmachen:
- Rausch der Kryptominer – Während Kryptominer normalerweise von Einzelpersonen benutzt werden, um eigenes Geld zu schürfen, hat das steigende öffentliche Interesse an virtuellen Währungen den Schürfprozess stark verlangsamt. Dies wirkt sich direkt auf die Währungsinhaber aus. Diese Verlangsamung hat dazu geführt, dass die Computerleistung steigt, die zur Schürfung von Kryptowährung notwendig ist. Das wiederum verleitet Cyberkriminelle dazu, sich neue Wege auszudenken, um die Computerressourcen der nichts Ahnenden anzuzapfen.
- Rückgang von Exploit Kits – Bis letztes Jahr waren Exploit Kits ein Hauptangriffsvektor. Im Jahr 2017 hat sich die Benutzung von Exploits Kits stark verringert, weil die ausgebeuteten Plattformen wesentlich sicherer geworden sind. Die schnelle Reaktion auf Schwachstellen in Produkten, die von Sicherheitsherstellern und führenden Browserentwicklern entdeckt werden, sowie automatische Updates auf neue Versionen haben die Lebensdauer von neuen Exploits massiv verkürzt.
- Anstieg von Scam Operations und Malspam – In 2017 hat sich das Verhältnis zwischen den auf HTTP und den auf STMP basierenden Infektionen zu Gunsten von SMTP verschoben, um genau zu sein von 55 Prozent in der ersten Jahreshälfte 2017 auf 62 Prozent in der zweiten. Der Anstieg der Popularität dieses Verbreitungswegs hat erfahrene Cyberkriminelle angelockt, die über fortgeschrittene Techniken verfügen, die beispielsweise unterschiedliche Exploits für Schwachstellen in Dokumenten einsetzen, speziell für Microsoft Office.
- Mobile Malware hat die Unternehmensebene erreicht – Im letzten Jahr haben wir einige Angriffe auf Unternehmen beobachten können, die von mobilen Geräten ausgegangen sind. Das schließt auch mobile Endgeräte ein, die durch die MilkyDoor-Malware zum Proxy wurden und interne Daten aus dem Firmennetzwerk gesammelt haben. Ein anderer Typ ist mobile Malware wie Switcher, die Netzwerkelemente (wie Router) angreift, um Netzwerktraffic auf einen boshaften Server umzuleiten, der unter der Kontrolle des Angreifers steht.
Maya Horowitz, Threat Intelligence Group Manager bei Check Point ist der Meinung: „Die zweite Jahreshälfte 2017 hat gezeigt, dass Kryptominer die Welt im Sturm erobern, um die erste Wahl unter den Angriffsvektoren zu werden, mit denen Geld verdient wird. Obwohl sie keinen neuen Malwaretyp darstellen, haben die steigende Popularität und der Wert von Kryptowährungen dazu beigetragen, dass sich ein signifikanter Anstieg in der Verteilung von Kryptomining-Malware verzeichnen lässt. Zudem gibt es weiterhin Trends wie Ransomware, welche bis 2016 zurückreichen und nach wie vor zu den führenden Angriffsvektoren der heutigen Zeit gehören, und sowohl bei globalen Attacken als auch bei gezielten Angriffen auf spezielle Organisationen benutzt werden. 25 Prozent der Attacken, die wir in diesem Zeitraum registriert haben, nutzten Schwachstellen, die bereits vor über 10 Jahren entdeckt wurden, aber weniger als 20 Prozent der Schwachstellen stammten aus den letzten Jahren. Daraus leitet sich natürlich ab, dass immer noch viele Unternehmen viel investieren müssen, um sich vor Angriffen angemessen zu schützen.
Top Malware H2 2017
- Roughted (15.3%) – Großangelegte Malvertising-Kampagne, die zur Verbreitung verschiedener bösartiger Webseiten und Payloads wie Scams, Adware, Exploit Kits und Ransomware eingesetzt wird. Sie kann für Angriffe auf jegliche Art von Plattform und Betriebssystem verwendet werden. Zusätzlich ist RoughTed in der Lage Werbeblocker und Fingerprinting zu umgehen.
- Coinhive (8.3%) – Crypto-Miner, der programmiert wurde, um die Crypto-Währung Monero zu minen, wenn ein Nutzer eine Webseite aufruft, ohne diesen zu fragen. Coinhive kam erst im September 2017 auf, hat aber bereits 12 Prozent der Unternehmen weltweit infiziert.
- Locky (7.9%) – Ransomware, die seit Februar 2016 im Umlauf ist, und die sich hauptsächlich über Spam-E-Mails verbreitet, welche einen als Word- oder Zip-Anhang getarnten Downloader enthalten. Dieser lädt dann die Malware, die Nutzerdateien verschlüsselt, herunter und installiert diese.
Top Ransomware H2 2017
- Locky (30%) – Ransomware, die seit Februar 2016 im Umlauf ist, und die sich hauptsächlich über Spam-E-Mails verbreitet, welche einen als Word- oder Zip-Anhang getarnten Downloader enthalten. Dieser lädt dann die Malware, die Nutzerdateien verschlüsselt, herunter und installiert diese.
- Globeimposter (26%) – Ransomware, die eine Variante der Globe Ransomware darstellt und im Mai 2017 erstmals gefunden wurde. Die Malware wird via Spamkampagnen, Malvertising und Exploit Kits verteilt. Neben der Verschlüsselung von Daten des Opfers wird an jede betroffene Datei eine .crypt-Endung angehängt.
- WannaCry (15%) – Ransomware, die einer großangelegten Attacke im Mai 2017 aufkam und den Windows SMB Exploit Eternal Blue ausnutzt, um sich in und zwischen Netzwerk hin und her zu bewegen.
Top Mobile Malware H2 2017
- Hidad (55%) – Android-Malware, die legitime Apps und deren Versionen für Drittanbieter Stores neu verpackt. Es ist dem Angreifer möglich sich Zugriff auf wichtige Sicherheitselemente im Betriebssystem zu verschaffen, die es ihm erlaubt sensible Nutzerdaten auszulesen.
- Triada (8%) – Modulare Backdoor für Android, die Superuser Privilegien zum Download der Malware gestattet.
- Lotoor (8%) – Hacking Tool, das Schwachstellen bei Android Betriebssystemen auskundschaftet, um dem Angreifer Root-Privilegien zu beschaffen.
Top Banking Malware H2 2017
- Ramnit (34%) – Ein Bankingtrojaner, der Banking-Credentials wie FTP Passwörter, Sessionscookies und persönliche Daten stiehlt.
- Zeus (22%) – Der Urvater aller Banking-Trojaner. Der Trojaner zielt auf Windows-Systeme ab und greift auf Bank-Informationen durch Man-in-the-Browser, Keylogging und Login-Daten ausspionieren zu.
- Tinba (16%) – Ein Banking-Trojaner, der die Credentials seines Opfers durch Web-Injections entwendet und aktiviert, wenn sich diese auf ihrer Banking-Webseite einloggen.
Über den Report
Die Statistiken in diesem Bericht basieren auf Daten, die aus der ThreatCloud Intelligence von Check Point zwischen Juli und Dezember 2017 stammen. Die ThreatCloud Intelligenz von Check Point ist das größte kollaborative Netzwerk zur Bekämpfung von Cyberkriminalität und liefert Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Sensoren. Die ThreatCloud-Datenbank enthält über 250 Millionen Adressen, die analysiert wurden, um Bots zu erkennen; mehr als 11 Millionen Malware-Signaturen sowie über 5,5 Millionen infizierte Websites. Sie identifiziert täglich Millionen von Malware-Arten.
Info: Der vollständige Report findet sich hier: https://research.checkpoint.com/h2-2017-global-threat-intelligence-trends-report
#Netzpalaver #CheckPoint