Androxgh0st-Botnet breitet sich in Deutschland weiter aus

Check Point Software Technologies hat seinen Global-Threat-Index für Mai 2024 veröffentlicht. Im vergangenen Monat registrierten die Sicherheitsforscher in Deutschland eine drastisch gestiegene Aktivität des Multiplattform-Botnets Androxgh0st, das im letzten Monat erstmals von Check Point beobachtet wurde. Androxgh0st war im Mai für rund vier Prozent aller hierzulande registrierten Malware-Attacken verantwortlich, ist damit erstmals im Top-Malware-Ranking für Deutschland gelistet und hat umgehend Nanocore von Platz zwei und dazu gänzlich vom „Podium“ verdrängt. CloudEyE behauptet zwar weiterhin Platz eins, hat jedoch rund fünf Prozentpunkte eingebüßt und war im letzten Monat nur noch für rund 14 Prozent aller registrierten Malware-Attacken verantwortlich. Auf Platz drei verbleibt FakeUpdates mit rund drei Prozent.

Zudem deckten die Forscher eine Malspam-Kampagne auf, die vom Phorpiex-Botnet orchestriert wurde. Die Millionen versendeter Phishing-E-Mails enthielten Lockbit-Black, das auf Lockbit3 basiert, aber nichts mit der Ransomware-Gruppe zu tun hat. Unabhängig davon stieg die Verbreitung der eigentlichen Lockbit3-Ransomware-as-a-Service (RaaS)-Gruppe nach einer kurzen Unterbrechung infolge einer weltweiten Zerschlagung durch die Strafverfolgungsbehörden sprunghaft an und machte 33 Prozent der veröffentlichten Angriffe aus.

Die ursprünglichen Betreiber des Phorpiex-Botnets schlossen den Betrieb und verkauften den Quellcode im August 2021. Im Dezember 2021 entdeckte Check Point Research (CPR) jedoch, dass es in einer neuen Variante namens „Twizt“ wieder aufgetaucht war, die in einem dezentralen Peer-to-Peer-Modell operiert. Im April dieses Jahres fand die New Jersey Cybersecurity and Communications Integration Cell (NJCCIC) Beweise dafür, dass das Phorpiex-Botnet, das im Bedrohungsindex des letzten Monats den sechsten Platz weltweit belegte, zum Versand von Millionen von Phishing-E-Mails im Rahmen einer LockBit3-Ransomware-Kampagne verwendet wurde. Diese E-Mails enthielten ZIP-Anhänge, die bei Ausführung der darin enthaltenen trügerischen .doc.scr-Dateien den Verschlüsselungsprozess der Ransomware auslösten. Die Kampagne nutzte über 1.500 eindeutige IP-Adressen, hauptsächlich aus Kasachstan, Usbekistan, Iran, Russland und China.

Maya Horowitz, VP of Research bei Check Point Software

„Den Strafverfolgungsbehörden ist es zwar gelungen, die Lockbit3-Cybergang vorübergehend zu stoppen, indem sie einen ihrer Anführer und Partner entlarvten und über 7.000 Lockbit-Entschlüsselungsschlüssel herausgaben, aber das reicht nicht aus, um die Bedrohung vollständig zu beseitigen. Es überrascht nicht, dass sie sich neu gruppieren und neue Taktiken einsetzen, um ihre Aktivitäten fortzusetzen“, sagt Maya Horowitz, VP of Research bei Check Point Software. „Ransomware ist eine der verheerendsten Angriffsmethoden, die von Cyberkriminellen eingesetzt werden. Sobald sie in das Netzwerk eingedrungen sind und Informationen extrahiert haben, sind die Handlungsoptionen der Opfer stark eingeschränkt. Aus diesem Grund müssen Unternehmen mehr auf Cyberrisiken achten und Präventivmaßnahmen Priorität einräumen.“

 

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat. Die Zahlen in Klammern bezeichnen den Anteil der jeweiligen Malware an den insgesamt beobachteten.

  1. CloudEyE (13,91 %) – CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren .
  2. Androxgh0st (3,87 %) – Androxgh0st ist ein Botnet, das auf Windows-, Mac- und Linux-Plattformen abzielt. Für die Erstinfektion nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere auf PHPUnit, Laravel Framework und Apache Web Server abzielen. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel usw. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
  3. ↔ FakeUpdates (3,34 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

 

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

 

  1. Bildung und Forschung
  2. Gesundheitswesen
  3. Kommunikation

 

Meist ausgenutzte Sicherheitslücken

Im vergangenen Monat war „Command Injection Over HTTP“ die am häufigsten ausgenutzte Schwachstelle, von der 50 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Web Servers Malicious URL Directory Traversal“ mit 47 Prozent und „ Apache Log4j Remote Code Execution“ mit 46 Prozent.

 

  1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle für Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, in dem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
  2. ↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Webservern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
  3. ↑ Apache Log4j Remote Code Execution (CVE-2021-44228) – Es gibt eine Schwachstelle in Apache Log4j, durch die Remotecode ausgeführt werden kann. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte einem entfernten Angreifer erlauben, beliebigen Code auf dem betroffenen System auszuführen.

 

Top 3 Mobile Malware

Im letzten Monat stand Anubis an erster Stelle der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hydra.

  1. Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
  2. AhMyth – AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.
  3. Hydra – Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer auffordert, gefährliche Berechtigungen und Zugriffe zu aktivieren, wenn sie eine Banking-App aufrufen.

 

Aktivste Ransomware-Gruppen

Dieser Abschnitt enthält Informationen, die von Ransomware Shame Sites stammen. Sie werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen über die Opfer zu veröffentlichen. Die Daten von diesen Shame-Sites sind zwar mit Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem.

Im vergangenen Monat war LockBit3 die Ransomware-Gruppe mit der größten Aktivität und für 33 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Inc. Ransom mit 7 Prozent und Play mit 5 Prozent.

  1. Lockbit3 – Lockbit3 ist eine Ransomware, die in einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. Lockbit zielt auf große Unternehmen und Regierungsstellen aus verschiedenen Ländern ab und zielt nicht auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten (GUS). Obwohl es im Februar 2024 aufgrund von Strafverfolgungsmaßnahmen zu erheblichen Ausfällen kam, hat Lockbit wieder Informationen über seine Opfer veröffentlicht.
  2. Ransom – Inc. Ransom ist eine Ransomware-Erpresserorganisation, die im Juli 2023 auftauchte, Spear-Phishing-Angriffe durchführte und auf anfällige Dienste abzielte. Die Hauptziele der Gruppe sind Organisationen in Nordamerika und Europa in verschiedenen Sektoren wie Gesundheitswesen, Bildung und Regierung. Inc. unterstützt mehrere Befehlszeilenargumente und verwendet partielle Verschlüsselung mit einem Multi-Threading-Ansatz.
  3. Play – Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen, wobei bis Oktober 2023 etwa 300 Unternehmen betroffen waren. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie Techniken wie die Verwendung von LOLBins (Living-off-the-land Binarys) für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldeinformationen.

#CheckPoint