Top-Malware im November 2024

Check Point Software Technologies hat seinen Global-Threat-Index für November 2024 veröffentlicht. Darin wird die zunehmende Raffinesse von Cyber-Kriminellen offenbar: Androxgh0st ist seit Neuestem in das Mozi-Bot-Netz integriert worden und damit noch effektiver darin, kritische Infrastrukturen anzugreifen. Global steht das Bot-Netz auf Platz eins der meistverbreiteten Malware-Typen. In Deutschland hingegen ist der Infostealer Formbook weiterhin Spitzenreiter und für rund 18,5 Prozent aller Malware-Infektionen verantwortlich. Hierzulande bleibt die Vormachtstellung von Androxgh0st mit 4,5 Prozent auf Platz drei also vorerst aus, denn auch der Schad-Software-Downloader Cloudeye dominiert vor dem Botnet auf dem zweiten Platz mit 12,8 Prozent.

Sicherheitsforscher haben herausgefunden, dass Androxgh0st Schwachstellen auf mehreren Plattformen ausnutzt, darunter IoT-Geräte und Webserver – beides Schlüsselkomponenten kritischer Infrastrukturen. Durch die Übernahme von Taktiken von Mozi zielt es auf Systeme ab, die Methoden zur Ausführung von Remote-Code und zum Diebstahl von Anmeldeinformationen verwenden, um dauerhaften Zugriff zu erhalten. Die Drahtzieher halten sich damit selbst die Tür auf, um zu einem späteren Zeitpunkt DDoS-Angriffe zu starten und Daten zu stehlen. Das Bot-Netz infiltriert kritische Infrastrukturen über offene Schwachstellen und die Integration der Fähigkeiten von Mozi hat die Reichweite von Androxgh0st erheblich vergrößert, sodass mehr IoT-Geräte infiziert und eine größere Bandbreite an Zielen kontrolliert werden können. Diese Angriffe ziehen branchenübergreifende Kaskadeneffekte nach sich und verdeutlichen, wie viel für Regierungen, Unternehmen und Einzelpersonen, die auf diese Infrastrukturen angewiesen sind, auf dem Spiel steht.

Im Bereich mobiler Malware ist Joker nach wie vor am weitesten verbreitet, gefolgt von Anubis und Necro. Joker stiehlt weiterhin SMS-Nachrichten, Kontakte und Geräteinformationen und abonniert im Hintergrund Premiumdienste im Namen der Opfer. Anubis, ein Banking-Trojaner, hat inzwischen neue Funktionen erhalten, darunter Fernzugriff, Keylogging und Ransomware-Funktionalität.

Maya Horowitz, VP of Research bei Check Point Software, kommentierte die Bedrohungslandschaft: „Der Aufstieg von Androxgh0st und die Integration von Mozi zeigen, wie Cyber-Kriminelle ihre Taktiken ständig entwickeln. Unternehmen müssen sich schnell anpassen und robuste Sicherheitsmaßnahmen implementieren, die diese fortschrittlichen Bedrohungen identifizieren und neutralisieren können, bevor sie erheblichen Schaden anrichten .“

Top-Malware in Deutschland

1. ↔ Formbook (18,51 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.
2. ↑ CloudEye (12,83 %) – CloudEye ist ein Downloader, der auf die Windows-Plattform abzielt und zum Herunterladen und Installieren von Schadprogrammen auf den Computern der Opfer verwendet wird.
3. ↓ Androxgh0st (4,28 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

Meist angegriffene Branchen und Sektoren in Deutschland

1. ↔ Bildung/Forschung
2. ↔ Kommunikation
3. ↑ Gesundheitswesen

Top Mobile Malwares

In diesem Monat belegte Joker den ersten Platz bei der am weitesten verbreiteten Handy-Malware, gefolgt von Anubis und Necro.

1. ↔ Joker – Eine Android-Spyware in Google Play, die darauf ausgelegt ist, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.
2. ↑ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer ersten Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, einer Audioaufzeichnungsfunktion und verschiedener Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.
3. ↓ Necro – Necro ist ein Android-Trojaner-Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, indem er kostenpflichtige Abonnements belastet.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von „Shame Sites“ für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 16 % der veröffentlichten Angriffe verantwortlich ist, gefolgt von Akira mit 6 % und Killsec3 mit 6 %.

1. RansomHub – RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.
2. Akira – Akira Ransomware, erstmals Anfang 2023 gemeldet, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet eine symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der geleakten Ransomware Conti v2. Akira wird auf verschiedene Weise verbreitet, unter anderem über infizierte E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt sie Daten und hängt eine „. akira“-Erweiterung an die Dateinamen an. Anschließend wird eine Lösegeldforderung angezeigt, die eine Zahlung für die Entschlüsselung verlangt.
3. KillSec3 – KillSec ist eine russischsprachige Cyber-Bedrohungsgruppe, die im Oktober 2023 entstand. Die Gruppe betreibt eine Ransomware-as-a-Service-Plattform (RaaS) und bietet auch eine Reihe anderer offensiver cyberkrimineller Dienste an, darunter DDoS-Angriffe und sogenannte „Penetrationstestdienste“. Eine Überprüfung ihrer Opferliste zeigt eine unverhältnismäßig hohe Anzahl von Zielen in Indien und einen ungewöhnlich geringen Anteil von Opfern in den USA im Vergleich zu ähnlichen Gruppen. Zu ihren Hauptzielen gehören der Gesundheits- und der Regierungssektor.

Am meisten ausgenutzte Sicherheitslücken

1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen.
2. ↑ Offenlegung von Informationen über das Git-Repository des Webservers – Im Git-Repository wurde eine Schwachstelle bei der Offenlegung von Informationen gemeldet. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontodaten ermöglichen.
3. ↑ ZMap Security Scanner (CVE-2024-3378) – ZMap ist ein Produkt zum Scannen von Schwachstellen. Angreifer können ZMap verwenden, um Schwachstellen auf einem Zielserver zu erkennen.

#CheckPoint