Emotet ist die „Most Wanted“ Malware im November 2018

Check Point hat seinen Global Threat Index für November 2018 veröffentlicht. Der Index zeigt, dass das Botnetz von Emotet in die Top-10-Rangliste des Index aufgenommen wurde, nachdem es sich in mehreren Kampagnen verbreitet hat, darunter eine Thanksgiving-Kampagne.

Dazu gehörten Spam-E-Mails in Form von Thanksgiving-Karten mit E-Mail-Betreffzeilen wie „Thanksgiving day wishes“, „Thanksgiving wishes“ und „the Thanksgiving day congratulation!“

Diese E-Mails enthielten bösartige Anhänge, oft mit Dateinamen im Zusammenhang mit Thanksgiving, um das Botnetz zu verbreiten und andere Malware und bösartige Kampagnen einzusetzen. Infolgedessen hat sich der globale Einfluss des Emotet Botnets gegenüber Oktober 2018 um 25 Prozent erhöht.

In der Zwischenzeit war der November der erste Jahrestag des Coinhive-Kryptominer, der den Global Threat Index seit Dezember 2017 anführt. In den letzten 12 Monaten waren allein 24 Prozent der Unter-nehmen weltweit von Coinhive betroffen, während Kryptomining-Malware einen globalen Gesamteinfluss von 38 Prozent hatte.

Während Coinhive nach wie vor beliebt ist und seit einem Jahr die produktivste Malware für Cyber-Kriminelle ist, hat sich die Zahl der Malware, die zur Bereitstellung zusätzlicher Nutzlasten auf infizierten Computern verwendet werden kann, erhöht. Diese Malware-Arten können aufgrund ihrer Vielseitigkeit die Rendite für Angreifer maximieren.

Die November „Most Wanted“-Top 3:

1. Emotet - Kryptominer, der die CPU- oder GPU-Leistung des Opfers und vorhandene Ressourcen für das Kryptomining nutzt – Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt. Es ist ein Konkurrent von Coinhive, der versucht, stets im Verborgenen zu agieren, indem er einen geringeren Prozentsatz der Einnahmen aus Websites verlangt.

2. Coinhive - Kryptominer, der entwickelt wurde, um das Online-Mining der Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine Webseite ohne Wissen des Benutzers besucht oder die Gewinne mit dem Benutzer genehmigt. Das implantierte JavaScript nutzt die großen Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.

3. Andromeda - Modularer Bot, der hauptsächlich als Hintertür verwendet wird, um zusätzliche Malware an infizierte Hosts zu verteilen, kann jedoch modifiziert werden, um verschiedene Arten von Botnetzen zu erstellen.

Die Forscher von Check Point analysierten auch die am häufigsten ausgenutzten Schwachstellen. CVE-2017-7269 steht mit einer globalen Auswirkung von 48 Prozent der Unternehmen weiterhin an erster Stelle der Liste der am stärksten ausgenutzten Schwachstellen.

OpenSSL TLS DTLS Heartbeat Information Disclosure behauptet seinen zweiten Platz mit einem globalen Einfluss von 44 Prozent. CVE-2016-6309, eine Schwachstelle in der tls_get_message_body-Funktion von OpenSSL steht an dritter Stelle und betrifft 42 Prozent der Unternehmen.

Die im November am meisten ausgenutzten Schwachstellen:

1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Durch das Senden einer ausgearbeiteten Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein entfernter Angreifer beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen.

2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): Eine Schwach-stelle bei der Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

3. OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309): In der Funktion tls_get_message_body von OpenSSL wurde eine Schwachstelle gemeldet, die nach dem Verlassen des Systems genutzt werden kann. Ein entfernter, nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Nachricht an den anfälligen Server sendet.

Der Global Threat Impact Index und die ThreatCloud Map basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert.

Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.