Check Point Research hat den Global Threat Index für Juni 2021 veröffentlicht. Die Sicherheitsforscher berichten darin, dass Trickbot zum zweiten Monat in Folge die am weitesten verbreitete Malware ist. Trickbot ist ein Botnet und Banking-Trojaner, der Finanzdaten, Kontodaten und persönliche Informationen stehlen sowie sich innerhalb eines Netzwerks verbreiten und Ransomware absetzen kann.
Bei den Ryuk-Ransomware-Angriffen wurde beispielsweise die Emotet-Malware verwendet, um das Netzwerk zu infiltrieren, das dann mit der Top-Malware dieses Monats, Trickbot, infiziert wurde, bevor die Ransomware schließlich die Daten verschlüsselte.
Seit das Emotet-Botnet im Januar abgeschaltet wurde, hat der Trickbot-Trojaner und das Botnet an Popularität gewonnen. Er wurde kürzlich auch mit einem neuen Ransomware-Stamm namens ‚Diavol‘ in Verbindung gebracht. Trickbot wird ständig mit neuen Fähigkeiten, Funktionen und Verbreitungsvektoren aktualisiert, was ihn zu einer flexiblen und anpassbaren Malware macht, die als Teil von Mehrzweckkampagnen verbreitet werden kann.
„Bekannte Ransomware-Gruppen wie Ryuk und REvil setzen für die ersten Schritte der Infektion auf verschiedene Formen von Malware - eine der wichtigsten ist die Top-Malware dieses Monats, Trickbot“, sagt Maya Horowitz, Director, Threat Intelligence & Research, Products bei Check Point.
„Unternehmen müssen sich der Risiken weiterhin bewusst sein und sicherstellen, dass angemessene Lösungen vorhanden sind. Neben dem Botnet- und Banking-Trojaner Trickbot umfasst die Liste in diesem Monat eine große Bandbreite an verschiedenen Malware-Typen, darunter Botnets, Infostealer, Backdoors, RATs und Mobile.“
„Für Unternehmen ist es von entscheidender Bedeutung, über die richtigen Technologien zu verfügen, um mit einer solchen Vielzahl von Bedrohungen umgehen zu können. Wenn sie das tun, kann die Mehrheit der Angriffe, selbst die fortgeschrittensten wie von REvil, verhindert werden, ohne den normalen Geschäftsablauf zu stören.“
Top 3 Most Wanted Malware für Deutschland:
Trickbot bleibt auch in diesem Monat an der Spitze, während Formbook auf Rang zwei klettert. Platz drei belegt der Trojaner-Bot Amadey.
- Trickbot: Eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.
- Formbook: Ein InfoStealer, der sich an das Windows-Betriebssystem richtet. Er wurde erstmals 2016 entdeckt und wird aufgrund seiner starken Ausweichmethoden und seines relativ niedrigen Preises in illegalen Hacking-Foren vermarktet. FormBook sammelt Anmeldeinformationen aus verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß seinen C&C-Aufträgen herunterladen und ausführen.
- Amadey: Ein Trojaner-Bot, der erstmals im Oktober 2018 entdeckt wurde. Er wird hauptsächlich zum Sammeln von Informationen über die Umgebung eines Opfers verwendet, kann aber auch andere Malware ausliefern. Amadey wird hauptsächlich durch Exploit-Kits wie RigEK und Fallout EK verbreitet.
Die Top 3 Most Wanted Mobile Malware:
Erneut belegt xHelper den ersten Platz bei der am weitesten verbreiteten mobilen Malware, gefolgt von Hiddad und XLoader.
- xhelper: Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- Hiddad: Eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
- XLoader: Eine Android-Spyware- und Banking-Trojaner, der von der Yanbian Gang, einer chinesischen Hackergruppe, entwickelt wurde. Diese Malware nutzt DNS-Spoofing, um infizierte Android-Apps zu verbreiten, um persönliche und finanzielle Informationen zu sammeln.
Die Top 3 Most Wanted Schwachstellen:
In diesem Monat ist HTTP Headers Remote Code Execution die am häufigsten ausgenutzte Schwachstelle, von der 47 Prozent der Unternehmen weltweit betroffen sind, gefolgt von MVPower DVR Remote Code Execution, von der 45 Prozent der Unternehmen weltweit betroffen sind. Dasan GPON Router Authentication Bypass nimmt den dritten Platz in der Liste der am häufigsten ausgenutzten Schwachstellen ein, mit einer weltweiten Auswirkung von 44 Prozent.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
- MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- Dasan GPON Router Authentication Bypass (CVE-2018-10561) – In Dasan-GPON-Routern besteht eine Sicherheitslücke zur Umgehung der Authentifizierung. Bei erfolgreicher Ausnutzung dieser Schwachstelle können entfernte Angreifer vertrauliche Informationen erlangen und sich unbefugt Zugang zum betroffenen System verschaffen.
Der Global Threat Impact Index und die ThreatCloud Map basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über drei Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.