Der aktuelle Threat Index zeigt, dass RansomHub weiterhin die aktivste Ransomware-Gruppe ist. Gleichzeitig haben die Forscher eine Remcos-Windows-Malware-Kampagne identifiziert, die ein kürzlich veröffentlichtes Sicherheitsupdate ausnutzt.
Der Global Threat Index für Juli 2024 zeigt: Trotz eines deutlichen Rückgangs im Juni ist LockBit im vergangenen Monat wieder zur zweitgefährlichsten Ransomware-Gruppe aufgestiegen, während RansomHub an der Spitze bleibt. In der Zwischenzeit haben die Forscher sowohl eine Kampagne zur Verbreitung von Remcos-Malware im Anschluss an ein CrowdStrike-Update-Problem als auch eine Reihe neuer FakeUpdate-Taktiken identifiziert, die im Juli erneut an die Spitze der Top-Malware-Liste gelangten.
CrowdStrike-Problem schlägt durch
Ein Problem im CrowdStrike Falcon Sensor für Windows ermöglichte es Cyberkriminellen, eine bösartige ZIP-Datei namens crowdstrike-hotfix.zip zu verbreiten. Diese Datei enthielt den HijackLoader, der anschließend die Malware Remcos aktivierte, die weltweit im Juli auf Platz 7 der meistgesuchten Malware stand. Die Kampagne richtete sich an Unternehmen, die spanischsprachige Anweisungen verwandten, und beinhaltete die Erstellung gefälschter Domänen für Phishing-Angriffe.
Top-Malware in Deutschland
- CloudEye (12,5 %) – CloudEye ist ein Downloader, der auf das Windows-System zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
- Androxgh0st (4,5 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
- FormBook (4,35 %) ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacker-Foren als Malware as a Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C-Server herunterladen und ausführen.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von Ransomware-Shame Sites, die von Ransomware-Gruppen mit Doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist die am weitesten verbreitete Ransomware-Gruppe in diesem Monat und für 11 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Lockbit3 mit 8 Prozent und Akira mit 6 Prozent.
- RansomHub – RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight auftauchte. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten. Diese Malware ist dafür bekannt, dass sie ausgeklügelte Verschlüsselungsmethoden einsetzt.
- Lockbit3 – LockBit ist eine RaaS-basierte Ransomware, die erstmals im September 2019 gemeldet wurde. LockBit richtet sich gegen große Unternehmen und Regierungsbehörden in verschiedenen Ländern, jedoch nicht gegen Privatpersonen in Russland und der Gemeinschaft Unabhängiger Staaten.
- Akira – Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine „.akira“-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.