Analyse-Ergebnisse des Kaspersky Threat Intelligence Portal

Analyse

Beitrag teilen

Viele eingereichte Anfragen als Link oder Datei an das Kaspersky Threat Intelligence Portal erweisen sich in der Analyse als Trojaner (25 Prozent), Backdoors (24 Prozent) und Trojaner-Dropper (23 Prozent)

Fast drei Viertel (72 Prozent) der analysierten schädlichen Dateien, die über die kostenfreie Version von Kaspersky Threat Intelligence Portal eingereicht wurden, waren Trojaner, Backdoors oder Dropper. Die Analyse der eingereichten Daten zeigt zudem, dass die Malware-Typen, die von den Forschern am häufigsten untersucht werden, nicht unbedingt mit den am weitest verbreiteten übereinstimmen.

Anzeige

Die Erkennung schädlicher Aktivitäten bildet nur den Ausgangspunkt für die Untersuchung eines Angriffs. Um Reaktions- und Abhilfemaßnahmen zu entwickeln, müssen Sicherheitsanalysten das Angriffsziel, den Ursprung eines schädlichen Objekts, dessen Popularität und vieles mehr identifizieren. Das Kaspersky Threat Intelligence Portal hilft Analysten bei der Erforschung dieser Hintergründe.

Kaspersky-Experten haben die Anfragen an das Kaspersky Threat Intelligence Portal, die kostenfrei zwischen November 2019 und Mai 2020 getätigt wurden, untersucht, um herauszufinden, mit welchen Bedrohungen schädliche Objekte, die das Portal verarbeitet, am häufigsten in Verbindung gebracht werden. In den meisten Fällen erwiesen sich eingereichte Hashes oder verdächtige hochgeladene Dateien als Trojaner (25 Prozent der Anfragen), Backdoors (24 Prozent) – Malware, die einem Angreifer die Fernsteuerung über einen Computer ermöglicht – und Trojaner-Dropper (23 Prozent), die weitere schädliche Objekte installieren. Die Statistiken des Kaspersky Security Network [3], das cybersicherheitsrelevante Daten, die von Millionen freiwilliger Teilnehmer weltweit geteilt werden, analysiert, zeigen, dass Trojaner auch in der Regel die am weitest verbreitete Art von Malware darstellen. Backdoors und Trojaner-Dropper sind hingegen nicht so häufig vertreten – diese machen lediglich 7 beziehungsweise 3 Prozent aller bösartigen Dateien aus, die von Kaspersky-Endpoint-Lösungen blockiert werden.

Früherkennung versus Analyse

Dieser Unterschied lässt sich dadurch erklären, dass Sicherheitsforscher oft eher am finalen Ziel des Angriffs interessiert sind, während Endpoint-Lösungen versuchen, eine Attacke bereits in einem frühen Stadium zu verhindern. Beispielsweise erlauben sie einem Nutzer nicht, schädliche E-Mails zu öffnen oder einem maliziösen Link zu folgen, wodurch verhindert wird, dass Backdoors den Computer des Users kompromittieren. Sicherheitsanalysten müssen jedoch alle Komponenten innerhalb eines Droppers identifizieren.

Zu begründen ist dies auch mit dem Interesse an bestimmten Bedrohungen und dem Drang der Forscher, diese genauer zu analysieren. Als zu Beginn des Jahres viele Nachrichten zu Emotet erschienen, suchten viele Nutzer zum Beispiel aktiv nach Informationen zu diesem Schadprogramm. Eine Reihe von Anfragen betrafen zudem Backdoors für die Betriebssysteme Linux und Android. Diese Malware-Familien sind für Sicherheitsforscher von Interesse, aber ihre Anzahl ist im Vergleich zu Bedrohungen, die auf Microsoft Windows abzielen, relativ gering.

Viele Trojaner in der Analyse

„Wir haben festgestellt, dass die Anzahl kostenfreier Anfragen an das Kaspersky Threat Intelligence Portal zur Überprüfung von Viren oder Codeteilen, die andere Programme kompromittieren, sehr gering ist – weniger als ein Prozent“, kommentiert Denis Parinov, Acting Head of Threats Monitoring and Heuristic Detection bei Kaspersky. „Jedoch gehören diese erfahrungsgemäß zu den am weitest verbreiteten Bedrohungen, die von Endpoint-Lösungen erkannt werden. Diese replizieren sich selbst und implementieren ihren Code in andere Dateien, was dazu führen kann, dass eine große Anzahl schädlicher Dateien auf einem infizierten System erscheint. Wie wir sehen können, sind Viren für Forscher selten von Interesse, höchstwahrscheinlich weil ihnen im Vergleich zu anderen Bedrohungen das Moment des Neuen fehlt.“

Das Kaspersky Threat Intelligence Portal bietet einen Zugriff auf die Threat Intelligene-Daten des Unternehmens und stellt dort alle Informationen und Erkenntnisse zu Cyberangriffen, die Kaspersky in mehr als 20 Jahren gesammelt hat, zur Verfügung. Ein kostenloser Zugang zu ausgewählten Funktionen, mit denen Nutzer Dateien, URLs und IP-Adressen überprüfen können, ist verfügbar unter https://opentip.kaspersky.com/.

Weiter zur Analyse bei Kaspersky.com

 


Über Kaspersky

Kaspersky ist ein internationales Cybersicherheitsunternehmen, das im Jahr 1997 gegründet wurde. Die tiefgreifende Threat Intelligence sowie Sicherheitsexpertise von Kaspersky dient als Grundlage für innovative Sicherheitslösungen und -dienste, um Unternehmen, kritische Infrastrukturen, Regierungen und Privatanwender weltweit zu schützen. Das umfassende Sicherheitsportfolio des Unternehmens beinhaltet führenden Endpoint-Schutz sowie eine Reihe spezialisierter Sicherheitslösungen und -Services zur Verteidigung gegen komplexe und sich weiter entwickelnde Cyberbedrohungen. Über 400 Millionen Nutzer und 250.000 Unternehmenskunden werden von den Technologien von Kaspersky geschützt. Weitere Informationen zu Kaspersky unter www.kaspersky.com/


 

Passende Artikel zum Thema

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen

Cybertrends 2025 – womit man rechnen muss

Was bedeutet 2025 für die Cybersicherheit in Unternehmen? Welche Cyberattacken werden häufiger, welche Branchen stehen besonders im Visier und welche ➡ Weiterlesen

Zero-Trust-Segmentation gegen Ransomware

Ein Anbieter kündigt mit Zero-Trust-Segmentation die erste Lösung für Zero-Trust-Segmentierung an, die eine sichere, agile und kostengünstige Möglichkeit bietet, User, ➡ Weiterlesen

EMA: Cloud Connector für Microsoft 365

Für die einfachere Anbindung der Datenmanagement- und Archivierungslösung EMA an Microsoft 365 Exchange Online sowie an lokale Exchange-Infrastrukturen ist jetzt ➡ Weiterlesen

Analyse von BSI gelisteter APT-Gruppe Earth Estries

Die vom BSI als in Deutschland aktiv gelistete APT-Gruppe Earth Estries, auch bekannt als Salt Typhoon, FamousSparrow, GhostEmperor und UNC2286, ➡ Weiterlesen