Im Q4 2023 lag der Fernzugriffs-Trojaner Nanocore in Deutschland auf dem ersten Platz der Malware-TopTen. Aber Emotet und Formbook sind weiterhin massiv aktiv. Der Beeich des Bildungswesen wurde am häufigsten angegriffen.
Check Point hat seinen globalen Q4-Bedrohungsindex (Oktober 2023) veröffentlicht. Den ersten Platz in Deutschland belegt nun Nanocore, ein Fernzugriffs-Trojaner, der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Die Bedrohungslandschaft zeigt sich im Oktober – mit nur drei Malware-Familien, deren Einfluss über die 1-Prozent-Marke reicht – stark fragmentiert. Platz Zwei und Drei belegen die altbekannten Schädlinge Emotet (1,23 Prozent) und Formbook (1,12 Prozent).
Der Fernzugriffs-Trojaner NJRat, der mit zwei Prozent weltweitem Einfluss für Furore sorgte, landet in Deutschland mit 0,99 Prozent auf dem vierten Platz. Der September-Champion CloudEyE landet mit nur noch 0,43 Prozent auf Platz neun in Deutschland.
Der Sektor Bildung und Forschung löst das Gesundheitswesen als meist angegriffene Branche in Deutschland ab.
Top-Malware in Deutschland
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
↑ Nanocore – Nanocore ist ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen, wie Bildschirmaufnahmen, Krypto-Währungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner, der einst als Banking-Trojaner eingesetzt wurde und derzeit andere Malware oder bösartige Kampagnen verbreitet. Emotet nutzt mehrere Methoden zur Aufrechterhaltung der Persistenz und Umgehungstechniken, um nicht entdeckt zu werden, und kann über Phishing-Spam-E-Mails mit bösartigen Anhängen oder Links verbreitet werden.
↑ Formbook – Formbook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware-as-a-Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. Formbook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.
Top 3 Schwachstellen
Im vergangenen Monat war Zyxel ZyWALL Command Injection (CVE-2023-28771) die am häufigsten ausgenutzte Schwachstelle, von der 42 Prozent der Unternehmen weltweit betroffen waren, gefolgt von Command Injection Over http, von der ebenfalls 42 Prozent der Unternehmen weltweit betroffen waren. Web Server Malicious URL Directory Traversal war die am dritthäufigsten genutzte Schwachstelle mit einer weltweiten Auswirkung von ebenfalls 42 Prozent.
↑ Zyxel ZyWALL Command Injection (CVE-2023-28771) – In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.
↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Eine Command Injection over HTTP-Schwachstelle wurde gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
↓ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URL für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
Top 3 Mobile Malware
Im vergangenen Monat stand Anubis weiterhin an der Spitze der am häufigsten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad, welche die Plätze tauschten.
↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
↑ AhMyth – AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Diebstahl sensibler Informationen genutzt wird.
↓ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails des Betriebssystems erhalten.
Top 3 der angegriffenen Branchen und Bereiche in Deutschland
1. ↑ Bildung/Forschung
2. ↔ ISP/MSP
3. ↓ Gesundheitswesen
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.
Direkt zum Report auf CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.