In der Auswertung für August 2024 führte die Android Spyware Joker die Liste der Mobile Malware an. Die Malware CloudEye war für 18 Prozent aller Infektionen zuständig. Und die Ransomware Gruppe RansomHub war die gefährlichste. So die Ergebnisse des Global Threat Index.
Check Point Software Technologies Ltd. hat seinen Global Threat Index für August 2024 veröffentlicht. Der Index zeigt, dass Ransomware weiterhin eine dominierende Kraft ist, wobei RansomHub seine Position als führende Ransomware-Gruppe beibehält. Diese Ransomware-as-a-Service (RaaS)-Operation hat sich seit ihrer Umbenennung von Knight-Ransomware rasch ausgebreitet und weltweit über 210 Opfer angegriffen. Zudem ist eine neue Bedrohung aufgetaucht: Meow Ransomware, die sich zuvor auf die Verschlüsselung von Daten fokussierte und nun ihre Aktivität auf den Verkauf gestohlener Daten auf Leak-Marktplätzen verlagert.
RansomHub und Meow führen die Liste an
RansomHub hat im August seine Position als größte Ransomware-Bedrohung gefestigt, wie in einer gemeinsamen Stellungnahme der US-amerikanischen Behörden FBI, CISA, MS-ISAC und HHS beschrieben. Diese RaaS-Operation zielt aggressiv auf Systeme in Windows-, macOS-, Linux- und insbesondere VMware ESXi-Umgebungen ab und setzt dabei ausgefeilte Verschlüsselungstechniken ein.
Im August wurde auch die Ransomware Meow bekannt, die direkt auf dem zweiten Platz der meistverbreiteten Ransomwares landete. Meow, ursprünglich eine Variante der geleakten Conti-Ransomware, hat seinen Schwerpunkt von der Verschlüsselung auf die Datenextraktion verlagert und seine Erpressungsseite in einen Marktplatz für Datenlecks verwandelt. Bei diesem Modell werden die gestohlenen Daten an den Meistbietenden verkauft – eine Abweichung traditioneller Erpressungstaktiken für Ransomware.
Top-Malware in Deutschland im August 2024
↔ CloudEye (17,9 %) – CloudEye ist ein Downloader, der auf Windows-Systeme zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
↔ Androxgh0st (4,36 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
↑ FakeUpdates (3,9 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Meist angegriffene Branchen und Sektoren in Deutschland
1. ↔ Bildung/Forschung
2. ↔ Kommunikation
3. ↔ Gesundheitswesen
Top Mobile Malware
Diesen Monat liegt Joker erneut auf Platz 1 der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und Hydra.
↔ Joker – Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen kann. Die Malware registriert das Opfer zudem unbemerkt für Premium-Dienste auf Werbe-Websites.
↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
↑ Hydra – Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer auffordert, gefährliche Berechtigungen und Zugriffsrechte zu aktivieren, wenn sie eine Banking-App aufrufen.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist in diesem Monat die weltweit aktivste Ransomware-Gruppe und für 15 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Meow mit 9 Prozent und Lockbit3 mit 8 Prozent.
RansomHub – RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten und ausgeklügelte Verschlüsselungsmethoden einsetzten.
Meow – Meow Ransomware ist eine auf der Conti-Ransomware basierende Variante, die dafür bekannt ist, dass sie eine Vielzahl von Dateien auf kompromittierten Systemen verschlüsselt und die Erweiterung „.MEOW“ an sie anhängt. Sie hinterlässt eine Lösegeld-Notiz namens „readme.txt“, in der die Opfer angewiesen werden, die Angreifer per E-Mail oder Telegram zu kontaktieren, um Lösegeldzahlungen auszuhandeln. Meow Ransomware verbreitet sich über verschiedene Vektoren, darunter ungeschützte RDP-Konfigurationen, E-Mail-Spam und bösartige Downloads, und verwendet den Verschlüsselungsalgorithmus ChaCha20, um Dateien zu sperren, ausgenommen „.exe“- und Textdateien.
Lockbit3– LockBit ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten.
Am meisten ausgenutzte Sicherheitslücken
↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086) – Es wurde eine Sicherheitslücke durch Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde einem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.
↔ Zyxel ZyWALL Command Injection (CVE-2023-28771) – In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.
↔ HTTP-Header Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.