Verschlüsselung & Datensicherheit

Check Points Top Malware im April 2019: Cyberkriminelle setzen wieder auf den Banking-Trojaner „Trickbot“

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersicherheitslösungen, hat seinen neuesten Global Threat Index für April 2019 veröffentlicht. Nach vielen Monaten verlieren Ransomware und Kryptominer erstmals an Boden, denn der Banking-Trojaner Trickbot ist nach fast zwei Jahren zurück unter den obersten Drei des Index.

Cyberkriminelle lieben Mehrzweck-Banking-Trojaner

Mehrzweck-Banking-Trojaner wie Trickbot sind eine beliebte Wahl aller Cyberkriminellen, die auf große Geldgewinne hoffen. Trickbot-Einsätze nahmen im April stark zu, angeführt von einer Spam-Kampagne zum ‚US-amerikanischen Steuertag‘, der mit der Frist für die Einkommensteuererklärung in den Vereinigten Staaten zusammenfällt. In Spam-Nachrichten wurden Excel-Dokumente als Dateianhänge verbreitet, hinter denen sich Trickbot versteckte, um auf die Computer der Opfer heruntergeladen zu werden. Kaum geschehen, verbreitete sich der Banking-Trojaner über Netzwerke, versuchte Bankdaten zu sammeln und Steuerdokumente für betrügerische Zwecke zu stehlen.

Die Rückkehr des eigentlich sehr alten Banking-Trojaners Trickbot verdeutlicht die Verlagerung der Taktiken, mit denen Kriminelle ihre finanziellen Erträge aus Kampagnen maximieren: Mehrere beliebte Kryptomining-Dienste gingen vom Netz und die Werte von Kryptowährungen sanken im vergangenen Jahr stetig. Nun greifen die Kriminellen wieder auf bewährte Methoden zurück.

Neben Trickbot, der es auf die Bankkonten abgesehen hat, steigt mit Pony passenderweise ein Info-Stealer in die Top 3 auf. Auch dieser ist sehr alt und erfährt nun eine Wiederbelebung durch Internetkriminelle, um Nutzerdaten und Zugangsinformationen zu stehlen, oder sogar von Rechner zu Rechner zu hüpfen, um ein Botnetz anzulegen.

Der Kommentar

Maya Horowitz, Threat Intelligence and Research Director bei Check Point, kommentierte:

„In diesem Monat haben es sowohl Trickbot als auch der Dauerbrenner Emotet unter die Top 3 der Malware-Liste geschafft. Dies ist besonders beunruhigend, da beide Botnets heutzutage nicht nur zum Stehlen privater Daten und Zugangsinformationen, sondern auch zur Verbreitung der Ryuk-Ransomware verwendet werden. Ryuk ist bekannt dafür, dass er auf Vermögenswerte wie Datenbanken und Backup-Server zielt und ein Lösegeld bis über einer Million Dollar verlangt. Da sich diese Malware ständig weiterentwickelt, ist es wichtig, eine robuste Verteidigungslinie gegen sie aufzubauen, die eine fortschrittliche Bedrohungsabwehr bietet.“

Die Top 3 ‘Most Wanted’ Malware im April 2019:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.

Pony – Pony ist ein Info Stealer. Er wurde in erster Linie entwickelt, um Benutzerdaten von infizierten Windows-Plattformen zu stehlen und sie an einen C&C-Server zurückzusenden. Er ist auch bekannt als Pony Stealer, Pony Loader, FareIT und mehr. Pony gibt es seit 2011 und bis uns Jahr 2013 wurde der Quellcode öffentlich gemacht, so dass sich dezentrale Versionen entwickeln konnten. Die vielfältigen Funktionen ermöglichen es Angreifern nicht nur, System- und Netzwerkaktivitäten zu überwachen, oder zusätzliche Malware herunterzuladen und zu installieren, sondern auch weitere Rechner zu infizieren, um ein Botnet anzulegen. Aufgrund seiner dezentralen Struktur wurde Pony hinter zahlreichen, unterschiedlichen Angriffsvektoren erkannt.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten ausgenutzten Cyber-Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits liegt vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen. Zum ersten Mal nach 12 Monaten fiel Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) vom ersten Platz ab, betraf aber stattliche 40 Prozent der Unternehmen, gefolgt vom Neuling Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Die Top 3 ‘Most Exploited’ Schwachstellen im März 2019:

↑  OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an den Microsoft Windows Server 2003 R2 und über die Microsoft Internet Information Services 6.0 kann ein Angreifer von außen einen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Schwachstelle im Puffer-Overflow zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

↑  Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) - In den Apache Struts2 mit Jakarta Multipart Parser besteht eine Sicherheitslücke bei der Ausführung von Remote-Code. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen ungültigen Inhaltstyp als Teil einer Datei-Upload-Anfrage sendet. Eine erfolgreiche Ausnutzung kann zur Ausführung von beliebigem Code auf dem betroffenen System führen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Über Check Point Research

Check Point Research bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die größere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Seine Lösungen schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Lösegeldforderungen und anderen gezielten Angriffen. Check Point bietet eine mehrstufige Sicherheitsarchitektur mit unserer neuen Gen V Advanced Threat Prevention, die alle Netzwerke, Clouds und mobilen Operationen eines Unternehmens vor allen bekannten Angriffen schützt, kombiniert mit dem umfassendsten und intuitivsten Single Point of Control Management System der Branche. Check Point schützt über 100.000 Unternehmen jeder Größe.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben