Top Malware März 2024 (Check Point-Report)

Sicherheit (Pexels, allgemeine Nutzung)Auch für den Monat März 2024 haben die Sicherheitsforscher einen Report zur Top Malware vorgelegt. Dabei ist den Sicherheitsforschern eine neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos aufgefallen, der in Deutschland auf Platz Eins der Malware-Liste steht. Bei der neuen Verbreitungsmethode werden gängige Sicherheitsmaßnahmen umgangen, um unbefugten Zugriff auf die Geräte der Opfer zu erhalten. Derweil ist Blackbasta in die Top drei der weltweit meistgesuchten Ransomware-Gruppen aufgestiegen.


Anzeige

Die Informationen gehen aus dem Check Point Software Global Thread Index für März 2024 hervor.

Remcos Verbreitungsmethode

Im März 2024 deckten die Sicherheitsforscher auf, dass Hacker VHD-Dateien (Virtual Hard Disk) nutzen, um Remcos, einen RAT (Remote Access Trojan), zu installieren. In der Zwischenzeit blieb Lockbit3  – trotz der Strafverfolgungsmaßnahmen im Februar – die weltweit am weitesten verbreitete Ransomware-Gruppe im März.

Remcos ist eine bekannte Malware, die seit 2016 ihr Unwesen treibt. Die jüngste Kampagne umgeht gängige Sicherheitsmaßnahmen, um Cyber-Kriminellen unbefugten Zugriff auf die Geräte der Opfer zu ermöglichen. Trotz seiner legalen Ursprünge zur Remote-Verwaltung von Windows-Systemen begannen Hacker bald, das Tool zu missbrauchen, um Geräte zu infizieren, Screenshots zu erfassen, Tastatureingaben zu protokollieren und die gesammelten Daten an bestimmte Host-Server zu übertragen. Darüber hinaus verfügt der RAT über eine Massenversandfunktion, mit der Verteilungskampagnen durchgeführt werden können. Seine verschiedenen Funktionen können zum Aufbau von Bot-Netzen verwendet werden.

Maya Horowitz, VP of Research bei Check Point, kommentiert: "Die Entwicklung der Angriffstaktiken zeigt, dass die Strategien der Hacker unaufhaltsam voranschreiten. Dies unterstreicht die Notwendigkeit für Unternehmen, Sicherheitsmaßnahmen Priorität einzuräumen. Indem sie wachsam bleiben, einen robusten Endpunktschutz einsetzen und eine Kultur des Cyber-Sicherheitsbewusstseins fördern, können sie die Verteidigung gegen Cyber-Bedrohungen stärken."


Anzeige

Check Points Ransomware Index

Check Points Ransomware Index beleuchtet Erkenntnisse von sogenannten Ransomware Shame Sites. Diese werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen über die Opfer zu veröffentlichen. Lockbit3 führt hier das Ranking mit zwölf Prozent der veröffentlichten Angriffe erneut an, gefolgt von Play mit zehn Prozent und Blackbasta mit neun Prozent.

Blackbasta, das zum ersten Mal unter den ersten drei Plätzen zu finden ist, bekannte sich zu dem kürzlich erfolgten Cyber-Angriff auf die schottische Anwaltskanzlei Scullion Law.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

  1. ↑ Remcos–Remcos ist ein RAT, der seit 2016 sein Unwesen treibt. Remcos wird über verseuchte Microsoft Office-Dokumente verbreitet, die an SPAM-E-Mails angehängt sind. Die Malware ist darauf ausgelegt, die UAC-Sicherheit von Microsoft Windows zu umgehen und Malware mit hohen Rechten auszuführen.
  1. ↓CloudEyE – CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
  1. ↑ FakeUpdates – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Gefährlichste Sicherheitslücken

Im vergangenen Monat war "Web Server Malicious URL Directory Traversal" immer noch die am häufigsten ausgenutzte Schwachstelle, von der 50 Prozent der Unternehmen weltweit betroffen waren. Es folgten "Command Injection Over HTTP" mit 48 Prozent und "HTTP Headers Remote Code Execution" mit 43 Prozent.

  1. ↔ WebserverMalicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
  1. ↔Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle für Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
  1. ↑ HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner seines Opfers auszuführen.

Top 3 Mobile Malware

Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am häufigsten verbreiteten Handy-Malware, gefolgt von AhMyth und Cerberus.

  1. ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
  1. ↔ AhMyth – AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.
  1. ↔ Cerberus – Cerberus tauchte erstmals im Juni 2019 auf. Es ist ein Remote Access Trojaner (RAT) mit speziellen Funktionen zur Überlagerung von Bankbildschirmen auf Android-Geräten. Cerberus arbeitet in einem Malware-as-a-Service (MaaS)-Modell und nimmt den Platz von nicht mehr existierenden Banking-Trojanern, wie Anubis und Exobot, ein. Zu seinen Funktionen gehören SMS-Kontrolle, Schlüsselprotokollierung, Tonaufzeichnung und Standortverfolgung.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

  1. ↔Bildung und Forschung
  1. ↑ Gesundheitswesen
  1. ↓ Kommunikation

Top Ransomware Groups

Dieser Abschnitt enthält Informationen, die von Ransomware Shame Sites stammen. Sie werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen über die Opfer zu veröffentlichen. Die Daten von diesen Shame-Sites sind zwar mit Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem.

Lockbit3 war im vergangenen Monat die am weitesten verbreitete Ransomware-Gruppe, die für zwölf Prozent der veröffentlichten Angriffe verantwortlich war, gefolgt von Play mit zehn Prozent und Blackbasta mit neun Prozent.

  1. LockBit3– LockBit3 ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit3 zielt auf große Unternehmen und Regierungsstellen in verschiedenen Ländern,nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten (GUS).
  1. Play–Play ist der Name einer Art von Ransomware. Sie verschlüsselt Daten und verlangt für die Entschlüsselung ein Lösegeld.
  1. BlackBasta – Die BlackBasta Ransomware wurde erstmals im Jahr 2022 beobachtet und arbeitet als Ransomware-as-a-Service (RaaS). Die Bedrohungsakteure dahinter zielen meist auf Organisationen und Einzelpersonen, indem sie RDP-Schwachstellen und Phishing-E-Mails zur Verbreitung der Ransomware nutzen.

Die vollständige Liste der zehn größten Malware-Familien im März finden sie auf dieser Webseite.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Top Malware März 2024 (Check Point-Report)

  1. 1ST1 sagt:

    Echt jetzt, da werden Angriffe (erfolgreich?) über Sicherheitslücken ausgeführt, deren CVE-Nummern schon bis zu 14 Jahre alt sind? Sieht nach viel Arbeit aus, auch für die Verteidiger.

  2. R.S. sagt:

    Wenn ich mir die Liste der CVEs bei den gefährlichsten Sicherheitslücken anschaue, dann sind die alle schon sehr alt (2010 – 2022).
    Wenn davon heute noch irgendein Unternehmen betroffen ist, dann zeigt das, wie katastrophal es bei dessen Patchmanagement aussieht.
    Die in den CVEs genannten Sicherheitslücken dürften inzwischen allesamt geschlossen sein.

    • MadJack sagt:

      Es liegt hier nicht immer am Patchmanagement oder am Admin.
      Wenn es keine Patches dafür gibt.
      Bei Office 2019 gibt es ein Problem mit einer OpenSSL Datei. Das ist ein Connector für Salesforce. Obwohl wir kein Salesforce einsetzten wird das von Microsoft installiert. Patch gibt es für das OpenSSL bisher nicht von Microsoft.
      Oder eine Software von MCE die Handydaten überspielen kann auf ein neues Handy. Das gleiche. Es wird nicht gefixt. Ticket wird einfach danach geschlossen.

      Wenn es die Hersteller der Software einfach nicht juckt das Problem zu beheben dann ist es so.
      Da kannst nur auf eine andere Software wenn es die dafür gibt ausweichen. Aber wenn die Geschäftsleitung an der Software festhält oder kein Geld für was neue rausrückt dann eben Pech.

      Bei uns sind 80% der CVE´s von OpenSSL. Weil irgendein Programm eine OpenSSL uralt Komponente dabei hat. Seit 2 Jahren versuche ich es bei einem Programm(Hersteller) dass das mal aktualisiert wird. Nö.

      Wundert mich, dass es eigentlich nicht noch mehr knallt bei dem alten Krempel die manche Softwarehersteller einem Unterschieben.

      • R.S. sagt:

        Keine der CVEs betrifft OpenSSL und nur die letzte CVE betrifft Microsoft Windows. Die wurde schon 2020 geschlossen.

        Ein Teil der CVEs betrifft die FW von Routern (TP-Link, Draytek, etc.).

        Und was die Softwarehersteller angeht:
        Zumindest mal drohen sollte man denen.
        Z.B. sich schreiben, das man doch sehr verwundert sei, das Ihnen die Sicherheit ihrer Kunden am A…. vorbei geht und man sich daher überlegen müsse, zu einen anderen Softwareanbieter zu wechseln.
        Ob man das dann tatsächlich macht, ist eine andere Sache.
        Und die Beschwerde bitte direkt von der Geschäftsleitung versenden lassen und auch an die Geschäftsleitung der Softwarefirma senden.
        Evtl. wachen die dann da ja auf!

  3. Anonymous sagt:

    In der Statistik fehlt all die Malware, die sich besser versteckt und die man noch gar nicht entdeckt hat.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.