[English]Kurzer Nachtrag zum Thema Sicherheit und Malware-Risiken. Von Sicherheitsanbieter Check Point liegt mir seit Mitte Oktober 2024 deren Malware-Report für den September 2024 vor. Windows-Systeme in Deutschland waren wohl von der Malware Formbook besonders betroffen. Der Infostealer löste hierzulande CloudEye von der Spitze der aktivsten Malware ab und machte ganze 21 Prozent aller Infektionen aus. Dazu geriet das Transportwesen wieder zunehmend ins Visier von Hackern. Hier ein kurzer Überblick.
Anzeige
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein Cloud-basierter Anbieter von Cybersicherheit, hat seinen Global Threat Index für September 2024 von Check Point Research veröffentlicht. Der neue Bericht zeigt einen Trend hin zu KI-gesteuerter Malware und zeugt von der anhaltend dominanten Bedrohung durch Ransomware.
Formbook im Trend
In Deutschland spielte die im August 2024 noch dominante Malware CloudEye (Infostealer) bereits im September keine Rolle mehr und wurde durch Formbook abgelöst. Dieser Schädling machte aus dem Stand wieder 21 Prozent aller Malware-Infektionen aus.
Auf den Plätzen zwei und drei hielten sich Androxgh0st (4,6 Prozent) und FakeUpdates (3,3 Prozent). Zudem ist das Transportwesen hierzulande wieder stärker Ziel von Cyber-Angriffen geworden. Das Gesundheitssystem ist erstmals seit langem nicht mehr unter den drei meistbetroffenen Sektoren.
KI-Support in der AsyncRAT-Malware-Entwicklung
Im vergangenen Monat entdeckten die Sicherheitsforscher, dass Hacker mutmaßlich KI zur Entwicklung eines Skripts verwendeten, das AsyncRAT-Malware verbreitet. Die Malware rangiert nun auf Platz 10 der globalen Top-Malware-Liste.
Anzeige
Die von der Malware verwenden Methoden beinhaltetem HTML-Schmuggel, bei dem eine passwortgeschützte ZIP-Datei mit bösartigem VBScript-Code gesendet wurde, um eine Infektionskette auf dem Gerät des Opfers auszulösen. Der gut strukturierte und kommentierte Code deutete auf eine Beteiligung von KI hin.
Nach der vollständigen Ausführung wird AsyncRAT installiert, wodurch der Angreifer in der Lage ist, Tastenanschläge aufzuzeichnen, das infizierte Gerät fernzusteuern und zusätzliche Malware zu installieren. Diese Entdeckung unterstreicht den zunehmenden Trend, dass Cyber-Kriminelle mit begrenzten technischen Fähigkeiten künstliche Intelligenz einsetzen, um Malware einfacher zu erstellen.
Maya Horowitz, VP of Research bei Check Point Software Technologies, kommentiert die Trends: "Die Tatsache, dass Hacker damit begonnen haben, generative KI als Teil ihrer Angriffsinfrastruktur zu nutzen, verdeutlicht die kontinuierliche Entwicklung der Taktiken bei Cyber-Angriffen. Hacker nutzen zunehmend alle verfügbaren Technologien, um ihre Operationen zu optimieren, sodass es für Unternehmen unerlässlich ist, präventive Sicherheitsstrategien umzusetzen, einschließlich fortschrittlicher Präventionsmethoden und umfassender Schulungen für ihre Teams."
Top-Malware in Deutschland
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
- ↑ Formbook (21,2 %) – FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.
- ↔ Androxgh0st (4,6 %) – Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
- ↔ FakeUpdates (3,3 %) – Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Die am meisten angegriffene Branchen und Sektoren in Deutschland sind:
- 1. ↔ Bildung/Forschung
- 2. ↔ Kommunikation
- 3. ↑ Transport
Top Mobile Malware
In Monat September 2024 belegte Joker den ersten Platz der am weitesten verbreiteten Mobile Malware, gefolgt von Anubis und Hiddad.
- ↔ Joker – Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stiehlt. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.
- ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, Audioaufzeichnungsfunktionen und verschiedene Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.
- ↑ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
Aktivste Ransomware-Gruppen
Die Daten basieren auf Erkenntnissen von "Shame Sites" für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 17 Prozent der veröffentlichten Angriffe verantwortlich ist, gefolgt von Play mit 10 Prozent und Qilin mit 5 Prozent.
- RansomHub – RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.
- Play – Play Ransomware, auch bekannt als PlayCrypt, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie sich im System befinden, nutzen sie Techniken wie „Living-off-the-land binaries (LOLBins)" für Aufgaben wie Datenexfiltration und Diebstahl von Anmeldedaten.
- Qilin – Qilin, auch als Agenda bezeichnet, ist eine kriminelle Ransomware-as-a-Service-Operation, die mit Partnern zusammenarbeitet, um Daten aus kompromittierten Organisationen zu verschlüsseln und zu exfiltrieren und anschließend ein Lösegeld zu verlangen. Diese Ransomware-Variante wurde erstmals im Juli 2022 entdeckt und wird in Golang entwickelt. Agenda ist dafür bekannt, dass sie große Unternehmen und Organisationen mit hohem Wert ins Visier nimmt, wobei der Schwerpunkt auf dem Gesundheits- und Bildungssektor liegt. Qilin infiltriert seine Opfer in der Regel über Phishing-E-Mails.
Am häufigsten ausgenutzte Schwachstellen
Interessant fand ich die Auflistung der m meisten ausgenutzte Sicherheitslücken bei Angriffen:
- 1. ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen.
- 2. ↑ Web Servers Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Es gibt eine Schwachstelle bei der Verzeichnisdurchquerung auf verschiedenen Webservern. Die Schwachstelle ist auf einen Fehler bei der Eingabevalidierung in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung ermöglicht es nicht authentifizierten Angreifern aus der Ferne, beliebige Dateien auf dem anfälligen Server offenzulegen oder darauf zuzugreifen.
- 3. ↔ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827,CVE-2020-10828,CVE-2020-1375) – HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Computer des Opfers auszuführen.
Die vollständige Liste der zehn größten Malware-Familien im September 2024 finden Sie im Check Point Blog.
USDoD-Hacker in Brasilien verhaftet
In diesem Kontext können Cyberangreifer sich aber nicht mehr sicher sein, ungeschoren davon zu kommen. Die Tage hatte ich im Beitrag US-Justiz unterbricht DDoS-Angriffe von Anonymous Sudan, Anklage gegen zwei Personen von einem Erfolg der US-Justiz gegen eine spezielle Hackergruppe berichtet.
Es gab noch einen weiteren Erfolg zu vermelden. Anfang 2024 kam es bei National Public Data, einem Online-Dienst für Background-Checks und Betrugsprävention, zu einer schwerwiegenden Datenpanne. Dabei wurden mutmaßlich bis zu 2,9 Milliarden Datensätze mit hochsensiblen persönlichen Daten von bis zu 170 Millionen Menschen in den USA, dem Vereinigten Königreich und Kanada offengelegt. Microsoft hat beispielsweise hier eine Zusammenfassung veröffentlicht.
Die Kollegen von Bleeping Computer haben kürzlich in diesem Artikel berichtet, dass ein Hacker namens USDoD von der brasilianischen Polícia Federal im Rahmen der "Operation Data Breach" verhaftet worden sei. USDoD wird mit dem Datenleck bei National Public Data und dem FBI-Portal InfraGard (Portal zum Austausch von Bedrohungsdaten) in Verbindung gebracht.
USDoD, tritt auch als EquationCorp auf, blickt wohl auf eine lange Geschichte von Datenlecks zurück, bei denen es ihm gelungen ist, Daten abzuziehen. Diese hat er dann in Hackerforen verbreitet, während er die Opfer verspottete.
Anzeige
Bei den ausgenutzen Schwachstellen fällt mir auf, das diese Schwachstellen alle uralt sind und es dafür schon lange Patches gibt, um die Schwachstellen zu schließen.
Und wieder einmal zeigt sich, das es an der Patchmentalität massiv hapert.
Und was AsyncRAT angeht:
Nicht ohne Grund hat Microsoft VBScript kürzlich als deprecated eingestuft.
Es wird in zukünftigen Windows-Versionen nicht mehr enthalten sein.
Wer es jetzt schon nicht braucht kann es auch abschalten.
Damit funktionieren dann alle Angriffsmethoden, die auf VBScript setzen, nicht mehr.
100% aller Angriffsmethoden würden in's Leere laufen wenn die Anwender (besser jedoch Microsoft by Default) die seit XP in jedem Windows enthaltenen Software Restrictions für nicht privilegierte User aktiv hätten.
Tja wenn es unter Windows so einfach wäre ohne Adminrechte arbeiten so zu können wäre das Leben leichter.
Leider gibt es massenhaft schlecht programmierte Software (die man sich aber leider nicht aussuchen kann) die ohne Adminrechte nicht funktioniert.
Tja, merkwürdig nur, das es im Unternehmensumfeld prima funktioniert.
Hier im Firmennetzwerk hat niemand der normalen Benutzer Adminrechte, auch nicht auf dem eigenen Rechner.
Alle eingesetzte Software läuft mit den Benutzerrechten einwandfrei.
Es ist wie mit dem Hasen und dem Igel.Ein ewiger Kampf.
Das schlimmste ist die Blauäugikeit vieler Nutzer als Punkt 1
Punkt 2 ist der Zugang zum Netz,(Kommentar von R.S)
Es ist ja nur ein Gerät das ich in der Hand halte/davorsitze und etwas macht.???
ES IST EINE PROGRAMMIERTE MASCHINE MIT VERBINDUNG ZUM W.W.W !!!
Daher äusserste Vorsicht beim Tun!!!,speziell für Normal-User.
Ich beschäftige mich seit geraumer Zeit mit IT-Sicherheit und Forensik.
Mein AV-Scanner wurde jetzt auf einen neuen Top-Level ge-upgradet.
Etliche neue Funktionen,wie Kontrolle "Auto-Start,Deep Treats",Live-Update alle 5-10 Minuten,festeingebaute Sandbox im PRG.und vieles mehr.Der Rechner wird betreut,und 2 Smartphone,die ständig synchronisiert werden.
Auch lässt sich der Scanner leicht testen,ob er funktioniert,einfach mal diverse
Malwaresamples downloaden=SOFORTIGE WARNUNG MIT ELIMINIERUNG.
Gefälschte Websites=WARNUNG,Fake-email=WARNUNG.
Am 25.10.kam ein Telefonat,Roboterstimme,wg.Abbuchung von 553,00€ bei PayPal
Dies wäre verdächtig,ich solle sofort die Taste 1 drücken.VONWEGEN !!!
Beim PayPal-Sicherheitssupport Rückfrage,wg. Konto,Kontrolle des Kontos,aber natürlich alles o.k (Kann ja sehr sehr teuer werden!!!)
Man müsste die Nutzer viel besser in das Thema Security einbinden.
Zumindest die essentiellen Grundlagen.Es gibt keine allgemeine Sendung zb.TV.
Die Admins müssen ihre System dementsprechend härten,STRIKTE RICHTLINIEN
für die Clienten.Am besten KEIN NETZZUGANG ZUM W.W.W,internes Netz nur
privilegierte Personen zum W.W.W (email mit vorherigem Check allgemein)
EINBAU SICHERHEITSOFTWARE INS GESAMT-SYSTEM INKLUSIVE DER CLIENTEN UND SCHULUNG DER MITARBEITER !!!!!,was man darf und eben nicht
tun sollte!!!
Die Log-Dateien sind ja da,wer,wann,wo im Netz.Bei gefährlicher Nutzung:ERMAHNUNG,bei wiederholter Nutzung:ABMAHNUNG.
Rum-Klicken auf dubiose Links=Nein,ab in die Sandbox,URL prüfen etc.
Es ist manchmal interessant,wie der Weg der emails sich darstellt,Kontrolle Header.
Telefonate,Kontrolle und Nummernrecherche.etc.etc.etc.
Wenn allerdings die Sicherheits-Software selbst versagt,Pech gehabt.(Siehe Crowd-Strike) Daher müsste eine Software-Installation bei FIRMEN einer strikten Analyse
unterzogen werden,durch externe Fachfirmen bei SYSTEMRELEVANTEN ORTEN.
Privat möge der Nutzer am SEINEM Rechner und Phone tun was er will.
Es müssten vielmehr allgemeine Seminare stattfinden.Aber es scheitert wie alles wieder an den Kosten,und am Interesse,(wird schon nix passieren)
Danke fürs Lesen,und Vergebung für mein vielleicht unnützes Kommentar über Dinge die für Profis eh bekannt sind.
"Mein AV-Scanner …" ist nichts als schöner Schein… was der nicht finden darf, wird er nicht finden.
So ist es.
Es gibt inzwischen Malware, die AV-Scanner etc. umgehen kann bzw. die sogar deaktivieren kann.
Und die ist dann richtig gefährlich, weil der Benutzer sich auf seine AV-Lösung verlässt und denkt, das der Rechner nicht infiziert ist, da die AV-Lösung ja keinen Alarm ausgelöst hat.
Ich bin ja dafür den Mitarbeitern, den Rechner gar nicht mehr einschalten zu lassen. Soll sie/er das am Papier machen. Das wäre einfach viel sicherer.
Den Mitarbeitern das WWW abschalten? Was sind das für Forderungen oder besser gesagt um welche Jobs geht es hier? Das kann man doch nicht über eine breite Jobstruktur auch nur andenken. Mitarbeiter die selbstständig und innovativ arbeiten verwenden heutzutage natürlich Informationen aus dem WWW. Viele drängen sogar dazu GPT etc zu verwenden, da bin ich noch nicht wirklich überzeugt, dass es gut ist. Aber sollen wieder alle anfangen – Infos per Telefon oder per Buch zu erlangen? Wie kann man hier im Blog überhaupt lesen oder schreiben, wenn man keinen WWW Zugang hat? Odr darf ein Admin alles und die anderen nichts?
Ich finde solche Posts gefährlich. Wenn das Manager lesen, denken diese sie können mit solchen Aktionen das Security Problem beheben. Das ist genauso wie Manager etwas von KI lesen und glauben sie können jetzt massenhaft Mitarbeiter entlassen, weil die KI ja schon alles kann.
Wieso kann man heutzutage nicht etwas realistisch bleiben und nicht immer in die Extreme tendieren?