{"id":294423,"date":"2024-04-14T00:10:00","date_gmt":"2024-04-13T22:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=294423"},"modified":"2024-04-12T23:38:05","modified_gmt":"2024-04-12T21:38:05","slug":"top-malware-mrz-2024-check-point-report","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/04\/14\/top-malware-mrz-2024-check-point-report\/","title":{"rendered":"Top Malware März 2024 (Check Point-Report)"},"content":{"rendered":"

\"SicherheitAuch f\u00fcr den Monat M\u00e4rz 2024 haben die Sicherheitsforscher einen Report zur Top Malware vorgelegt. Dabei ist den Sicherheitsforschern eine neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos aufgefallen, der in Deutschland auf Platz Eins der Malware-Liste steht. Bei der neuen Verbreitungsmethode werden g\u00e4ngige Sicherheitsma\u00dfnahmen umgangen, um unbefugten Zugriff auf die Ger\u00e4te der Opfer zu erhalten. Derweil ist Blackbasta in die Top drei der weltweit meistgesuchten Ransomware-Gruppen aufgestiegen.<\/p>\n

<\/p>\n

Die Informationen gehen aus dem Check Point Software Global Thread Index f\u00fcr M\u00e4rz 2024 hervor. <\/p>\n

Remcos Verbreitungsmethode<\/h2>\n

Im M\u00e4rz 2024 deckten die Sicherheitsforscher auf, dass Hacker VHD-Dateien (Virtual Hard Disk) nutzen, um Remcos, einen RAT (Remote Access Trojan), zu installieren. In der Zwischenzeit blieb Lockbit3  \u2013 trotz der Strafverfolgungsma\u00dfnahmen im Februar<\/a> \u2013 die weltweit am weitesten verbreitete Ransomware-Gruppe im M\u00e4rz.<\/p>\n

Remcos ist eine bekannte Malware, die seit 2016 ihr Unwesen treibt. Die j\u00fcngste Kampagne<\/a> umgeht g\u00e4ngige Sicherheitsma\u00dfnahmen, um Cyber-Kriminellen unbefugten Zugriff auf die Ger\u00e4te der Opfer zu erm\u00f6glichen. Trotz seiner legalen Urspr\u00fcnge zur Remote-Verwaltung von Windows-Systemen begannen Hacker bald, das Tool zu missbrauchen, um Ger\u00e4te zu infizieren, Screenshots zu erfassen, Tastatureingaben zu protokollieren und die gesammelten Daten an bestimmte Host-Server zu \u00fcbertragen. Dar\u00fcber hinaus verf\u00fcgt der RAT \u00fcber eine Massenversandfunktion, mit der Verteilungskampagnen durchgef\u00fchrt werden k\u00f6nnen. Seine verschiedenen Funktionen k\u00f6nnen zum Aufbau von Bot-Netzen verwendet werden. <\/p>\n

Maya Horowitz, VP of Research bei Check Point, kommentiert: \"Die Entwicklung der Angriffstaktiken zeigt, dass die Strategien der Hacker unaufhaltsam voranschreiten. Dies unterstreicht die Notwendigkeit f\u00fcr Unternehmen, Sicherheitsma\u00dfnahmen Priorit\u00e4t einzur\u00e4umen. Indem sie wachsam bleiben, einen robusten Endpunktschutz einsetzen und eine Kultur des Cyber-Sicherheitsbewusstseins f\u00f6rdern, k\u00f6nnen sie die Verteidigung gegen Cyber-Bedrohungen st\u00e4rken.\" <\/p>\n

Check Points Ransomware Index <\/h2>\n<\/p>\n

Check Points Ransomware Index beleuchtet Erkenntnisse von sogenannten Ransomware Shame Sites. Diese werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen \u00fcber die Opfer zu ver\u00f6ffentlichen. Lockbit3 f\u00fchrt hier das Ranking mit zw\u00f6lf Prozent der ver\u00f6ffentlichten Angriffe erneut an, gefolgt von Play mit zehn Prozent und Blackbasta mit neun Prozent. <\/p>\n

Blackbasta, das zum ersten Mal unter den ersten drei Pl\u00e4tzen zu finden ist, bekannte sich zu dem k\u00fcrzlich erfolgten Cyber-Angriff auf die schottische Anwaltskanzlei Scullion Law<\/a>. <\/p>\n

Top-Malware in Deutschland <\/h3>\n<\/p>\n

*Die Pfeile beziehen sich auf die Ver\u00e4nderung der Rangfolge im Vergleich zum Vormonat. <\/p>\n

    \n
  1. \u2191 Remcos\u2013Remcos ist ein RAT, der seit 2016 sein Unwesen treibt. Remcos wird \u00fcber verseuchte Microsoft Office-Dokumente verbreitet, die an SPAM-E-Mails angeh\u00e4ngt sind. Die Malware ist darauf ausgelegt, die UAC-Sicherheit von Microsoft Windows zu umgehen und Malware mit hohen Rechten auszuf\u00fchren.<\/li>\n<\/ol>\n
      \n
    1. \u2193CloudEyE \u2013 CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, sch\u00e4dliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.<\/li>\n<\/ol>\n
        \n
      1. \u2191 FakeUpdates \u2013 Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates f\u00fchrt zu einer weiteren System-Infiltration durch viele zus\u00e4tzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.<\/li>\n<\/ol>\n

        Gef\u00e4hrlichste Sicherheitsl\u00fccken <\/h3>\n<\/p>\n

        Im vergangenen Monat war \"Web Server Malicious URL Directory Traversal\" immer noch die am h\u00e4ufigsten ausgenutzte Schwachstelle, von der 50 Prozent der Unternehmen weltweit betroffen waren. Es folgten \"Command Injection Over HTTP\" mit 48 Prozent und \"HTTP Headers Remote Code Execution\" mit 43 Prozent. <\/p>\n

          \n
        1. \u2194 WebserverMalicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260) – Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanf\u00e4lligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zur\u00fcckzuf\u00fchren, der die URI f\u00fcr die Verzeichnis\u00fcberquerungsmuster nicht ordnungsgem\u00e4\u00df bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.<\/li>\n<\/ol>\n
            \n
          1. \u2194Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle f\u00fcr Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung k\u00f6nnte ein Angreifer beliebigen Code auf dem Zielrechner ausf\u00fchren. <\/li>\n<\/ol>\n
              \n
            1. \u2191 HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zus\u00e4tzliche Informationen mit einer HTTP-Anfrage zu \u00fcbermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner seines Opfers auszuf\u00fchren.<\/li>\n<\/ol>\n

              Top 3 Mobile Malware <\/h3>\n<\/p>\n

              Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am h\u00e4ufigsten verbreiteten Handy-Malware, gefolgt von AhMyth und Cerberus. <\/p>\n

                \n
              1. \u2194 Anubis \u2013 Anubis ist eine Banking-Trojaner-Malware, die f\u00fcr Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zus\u00e4tzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.<\/li>\n<\/ol>\n
                  \n
                1. \u2194 AhMyth \u2013 AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird \u00fcber Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Ger\u00e4t sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchf\u00fchren, was in der Regel zum Stehlen sensibler Informationen genutzt wird.<\/li>\n<\/ol>\n
                    \n
                  1. \u2194 Cerberus \u2013 Cerberus tauchte erstmals im Juni 2019 auf. Es ist ein Remote Access Trojaner (RAT) mit speziellen Funktionen zur \u00dcberlagerung von Bankbildschirmen auf Android-Ger\u00e4ten. Cerberus arbeitet in einem Malware-as-a-Service (MaaS)-Modell und nimmt den Platz von nicht mehr existierenden Banking-Trojanern, wie Anubis und Exobot, ein. Zu seinen Funktionen geh\u00f6ren SMS-Kontrolle, Schl\u00fcsselprotokollierung, Tonaufzeichnung und Standortverfolgung.<\/li>\n<\/ol>\n

                    Top 3 der angegriffenen Branchen und Bereiche in Deutschland <\/h3>\n
                      \n
                    1. \u2194Bildung und Forschung<\/li>\n<\/ol>\n
                        \n
                      1. \u2191 Gesundheitswesen<\/li>\n<\/ol>\n
                          \n
                        1. \u2193 Kommunikation<\/li>\n<\/ol>\n

                          Top Ransomware Groups<\/h3>\n<\/p>\n

                          Dieser Abschnitt enth\u00e4lt Informationen, die von Ransomware Shame Sites stammen. Sie werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen \u00fcber die Opfer zu ver\u00f6ffentlichen. Die Daten von diesen Shame-Sites sind zwar mit Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-\u00d6kosystem. <\/p>\n

                          Lockbit3 war im vergangenen Monat die am weitesten verbreitete Ransomware-Gruppe, die f\u00fcr zw\u00f6lf Prozent der ver\u00f6ffentlichten Angriffe verantwortlich war, gefolgt von Play mit zehn Prozent und Blackbasta mit neun Prozent. <\/p>\n

                            \n
                          1. LockBit3\u2013 LockBit3 ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit3 zielt auf gro\u00dfe Unternehmen und Regierungsstellen in verschiedenen L\u00e4ndern,nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabh\u00e4ngiger Staaten (GUS).<\/li>\n<\/ol>\n
                              \n
                            1. Play\u2013Play ist der Name einer Art von Ransomware. Sie verschl\u00fcsselt Daten und verlangt f\u00fcr die Entschl\u00fcsselung ein L\u00f6segeld.<\/li>\n<\/ol>\n
                                \n
                              1. BlackBasta \u2013 Die BlackBasta Ransomware wurde erstmals im Jahr 2022 beobachtet und arbeitet als Ransomware-as-a-Service (RaaS). Die Bedrohungsakteure dahinter zielen meist auf Organisationen und Einzelpersonen, indem sie RDP-Schwachstellen und Phishing-E-Mails zur Verbreitung der Ransomware nutzen.<\/li>\n<\/ol>\n

                                Die vollst\u00e4ndige Liste der zehn gr\u00f6\u00dften Malware-Familien im M\u00e4rz finden sie auf dieser Webseite<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

                                Auch f\u00fcr den Monat M\u00e4rz 2024 haben die Sicherheitsforscher einen Report zur Top Malware vorgelegt. Dabei ist den Sicherheitsforschern eine neue Methode zur Verbreitung des Remote Access Trojaners (RAT) Remcos aufgefallen, der in Deutschland auf Platz Eins der Malware-Liste steht. … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-294423","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294423","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=294423"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/294423\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=294423"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=294423"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=294423"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}