{"id":313473,"date":"2025-07-11T00:04:18","date_gmt":"2025-07-10T22:04:18","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=313473"},"modified":"2025-07-10T22:57:59","modified_gmt":"2025-07-10T20:57:59","slug":"malware-report-juni-2025","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/07\/11\/malware-report-juni-2025\/","title":{"rendered":"Malware-Report Juni 2025"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>Check Point hat seine \u00dcbersicht \u00fcber Malware-Angriffe im Juni 2025 vorgelegt. Es geht dabei um Trends, welche Ransomware-Gruppen und Malware-Familien am h\u00e4ufigsten beobachtet werden. Der Infostealer Formbook ist f\u00fcr 15 Prozent aller Malware-Attacken in Deutschland verantwortlich.<\/p>\n<p><!--more--><\/p>\n<p>Sicherheitsanbieter Check Point\u00ae Software Technologies Ltd. (CPR) hat seinen Global Threat Index f\u00fcr Juni 2025 ver\u00f6ffentlicht. Nachdem Check Point Research zuletzt aufdeckte, dass AsyncRAT, ein Remote-Access-Trojaner (RAT), Discord-Einladungslinks ausnutzt, um b\u00f6sartige Nutzlasten zu verbreiten, ist dieser nun auch global unter die Top drei der am weitesten verbreiteten Malware-Typen aufgestiegen. Unterdessen bleibt FakeUpdates die weltweit aktivste Malware und richtet weiterhin gro\u00dffl\u00e4chig Schaden in Unternehmen \u00fcber L\u00e4ndergrenzen hinweg an.<\/p>\n<h2>Formbook dominiert im Juni<\/h2>\n<p>Im Juni 2025 dominierte Formbook abermals mit weitem Abstand die Statistik hierzulande: \u00dcber 15 Prozent aller von CPR festgestellten Malware-Infektionen in Deutschland gingen auf das Konto des Infostealers. Dahinter lagen mit weitem Abstand Androxgh0st mit 2,45 Prozent und FakeUpdates mit 1,76 Prozent.<\/p>\n<p>Im Bereich der Datenerpressung ist die Ransomware-Gruppe Qilin nach wie vor einer der aktivsten Akteure in der Cyberkriminalit\u00e4tsszene und greift gezielt gro\u00dfe Unternehmen an, insbesondere im Gesundheits- und Bildungswesen.<\/p>\n<h2>Top-Malware in Deutschland<\/h2>\n<p>Die Pfeile beziehen sich auf die Ver\u00e4nderung des Rankings im Vergleich zum Vormonat. In Klammern findet sich der prozentuale Anteil an allen Malware-Infektionen im jeweiligen Raum.<\/p>\n<ul>\n<li>\u2191 Formbook (DE: 15,33 %, Global: 2,09 %): Erstmals 2016 identifiziert, ist eine Infostealer-Malware, die vor allem Windows-Systeme angreift. Die Malware sammelt Anmeldedaten aus verschiedenen Webbrowsern, erstellt Screenshots, \u00fcberwacht und protokolliert Tastatureingaben und kann zus\u00e4tzliche Payloads herunterladen und ausf\u00fchren. Die Malware verbreitet sich \u00fcber Phishing-Kampagnen, b\u00f6sartige E-Mail-Anh\u00e4nge und kompromittierte Websites, oft getarnt als legitime Dateien.<\/li>\n<li>\u2194 Androxgh0st (DE: 2,45 %, Global: 3,46 %): AndroxGh0st ist eine auf Python basierte Malware, die auf Anwendungen zielt, die das Laravel-PHP-Framework verwenden, indem sie nach exponierten .env-Dateien sucht, die sensible Informationen, wie Anmeldedaten f\u00fcr Dienste, darunter AWS, Twilio, Office 365 und SendGrid, enthalten. Der Sch\u00e4dling nutzt ein Bot-Netz, um Websites mit Laravel zu identifizieren und vertrauliche Daten zu stehlen. Sobald der Zugriff erfolgt ist, k\u00f6nnen Angreifer zus\u00e4tzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen f\u00fcr verschiedene Aktivit\u00e4ten, wie das Mining von Krypto-W\u00e4hrungen, ausnutzen.<\/li>\n<li>\u2193 FakeUpdates (Deutschland: 1,76 %, Global: 4,22 %): FakeUpdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals im Jahr 2018 entdeckt wurde. Sie wird \u00fcber Drive-by-Downloads \u00fcber kompromittierte oder b\u00f6sartige Websites verbreitet und fordert die Nutzer auf, ein gef\u00e4lschtes Browser-Update zu installieren. Die FakeUpdates-Malware wird mit der russischen Hackergruppe Evil Corp in Verbindung gebracht. Sie soll nach der ersten Infektion verschiedene sekund\u00e4re Payloads liefern.<\/li>\n<\/ul>\n<h2>Meistattackierte Sektoren<\/h2>\n<p>Im Juni war das Bildungswesen weiterhin der am h\u00e4ufigsten attackierte Bereich. Auch die Telekommunikationsbranche verweilte am zweiten Monat in Folge auf Platz zwei. Energie und Versorgungsunternehmen wurden auf dem dritten Platz abgel\u00f6st von Firmen aus der Biotechnologie und dem Pharmabereich.<\/p>\n<ul>\n<li>\u2194 Bildung<\/li>\n<li>\u2194 Telekommunikation<\/li>\n<li>\u2191 Biotechnologie und Pharmazeutika<\/li>\n<\/ul>\n<h2>Top Mobile Malware<\/h2>\n<ul>\n<li>\u2194 Anubis &#8211; Anubis ist die am weitesten verbreitete mobile Malware, die daf\u00fcr bekannt ist, dass sie die Multi-Faktor-Authentifizierung (MFA) umgehen und Bankdaten stehlen kann. Sie wird h\u00e4ufig \u00fcber b\u00f6sartige Apps im Google Play Store verbreitet.<\/li>\n<li>\u2194 AhMyth &#8211; AhMyth, ein Fernzugriffs-Trojaner (RAT) f\u00fcr Android, ist als legitime App getarnt und gew\u00e4hrt Angreifern Zugriff, um Bankdaten und MFA-Codes zu exfiltrieren sowie Keylogging und Bildschirmaufnahmen durchzuf\u00fchren.<\/li>\n<li>\u2194 Necro &#8211; Necro ist ein b\u00f6sartiger Downloader, der Befehle auf Android-Ger\u00e4ten ausf\u00fchren kann, darunter das Herunterladen von Malware und Werbung sowie das Umleiten des Internetverkehrs \u00fcber kompromittierte Ger\u00e4te, wodurch diese zu einem Teil eines Botnets werden.<\/li>\n<\/ul>\n<h2>Die wichtigsten Ransomware-Gruppen<\/h2>\n<p>Die Daten basieren auf Erkenntnissen von sogenannten \"Ransomware-Shame-Sites\", die von Ransomware-Gruppen mit Doppelter Erpressung als Methode betrieben werden:<\/p>\n<ul>\n<li>Qilin &#8211; Qilin (auch bekannt als Agenda) bleibt die f\u00fchrende Ransomware-Gruppe und war im Juni 2025 f\u00fcr 17 % der Angriffe verantwortlich. Diese Ransomware-as-a-Service-Gruppe hat sich auf gro\u00dfe Unternehmen spezialisiert, insbesondere im Gesundheits- und Bildungssektor.<\/li>\n<li>SafePay &#8211; SafePay ist weiterhin eine gro\u00dfe Ransomware-Bedrohung, die ein doppeltes Erpressungsmodell verwendet, um die Dateien der Opfer zu verschl\u00fcsseln und gleichzeitig sensible Daten zu stehlen. Diese Ransomware-Gruppe war sowohl gegen gro\u00dfe Organisationen als auch gegen kleine Unternehmen aktiv.<\/li>\n<li>Akira &#8211; Akira-Ransomware nutzt Schwachstellen in VPN-Endpunkten aus und verschl\u00fcsselt Daten mit der charakteristischen Erweiterung \".akira\". Sie zielt haupts\u00e4chlich auf Unternehmen mit schwachen oder veralteten Sicherheitsma\u00dfnahmen ab.<\/li>\n<\/ul>\n<p>Der globale Bedrohungsindex vom Juni 2025 zeigt die Zunahme mehrstufiger Malware-Kampagnen und die zunehmende Raffinesse von Ransomware-Gruppen wie Qilin. W\u00e4hrend FakeUpdates weiterhin die am weitesten verbreitete Malware weltweit ist, erfordern zus\u00e4tzliche Bedrohungen wie AsyncRAT und Qilin-Ransomware dringende Aufmerksamkeit von IT-Sicherheitsteams.<\/p>\n<p>In Deutschland sind die Sektoren Bildung, Telekommunikation sowie Biotechnologie und Pharmazeutika am st\u00e4rksten von Cyberattacken gef\u00e4hrdet. Cyberkriminelle entwickeln ihre Taktiken stetig weiter, deshalb m\u00fcssen Unternehmen umfassende, proaktive Sicherheitsma\u00dfnahmen ergreifen, um sich vor diesen fortschrittlichen Bedrohungen zu sch\u00fctzen.<\/p>\n<p>Check Point Research hat den vollst\u00e4ndigen <a href=\"https:\/\/blog.checkpoint.com\/research\/june-2025-malware-spotlight-discord-exploits-lead-to-rising-threats\/\" target=\"_blank\" rel=\"noopener\">Global Threat Index f\u00fcr Juni 2025<\/a> online gestellt.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Check Point hat seine \u00dcbersicht \u00fcber Malware-Angriffe im Juni 2025 vorgelegt. Es geht dabei um Trends, welche Ransomware-Gruppen und Malware-Familien am h\u00e4ufigsten beobachtet werden. Der Infostealer Formbook ist f\u00fcr 15 Prozent aller Malware-Attacken in Deutschland verantwortlich.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-313473","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313473","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=313473"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/313473\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=313473"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=313473"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=313473"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}