Verbreitung von Cryptowall-Ransomware nimmt zu

Check Point veröffentlicht die Ergebnisse seiner monatlichen Gefahrenanalyse für den Monat September mit einer Überraschung, denn zum ersten Mal befindet sich mit Locky eine Ransomware unter den Top 3 der weltweit am meisten verbreiteten Schadsoftware.

In Deutschland liegt Locky inzwischen nur noch auf Platz 4, nachdem sie bereits im August unter den Top 3 zu finden war und im September von Cryptowall abgelöst wurde. Global nahmen Attacken mit Verschlüsselungstrojanern um 13 Prozent zu. Insgesamt bleibt nach wie vor Conficker auf Platz 1 und wird noch immer für 14 Prozent aller erkannter Angriffe genutzt. Auf Platz 2 folgt mit HackerDefender ein Rootkit und auf Platz 3 mit Cryptowall eine neue Ransomware, die Locky ablöst.

  1. Conficker - Ein Wurm, der Remote-Zugriffe, Malware-Downloads und den Diebstahl von Legitimationsdaten zulässt, indem die Systemsicherheitsdienste von Microsoft Windows deaktiviert werden. Infizierte Geräte werden von einem Botnetz gesteuert. Dabei kommuniziert die Malware mit einem C&C-Server, um Anweisungen zu erhalten.

  2. HackerDefender – Rootkit für Windows 2000 und Windows XP, das eventuell auch auf Windows NT-Systemen funktioniert. Das Rootkit modifiziert verschiedene Windows und API Funktionen, um sich vor der Entdeckung durch Sicherheitssoftware zu schützen. Das Rootkit ist online verfügbar, weltweit bekannt und leicht zu installieren.

  3. Cryptowall - Eine Ransomware, die Daten verschlüsselt und den Nutzer auffordert ein Lösegeld zu bezahlen. 2014 wurde die Malware zum ersten Mal entdeckt, inzwischen gibt es vier wichtige Versionen, die seit 2015 im Umlauf sind.

Mobile Malware Familien bedrohen weiterhin weltweit mobile Geräte. Für den sechsten Monat in Folge bleibt HummingBad die zu meist genutzte mobile Malware für Angriffe. Die Top 3 besteht aus den folgenden Schadsoftware-Typen:

  1. HummingBad - Android-Malware, die auf dem Gerät ein persistentes Rootkit einrichtet, betrügerische Anwendungen installiert und zusätzliche bösartige Aktivitäten ermöglicht. Dazu gehören beispielsweise das Installieren eines Key Loggers, der Diebstahl von Legitimationsdaten und die Umgehung der von Unternehmen genutzten verschlüsselten E-Mail-Container. Bislang hat die Malware 85 Millionen Mobilgeräte infiziert.

  2. Triada – Modulare Backdoor, die Super-User Rechte verleiht, um Malware herunterzuladen und den Angreifer dabei unterstützt in die Systemprozesse einzudringen. Triada wurde darüber hinaus dafür genutzt im Browser geladene URLs zu spoofen.

  3. Ztorg - Trojaner, der Root-Privilegien nutzt, um Apps auf mobilen Geräten herunterzuladen und zu installieren, ohne, dass der Nutzer dies mitbekommt.

Nathan Shuchami, Head of Threat Prevention bei Check Point erklärt: „Das kontinuierliche Wachstum der Ransomware-Bedrohungen ist ein Symptom für die Anzahl an Unternehmen, die noch immer Lösegeld für ihre sensiblen Daten bezahlen. Das führt dazu, dass Ransomware immer noch ein lukratives Geschäftsmodell und ein attraktiver Angriffsvektor für Cyberkriminelle ist.“

„Um diesen Bedrohungen zu begegnen, bedarf es fortgeschrittener Abwehrmaßnahmen für Netzwerke, Endpunkte und mobile Geräte, um die Schadsoftware bereits frühzeitig zu stoppen. Bei Check Point haben wir dafür die Lösungen SandBlast Zero-Day Protection und Mobile Threat Prevention entwickelt.“

Check Point’s Bedrohungsindex basiert auf der Threat Intelligence, die der Anbieter aus seiner ThreatCloud World Cyber Threat Map zieht. Hier werden weltweite Cyberangriffe in Echtzeit aufgezeigt. Die Threat Map wird von Check Point’s ThreatCloud Intelligence betrieben, das größte kollaborative Netzwerk im Kampf gegen Cybercrime.

Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen.

IAVCworld per E-Mail folgen