Besonders Ransomware-Attacken mit Locky sind deutlich seltener geworden. Locky ist zum ersten Mal sein Juni 2016 nicht mehr unter den zehn größten Bedrohungen. Dafür sorgen in Deutschland mit Nemucod, Slammer und Nivdort gleich drei neue Schädlinge für zahlreiche Infektionen.
Check Point stellt einen drastischen Rückgang der Infektionen mit der Ransomware Locky in Dezember 2016 fest. Dies ergab der Global Threat Index, eine Analyse der wichtigsten aktiven Malware-Familien durch Check Point. Locky sorgte im Jahr 2016 immer wieder für Schlagzeilen, da der Schädling über riesige Spamkampagnen verschiedene Organisationen erfolgreich angreifen konnte. Im letzten Monat konnte Check Point einen weltweiten Rückgang der Attacken um 81 Prozent pro Woche feststellen.
Im Vergleich zu den wöchentlichen Angriffen im November und Oktober registrierte Check Point einen weltweiten Rückgang um acht Prozent aller Infektionen. Grund ist die geringere Aktivität zur Weihnachtszeit. Im Jahr 2015 kam es bereits zu einem Rückgang um neun Prozent, gefolgt von einer erneuten Zunahme zurück auf das Ausgangsniveau im Januar 2016.
Conficker bleibt weiterhin der gefährlichste Schädling und ist für zehn Prozent aller Angriffe verantwortlich. Allerdings sind in Deutschland gleich drei neue Schädlinge unter den zehn größten Bedrohungen zu finden.
- Nemucod ist ein Dropper, der nach erfolgreichem Einnisten im System des Opfers Schadcode von einem Server zieht und diesen auf dem infizierten Gerät ausführt. Spuren des Schädlings lassen sich bis ins Jahr 2015 zurückverfolgen, eventuell ist er aber schon länger im Einsatz. Bei der Verteilung kommen Spam-E-Mails zum Einsatz. Diese täuschen die Empfänger mit fälligen Gebühren, falschen Rechnungen oder anderen zeitkritischen Falschmeldungen. Bei den nach der Infektion installierten Schädlingen handelt es sich beispielsweise um die TeslaCrypt Ransomware oder Adware wie Boaxxe Click-Fraud.
- Slammer ist ein Wurm, der Microsoft SQL 2000 angreift. Durch seine schnelle Verbreitung wirkt sich ein erfolgreicher Angriff ähnlich wie eine Denial-of-Service-Attacke aus.
- Nivdort stellt eine Gruppe von Trojanern dar, die auf Windows-Systeme spezialisiert ist. Dabei werden Passwörter, Systeminformationen und weitere Details ausgespäht. Typische Abfragen betreffen die genutzte Version, IP-Adresse, installierte Programme und den Standort der Geräte. Einige Versionen sammeln Keystrokes und verändern DNS-Einstellungen. Nivdort legt seine Dateien im Windows-Systemordner ab. Die Verteilung erfolgt über Spam oder infizierte Webseiten.
Nathan Shuchami, Head of Threat Prevention bei Check Point sagt: „Der Rückgang der Angriffe mit Locky im Dezember ist Teil eines allgemeinen Trends. Insgesamt sehen wir acht Prozent weniger Infektionen weltweit. Allerdings dürfen sich Organisationen nicht der Illusion hingeben, dass dieser Trend anhalten wird. Cyberkriminelle werden ihre Aktivität nach den Feiertagen wieder deutlich hochfahren – Ransomware bleibt eine akute Gefahr für Unternehmen in 2017.“
Check Points Bedrohungsindex basiert auf der Threat Intelligence, die der Anbieter aus seiner ThreatCloud World Cyber Threat Map zieht. Hier werden weltweite Cyberangriffe in Echtzeit aufgezeigt. Die Threat Map wird von Check Point’s ThreatCloudTM Intelligence betrieben, das größte kollaborative Netzwerk im Kampf gegen Cybercrime.
Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen.