Check Point-Sicherheitsforscher haben bei Angriffen mit Cryptomining-Malware auf iPhones einen Anstieg von fast 400 Prozent festgestellt. Die Attacken konzentrierten sich in den letzten beiden Septemberwochen vor allem auf Nutzer des Safari-Browsers.

Hierbei wurde die Mining-Software Coinhive eingesetzt, die im September 2017 erstmals auftrat und bereits zwei Monate später auf Platz 1 des Threat Indexes stand. Cryptomining bleibt daher eine wichtige Cyberbedrohung. Anzumerken ist außerdem, dass bei den Angriffen auf die Apple-Geräte keine neuen Angriffsvektoren genutzt wurden.

Der Grund für diesen Trend ist zwar noch nicht bekannt, sollte Unternehmen allerdings zu denken geben, sind Mobilgeräte ein oft vernachlässigtes Element in den Unternehmensnetzwerken. Umso wichtiger ist es, dass Mobilgeräte mithilfe einer umfassenden Threat-Prevention-Lösung geschützt werden, um nicht länger ein Einfallstor in die Sicherheitsstruktur eines Unternehmens darzustellen.

Coinhive kompromittiert 19 Prozent der Organisationen weltweit. Erneut dominieren Cryptominer den Bedrohungsindex. Dorkbot blieb wie auch im Vormonat auf Rang 2 mit einem weltweiten Anteil von sieben Prozent. Dieser Wurm stiehlt sensible Daten und startet Denial-of-Service-Angriffe.

Die Top 10 der ‘Most Wanted’ Malware im September 2018:

  • Coinhive: Cryptominer, der entwickelt wurde, um die Kryptowährung Monero online, ohne Wissen oder Zustimmung des Nutzers, zu schürfen, sobald dieser eine infizierte Internetseite besucht.
  • Dorkbot: Wurm, der Remote-Code-Ausführung sowie das Downloaden zusätzlicher Malware in das infizierte System erlaubt.
  • Cryptoloot: Cryptominer, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt.
  • Andromeda: Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren.
  • Jsecoin: JavaScript-Miner, der in Webseiten eingebettet werden kann.
  • Roughted: Großflächiger Malvertising-Vertreter, der für viele bösartige Webseiten und Payloads, wie Scams, Adware, Exploits und Ransomware verantwortlich ist.
  • Ramnit: Banking-Trojaner, der nach Banking-Zugangsdaten, FTP-Passwörtern, Session-Cookies und persönlichen Daten sucht und diese kopiert.
  • XMRig: Open-Source CPU-Mining-Software, die zum Schürfen der Kryptowährung Monero eingesetzt wird und im Internet erstmals im May 2017 auftrat.
  • Conficker: Ein Wurm, der Remote-Operations und Malware-Download zulässt.
  • Emotet: Trojaner, der Windows-Plattformen angreift. Diese Malware versendet Systeminformationen zu mehreren Control-Servern und kann Konfigurationsdateien und andere Komponenten herunterladen.

Lokibot, ein Banking-Trojaner für Android und Beschaffer von Informationen ist die beliebteste Malware für Angriffe auf die mobilen Geräte von Unternehmen, gefolgt von Lotoor und Triada.

Die Top 3 der “Most Wanted” Mobile Malware im September:

  • Lokibot: Banking-Trojaner für Android und Beschaffer von Informationen, der auch als Ransomware-Tool genutzt werden kann
  • Lotoor: Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Privilegien auf kompromittierten Mobilgeräten zu erlangen
  • Triada: Malware-Modulefür Android, die Superuser-Privilegien zum Download der Malware gewährt um ihr bei der Einbettung in Prozesse zu helfen.

Die Sicherheitsforscher von Check Point analysierten auch die am meisten ausgenutzten Cyber-Schwachstellen. CVE-2017-7269 ist zum siebten Mal hintereinander die Top-Schwachstelle, von der weltweit 48 Prozent der Organisationen betroffen waren.

An zweiter Stelle folgt CVE-2016-6309 mit einem globalen Anteil von 43 Prozent, dicht gefolgt von der PHPMyAdmin Misconfiguration Code Injection bei Web-Servern, die 42 Prozent der Organisationen kompromittierte.

Die Top 3 der ‘Most Exploited’ Schwachstellen im September:

  • Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269)
  • OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309)
  • Web servers PHPMyAdmin Misconfiguration Code Injection

Weitere Beiträge....