Check Point Research, die Threat Intelligence-Abteilung von Check Point hat den Global Threat Index für Dezember 2020 veröffentlicht. Die ersten drei Plätze halten weiterhin Banking-Trojaner, allen voran Emotet. Emotet stiehlt nicht nur Daten, sondern öffnet Hintertüren für weitere Malware – und ist bereits wieder sehr aktiv mit einer neuen Kampagne. In Deutschland traf Emotet im Dezember 18,81 Prozent der Unternehmen.
Erneut wurde die Pause dazu genutzt, um den Trojaner zu verbessern: Sicherheitsforscher berichten, dass neue Angriffsmöglichkeiten (Payloads) und Ausweichtechniken eingebaut wurden. Die Kampagne verbreitet den Schädling außerdem über verschiedene Wege, darunter eingebettete Links, Anhänge und passwort-geschützte Archiv-Dateien. Es folgen Qbot und Dridex, die vielseitig einsetzbar sind und ebenfalls Hintertüren öffnen, oder viele Ausweichtechniken kennen.
Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point, führt zur neuen Rangliste aus: „Emotet wurde ursprünglich als Banking-Malware entwickelt, die sich auf die Computer der Anwender schlich, um sensible Informationen zu stehlen. Der Schädling hat sich jedoch im Laufe der Zeit entwickelt und gilt heute als eine der kostspieligsten und schädlichsten Malware-Varianten.“
„Unternehmen müssen sich unbedingt der Bedrohung durch Emotet bewusst sein und robuste Sicherheitssysteme einrichten, um einen empfindlichen Datenverlust zu verhindern. Außerdem sollten sie ihre Mitarbeiter umfassend schulen, damit diese in der Lage sind, die Spam-E-Mails zu erkennen, über welche Emotet verbreitet wird.“
Top 3 Most Wanted Malware für Deutschland:
- Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
- Qbot – Der Schädling ist auch bekannt als Qakbot oder Pinkslipbot und ein 2008 erstmals entdeckter Banking-Trojaner, der Bankdaten und Tastatureingaben von Benutzern stiehlt. Qbot wird häufig über Spam-E-Mails verbreitet und setzt verschiedene Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken ein, um die Analyse zu erschweren und der Erkennung zu entgehen.
- Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
Die Top 3 Most Wanted Mobile Malware:
- Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
- xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- Triada – Modularer Hintertür-Trojaner gegen Android-Mobilgeräte, der für heruntergeladene Malware den Vollzugriff einrichtet.
Die Top 3 Most Wanted Schwachstellen:
- MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
- Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle bei der Offenlegung von Informationen wurde im Git Repository gemeldet. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point. Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.