Check Point Research hat den Global Threat Index für Januar 2021 veröffentlicht. Check Points Sicherheitsforscher melden für den Januar, dass Emotet die Rangliste in Deutschland anführte. Da Europol seit Februar behauptet, das Bot-Netz zerschlagen zu haben, stellt sich nun die Frage, ob dies der Abschied mit einem Knall war, oder Totgesagte länger leben.
Sicherheitsforscher berichten, dass der Emotet-Trojaner den zweiten Monat in Folge auf dem ersten Platz verblieb. Das ist besonders interessant, da eine internationale Polizeiaktion am 27. Januar die Kontrolle über das Bot-Netz übernommen haben soll, wie Europol behauptet. Die Auswirkung müsste entsprechend in der nächsten Top Malware für den Februar sichtbar sein.
Die polizeiliche Aktion führte bereits zu einem Rückgang der betroffenen Organisationen um 14 Prozent. Nun planen die Strafverfolgungsbehörden, Emotet am 25. April massenhaft von infizierten Servern zu löschen. Emotet wurde erstmals 2014 entdeckt und von seinen Entwicklern regelmäßig aktualisiert, um die Effektivität zu erhöhen oder an aktuelle Schutzmaßnahmen anzupassen.
Das Department of Homeland Security der Vereinigten Staaten von Amerika schätzt, dass jeder Zwischenfall mit Emotet das betroffene Unternehmen mehr als 1 Million Dollar (824 400 Euro) gekostet hat, um ihn zu beheben.
Top 3 Most Wanted Malware für Deutschland:
Emotet war weiter an der Spitze, gefolgt Dridex auf Platz zwei. Den dritten Platz teilen sich diesmal das Bot-Netz Phorpiex und der Info-Stealer FormBook.
- Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
- Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
- Phorpiex – Phorpiex ist ein Botnetz, das dafür bekannt ist, andere Malware-Familien über Spam-Kampagnen zu verbreiten und umfangreiche Sextortion-Kampagnen zu starten.
- FormBook – FormBook ist ein InfoStealer, der sich an das Windows-Betriebssystem richtet. Er wurde erstmals 2016 entdeckt und wird aufgrund seiner starken Ausweichmethoden und seines relativ niedrigen Preises in illegalen Hacking-Foren vermarktet. FormBook sammelt Anmeldeinformationen aus verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß seinen C&C-Aufträgen herunterladen und ausführen.
Die Top 3 Most Wanted Mobile Malware:
Die Spitze hält Hiddad, während xhelper auf dem zweiten Rang verbleibt. An dritter Stelle steht Triada.
- Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
- xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
- Triada – Modularer Hintertür-Trojaner gegen Android-Mobilgeräte, der für heruntergeladene Malware den Vollzugriff einrichtet.
Die Top 3 Most Wanted Schwachstellen:
Die Schwachstelle MVPower DVR Remote Code Execution steht mit 43 Prozent weltweiter Auswirkung weiterhin auf Platz eins. Es folgt HTTP Headers Remote Code Execution (CVE-2020-13756) mit 42 Prozent. Auf Platz drei steigt Dasan GPON Router Authentication Bypass (CVE-2018-10561) mit 41 Prozent.
- MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
- HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.
- Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.
Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert.
Die ThreatCloud-Datenbank analysiert täglich über 3 Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag