Check Point Research (CPR) hat den Global Threat Index für Oktober 2021 veröffentlicht. Trickbot hielt sich weiterhin an der Spitze, gefolgt nun von sLoad und erstmals Remcos. Ersterer verteilt den Banking-Trojaner Ramnit und sammelt selbst Informationen über das infizierte System, zweiterer ist ein RAT, der die Sicherheitsmechanismen umgeht und hochgezüchtete Malware nachlädt.
Außerdem: Eine neue Sicherheitslücke, Apache HTTP Server Directory Traversal, ist in die Top-Ten-Liste der ausgenutzten Sicherheitslücken im Oktober auf Platz zehn eingestiegen. Als die Schwachstelle zum ersten Mal entdeckt wurde, veröffentlichten die Apache-Entwickler Korrekturen für CVE-2021-41773 in Apache HTTP Server 2.4.50.
Der Patch erwies sich jedoch als unzureichend, weswegen in Apache HTTP Server nach wie vor eine Schwachstelle für Directory Traversal besteht. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte einem Angreifer den Zugriff auf beliebige Dateien des betroffenen Systems ermöglichen.
„Die Apache-Schwachstelle wurde erst Anfang Oktober bekannt und gehört bereits zu den zehn am häufigsten ausgenutzten Schwachstellen weltweit, was zeigt, wie schnell Hacker vorgehen. Diese Schwachstelle kann dazu führen, dass Kriminelle verschiedene URLs auf Dateien außerhalb des erwarteten Dokumentstamms abbilden, indem sie einen Pfadüberquerungsangriff (Path Traversal Attack) starten“, erklärt Maya Horowitz, VP Research bei Check Point.
„Apache-Nutzer müssen zwingend über geeignete Schutztechnologie verfügen. Zudem ist auch in diesem Monat Trickbot, der häufig zum Einschleusen von Ransomware verwendet wird, die am weitesten verbreitete Malware. Weltweit ist mittlerweile jede Woche eines von 61 Unternehmen von Ransomware betroffen. Das ist eine erschreckende Zahl und die Unternehmen müssen mehr dagegen tun. Viele Angriffe beginnen mit einer einfachen Phishing-E-Mail, so dass die Aufklärung der Benutzer über die Erkennung einer Bedrohung zu einer der wichtigsten Schutzmaßnahmen geworden ist.“
Top 3 Most Wanted Malware für Deutschland:
Trickbot steht nun auf Platz Eins. Die Plätze Zwei und Drei belegen sLoad und Remcos.
- Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysia ins Visier, nun folgt Deutschland.
- sLoad – sLoad ist ein PowerShell-Downloader, der am häufigsten den Ramnit-Banking-Trojaner ausliefert und umfangreiche Spionage-Funktionen enthält. Die Malware sammelt Informationen über das infizierte System, darunter eine Liste der laufenden Prozesse, das Vorhandensein von Outlook und das Vorhandensein von Citrix-bezogenen Dateien. sLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z. B. Banken) überprüfen sowie externe Binärdateien laden.
- Remcos – Remcos ist ein RAT, der erstmals 2016 auftauchte. Er verbreitet sich über verseuchte Microsoft-Office-Dokumente, die an Spam-E-Mails angehängt sind, und ist so konzipiert, dass er die UAC-Sicherheit von Microsoft Windows umgeht. Remcos führt dann Malware mit hohen Berechtigungen aus.
Die Top 3 Most Wanted Schwachstellen:
Diesen Monat ist erstmals Web Servers Malicious URL Directory Traversal die am häufigsten ausgenutzte Schwachstelle, von der 60 Prozent der Unternehmen weltweit betroffen sind, gefolgt von Web Server Exposed Git Repository Information Disclosure mit 55 Prozent und HTTP Headers Remote Code Execution mit 54 Prozent.
- Web Servers Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260) – Auf verschiedenen Web-Servern gibt es eine Sicherheitslücke beim Zugriff auf Verzeichnisse. Die Schwachstelle ist auf einen Fehler bei der Validierung von Eingaben in einem Web-Server zurückzuführen, der die URL für die Verzeichnisüberquerungsmuster (Directory Traversal Patterns) nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder auf diese zuzugreifen.
- Web Server Exposed Git Repository Information Disclosure – Es wurde eine Schwachstelle in Git Repository gemeldet, durch die Informationen offengelegt werden. Die erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
- HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opferrechner auszuführen.
Die Top 3 Most Wanted Mobile Malware:
Diesen Monat steht xHelper an erster Stelle der Mobile Malware, gefolgt von AlienBot und erstmals XLoader.
- xHelper – Eine Mobile-Malware, die seit März 2019 auftritt und zum Herunterladen anderer verseuchter Apps und zur Anzeige von Werbung verwendet wird. Die Anwendung ist in der Lage, sich vor dem Benutzer zu verstecken und kann sich sogar selbst neu installieren, wenn sie deinstalliert wurde.
- AlienBot – Bei der AlienBot-Malware-Familie handelt es sich um eine Malware-as-a-Service (MaaS) für Android-Geräte, die es einem Angreifer ermöglicht, in einem ersten Schritt verbrecherischen Code in legitime Finanz-Anwendungen zu schleusen. Der Angreifer verschafft sich Zugang zu den Konten der Opfer und übernimmt schließlich die vollständige Kontrolle über deren Gerät.
- XLoader – XLoader ist eine Android-Spyware- und ein Android-Banking-Trojaner, der von der Yanbian Gang, einer chinesischen Hacker-Gruppe, entwickelt wurde. Diese Malware nutzt DNS-Spoofing, um schädliche Android-Apps zu verbreiten und personenbezogene sowie finanzielle Informationen zu stehlen.
Top 3 der am häufigsten angegriffenen Branchen und Bereiche weltweit:
Erstmals weist Check Point diese Kategorie aus. Hier wurde vor allem auf Schulen und Universitäten im Oktober gezielt.
- Bildung und Forschung
- Kommunikation
- Behörden und Militär
Der Global Threat Impact Index von Check Point und seine ThreatCloud Map basieren auf der ThreatCloud-Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone gesammelt werden. Angereichert wird diese Datenbank durch KI-basierte Engines und exklusive Forschungsdaten von Check Point Research, der Intelligence-&-Research-Abteilung von Check Point Software Technologies.