Check Point Research (CPR), die Forschungsabteilung von Check Point, hat zahlreiche Angriffe entdeckt, welche die Log4J-Schwachstelle ausnutzen – und meldet neue Rekorde bei den Angriffszahlen. Zudem zeigen die Sicherheitsforscher von Check Point , wie ein Angriff auf Log4J funktioniert, der unentdeckte Malware nutzt
Die wichtigsten Neuigkeiten:
- In Deutschland wurden mittlerweile 53 Prozent aller von Check Point erfassten Firmen-Netzwerke attackiert.
- In Österreich beläuft sich die Zahl bereits auf 57 Prozent, in der Schweiz auf 47 Prozent.
- Weltweit liegt der Schnitt jetzt bei 46 Prozent, in Europa bei 51.
- Händler und Systemintegratoren sind mit 59 Prozent weltweit am stärksten betroffen.
- In weniger als einer Woche hat Check Point mehr als 1,8 Millionen Versuche verzeichnet, die Log4J-Schwachstelle auszunutzen.
Außerdem zeigen die Sicherheitsforscher nun anhand eines Beispiels im Detail, wie ein solcher Angriff funktioniert.:
- Der Angriff nutzt die Log4J-Schwachstelle aus, um einen Trojaner herunterzuladen, der eine Exe-Datei herunterlädt, die wiederum einen Krypto-Miner installiert.
- Sobald der Krypto-Miner installiert wurde, beginnt er, heimlich die Rechenleistung des Opfers anzuzapfen, um für den Profit der Angreifer eine Krypto-Währung zu schürfen.
- Als Teil der Umgehungstechniken der Malware werden alle relevanten Funktionen und Dateinamen verschleiert, um eine Erkennung durch statische Analysemechanismen zu umgehen.
Nun kommt hinzu: Während die meisten der entdeckten Krypto-Miner diese Schwachstelle für Linux-basiertes Krypto-Mining ausnutzten, haben die Check-Point-Forscher jetzt einen Angriffsweg entdeckt, bei dem eine unentdeckte, erstmals NET-basierte Malware eingesetzt wurde. Der Server, der die bösartigen Dateien enthält, befindet sich in den USA und hostet mehrere bösartige Dateien.
Krypto-Mining-Angriffe stellen allgemein betrachtet gerne die Vorstufe zu groß angelegten Angriffen dar, wie Ransomware-Infektionen. Es handelt sich um eine Generalprobe der Schwachstelle, der Angriffsart und des Schadens, der bei den Opfern angerichtet werden kann.
Es ist nur eine Frage der Zeit, bis ein größerer Angriff erfolgt, wenn schon eine beliebige Art von Malware eingeschleust wurde. Technisch gesehen gibt es keinen großen Unterschied. Was heute als Krypto-Mining bezeichnet wird, wird später oft zu Ransomware-Attacken gedehnt.