Im Januar haben die Sicherheitsforscher ein neues, weit verbreitetes Traffic Distribution System (TDS) namens VexTrio identifiziert. Die Aktivitäten von VexTrio, die ein ähnliches System wie legale Marketing-Affiliate-Netzwerke verwenden, sind oft schwer zu erkennen. Obwohl bereits seit mehr als sechs Jahren aktiv, ist das Ausmaß seiner Aktivitäten weitgehend unbemerkt geblieben.
Dies liegt daran, dass es kaum Anhaltspunkte für die Zuordnung zu bestimmten Bedrohungsakteuren oder Angriffsketten gibt. Das macht es aufgrund seines ausgedehnten Netzwerks und seiner fortschrittlichen Operationen zu einem erheblichen Cybersicherheitsrisiko. Zum ersten Mal enthält der Index von Check Point eine Rangliste der am weitesten verbreiteten Ransomware-Gruppen, die auf den Aktivitäten von mehr als 200 sogenannter „Shames“-Websites basiert.
Auf diesen Seiten veröffentlichen und verhöhnen die Hacker-Gruppen ihre Opfer. Im vergangenen Monat war LockBit3 die am weitesten verbreitete Gruppe, die für 20 Prozent der veröffentlichten Angriffe verantwortlich zeichnete. Im Januar fielen ihr unter anderem die Sandwich-Kette Subway und das Saint Anthony Hospital in Chicago zum Opfer.
Top-Malware in Deutschland
* Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
1. ↔ Nanocore: Nanocore ist ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen, wie Bildschirmaufnahmen, Krypto-Währungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
2. ↑ FakeUpdates: FakeUpdates (AKA SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Payloads auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Kompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
3. ↑ Qbot: Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.
Meistgenutzte Sicherheitslücken
Im vergangenen Monat war „Command Injection Over http“ die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Web Servers Malicious URL Directory Traversal“ mit 41 Prozent und „HTTP Headers Remote Code Execution“ mit einer weltweiten Auswirkung von 40 Prozent.
1. ↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086): Es wurde eine Schwachstelle für Command Injectionover HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.
2. ↔ Webserver Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260): Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.
3. ↑ Entfernte Codeausführung über HTTP-Header: HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opferrechner auszuführen.
Top 3 Mobile Malware
Im vergangenen Monat stand Anubis weiterhin an erster Stelle der am häufigsten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.
1. ↔ Anubis: Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
2. ↔ AhMyth: AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.
3. ↔ Hiddad: Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.
Top Ransomware Groups
Dieser Abschnitt enthält Informationen von fast 200 Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und von denen 68 in diesem Jahr die Namen und Daten von Opfern veröffentlicht haben. Cyberkriminelle nutzen diese Websites, um Druck auf Opfer auszuüben, die das Lösegeld nicht sofort zahlen.
Die Daten von diesen „Shame Sites“können zwar abweichen, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem, das derzeit das größte Risiko für Unternehmen darstellt. Im vergangenen Monat war LockBit3 die am weitesten verbreitete Ransomware-Gruppe, die für 20 Prozent der veröffentlichten Angriffe verantwortlich war, gefolgt von 8Base mit 10 Prozent und Akira mit 9 Prozent.
1. LockBit3: LockBit3 ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit3 zielt auf große Unternehmen und Regierungsstellen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten (GUS).
2. 8Base: Die 8Base-Gruppe ist eine Ransomware-Bande, die mindestens seit März 2022 aktiv ist. Sie erlangte Mitte 2023 aufgrund einer deutlichen Zunahme ihrer Aktivitäten große Bekanntheit. Diese Gruppe wurde bei der Verwendung einer Vielzahl von Ransomware-Varianten beobachtet, wobei Phobos ein gemeinsames Element ist. 8Base operiert mit einem hohen Maß an Raffinesse, was sich in der Verwendung fortschrittlicher Techniken in ihrer Ransomware zeigt. Zu den Methoden der Gruppe gehören doppelte Erpressungstaktiken.
3. Akira: Akira Ransomware, über die erstmals Anfang 2023 berichtet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, darunter infizierte E-Mail-Anhänge und Sicherheitslücken in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt die Erweiterung „. akira“ an die Dateinamen an, bevor sie eine Lösegeldforderung für die Entschlüsselung stellt.