Thought Leadership
Check Point Research, die Threat Intelligence-Abteilung von Check Point Software Technologies Ltd. (NASDAQ: CHKP), hat seinen neuesten Global Threat Index für Dezember 2019 veröffentlicht. Die Experten berichteten, dass Emotet sich mit einer Reihe von Spam-E-Mail-Kampagnen wie ‘Support Greta Thunberg – Zeitperson des Jahres 2019’ und ‘Weihnachtsfeier!’ erfolgreich verbreitete.
Die E-Mails enthielten ein bösartiges Microsoft Word Dokument, das, wenn es vom Empfänger geöffnet wird, Emotet auf den Computer herunterlädt. Der Trojaner dient dann als Hintertür für weitere Schadprogramme.
Im Dezember gab es auch einen deutlichen Anstieg der Versuche, die Command Injection Over HTTP-Schwachstelle in SQL auszunutzen, wobei 33 Prozent der Organisationen weltweit ins Visier genommen wurden. Diese Schwachstelle stieg von Platz 5 der am meisten ausgebeuteten Schwachstellen im November auf die Spitzenposition. Die bei dem Angriff verwendete, schädliche Datei enthielt zudem eine Reihe von Links, die bei Aktivierung einige Schwachstellen in mehreren IoT-Geräten von Herstellern wie D-Link, Huawei und RealTek ausnutzten, um diese in Bot-Netze zu integrieren.
„In den vergangenen drei Monaten waren die Bedrohungen, die Unternehmen am häufigsten betreffen, vielseitige, modular einsetzbare Schadprogramme wie Emotet und xHelper. Diese bieten Cyberkriminellen mehrere Möglichkeiten für monetäre Angriffe, da sie zur Verbreitung von Lösegeldern oder weiteren Spam-Kampagnen genutzt werden können“, so Maya Horowitz, Director Threat Intelligence & Research and Products bei Check Point: „Das Ziel der Kriminellen ist es, in möglichst vielen Organisationen und auf Geräten Fuß zu fassen, damit folgende Angriffe lukrativer und schädlicher werden. Daher ist es entscheidend, dass Unternehmen ihre Mitarbeiter über verschiedene Risiken aufklären. Dazu gehört das Öffnen von E-Mail-Anhängen, das Herunterladen von Dateien oder das Klicken auf Links, die aus einer unseriösen Quelle stammen.“
Top 3 ‘Most Wanted’ Malware für Deutschland:
* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.
Emotet verteidigte mal wieder seine Spitzenposition, gefolgt vom wiedererstarkten Agent Tesla und Trickbot, dessen Aktivitäten ebenfalls zunahmen.
1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↑ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.
3. ↑ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.
Die Top 3 ‘Most Wanted’ Mobile Malware im November:
Auf den vorderen Plätzen halten sich weiterhin der Neuling xHelper und das Schadprogramm Guerilla.
1. ↔ xHelper – A malicious Android application seen in the wild since March 2019, used for downloading other malicious apps and display advertisements. The application is capable of hiding itself from the user and mobile anti-virus programs, and reinstalls itself if the user uninstalls it.
2. ↔ Guerrilla – Ein Android-Trojaner, der in verschiedene, echte Anwendungen heimlich eingebettet ist und betrügerische Daten herunterladen kann. Guerrilla generiert Werbeeinnahmen für die Malware-Entwickler.
3. ↑ Hiddad – Dabei handelt es sich um eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist das Einblenden von Anzeigen. Allerdings ist sie auch in der Lage dazu, sich Zugriff auf wichtige Sicherheitsdetails zu verschaffen, die in das Betriebssystem integriert sind. Diese Funktion ermöglicht es Angreifern sensible Benutzerdaten abzugreifen.
Top 3 der ausgenutzten Schwachstellen im November:
Die Schwachstelle Command Injection Over HTTP in SQL war die am häufigsten ausgenutzte im Dezember, die 33 Prozent der Unternehmen weltweit betraf. An zweiter Stelle stand MVPower DVR Remote Code Execution, die 32 Prozent der Unternehmen gefährlich wurde, gefolgt von Web Server Exposed Git Repository Information Disclosure mit 29 Prozent.
1. ↔ SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
2. ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↔ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
Der Global Threat Impact Index und die ThreatCloud Map basieren auf der ThreatCloud Intelligence von Check Point, dem gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.
https://research.checkpoint.com/
