Malware im Januar: Große VexTrio-Broker-Operation

Das aufgedeckte VexTrio ist seit mindestens 2017 aktiv und arbeitet mit Dutzenden von Partnern zusammen, um bösartige Inhalte über ein ausgeklügeltes TDS zu verbreiten. Die Aktivitäten von VexTrio, die ein ähnliches System wie legale Marketing-Affiliate-Netzwerke verwenden, sind oft schwer zu erkennen. Obwohl bereits seit mehr als sechs Jahren aktiv, ist das Ausmaß seiner Aktivitäten weitgehend unbemerkt geblieben. Dies liegt daran, dass es kaum Anhaltspunkte für die Zuordnung zu bestimmten Bedrohungsakteuren oder Angriffsketten gibt. Das macht es aufgrund seines ausgedehnten Netzwerks und seiner fortschrittlichen Operationen zu einem erheblichen Cybersicherheitsrisiko.

Zum ersten Mal enthält der Index von Check Point eine Rangliste der am weitesten verbreiteten Ransomware-Gruppen, die auf den Aktivitäten von mehr als 200 sogenannter „Shames“-Websites basiert. Auf diesen Seiten veröffentlichen und verhöhnen die Hacker-Gruppen ihre Opfer. Im vergangenen Monat warLockBit3 die am weitesten verbreitete Gruppe, die für 20 Prozent der veröffentlichten Angriffe verantwortlich zeichnete. Im Januar fielen ihr unter anderem die Sandwich-Kette Subway und das Saint Anthony Hospital in Chicago zum Opfer.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

↔ Nanocore
Nanocore ist ein Fernzugriffs-Trojaner (RAT), der auf Benutzer von Windows-Betriebssystemen zielt und erstmals 2013 beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen, wie Bildschirmaufnahmen, Krypto-Währungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.

↑ FakeUpdates
FakeUpdates (AKA SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Payloads auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Kompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

↑ Qbot
Qbot AKA Qakbot ist eine Mehrzweck-Malware, die erstmals 2008 auftauchte. Sie wurde entwickelt, um die Anmeldedaten eines Benutzers zu stehlen, Tastatureingaben aufzuzeichnen, Cookies von Browsern zu stehlen, Bankaktivitäten auszuspionieren und zusätzliche Malware zu installieren. Qbot wird häufig über Spam-E-Mails verbreitet und verwendet mehrere Anti-VM-, Anti-Debugging- und Anti-Sandbox-Techniken, um die Analyse zu erschweren und der Entdeckung zu entgehen. Seit 2022 hat er sich zu einem der am weitesten verbreiteten Trojaner entwickelt.

Top 3 Schwachstellen

„Command Injection Over http“ war die am häufigsten ausgenutzte Schwachstelle, von der 44 Prozent der Unternehmen weltweit betroffen waren, gefolgt von „Web Servers Malicious URL Directory Traversal“ mit 41 Prozent und „HTTP Headers Remote Code Execution“ mit einer weltweiten Auswirkung von 40 Prozent.

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Es wurde eine Schwachstelle für Command Injectionover HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.

↔ Webserver Malicious URL Directory Traversal (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)
Auf verschiedenen Webservern existiert eine Directory Traversal-Schwachstelle. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisüberquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

↑ Entfernte Codeausführung über HTTP-Header
HTTP-Header ermöglichen es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Opferrechner auszuführen.

Top 3 Mobile Malware

Im Januar stand Anubis weiterhin an erster Stelle der am häufigsten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↔ AhMyth
AhMyth ist ein Remote Access Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.

↔ Hiddad
Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.

Top 3 der angegriffenen Branchen/Bereiche

Bildung/Forschung

Gesundheitswesen

Kommunikation

Top Ransomware Gruppen

Knapp 200 Ransomware-„Shame Sites“ werden mit doppelter Erpressung von Ransomware-Gruppen betrieben, von denen 68 die Namen und Daten von Opfern veröffentlicht haben. Cyberkriminelle nutzen diese Websites, um Druck auf Opfer auszuüben, die das Lösegeld nicht sofort zahlen. Die Daten von diesen „Shame Sites“ können zwar abweichen, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem, das derzeit das größte Risiko für Unternehmen darstellt.LockBit3 war für 20 Prozent der veröffentlichten Angriffe verantwortlich war, gefolgt von 8Base mit 10 Prozent und Akira mit 9 Prozent.

LockBit3
LockBit3 ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit3 zielt auf große Unternehmen und Regierungsstellen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten (GUS).

8base
Die 8Base-Gruppe ist eine Ransomware-Bande, die mindestens seit März 2022 aktiv ist. Sie erlangte Mitte 2023 aufgrund einer deutlichen Zunahme ihrer Aktivitäten große Bekanntheit. Diese Gruppe wurde bei der Verwendung einer Vielzahl von Ransomware-Varianten beobachtet, wobei Phobos ein gemeinsames Element ist. 8Base operiert mit einem hohen Maß an Raffinesse, was sich in der Verwendung fortschrittlicher Techniken in ihrer Ransomware zeigt. Zu den Methoden der Gruppe gehören doppelte Erpressungstaktiken.

Akira
Akira Ransomware, über die erstmals Anfang 2023 berichtet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, darunter infizierte E-Mail-Anhänge und Sicherheitslücken in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt die Erweiterung „. akira“ an die Dateinamen an, bevor sie eine Lösegeldforderung für die Entschlüsselung stellt.

Der Global Threat Impact Index und die ThreatCloud Map
von Check Point basieren auf der ThreatCloud Intelligence von Check Point. ThreatCloud bietet Echtzeit-Bedrohungsdaten, die von Hunderten von Millionen Sensoren weltweit über Netzwerke, Endpunkte und Mobiltelefone abgeleitet werden. Angereichert wird diese Intelligenz mit KI-basierten Engines und exklusiven Forschungsdaten von Check Point Research, der Forschungs- und Entwicklungsabteilung von Check Point Software Technologies.

Roger Homrich

Recent Posts

OT-Security braucht zunächst Asset-Transparenz

Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…

1 Tag ago

Künstliche Intelligenz erreicht die Cloud

KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.

2 Tagen ago

AI Act: Durchblick im Regulierungsdickicht

Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.

2 Tagen ago

Coveo beschleunigt europäisches Wachstum durch Expansion in der DACH-Region

Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.

3 Tagen ago

Britische Behörden setzen auf Oracle Cloud

Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…

3 Tagen ago

Windows 10: Wer haftet für Datenschutz nach Support-Ende?

Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.

3 Tagen ago