Malware-Ranking Juni 2024: RansomHub entthront LockBit3

Offenbar zeigen die Strafverfolgungsmaßnahmen gegen LockBit3 im Februar Wirkung. Infolgedessen meldete LockBit3 im April nur 27 Opfer, gefolgt von einer unerklärlich hohen Zahl von mehr als 170 im Mai und nun weniger als 20 im Juni. RansomHub löste daher LockBit3 im Ransomware-as-a-Service (RaaS)-Ranking ab  und wurde zur am weitesten verteilten Ransomware. Dies belegen sogenannte „Shame-Seiten“ auf denen Hacker ihre Opfer bloßstellen, nachdem sie diese zuvor infiltrierten. In der Zwischenzeit wurde eine Windows-Backdoor mit dem Namen BadSpace identifiziert, die infizierte WordPress-Websites und gefälschte Browser-Updates beinhaltet.

RansomHub, das erstmals im Februar 2024 auftauchte und Berichten zufolge eine Reinkarnation der Ransomware Knight ist, verzeichnete im Juni mit fast 80 neuen Opfern einen deutlichen Anstieg. Bemerkenswert ist, dass nur 25 Prozent der veröffentlichten Opfer aus den USA stammen, weitere finden sich in Brasilien, Italien, Spanien und Großbritannien.

Weitere Ergebnisse des Global Threat Index von Check Point für Juni 2024:

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

Top-Malware in Deutschland

↑ Androxgh0st (4,5 %)
Androxgh0st ist ein Botnet, das auf Windows-, Mac- und Linux-Plattformen abzielt. Für die Erstinfektion nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere auf PHPUnit, Laravel Framework und Apache Web Server abzielen. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel usw. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

↑ FakeUpdates (3,21 %)
Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

↑ FormBook (1,72 %
FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Underground-Hacking-Foren als Malware as a Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C herunterladen und ausführen.

Top Mobile Malware

↑ Joker
Eine Android-Spyware in Google Play, die dazu entwickelt wurde, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem signiert die Malware das Opfer unbemerkt für Premium-Dienste auf Werbe-Websites.

↓ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↓ AhMyth
AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet wird.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub war im vergangenen Monat die am weitesten verbreitete Ransomware-Gruppe und für 21 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Play mit 8 Prozent und Akira mit 5 Prozent.

RansomHub
RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight auftauchte. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten. Diese Malware ist dafür bekannt, dass sie ausgeklügelte Verschlüsselungsmethoden einsetzt.

Play
Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen und bis Oktober 2023 etwa 300 Einrichtungen betroffen. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie Techniken wie die Verwendung von LOLBins (living-off-the-land binaries) für Aufgaben wie die Exfiltration von Daten und den Diebstahl von Anmeldeinformationen.

Akira
Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine “.akira”-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.