Malware-Ranking Juli: Remcos und RansomHub an der Spitze

Der Global Threat Index für Juli 2024 von Check Point zeigt, dass trotz eines deutlichen Rückgangs im Juni LockBit wieder zur zweitgefährlichsten Ransomware-Gruppe aufgestiegen ist. An der Spitze bleibt RansomHub. Neu haben die Forscher sowohl eine Kampagne zur Verbreitung von Remcos-Malware im Anschluss an ein CrowdStrike-Update-Problem als auch eine Reihe neuer FakeUpdate-Taktiken identifiziert.

Bösartige ZIP-Datei crowdstrike-hotfix.zip

Ein Problem im CrowdStrike Falcon Sensor für Windows ermöglichte es Cyberkriminellen, eine bösartige ZIP-Datei namens crowdstrike-hotfix.zip zu verbreiten. Diese Datei enthielt den HijackLoader, der anschließend die Malware Remcos aktivierte, die weltweit im Juli auf Platz 7 der meistgesuchten Malware stand. Die Kampagne richtete sich an Unternehmen, die spanischsprachige Anweisungen verwandten, und beinhaltete die Erstellung gefälschter Domänen für Phishing-Angriffe.

In der Zwischenzeit haben die Forscher eine Reihe neuer Taktiken mit FakeUpates entdeckt, welche die weltweite Malware-Rangliste für einen weiteren Monat anführten. Benutzer, die verseuchte Websites besuchten, wurden mit gefälschten Browser-Update-Aufforderungen konfrontiert, die zur Installation von Remote Access Trojanern (RATs), wie AsyncRAT, führten, der derzeit weltweit auf Platz 9 des Check-Point-Indexes rangiert. Beunruhigend ist, dass Cyber-Kriminelle nun begonnen haben, BOINC, eine freiwillige Computer-Plattform, auszunutzen, um die Fernkontrolle über infizierte Systeme zu erlangen.

Top Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

↑ CloudEye (12,5 %)
CloudEye ist ein Downloader, der auf das Windows-System zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.

↓ Androxgh0st (4,5 %)
Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

↔ FormBook (4,35 %)
ist ein Infostealer, der auf das Windows-Betriebssystem zielt und erstmals im Jahr 2016 entdeckt wurde. Er wird in Hacker-Foren als Malware as a Service (MaaS) vermarktet, da er starke Umgehungstechniken und einen relativ niedrigen Preis hat. FormBook sammelt Anmeldeinformationen von verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastatureingaben und kann Dateien auf Anweisung von seinem C&C-Server herunterladen und ausführen.

Top Mobile Malware in Deutschland

Im letzten Monat stand Joker an erster Stelle der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und AhMyth. Keine Änderung.

↔ Joker
Eine Android-Spyware in Google Play, die dazu entwickelt wurde, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Außerdem signiert die Malware das Opfer unbemerkt für Premium-Dienste auf Werbe-Websites.

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↔ AhMyth
AhMyth ist ein Remote-Access-Trojaner (RAT), der im Jahr 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Benutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, die in der Regel zum Stehlen sensibler Informationen verwendet wird.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von Ransomware-Shame Sites, die von Ransomware-Gruppen mit Doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist die am weitesten verbreitete Ransomware-Gruppe in diesem Monat und für 11 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Lockbit3 mit 8 Prozent und Akiramit 6 Prozent.

RansomHub
RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight auftauchte. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten. Diese Malware ist dafür bekannt, dass sie ausgeklügelte Verschlüsselungsmethoden einsetzt.

Lockbit3
LockBit ist eine RaaS-basierte Ransomware, die erstmals im September 2019 gemeldet wurde. LockBit richtet sich gegen große Unternehmen und Regierungsbehörden in verschiedenen Ländern, jedoch nicht gegen Privatpersonen in Russland und der Gemeinschaft Unabhängiger Staaten.

Akira
Akira Ransomware, die erstmals Anfang 2023 gemeldet wurde, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der durchgesickerten Conti v2 Ransomware. Akira wird über verschiedene Wege verbreitet, einschließlich infizierter E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt die Ransomware Daten und fügt eine „.akira”-Erweiterung an Dateinamen an und präsentiert dann eine Lösegeldforderung für die Entschlüsselung.

Meist ausgenutzte Sicherheitslücken

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Es wurde eine Schwachstelle für Command Injection over HTTP gemeldet. Ein Angreifer kann dieses Problem ausnutzen, in dem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.  

↑ Zyxel ZyWALL Command Injection (CVE-2023-28771)
In Zyxel ZyWALL besteht eine Sicherheitslücke durch Befehlsinjektion. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.

↔ HTTP Headers Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375)
HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.