Check Point hat seinen Global Threat Index für August 2024 veröffentlicht. Der Index zeigt, dass RansomHub seine Position als führende Ransomware-Gruppe beibehält, wie in einer gemeinsamen Stellungnahme der US-amerikanischen Behörden FBI, CISA, MS-ISAC und HHS beschrieben. Diese RaaS-Operation zielt aggressiv auf Systeme in Windows-, macOS-, Linux- und insbesondere VMware ESXi-Umgebungen ab und setzt dabei ausgefeilte Verschlüsselungstechniken ein. Die RaaS-Operation hat sich seit ihrer Umbenennung von Knight-Ransomware rasch ausgebreitet und weltweit über 210 Opfer angegriffen.
Im August wurde auch die Ransomware Meow bekannt, die direkt auf dem zweiten Platz der meistverbreiteten Ransomwares landete. Meow, ursprünglich eine Variante der geleakten Conti-Ransomware, hat seinen Schwerpunkt von der Verschlüsselung auf die Datenextraktion verlagert und seine Erpressungsseite in einen Marktplatz für Datenlecks verwandelt. Bei diesem Modell werden die gestohlenen Daten an den Meistbietenden verkauft – eine Abweichung traditioneller Erpressungstaktiken für Ransomware.
„Das Auftauchen von RansomHub als Top-Ransomware-Bedrohung im August unterstreicht die zunehmende Raffinesse von Ransomware-as-a-Service-Operationen“, sagt Maya Horowitz, VP of Research bei Check Point Software. „Unternehmen müssen wachsamer denn je sein. Der Aufstieg von Meow Ransomware unterstreicht die Verlagerung hin zu Marktplätzen für Datenlecks und signalisiert eine neue Methode der Monetarisierung für Ransomware-Betreiber, bei der gestohlene Daten zunehmend an Dritte verkauft werden, anstatt sie einfach online zu veröffentlichen. Da sich diese Bedrohungen weiterentwickeln, müssen Unternehmen wachsam bleiben, proaktive Sicherheitsmaßnahmen ergreifen und ihre Abwehr gegen immer raffiniertere Angriffe kontinuierlich stärken“.
*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.
↔ CloudEye (17,9 %)
CloudEye ist ein Downloader, der auf Windows-Systeme zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.
↔ Androxgh0st (4,36 %)
Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.
↑ FakeUpdates (3,9 %)
FakeUpdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.
Diesen Monat liegt Joker erneut auf Platz 1 der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und Hydra.
↔ Joker
Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen kann. Die Malware registriert das Opfer zudem unbemerkt für Premium-Dienste auf Werbe-Websites.
↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.
↑ Hydra
Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer auffordert, gefährliche Berechtigungen und Zugriffsrechte zu aktivieren, wenn sie eine Banking-App aufrufen.
Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist in diesem Monat die weltweit aktivste Ransomware-Gruppe und für 15 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Meow mit 9 Prozent und Lockbit3 mit 8 Prozent.
RansomHub
RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten und ausgeklügelte Verschlüsselungsmethoden einsetzten.
Meow
Meow Ransomware ist eine auf der Conti-Ransomware basierende Variante, die dafür bekannt ist, dass sie eine Vielzahl von Dateien auf kompromittierten Systemen verschlüsselt und die Erweiterung „.MEOW“ an sie anhängt. Sie hinterlässt eine Lösegeld-Notiz namens „readme.txt“, in der die Opfer angewiesen werden, die Angreifer per E-Mail oder Telegram zu kontaktieren, um Lösegeldzahlungen auszuhandeln. Meow Ransomware verbreitet sich über verschiedene Vektoren, darunter ungeschützte RDP-Konfigurationen, E-Mail-Spam und bösartige Downloads, und verwendet den Verschlüsselungsalgorithmus ChaCha20, um Dateien zu sperren, ausgenommen „.exe“- und Textdateien.
Lockbit3
LockBit ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten.
↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086)
Es wurde eine Sicherheitslücke durch Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde einem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.
↔ Zyxel ZyWALL Command Injection (CVE-2023-28771)
In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.
↔ HTTP-Header Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375)
HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.