Malware-Ranking August: CloudEye verursacht 18 Prozent der Infektionen

Check Point hat seinen Global Threat Index für August 2024 veröffentlicht. Der Index zeigt, dass RansomHub seine Position als führende Ransomware-Gruppe beibehält, wie in einer gemeinsamen Stellungnahme der US-amerikanischen Behörden FBI, CISA, MS-ISAC und HHS beschrieben. Diese RaaS-Operation zielt aggressiv auf Systeme in Windows-, macOS-, Linux- und insbesondere VMware ESXi-Umgebungen ab und setzt dabei ausgefeilte Verschlüsselungstechniken ein. Die RaaS-Operation hat sich seit ihrer Umbenennung von Knight-Ransomware rasch ausgebreitet und weltweit über 210 Opfer angegriffen.

Zunehmende Raffinesse von Ransomware-as-a-Service-Operationen

Im August wurde auch die Ransomware Meow bekannt, die direkt auf dem zweiten Platz der meistverbreiteten Ransomwares landete. Meow, ursprünglich eine Variante der geleakten Conti-Ransomware, hat seinen Schwerpunkt von der Verschlüsselung auf die Datenextraktion verlagert und seine Erpressungsseite in einen Marktplatz für Datenlecks verwandelt. Bei diesem Modell werden die gestohlenen Daten an den Meistbietenden verkauft – eine Abweichung traditioneller Erpressungstaktiken für Ransomware.

„Das Auftauchen von RansomHub als Top-Ransomware-Bedrohung im August unterstreicht die zunehmende Raffinesse von Ransomware-as-a-Service-Operationen“, sagt Maya Horowitz, VP of Research bei Check Point Software. „Unternehmen müssen wachsamer denn je sein. Der Aufstieg von Meow Ransomware unterstreicht die Verlagerung hin zu Marktplätzen für Datenlecks und signalisiert eine neue Methode der Monetarisierung für Ransomware-Betreiber, bei der gestohlene Daten zunehmend an Dritte verkauft werden, anstatt sie einfach online zu veröffentlichen. Da sich diese Bedrohungen weiterentwickeln, müssen Unternehmen wachsam bleiben, proaktive Sicherheitsmaßnahmen ergreifen und ihre Abwehr gegen immer raffiniertere Angriffe kontinuierlich stärken“.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

↔ CloudEye (17,9 %)
CloudEye ist ein Downloader, der auf Windows-Systeme zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren.

↔ Androxgh0st (4,36 %)
Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

↑ FakeUpdates (3,9 %)
FakeUpdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt Nutzdaten auf die Festplatte, bevor er sie startet. FakeUpdates führte zu einer weiteren Systemkompromittierung durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

Top Mobile Malware in Deutschland

Diesen Monat liegt Joker erneut auf Platz 1 der am weitesten verbreiteten mobilen Malware, gefolgt von Anubis und Hydra.

↔ Joker
Eine Android-Spyware in Google Play, die SMS-Nachrichten, Kontaktlisten und Geräteinformationen stehlen kann. Die Malware registriert das Opfer zudem unbemerkt für Premium-Dienste auf Werbe-Websites.

↔ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

↑ Hydra
Hydra ist ein Banking-Trojaner, der entwickelt wurde, um Bankdaten zu stehlen, indem er die Opfer auffordert, gefährliche Berechtigungen und Zugriffsrechte zu aktivieren, wenn sie eine Banking-App aufrufen.

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von Ransomware-„Shame Sites“, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen. RansomHub ist in diesem Monat die weltweit aktivste Ransomware-Gruppe und für 15 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Meow mit 9 Prozent und Lockbit3 mit 8 Prozent.

RansomHub
RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrund-Cybercrime-Foren auf und erlangte schnell Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme wie Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen abzielten und ausgeklügelte Verschlüsselungsmethoden einsetzten.

Meow
Meow Ransomware ist eine auf der Conti-Ransomware basierende Variante, die dafür bekannt ist, dass sie eine Vielzahl von Dateien auf kompromittierten Systemen verschlüsselt und die Erweiterung „.MEOW“ an sie anhängt. Sie hinterlässt eine Lösegeld-Notiz namens „readme.txt“, in der die Opfer angewiesen werden, die Angreifer per E-Mail oder Telegram zu kontaktieren, um Lösegeldzahlungen auszuhandeln. Meow Ransomware verbreitet sich über verschiedene Vektoren, darunter ungeschützte RDP-Konfigurationen, E-Mail-Spam und bösartige Downloads, und verwendet den Verschlüsselungsalgorithmus ChaCha20, um Dateien zu sperren, ausgenommen „.exe“- und Textdateien.

Lockbit3
LockBit ist eine Ransomware, die mit einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten.

Meist ausgenutzte Sicherheitslücken

↔ Command Injection Over HTTP (CVE-2021-43936,CVE-2022-24086)
Es wurde eine Sicherheitslücke durch Command Injection over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde einem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.

↔ Zyxel ZyWALL Command Injection (CVE-2023-28771)
In Zyxel ZyWALL besteht eine Schwachstelle für Command Injection. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können entfernte Angreifer beliebige Betriebssystembefehle auf dem betroffenen System ausführen.

↔ HTTP-Header Remote Code Execution (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-1375)
HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen verwundbaren HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.

Roger Homrich

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

6 Stunden ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

7 Stunden ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago