Malware-Ranking November: KRITIS-Saboteur Androxgh0st in Mozi-Bot-Netz integriert

Der Global Threat Index von Check Point für November 2024 offenbart, dass Androxgh0st seit Neuestem in das Mozi-Bot-Netz integriert ist und damit noch effektiver darin ist, kritische Infrastrukturen anzugreifen. Global steht das Bot-Netz auf Platz eins der meistverbreiteten Malware-Typen. einen Trend hin zu KI-gesteuerter Malware und bestätigt die anhaltend dominanten Bedrohung durch Ransomware. In Deutschland bleibt die Vormachtstellung von Androxgh0st mit 4,5 Prozent auf Platz drei vorerst aus, denn auch der Schad-Software-Downloader CloudEye dominiert vor dem Botnet auf dem zweiten Platz mit 12,8 Prozent.

Sicherheitsforscher haben herausgefunden, dass Androxgh0st Schwachstellen auf mehreren Plattformen ausnutzt, darunter IoT-Geräte und Webserver – beides Schlüsselkomponenten kritischer Infrastrukturen. Durch die Übernahme von Taktiken von Mozi zielt es auf Systeme ab, die Methoden zur Ausführung von Remote-Code und zum Diebstahl von Anmeldeinformationen verwenden, um dauerhaften Zugriff zu erhalten. Die Drahtzieher halten sich damit selbst die Tür auf, um zu einem späteren Zeitpunkt DDoS-Angriffe zu starten und Daten zu stehlen. Das Bot-Netz infiltriert kritische Infrastrukturen über offene Schwachstellen und die Integration der Fähigkeiten von Mozi hat die Reichweite von Androxgh0st erheblich vergrößert, sodass mehr IoT-Geräte infiziert und eine größere Bandbreite an Zielen kontrolliert werden können. Diese Angriffe ziehen branchenübergreifende Kaskadeneffekte nach sich und verdeutlichen, wie viel für Regierungen, Unternehmen und Einzelpersonen, die auf diese Infrastrukturen angewiesen sind, auf dem Spiel steht.

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat.

↔ Formbook (18,51 %)
FormBook ist ein Infostealer, der auf das Windows-Betriebssystem abzielt und erstmals 2016 entdeckt wurde. Er wird in Untergrund-Hackerforen als Malware as a Service (MaaS) vermarktet, da er über starke Verschleierungstechniken verfügt und relativ günstig ist. FormBook sammelt Anmeldedaten von verschiedenen Webbrowsern, erstellt Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß den Anweisungen seines C&C herunterladen und ausführen.

↑ CloudEye (12,83 %) 
CloudEye ist ein Downloader, der auf die Windows-Plattform abzielt und zum Herunterladen und Installieren von Schadprogrammen auf den Computern der Opfer verwendet wird.

↓ Androxgh0st (4,28 %)
Androxgh0st ist ein Bot-Netz, welches auf Windows-, Mac- und Linux-Plattformen zielt. Für die Infiltration nutzt Androxgh0st mehrere Sicherheitslücken aus, die insbesondere bei PHPUnit, Laravel Framework und Apache Web Server gegeben sind. Die Malware stiehlt sensible Informationen wie Twilio-Kontoinformationen, SMTP-Anmeldeinformationen, AWS-Schlüssel und dergleichen. Sie verwendet Laravel-Dateien, um die erforderlichen Informationen zu sammeln. Es gibt verschiedene Varianten, die nach unterschiedlichen Informationen suchen.

Top Mobile Malware

↔ Joker
Eine Android-Spyware in Google Play, die darauf ausgelegt ist, SMS-Nachrichten, Kontaktlisten und Geräteinformationen zu stehlen. Darüber hinaus meldet die Malware das Opfer stillschweigend für Premium-Dienste auf Werbewebsites an.

↑ Anubis
Anubis ist eine Banking-Trojaner-Malware, die für Android-Mobiltelefone entwickelt wurde. Seit ihrer ersten Entdeckung hat sie zusätzliche Funktionen erhalten, darunter die Funktionalität eines Remote Access Trojan (RAT), eines Keyloggers, einer Audioaufzeichnungsfunktion und verschiedener Ransomware-Funktionen. Sie wurde in Hunderten verschiedener Anwendungen entdeckt, die im Google Store verfügbar sind.

↓ Necro
Necro ist ein Android-Trojaner-Dropper. Er kann andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, indem er kostenpflichtige Abonnements belastet

Aktivste Ransomware-Gruppen

Die Daten basieren auf Erkenntnissen von „Shame Sites“ für Ransomware, die von Erpressergruppen betrieben werden, die Ransomware einsetzen, und auf denen Informationen über Opfer veröffentlicht werden. RansomHub ist in diesem Monat die am weitesten verbreitete Ransomware-Gruppe, die für 16 Prozent der veröffentlichten Angriffe verantwortlich ist, gefolgt von Akira mit 6 Prozent und Killsec3 mit 6 Prozent.

RansomHub
RansomHub ist ein Ransomware-as-a-Service (RaaS)-Vorgang, der als umbenannte Version der zuvor bekannten Ransomware Knight entstanden ist. RansomHub tauchte Anfang 2024 in Untergrundforen für Cyberkriminalität auf und erlangte schnell traurige Berühmtheit für seine aggressiven Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS, Linux und insbesondere VMware ESXi-Umgebungen. Diese Malware ist dafür bekannt, ausgefeilte Verschlüsselungsmethoden einzusetzen.

Akira
Akira Ransomware, erstmals Anfang 2023 gemeldet, zielt sowohl auf Windows- als auch auf Linux-Systeme ab. Sie verwendet eine symmetrische Verschlüsselung mit CryptGenRandom() und Chacha 2008 zur Dateiverschlüsselung und ähnelt der geleakten Ransomware Conti v2. Akira wird auf verschiedene Weise verbreitet, unter anderem über infizierte E-Mail-Anhänge und Exploits in VPN-Endpunkten. Nach der Infektion verschlüsselt sie Daten und hängt eine „. akira“-Erweiterung an die Dateinamen an. Anschließend wird eine Lösegeldforderung angezeigt, die eine Zahlung für die Entschlüsselung verlangt.

KillSec3
KillSec ist eine russischsprachige Cyber-Bedrohungsgruppe, die im Oktober 2023 entstand. Die Gruppe betreibt eine Ransomware-as-a-Service-Plattform (RaaS) und bietet auch eine Reihe anderer offensiver cyberkrimineller Dienste an, darunter DDoS-Angriffe und sogenannte „Penetrationstestdienste“. Eine Überprüfung ihrer Opferliste zeigt eine unverhältnismäßig hohe Anzahl von Zielen in Indien und einen ungewöhnlich geringen Anteil von Opfern in den USA im Vergleich zu ähnlichen Gruppen. Zu ihren Hauptzielen gehören der Gesundheits- und der Regierungssektor.

Meist ausgenutzte Sicherheitslücken

↑ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086)
Eine durch Command Injection over HTTP gemeldete Sicherheitslücke. Ein Angreifer kann dieses Problem aus der Ferne ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde diesem erlauben, beliebigen Code auf dem Zielrechner auszuführen. 

↑ Offenlegung von Informationen über das Git-Repository des Webservers
Im Git-Repository wurde eine Schwachstelle bei der Offenlegung von Informationen gemeldet. Eine erfolgreiche Ausnutzung dieser Schwachstelle könnte eine unbeabsichtigte Offenlegung von Kontodaten ermöglichen.

↑ ZMap Security Scanner (CVE-2024-3378)
ZMap ist ein Produkt zum Scannen von Schwachstellen. Angreifer können ZMap verwenden, um Schwachstellen auf einem Zielserver zu erkennen