Malware-Ranking Januar: Formbook und SnakeKeylogger an der Spitze

Infostealer „Formbook“ war direkt für rund 16,5 Prozent aller festgestellten Infektionen verantwortlich, knapp dahinter der Keylogger und Credential Stealer „SnakeKeylogger“ mit 15,3 Prozent. Lediglich Remcos verblieb mit gut 2,6 Prozent auf dem Platz des Vormonats. Dies ergibt der monatliche Global Threat Index von Check Point.

Eine kürzliche Untersuchung von Sicherheitsforschern ergab außerdem, dass ein Ableger von RansomHub, deren Aktivitäten auch CPR im Rahmen des Global Threat Index beobachtete, eine auf Python basierende Backdoor ausnutzte, um sich dauerhaften Zugang zu verschaffen und Ransomware in verschiedenen Netzwerken zu verteilen. Diese Backdoor wurde kurz nach dem ersten Zugriff von FakeUpdates installiert, die im Januar meistverbreitete Malware im globalen Vergleich, und wies fortschrittliche Verschleierungstechniken sowie KI-gestützte Codierungsmuster auf. Der Angriff erfolgte lateral über das Remote Desktop Protocol (RDP) und verschaffte sich durch die Erstellung geplanter Aufgaben dauerhaften Zugang.

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Ranges im Vergleich zum Vormonat.

↑ Formbook (16,53 %)
Formbook wurde erstmals 2016 identifiziert und ist eine Infostealer-Malware, die hauptsächlich Windows-Systeme angreift. Die Malware sammelt Anmeldeinformationen von verschiedenen Webbrowsern, sammelt Screenshots, überwacht und protokolliert Tastatureingaben und kann zusätzliche Nutzdaten herunterladen und ausführen. Sie verbreitet sich über Phishing-Kampagnen, bösartige E-Mail-Anhänge und kompromittierte Websites, die oft als legitime Dateien getarnt sind.

↑ SnakeKeylogger (15,3 %)
Snake ist ein modularer .NET-Keylogger und Credential Stealer, der erstmals Ende November 2020 entdeckt wurde. Seine Hauptfunktion besteht darin, die Tastatureingaben der Benutzer aufzuzeichnen und die gesammelten Daten an die Bedrohungsakteure zu übertragen. Snake-Infektionen stellen eine große Bedrohung für die Privatsphäre und die Online-Sicherheit der Nutzer dar, da die Malware alle Arten sensibler Informationen stehlen kann und ein besonders ausweichender und hartnäckiger Keylogger ist.

↔ Remcos (2,58 %)
Remcos ist ein Remote-Access-Trojaner (RAT), der erstmals im Jahr 2016 beobachtet wurde. Er wird häufig über bösartige Dokumente in Phishing-Kampagnen verbreitet. Er umgeht Windows-Sicherheitsmechanismen wie die Benutzerkontensteuerung und führt Malware mit erweiterten Rechten aus, was ihn zu einem vielseitigen Werkzeug für Bedrohungsakteure macht.

Top Mobile Malware

↔ Anubis
Anubis ist ein vielseitiger Banking-Trojaner, der auf Android-Geräten entstanden ist und Fähigkeiten wie die Umgehung der Multi-Faktor-Authentifizierung (MFA), Keylogging, Audioaufzeichnung und Ransomware-Funktionen besitzt.

↑ AhMyth
AhMyth ist ein Fernzugriffstrojaner (RAT), der auf Android-Geräte abzielt und als legitime Anwendungen getarnt ist. Er verschafft sich umfangreiche Rechte, um sensible Informationen wie Bankdaten und MFA-Codes zu exfiltrieren.

↓ Necro
Necro ist ein bösartiger Android-Downloader, der schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer abruft und ausführt.

Aktivste Ransomware-Gruppen

Basierend auf Daten von Ransomware-„Shame Sites“ ist Clop die am weitesten verbreitete Ransomware-Gruppe und für 10 Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von FunkSec mit 8 Prozent und RansomHub mit 7 Prozent.

Clop
Clop ist ein Ransomware-Stamm, der seit 2019 aktiv ist und weltweit Branchen angreift. Sie setzt auf “doppelte Erpressung” und droht damit, gestohlene Daten preiszugeben, wenn kein Lösegeld gezahlt wird.

FunkSec
FunkSec ist eine aufstrebende Ransomware-Gruppe, die im Dezember 2024 mit einer Datenleck-Site auftauchte, die Ransomware-Vorfälle mit Datenschutzverletzungen vermischt.

RansomHub
RansomHub ist eine Ransomware-as-a-Service (RaaS)-Operation, die als umbenannte Version der Ransomware Knight entstanden ist. Sie ist dafür bekannt, dass sie es auf Windows-, macOS-, Linux- und VMware ESXi-Umgebungen abgesehen hat.