Malware Ranking Februar: AsyncRAT sorgt in Deutschland für wirtschaftliche Schäden

Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann. Dies sind Ergebnisse des monatlichen Global Threat Index von Check Point.

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Ranges im Vergleich zum Vormonat.

↑ Androxgh0st (2,07 %)
AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.

↑ FakeUpdates (2,04 %)
Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.

↑ AsyncRat (1,83 %)
AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Top Mobile Malware

↔ Anubis
Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.

↑ Necro
Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.

↓ AhMyth
AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Aktivste Ransomware-Gruppen

↔ Clop
Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.

↑ RansomHub
RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.

↑ Akira
Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.