Check Points neuester Global Threat Index zeigt, dass Trojaner-Malware-Familien die Top 10 der ‘Most Wanted’-Rangliste erreicht haben; Cryptomining führt die Liste weiterhin an
Check Point hat seinen neuesten Global Threat Index für Juni 2018 veröffentlicht. Aus diesem geht hervor, dass die globalen Auswirkungen von Banking-Trojanern in den letzten vier Monaten um 50 Prozent gestiegen sind, wobei zwei Trojaner-Malware-Familien in die Top Ten der ‚Most Wanted‘-Rangliste des Index‘ vorgedrungen sind.
Im Juni 2018 beeinträchtigte Dorkbot, ein Banking-Trojaner, der sensible Daten stiehlt und Denial-of-Service-Angriffe startet, 7 Prozent aller Organisationen weltweit und kletterte damit in Check Points ‚Most Wanted‘ Malware-Liste von Rang 8 auf Rang 3. Im vergangenen Monat trat auch Emotet auf den Plan, ein Banking-Trojaner, der die Zugangsdaten zu Bankkonten seiner Opfer stiehlt und die infizierte Maschine gleichzeitig dazu nutzt, sich zu verbreiten. Die Verbreitung der Emotet-Variante hat in den letzten zwei Monaten stark zugenommen und ist von Platz 50 in der April-Ausgabe des Index‘ auf Platz 11 im neuesten Index gestiegen. Zusammen mit Dorkbot kam auch der Trojaner Ramnit – der Bankzugangsdaten und FTP-Passwörter stiehlt – in die Top 10 der Liste.
„Man kann leicht die Tatsache aus den Augen verlieren, dass die überwiegende Zahl der Cyberdelikte – bei Hackern – finanziell motiviert ist. Sie nutzen ihre große Bandbreite an Tools einfach dazu, den kostengünstigsten Weg zu finden, schnellen Profit zu machen“, kommentiert Maya Horowitz, Threat Intelligence Group Manager bei Check Point, die Situation. „Wir beobachteten ein ähnlich aggressives Angriffsmuster bei Cyberkriminellen, die im Sommer 2017 Banking-Trojaner einsetzten. Dies legt nahe, dass Cyber-Kriminelle womöglich versuchen, Kapital aus Touristen zu schlagen, die im Urlaub sorgloser mit den Best Practices der Cybersicherheit umgehen und eventuell Geräte mit gemeinsamem Zugang und weniger sicheren Verbindungen nutzen, um auf Online-Banking zugreifen. Dies macht deutlich, dass bösartige Hacker bei ihren Versuchen, Geld zu erpressen, hartnäckig und raffiniert vorgehen.“
Die Top 3 der “Most Wanted”-Malware im Juni 2018:
*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.
1. ↔ Coinhive – Mined auf Kosten des Users nach Besuch von Website die Kryptowährung Monero online, ohne Wissen oder Zustimmung des Nutzers. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer, um Coins zu schürfen, und könnte für einen Systemausfall sorgen.
2. ↔ Cryptoloot – Crypto-Miner, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währung freigibt. Ein Konkurrent von Coinhive, der versucht durch geringere Leistung unentdeckt zu bleiben.
3. ↑Dorkbot – IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber zulassen soll sowie den Download zusätzlicher Malware auf das infizierte System. Es handelt sich um einen Banking-Trojaner mit der primären Motivation, sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten.
Check Points Forscher analysierten auch die am häufigsten ausgenutzten Cyber-Sicherheitslücken. An erster Stelle stand CVE-2017-7269, von der 40 Prozent weltweit betroffen waren, gefolgt von CVE-2017-10271, die 35 Prozent der Organisationen weltweit betraf. An dritter Stelle folgte SQL-Einschleusung, von der 15 Prozent der Organisationen in aller Welt betroffen waren.
Die Top 3 der “Most Wanted” Schwachstellen im Juni:
1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Ein entfernter Angreifer könnte durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist. Ein Patch steht seit März 2017 zur Verfügung.
2. ↔ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) – In Oracle WebLogic WLS existiert eine Remote-Code-Execution-Sicherheitslücke. Diese ist der Art und Weise geschuldet, wie Oracle WebLogic xml-Decodes behandelt. Ein erfolgreicher Angriff könnte eine Remote-Code-Ausführung zur Folge haben. Ein Patch steht seit Oktober 2017 zur Verfügung.
3. ↔ SQL-Einschleusung – Einschleusung von SQL-Befehlen in den Input vom Client zur Anwendung, während eine Sicherheitslücke in der Software einer Anwendung ausgenutzt wird.
Diese Liste zeigt eindeutig, wie Bedrohungsakteure sowohl moderne Techniken (zwei Schwachstellen, die 2017 veröffentlicht wurden) als auch klassische Angriffsvektoren, wie SQL-Einschleusung, nutzen.
Check Points Global Threat Impact Index und seine ThreatCloud Map werden von Check Points ThreatCloud Intelligence betrieben, dem größten Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.
* Die vollständige Liste der Top-10 Malware-Familien im Juni finden Sie im Check-Point-Blog auf https://blog.checkpoint.com/2018/07/05/junes-most-wanted-malware-banking-trojans-crypto-mining/
Check Points Threat Prevention Ressourcen finden Sie auf: http://www.checkpoint.com/threat-prevention-resources/index.html