Threats & Co

Umbruch bei Malware-Bedrohungen in Deutschland

Umbruch bei Malware-Bedrohungen in Deutschland

Nathan Shuchami, VP Emerging Products bei Check Point

Bei der aktuellen Analyse der größten Cyberbedrohungen im Februar 2017 zeigen sich mit Yakes, Fareit und Adwind gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen. Global sucht der Downloader Hancitor Organisationen vermehrt heim.

Check Point sieht in seiner monatlichen Analyse der größten Malwarebedrohungen eine Veränderung der eingesetzten Schädlinge. Global taucht Hancitor zum ersten Mal unter den 10 meistbenutzten Angriffswerkzeugen auf. In Deutschland erkennt man einen signifikanten Anstieg von Attacken mit Yakes, Fareit und Adwind:
Fareit ist ein Trojaner, der es in der Regel auf Zugangsdaten und Passwörter abgesehen hat. Der Schädling wurde 2012 zum ersten Mal entdeckt und liest Informationen aus dem Speicher des Webbrowsers aus. Daher gehören FTP und E-Mail-Zugangsdaten, Verlaufsdateien, Serverinformationen sowie Details zu Ports ebenfalls zu seinen Zielen.

Obwohl Yakes nur Windows-Geräte infiziert, nimmt der Schädling eine hohe Position bei den größten Bedrohungen ein. Dazu erstellt er einen neuen Sychost-Prozess auf dem Endgerät des Opfers und lädt dadurch Schadcode auf die Maschine. Im nächsten Schritt wird ein Server per Fernzugriff kontaktiert und Daten ausgetauscht. Diese sind in Regel mit Base64 verschlüsselt und versucht über eine URL weitere Malware auf das infizierte System zu laden.

Adwind zielt auf Systeme mit Java Runtime-Unterstützung ab. Durch eine Backdoor kommuniziert der Schädling nach außen und kann verschiedene Befehle für die Angreifer ausführen. Unter anderem ist der in der Lage, Nachrichten auf dem Bildschirm des Opfers anzeigen zu lassen, URLs zu öffnen oder weiteren Schadcode herunterzuladen. Nachgeladene Plug-Ins erweitern Adwind mit neuen Funktionen und erlauben die Fernsteuerung des Endgerätes oder die Ausführung von Shell Commands.

Global führt das Botnet Kelihos die Liste der größten Bedrohungen an. Die Malware ist bereits seit 2010 aktiv und Untersuchungen gehen davon aus, dass weltweit 12 Prozent aller Organisationen von ihr betroffen sind. Ursprünglich war Kelihos eine relative plumpe Spam-Kampagne, entwickelte sich aber dann zu einem mietbaren Botnetz weiter, dass Spam gegen Bezahlung an gewünschte Ziele schickt. Bereits 2011 wurde das Netzwerk zum ersten Mal zerschlagen, allerdings schaffen es die Kriminellen immer wieder neue Bots zu rekrutieren und das Netzwerk noch schlagkräftiger wieder auferstehen zu lassen. Aktuell sind über 300.000 Endpunkte infiziert – jeder davon könnte über 200.000 Spam-E-Mails pro Tag verschicken.

Februar 2017 Top Bedrohungen weltweit

1. Kelihos – Botnet, spezialisiert auf Bitcoin-Diebstahl und Spamming. Durch Peer-to-Peer-Kommunikation kann jeder Endpunkt zum Node für Command & Control Server werden.

2. HackerDefender – User-Mode Rootkit für Windows, durch das Daten, Prozesse und Registry-Informationen versteckt werden können. Zudem kann HackerDefender eine Hintertür und eine Portumleitung implementieren. Dieser nutzt existierende TCP-Ports und tarnt so das Backdoor.

3. Cryptowall war ursprünglich ein Doppelgänger der Cryptolocker Ransomware, hat sich aber weiterentwickelt. Aktuell ist Cryptowall einer der meistgenutzten Verschlüsselungsschädlinge der Welt. Es setzt auf AES-Chiffrierung und verschleiert seine C&C-Kommunikation über das TOR-Netzwerk.

Im Bereich Mobile gibt es mit Hiddad eine zunehmende Bedrohung für Androidgeräte. Dabei wird Schadcode in legitime Applikation geladen und versteckt, um über Apps-Stores auf die Geräte der Opfer zu gelangen. Dabei zielt Hiddad auf das Anzeigen von ungewollter Werbung ab, kann aber auch Sicherheitsdetails aus dem Betriebssystem auslesen und private Informationen abgreifen.

Nathan Shuchami, VP Emerging Products bei Check Point empfiehlt: „Die Zunahme der Attacken im Februar 2017 verdeutlicht die aktuelle Situation vieler IT-Abteilungen. Organisationen brauchen die richtigen Tools, um mit der Vielzahl von Bedrohungen umgehen zu können. Die Situation hat sich grundlegend verändert, denn viele Schädlinge nutzen unbekannte Schwachstellen – Unternehmen müssen sich daher vorbereiten.“

Weitere Details und Platzierungen gibt es auf dem Blog von Check Point http://blog.checkpoint.com/2017/03/13/check-point-february-top-malware/ 

Check Point’s Bedrohungsindex basiert auf der Threat Intelligence, die der Anbieter aus seiner ThreatCloud World Cyber Threat Map zieht. Hier werden weltweite Cyberangriffe in Echtzeit aufgezeigt. Die Threat Map wird von Check Point’s ThreatCloud Intelligence betrieben. Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen.

Weitere Informationen zu Check Point’s Threat Prevention-Forschungen finden Sie hier:  http://www.checkpoint.com/threat-prevention-resources/index.html