•  

Cryptomining-Malware nimmt ungepatchte Server-Schwachstellen ins Visier

Maya Horowitz, Threat Intelligence Group Manager bei Check Point

Check Points neuester Global Threat Index zeigt, dass Hacker im April 2018 ungepatchte Server-Schwachstellen ins Visier nahmen, um Maschinen zu infizieren und Kryptowährung zu generieren +

Check Point veröffentlicht seinen neuesten Global Threat Index für April 2018. Dieser zeigt, dass Cyberkriminelle zunehmend ungepatchte Server-Schwachstellen ins Visier nehmen, um diese Maschinen mit Cryptomining-Malware zu infizieren. 

Der April 2018 war der vierte Monat in Folge, in dem Cryptomining-Malware die Top Ten des „Most Wanted”-Malware-Indexes von Check Point dominierte, wobei sich die Coinhive-Variante als häufigste Malware mit weltweit 16 Prozent auf Platz eins behaupten konnte. Cryptoloot – eine weitere Cryptomining-Malware - lag mit einem weltweiten Anteil von 14 Prozent knapp dahinter, während die Roughted Malvertising-Malware Platz drei belegte (11Prozent). 

Check Points Forscher ermittelten auch einen signifikanten Anstieg eines Trends, der Anfang des Jahres einsetzte. Hierbei nehmen Cyberkriminelle ungepatchte Server-Schwachstellen im Microsoft Windows Server 2003 (CVE-2017-7269) und in Oracle Web Logic (CVE-2017-10271) ins Visier, um illegal Kryptowährung zu generieren. Weltweit wurden 46 Prozent aller Organisationen Zielscheibe von Angriffen auf die Schwachstelle des Microsoft Windows Servers 2003, dicht gefolgt von der Schwachstelle in Oracle Web Logic, wovon 40 Prozent der Organisationen in aller Welt betroffen waren. 

„Vor dem Hintergrund der kontinuierlich zunehmenden Cryptomining-Malware verändern Cyberkriminelle ständig ihre Techniken, mit denen sie die Maschinen ihrer Opfer ausbeuten und mehr Einnahmen erzielen können“, sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. „Jetzt, da sie versuchen, über ungepatchte Server-Schwachstellen in Netzwerke einzudringen, wird Organisationen jäh ins Gedächtnis gerufen, dass grundlegende Sicherheitsmaßnahmen - wie das Patchen - unerlässlich sind, um sicherzustellen, dass Netzwerke weiterhin geschützt sind.“ 

Und Horowitz weiter: „Es ist beunruhigend, dass so viele Organisationen von diesen bekannten Sicherheitslücken betroffen waren, insbesondere, als Patches für beide Schwachstellen bereits seit mindestens 6 Monaten zur Verfügung stehen. Wenn man bedenkt, dass diese Angriffe weltweit bei über 40 Prozent der Organisationen stattfanden, ist es umso wichtiger, dass Unternehmen eine mehrschichtige Cybersicherheitsstrategie verfolgen, die sowohl vor Cyberangriffen durch bekannte Malware-Familien schützt als auch vor brandneuen Bedrohungen.“ 

Die Top 3 der “Most Wanted”-Malware im April 2018:

*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

1. ↔ Coinhive – Cryptominer, der entwickelt wurde, um die Kryptowährung Monero online zu schürfen, sobald ein Nutzer eine Internetseite ohne die Zustimmung des Nutzers besucht.   

2. ↑ Cryptoloot - Cryptominer, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen nutzt, indem er Transaktionen zur Blockchain hinzufügt und neue Währung freigibt. 

1. ↑ Roughted - Weitläufiger Malvertising-Vertreter, der für viele bösartige Webseiten und Payloads, wie Scams, Adware, Exploits und Ransomware verantwortlich ist. Er kann für Angriffe auf alle Arten von Plattformen und Betriebssystemen eingesetzt werden und nutzt die Umgehung von Werbeblockern und Fingerprinting um sicherzustellen, dass der relevanteste Angriff verbreitet wird. 

Lokibot, ein Banking-Trojaner für Android, der Superuser-Privilegien zum Download der Malware gestattet, war die beliebteste Malware für Angriffe auf mobile Anlagen von Unternehmen, gefolgt von Triada und Hiddad. 

Check Point-Forscher analysierten auch die am häufigsten ausgenutzten Cyber-Sicherheitslücken. CVE-2017-7269, die mit 46 Prozent weltweit am stärksten betroffen war, war auf Platz eins, gefolgt von CVE-2017-10271, von der 40 Prozent der Organisationen in aller Welt betroffen waren. Den dritten Platz belegte die SQL-Einschleusung, mit global 16 Prozent betroffenen Organisationen. 

Die Top 3 der “Most Wanted” Schwachstellen im April:

1. ↑ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) - Ein entfernter Angreifer könnte durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist. Ein Patch steht seit März 2017 zur Verfügung. 

2. ↓ Oracle WebLogic WLS Security Component Remote Code Execution (CVE-2017-10271) - In Oracle WebLogic WLS existiert eine Remote-Code-Execution-Sicherheitslücke. Diese ist der Art und Weise geschuldet, wie Oracle WebLogic xml-Decodes behandelt. Ein erfolgreicher Angriff könnte eine Remote-Code-Ausführung zur Folge haben. Ein Patch steht seit Oktober 2017 zur Verfügung. 

3. ↓ SQL-Einschleusung- Einschleusung von SQL-Befehlen in den Input vom Client zur Anwendung, während eine Sicherheitslücke in der Software einer Anwendung ausgenutzt wird.  

Diese Liste zeigt eindeutig, wie Bedrohungsakteure sowohl moderne Techniken (zwei Schwachstellen, die 2017 veröffentlicht wurden) als auch klassische Angriffsvektoren, wie SQL-Einschleusung, nutzen. 

Check Points Global Threat Impact Index und seine ThreatCloud Map werden von Check Points ThreatCloud Intelligence betrieben, dem größten  Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte IP-Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware. 

* Die vollständige Liste der Top-10 Malware-Familien im April finden Sie im Check Point Blog auf https://blog.checkpoint.com/2018/05/14/aprils-wanted-malware-cryptomining-malware-targeting-unpatched-server-vulnerabilities/ 

Check Points Threat-Prevention-Ressourcen finden Sie auf:  http://www.checkpoint.com/threat-prevention-resources/index.html   

Autor: kro

Diesen Artikel empfehlen