Check Point meldet Umbruch bei Malware-Bedrohungen in Deutschland

Im Februar 2017 haben sich gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen gezeigt

[datensicherheit.de, 22.03.2017] Nach Erkenntnissen von Check Point ist ein Umbruch bei den Malware-Bedrohungen in Deutschland zu erkennen. Bei der aktuellen Analyse der größten Cyber-Bedrohungen im Februar 2017 hätten sich mit „Yakes“, „Fareit“ und „Adwind“ gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen gezeigt. Auf globaler Ebene suche der Downloader „Hancitor“ Organisationen vermehrt heim.

Signifikanter Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“

Die Check Point® Software Technologies Ltd. sieht in ihrer monatlichen Analyse der größten Malwarebedrohungen eine Veränderung der eingesetzten Schädlinge. Global tauche „Hancitor“ zum ersten Mal unter den zehn meistbenutzten Angriffswerkzeugen auf. In Deutschland erkenne man einen signifikanten Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“.
Obwohl „Yakes“ nur „Windows“-Geräte infiziere, nehme dieser Schädling eine hohe Position bei den größten Bedrohungen ein. Dazu erstelle er einen neuen Sychost-Prozess auf dem Endgerät des Opfers und lade dadurch Schadcode auf die Maschine. Im nächsten Schritt werde ein Server per Fernzugriff kontaktiert und würden in der Regel mit „Base64“ verschlüsselte Daten ausgetauscht; er versuche über eine URL weitere Malware auf das infizierte System zu laden.
Der Schädling „Fareit“, ein Trojaner, der es in der Regel auf Zugangsdaten und Passwörter abgesehen habe, sei 2012 zum ersten Mal entdeckt worden – er lese Informationen aus dem Speicher des Webbrowsers aus. Daher gehörten FTP und E-Mail-Zugangsdaten, Verlaufsdateien, Serverinformationen sowie Details zu Ports ebenfalls zu seinen Zielen.
„Adwind“ ziele auf Systeme mit „Java Runtime“-Unterstützung ab. Durch eine Backdoor kommuniziere dieser Schädling nach außen und könne verschiedene Befehle für die Angreifer ausführen. Unter anderem sei er in der Lage, Nachrichten auf dem Bildschirm des Opfers anzeigen zu lassen, URLs zu öffnen oder weiteren Schadcode herunterzuladen. Nachgeladene Plug-Ins erweiterten „Adwind“ mit neuen Funktionen und erlaubten die Fernsteuerung des Endgerätes oder die Ausführung von Shell-Commands.

Botnetz „Kelihos“ global größte Bedrohung

Global führe das Botnetz „Kelihos“ die Liste der größten Bedrohungen an. Diese Malware sei bereits seit 2010 aktiv, und Untersuchungen gingen davon aus, dass weltweit zwölf Prozent aller Organisationen von ihr betroffen seien. Ursprünglich sei „Kelihos“ eine relative plumpe Spam-Kampagne gewesen, habe sich aber dann zu einem mietbaren Botnetz weiterentwickelt, welches Spam gegen Bezahlung an gewünschte Ziele schicke.
Das bereits 2011 zum ersten Mal zerschlagene Netzwerk sei noch schlagkräftiger wieder auferstanden – die Cyber-Kriminellen hätten es geschafft, immer wieder neue Bots zu rekrutieren. Aktuell seien über 300.000 Endpunkte infiziert – jeder davon könnte über 200.000 Spam-E-Mails pro Tag verschicken.

Top-Bedrohungen weltweit (Februar 2017)

1. „Kelihos“ – Botnetz, spezialisiert auf „Bitcoin“-Diebstahl und Spamming. Durch Peer-to-Peer-Kommunikation könne jeder Endpunkt zum Node für „Command & Control“-Server werden.
2. „HackerDefender“ – User-Mode-Rootkit für „Windows“, durch welches Daten, Prozesse und Registry-Informationen versteckt werden könnten. Zudem könne „HackerDefender“ eine Hintertür und eine Portumleitung implementieren. Er nutze existierende TCP-Ports und tarne so die Backdoor.
3. „Cryptowall“, ursprünglich ein Doppelgänger der „Cryptolocker“-Ransomware, habe sich aber weiterentwickelt: Aktuell einer der meistgenutzten Verschlüsselungsschädlinge der Welt. Es setze auf AES-Chiffrierung und verschleiere seine C&C-Kommunikation über das „TOR“-Netzwerk.

Im Bereich Mobile gibt es mit „Hiddad“ eine zunehmende Bedrohung für „Android“-Geräte. Dabei werde Schadcode in legitime Applikation geladen und versteckt, um über Apps-Stores auf die Geräte der Opfer zu gelangen. Dabei ziele „Hiddad“ auf das Anzeigen von ungewollter Werbung ab, könne aber auch Sicherheitsdetails aus dem Betriebssystem auslesen und private Informationen abgreifen.

Foto: Check Point® Software Technologies Ltd.

Nathan Shuchami: Unternehmen müssen sich vorbereiten!

Viele Schädlinge nutzen unbekannte Schwachstellen

„Die Zunahme der Attacken im Februar 2017 verdeutlicht die aktuelle Situation vieler IT-Abteilungen. Organisationen brauchen die richtigen Tools, um mit der Vielzahl von Bedrohungen umgehen zu können. Die Situation hat sich grundlegend verändert, denn viele Schädlinge nutzen unbekannte Schwachstellen – Unternehmen müssen sich daher vorbereiten“, rät Nathan Shuchami, „VP Emerging Products“ bei Check Point.
Der Bedrohungsindex von Check Point basiert nach eigenen Angaben auf der „Threat Intelligence“, die der Anbieter aus seiner „ThreatCloud World Cyber Threat Map“ zieht. Dort werden demnach weltweite Cyber-Angriffe in Echtzeit aufgezeigt. Die „ThreatCloud“-Datenbank enthalte über 250 Millionen auf Bots untersuchte Adressen, über elf Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziere sie täglich Millionen Malware-Typen.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., 13.03.2017
Hancitor Makes First Appearance in Top Five ‘Most Wanted’ Malware in Check Point’s February Global Threat Impact Index

datensicherheit.de, 27.11.2016
Check Point warnt: Weihnachtszeit ist auch Hacking-Zeit

datensicherheit.de, 26.10.2016
„Conficker“ auf Platz 1: Check Point’s Top Malware im September 2016 publiziert