Aktuelles, Branche, Studien - geschrieben von dp am Montag, August 10, 2020 22:04 - noch keine Kommentare
Emotet nach Comeback auf Platz 1
Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen
[datensicherheit.de, 10.08.2020] Der Banking-Trojaner Emotet ist offensichtlich nach längerer Pause zurück und schießt nach Erkenntnissen der Sicherheitsforscher von Check Point „sofort hoch auf den ersten Platz“ – dahinter reihten sich „AgentTesla“ und „Dridex“ ein. Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der eigenen „ThreatCloud Intelligence“, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere. Die „ThreatCloud“-Datenbank analysiere täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziere mehr als 250 Millionen Malware-Aktivitäten.
Foto: kaspersky
Maya Horowitz: Angestellte dürfen keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken!
Emotet verbeitet Malspam-Kampagnen
Seit Februar 2020 hätten sich die Aktivitäten von „Emotet“ – hauptsächlich das wellenartige Versenden von Malware-Kampagnen – verringert und schließlich völlig aufgehört. Nun aber, im Juli 2020, hätten sie wieder enorm zugenommen und deutsche Unternehmen hart getroffen.
Hauptsächlich habe dieser Schädling sogenannte Malspam-Kampagnen verbreitet, um die Malwares „Trickbot“ und „Qbot“ auszuliefern. Beide seien auf Bankdaten spezialisiert und könnten sich in Netzwerken auch hin und her bewegen.
Emotet versteckt sich in Word-Anhängen von E-Mails
Viele der betrügerischen E-Mails enthielten infizierte „Word“-Dokumente, welche bei Öffnung eine PowerShell ausführten, um die „Emotet“-Datenbanken und Programmteile herunterzuladen.
Die attackierten Rechner würden dann automatisch dem riesigen Bot-Netz hinzugefügt. Ähnliches habe bereits 2019 beobachtet werden können: „Das Bot-Netz ging damals über den Sommer vom Netz um gewartet und verbessert zu werden. Im September kam ,Emotet‘ mit Wucht zurück.“
Emotet-Entwickler haben offenbar seine Funktionen und Fähigkeiten erneut aktualisiert
„Es ist interessant, dass ,Emotet‘ Anfang dieses Jahres für einige Monate ruhte und damit ein Muster wiederholte, das wir erstmals 2019 beobachtet hatten. Wir können davon ausgehen, dass die Entwickler hinter dem Bot-Netz seine Funktionen und Fähigkeiten erneut aktualisiert haben“, so Maya Horowitz, „Head of Cyber Research and Threat Intelligence“ bei Check Point Software Technologies.
Da „Emotet“ nun wieder aktiv sei, sollten Organisationen ihre Mitarbeiter darüber aufklären, „wie sie die Arten von Malspam erkennen können, auf die sich das Bot-Netz derzeit spezialisiert hat“. Die Angestellten dürften keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken. Unternehmen sollten auch den Einsatz von Anti-Malware-Lösungen in Betracht ziehen, die verhindern könnten, „dass solche Inhalte die Endbenutzer erreichen – besonders wenn es darum geht, Zero-Day-Attacken zu blockieren“.
Malware für Deutschland: Die Top 3 im Juli 2020
Die Pfeile beziehen sich laut Check Point auf die Änderung der Platzierung gegenüber dem Vormonat.
- ↑ Emotet
„Emotet“ gilt als ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er sei früher als Banking-Trojaner eingesetzt worden, diene jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt demnach verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich könne er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten. - ↓ AgentTesla
„AgentTesla“ ist „ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert“. Er sei in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehörten (einschließlich „Google Chrome“, „Mozilla Firefox“ und „Microsoft Outlook E-Mail-Client“). „AgentTesla“ sei als RAT verkauft worden, „wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten“. - ↓ Dridex
„Dridex“ sei ein Banking-Trojaner, der auf „Windows“-Systeme ziele und von Spam-Kampagnen und „Exploit Kits“ verbreitet werde. Diese nutzen „WebInjects“, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. „Dridex“ kontaktiere einen Remote-Server, sende Informationen über das infizierte System und könne zusätzliche Module zur Fernsteuerung herunterladen und ausführen.
Mobile Malware für Deutschland: Die Top 3 im Juli 2020
Die Spitze habe „xhelper“ zurückerobert und verweise den Neueinsteiger „Necro“ auf Rang 2. An dritter Stelle steht mit „PreAMo“ ebenfalls ein neuer „Gast“.
- ↑ xhelper
Eine bösartige „Android“-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet werde. Sie sei in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert. - ↓ Necro
„Necro“ sei ein „Android Trojan Dropper“. Er könne andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, „weil er kostenpflichtige Abonnements berechnet“. - ↑ PreAMo
Diese Mobile Malware imitiere den Nutzer und klicke in seinem Namen auf Werbebanner, die über drei Agenturen ausgeliefert würden: „Presage“, „Admob“ und „Mopub“.
Schwachstellen für Deutschland: Die Top 3 im Juli 2020
Die Schwachstelle „MVPower DVR Remote Code Execution“ stehe nun an der Spitze und betreffe 44 Prozent der Unternehmen weltweit. Auf Platz zwei rutsche „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) in der Rangliste der weltweit größten Schwachstellen mit 42 Prozent. Den dritten Platz erringe „Command Injection Over HTTP Payload“ (CVE-2020-8515) mit 38 Prozent.
- ↑ MVPower DVR Remote Code Execution
Ein Einfallstor entstehe bei der Ausführung von Remote-Code in „MVPower DVR“-Geräten. Ein Angreifer könne dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen. - ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)
Eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen bestehe. Ein Angreifer könne diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen. - ↑ Command Injection Over HTTP Payload (CVE-2020-8515)
Ein Angreifer könne diese Lücke ausnutzen, „indem er eine speziell gestaltete Anfrage an das Opfer sendet“. Eine erfolgreiche Ausnutzung würde es dem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.
Weitere Informationen zum Thema:
Check Point SOFTWARE TECHNOLOGIES LTD
Check Point Blog / July‘s Most Wanted Malware: Emotet Strikes Again After Five-Month Absence
datensicherheit.de, 02.08.2020
Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück
datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails
datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren