MyDoom: Deutschland auf Platz 4 der bevorzugten Angriffsziele

Aktuelle Analyse von Palo Alto Networks zeigt, dass der Computerwurm auch 2019 noch aktiv ist

[datensicherheit.de, 29.07.2019] „Unit 42“, die Malware-Forschungsabteilung von Palo Alto Networks, hat neue Forschungsergebnisse zur Cyber-Bedrohung „MyDoom“ veröffentlicht – ein erstmals Anfang 2004 entdeckter berüchtigter Computerwurm. Diese Malware sei bereits unter den „Top Ten der zerstörerischsten Computerviren“ zu finden – mit einem bis dato „geschätzten Schaden von 38 Milliarden US-Dollar“. Obwohl seine Blütezeit inzwischen lange zurückliege, sei dieser Wurm weiterhin präsent in der Cyber-Bedrohungslandschaft. So hätten die Forscher von Palo Alto Networks beispielsweise erst 2017 die Aktivitäten von „MyDoom“ in einem auf die auf die EMEA-Region fokussierten „Threat Report“ dokumentiert.

MyDoom-Auftreten in den Jahren 2015 bis 2018 relativ konstant

Das Auftreten von „MyDoom“ sei in den letzten Jahren (2015 bis 2018) relativ konstant geblieben und habe bei den Kunden von Palo Alto Networks durchschnittlich etwa 1,1 Prozent aller E-Mails mit Malware im Anhang ausgemacht. Die Verbreitung von „MyDoom“ erfolge über E-Mail via SMTP.
Bei der Überprüfung einzelner Malware-Samples im gleichen Zeitraum habe „MyDoom“ bei durchschnittlich 21,4 Prozent aller individuellen Malware-Anhänge in bösartigen E-Mails gelegen. „MyDoom ist polymorph und neigt dazu, für jede E-Mail unterschiedliche Datei-Hashes zu verwenden.“ Während die Anzahl der „MyDoom“-E-Mails relativ gering sei, ist demnach die Anzahl der Samples im Vergleich zu anderer Malware, die über E-Mail verbreitet wird, vergleichsweise höher.

Deutschland auf Platz 4 der MyDoom-Angriffsziele

Die Forscher von Palo Alto Networks erfassen nach eigenen Angaben „weiterhin jeden Monat Zehntausende von ,MyDoom‘-Samples“. Die „MyDoom“-Aktivitäten im ersten Halbjahr 2019 zeigten einen ähnlichen Durchschnitt wie das gesamte Jahr 2018, mit einem etwas höheren Prozentsatz an E-Mails und Malware-Samples.

• Die überwiegende Mehrheit der „MyDoom“-E-Mails stamme von in China registrierten IP-Adressen, gefolgt von den USA. Diese E-Mails würden an Empfänger auf der ganzen Welt verschickt, vor allem an Branchen wie High-Tech, Groß- und Einzelhandel, Gesundheitswesen, Bildungswesen und Fertigung.
• Die Quell-IP-Adressen der fünf wichtigsten, in den ersten sechs Monaten des Jahres 2019 erfassten Länder seien: China (349.454 E-Mails), USA (18.590 E-Mails), Großbritannien (10.151 E-Mails), Vietnam (4.426 E-Mails), Südkorea und (2.575 E-Mails).
• Die fünf wichtigsten Zielländer waren laut Palo Alto Networks: China (72.713 E-Mails), USA (56.135 E-Mails), Taiwan (5.628 E-Mails), Deutschland (5.503 E-Mails) und Japan (5.105 E-Mails).

Verwandlung durch MyDoom: Windows-Rechner zu Spambots

Anhänge aus solchen E-Mails seien ausführbare Dateien oder Zip-Archive, welche wiederum ausführbare Dateien enthielten. „MyDoom“-Malware verwandele einen infizierten „Windows“-Rechner in einen bösartigen Spambot, um dann wieder „MyDoom“-E-Mails an verschiedene E-Mail-Adressen zu senden.
Dies geschehe auch dann, wenn der infizierte „Windows“-Rechner keinen Mail-Client habe. Ein weiteres Merkmal von „MyDoom“ seien versuchte Verbindungen zu verschiedenen IP-Adressen über den TCP-Port 1042.

China und die USA Hauptempfänger der MyDoom-E-Mails

„MyDoom“ sei 2004 erstmals beobachtet worden und bis heute noch aktiv – ein Beweis für seine ursprünglich große, anhaltende Zerstörungskraft. Im Laufe der Jahre sei genügend Infrastruktur infiziert geblieben, so dass „MyDoom“ weiterhin in der heutigen Bedrohungslandschaft vertreten sei.
Obwohl ein relativ kleiner Prozentsatz der Malware-basierten E-Mails „MyDoom“ enthalte, bleibe diese Malware ständig präsent. Sowohl China als auch die USA seien die Hauptempfänger von „MyDoom“-E-Mails, obwohl die Verbreitung nach wie vor global sei und viele andere Länder – wie eben auch Deutschland – betreffe.

Weitere Informationen zum Thema:

paloalto NETWORKS, Brad Duncan, 26.07.2019
MyDoom Still Active in 2019

datensicherheit.de, 25.07.2019
Cloud-Sicherheit: Mehr als 34 Millionen Schwachstellen in AWS, Azure und GCP

datensicherheit.de, 10.05.2019
Unternehmen: Bedrohliche Entwicklung nigerianischer E-Mail-Angriffe