[datensicherheit.de, 13.03.2025] Check Point® Software Technologies Ltd. hat seinen Global Threat Index für Februar 2025 veröffentlicht. Abermals zeigt sich eine drastische Veränderung in der deutschen Malware-Landschaft. War im Januar noch Formbook mit 16,5 Prozent der dominierende Schädling, ist nun nicht nur der Infostealer aus der Top 3 verschwunden – auch die nachfolgenden Plätze wurden durch FakeUpdates und AsyncRat neu besetzt. Bei letzterem handelt es sich um einem Remote Access Trojaner, der auch international zunehmend Systeme kompromittiert. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann.

Sicherheitsforscher von Check Point Research (CPR) haben beobachtet, dass der aufstrebende Trojaner AsyncRAT in professionellen Kampagnen eingesetzt wird, die Plattformen wie TryCloudflare und Dropbox zur Verbreitung von Malware nutzen. Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien.

Maya Horowitz, VP of Research bei Check Point Software, kommentiert: „Cyberkriminelle nutzen legitime Plattformen, um Malware zu verbreiten und einer Entdeckung zu entgehen. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen implementieren, um die Risiken solcher sich entwickelnden Bedrohungen zu mindern.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.

1. ↑ Androxgh0st (2,07 %) – AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.
2. ↑ FakeUpdates (2,04 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.
3. ↑ AsyncRat (1,83 %) – AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Meist angegriffene Branchen und Sektoren in Deutschland:

1. Bildung
2. ↑ Gesundheitswesen und Medizintechnik
3. Biotechnologie und Pharmazeutik

Top Mobile Malware

1. Anubis – Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.
2. ↑ Necro – Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.
3. ↓ AhMyth – AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Wichtigste Ransomware-Gruppen

Clop bleibt die am weitesten verbreitete Ransomware-Gruppe und ist für 35 Prozent der identifizierten Angriffe verantwortlich. Es folgen RansomHub und Akira auf den Plätzen 2 und 3.

1. Clop – Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.
2. ↑ RansomHub – RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.
3. ↑ Akira – Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.

Weitere Information zum Thema:

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Check Point Blog
February 2025’s Malware Spotlight: AsyncRAT Emerges, Targeting Trusted Platforms

[datensicherheit.de, 05.03.2025] IT-Security-Experten von Proofpoint haben nach eigenen Angaben eine neuartige und hochgradig verschleierte „Backdoor“-Malware entdeckt und „Sosano“ genannt. Diese Schadsoftware nutzt demnach fortschrittliche polyglotte Malware-Techniken, um ihre „Payload“ zu verschleiern und unbemerkt in Zielsysteme einzudringen.

Malware kam im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz

Diese Malware sei im Rahmen einer gezielten E-Mail-Kampagne zum Einsatz gekommen, bei der die Angreifer kompromittierte E-Mail-Konten und maßgeschneiderte Nachrichten genutzt hätten, um das Vertrauen der Empfänger zu gewinnen. „Die Cyber-Kriminellen nutzen ZIP-Dateien, die wiederum polyglotte Dateien enthielten, um den bösartigen Inhalt zu verschleiern und die Erkennung zu erschweren.“ Polyglotte Dateien seien so strukturiert, dass sie von verschiedenen Programmen unterschiedlich interpretiert werden könnten, was den Angreifern eine effektive Tarnung schädlicher Komponenten ermögliche.

„In diesem Fall kombinierten die Angreifer die Dateiformate XLS und PDF, um die Malware auszuführen und die Tarnung zu verstärken. Diese Technik unterstreicht die hohe Kompetenz der Cyber-Kriminellen bei der Entwicklung von Schadsoftware.“ Die Angriffskette beginne mit einer manipulierten LNK-Datei, welche ein Skript ausführe, um polyglotte Dateien zu laden, welche schließlich eine schädliche „Payload“ installierten. Die in „Golang“ geschriebene Malware ermögliche es den Angreifern, über einen sogenannten Command-and-Control-Server (C2-Server) Befehle auszuführen, Daten zu stehlen und zusätzliche Schadsoftware herunterzuladen. Ein weiteres bemerkenswertes Detail sei die absichtliche Inflation des Codes der Malware mit unnötigen „Golang“-Bibliotheken, „die nicht zur Ausführung kommen, um die Analyse der Software weiter zu erschweren“.

Verschleierungsmethoden helfen beim Verbergen der Malware, um Zugriff auf Kritische Systeme zu erlangen

Die hochentwickelte Technik der polyglotten Malware und der gezielte Ansatz der Kampagne stellten eine ernsthafte Bedrohung für Unternehmen dar. Die Verwendung solcher Verschleierungsmethoden, um Malware zu verbergen und langfristigen Zugriff auf Kritische Systeme zu erlangen, zeige die Raffinesse moderner Bedrohungsakteure.

Proofpoint empfiehlt Unternehmen, „ihre Sicherheitsvorkehrungen zu verstärken, um solche fortgeschrittenen Angriffe zu verhindern“. Dazu gehörten die kontinuierliche Überwachung von Netzwerken, die Schulung von Mitarbeitern in der Erkennung von Phishing-Versuchen und der Einsatz solch fortschrittlicher Malware-Erkennungstools, „die auch gegen verschleierte ,Payloads’ wirksam sind“.

Weitere Informationen zum Thema:

proofpoint, Joshua Miller & Kyle Cucci & Proofpoint Threat Research Team, 04.03.2025
Call It What You Want: Threat Actor Delivers Highly Targeted Multistage Polyglot Malware

[datensicherheit.de, 02.03.2025] Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Die Analyse des letzten Jahres – 2024 – zeigt demnach, dass sogenannte Malware-as-a-Service (MaaS) inzwischen für mehr als die Hälfte (57 %) aller Cyber-Angriffe auf Unternehmen verantwortlich ist und damit den anhaltenden Anstieg von Cybercrime-as-a-Service (CaaS) belegt. Die Daten stammten aus den Beobachtungen des „Darktrace Threat Research“-Teams, welches mit Hilfe selbstlernender KI von Darktrace die IT-Sicherheit von fast 10.000 Kunden weltweit überwache. Der vorliegende Bericht verdeutliche eine „zunehmend komplexe Bedrohungslage mit immer raffinierteren Angriffsmethoden“.

Abbildung: Darktrace

Darktrace hat am 19. Februar 2025 den jährlichen „Threat Report“ veröffentlicht: Malware-as-a-Service sticht heraus

Cybercrime-as-a-Service immer nutzerfreundlicher und damit gefährlicher: Ausbringung von Malware bzw. Ransomware

Die Verbreitung von CaaS-Modellen, insbesondere Ransomware-as-a-Service (RaaS) und MaaS, nehme weiter zu, da auch weniger erfahrene Cyber-Kriminelle mit neuen Werkzeugen hochgradig zerstörerische Angriffe durchführen könnten. Laut dem Bericht sei die Nutzung von MaaS-Tools in der zweiten Jahreshälfte 2024 um 17 Prozent gestiegen – „von 40 Prozent in den ersten sechs Monaten auf 57 Prozent der von Darktrace erkannten Angriffsaktivitäten“.

Besonders auffällig sei auch die Zunahme der Nutzung von „Remote Access Trojans“ (RATs), welche es Angreifern ermöglichten, ein infiziertes Gerät aus der Ferne zu kontrollieren. Während RATs im ersten Halbjahr nur zwölf Prozent der Kampagnen ausgemacht hätten, sei dieser Anteil in der zweiten Jahreshälfte auf 46 Prozent gestiegen. Diese Art der Cyber-Angriffe erlaube es Angreifern, Daten zu stehlen, Anmeldedaten zu entwenden und Nutzer auszuspionieren, was die wachsende Komplexität alltäglicher Cyber-Gefahren zeige.

„Darktrace Threat Research Team“ beobachtet Malware-/Ransomware-Bedrohungen der Kunden

Das „Darktrace Threat Research Team“ habe eine Reihe von Ransomware-Bedrohungen ihrer Kunden beobachtet – „darunter neue Varianten wie ,Lynx’ sowie wiederaufkommende Bedrohungen wie ,Akira’, ,RansomHub’, ,Black Basta’, ,Fog’ und ,Qilin’“. Während Phishing weiterhin ein Hauptangriffsvektor bleibe, griffen Cyber-Kriminelle zunehmend zu durchdachteren Methoden:

„Sie nutzen legitime Werkzeuge wie ,AnyDesk’ und ,Atera’ zur Verschleierung von Command-and-Control-Kommunikation, LOTL-Techniken für laterale Bewegungen, exfiltrieren Daten über gängige ,Cloud’-Speicher und setzen Dateitransfer-Tools für schnelle Angriffe und doppelte Erpressungsmethoden ein.“

Malware-Angreifer: Tarnung durch Ausnutzung von Edge-Geräten und LOTL-Techniken

Moderne Angreifer setzten verstärkt auf unauffällige Infiltration, statt direkt Chaos zu verursachen. Besonders häufig würden Schwachstellen in Edge- und Perimeter-Geräten ausgenutzt, um sich Zugang zu Netzwerken zu verschaffen. Anschließend kämen LOTL-Techniken zum Einsatz. Dabei missbrauchten sie legitime, bereits vorhandene Systemwerkzeuge, um unentdeckt zu bleiben.

„2024 entfielen 40 Prozent aller beobachteten Kampagnen in der ersten Jahreshälfte auf Angriffe, die auf internet-freigegebene Geräte abzielten.“ Besonders betroffen gewesen seien „Ivanti Connect Secure“ (CS) und „Ivanti Policy Secure“ (PS), „Palo Alto Networks (PAN-OS) Firewalls Fortinet Appliances“.

Herkömmliche Sicherheitssysteme haben es schwer, Malware- und Phishing-Angriffe zu identifizieren

Als Beispiel: „Darktrace entdeckte verdächtige Aktivitäten auf Palo-Alto-Firewalls bereits am 26. März – ganze 17 Tage bevor die öffentliche Sicherheitswarnung am 12. April herausgegeben wurde.“ Zusätzlich hätten die Darktrace-Experten einen verstärkten Missbrauch gestohlener Anmeldedaten beobachtet, um sich über VPNs in Netzwerke einzuloggen. Einmal eingedrungen, nutzten Angreifer vorhandene administrative Werkzeuge, um unbemerkt ihre Ziele zu erreichen. Herkömmliche Sicherheitssysteme hätten es schwer, solche Angriffe zu identifizieren, da sie zwischen legitimem und bösartigem Verhalten nicht unterscheiden könnten.

„Die Kombination aus Cybercrime-as-a-Service, Automatisierung und KI führt dazu, dass Angriffstechniken rasanter weiterentwickelt werden als je zuvor – von KI-gestützten Phishing-Kampagnen bis hin zu neuen Ransomware-Varianten“, kommentiert Nathaniel Jones. Er rät abschließend: „Unternehmen müssen ihre Cyber-Resilienz stärken, indem sie Schwachstellen proaktiv eliminieren – bevor Angreifer sie ausnutzen!“

Weitere Informationen zum Thema:

DARKTRACE, 19.02.2025
White Paper: Annual Threat Report 2024

datensicherheit.de, 22.01.2025
Gamer geraten ins Phishing-Fadenkreuz / Phishing-Opfer werden mit dem Angebot geködert, Beta-Tester eines neuen Videospiels zu werden

datensicherheit.de, 23.02.2022
Xloader: Evolution einer Malware zum Malware-as-a-Service / Hacker können mit Malware-as-a-Service Erpressungs-Software abonnieren

[datensicherheit.de, 23.02.2025] „Malwarebytes hat kürzlich seinen neuesten ,State of Malware-Report vorgestellt“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Dessen zentrale Aussage: „Agentenbasierte KI-Modelle sind auf dem Vormarsch und werden die Verbreitung von Malware für Cyber-Kriminelle immer einfacher und billiger machen.“ Agentenbasierte KI-Modelle seien eine spezielle Form der Künstlichen Intelligenz (KI), bei der die Modelle in Form vieler autonomer Einheiten – „Agenten“ – operierten. „Indem sie miteinander und mit ihrer Umgebung interagieren, können sie lernen und sich selbst optimieren, wodurch das Systemverhalten der KI stark dynamisiert wird.“ Um ihre vorgegebenen Ziele zu erreichen könnten sie selbständig Kontexte interpretieren, Optionen bewerten und Aktionen ausführen.

Foto: KnowBe4

Dr. Martin J. Krämer: Moderne Anti-Phishing-E-Mail-Lösungen mittels KI können selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren

Agentenbasierte KI-Modelle ermöglichten es Cyber-Kriminellen, ihre Angriffe im großen Stil zu automatisieren

Cyber-Kriminelle würden durch sie in die Lage versetzt, ihre Angriffe deutlich auszuweiten – sowohl in quantitativer als auch in qualitativer Hinsicht. Denn agentenbasierte KI-Modelle ermöglichten es ihnen, ihre Angriffe – die derzeit häufig noch einen hohen personellen Aufwand erforderten – im großen Stil zu automatisieren. „Ihre Fähigkeit zur Selbstoptimierung, selbständig Angriffe zu planen, umzusetzen, auszuwerten und zu optimieren, wird die Attacken von Cyber-Kriminellen einfacher, skalierbarer und billiger machen – und außerdem noch stärker zugeschnitten auf die individuellen Schwächen ihrer Opfer“, warnt Dr. Krämer.

Auch und gerade im Angriffsvorfeld, bei der Aufspürung potenzieller Ziele, der Feststellung ihrer individuellen Schwachstellen und der Ausspähung, Hortung und Nutzbarmachung ihrer personenbezogenen Daten sowie ihrer „Credentials“ würden sie zum Einsatz kommen. Phishing, „Spear Phishing“ und „Social Engineering“ – nach wie vor Ansatzpunkt Nr. 1 eines jeden erfolgreichen Cyber-Angriffs – würden so effektiver, effizienter und erfolgreicher zum Einsatz gebracht werden können.

Agentenbasierte KI-Modelle bieten Cyber-Kriminellen:

1. Automatisierte Erstellung von Phishing-Nachrichten
KI-Agenten könnten eine große Stückzahl an personalisierten Phishing-E-Mails generieren und versenden. Diese Nachrichten könnten auf den Schreibstil und die Vorlieben des jeweiligen Opfers zugeschnitten werden.

2. Erstellung von Deepfakes
KI-Agenten könnten verwendet werden, um Deepfake-Video- oder -Audio-Nachrichten zu erstellen, welche den Opfern bekannte Personen imitierten. Diese Deepfakes könnten dann in Phishing-Angriffen eingesetzt werden, um das Vertrauen der Opfer zu gewinnen und sie dazu zu bringen, sensible Informationen preiszugeben.

3. Automatisierte Analyse von und Anpassung an ihre Opfer
KI-Agenten könnten Daten aus früheren Angriffen analysieren und ihre Strategien kontinuierlich anpassen, um effektiver zu werden. Sie könnten auch in Echtzeit auf Reaktionen ihre Opfer reagieren und ihre Taktiken entsprechend ändern.

Mit KI-gestützten IT-Sicherheitslösungen kontern – auch und gerade im Bereich Anti-Phishing

Angesichts dieser „Angriffs-Revolution“ werden IT-Sicherheitsverantwortliche noch einmal deutlich nachrüsten müssen, rät Dr. Krämer: „Mit KI-gestützten IT-Sicherheitslösungen – auch und gerade im Bereich Anti-Phishing. Anders werden sich Cyber-Angriffe – vor allem diejenigen, die auf Schwachstellen im ,Human Risk Management’ setzen – immer seltener effektiv erkennen und abwehren lassen.“

Er unterstreicht: „Lösungen hierzu stehen längst parat. Phishing-Trainings, -Schulungen und -Tests für Mitarbeiter lassen sich mittlerweile – KI sei Dank – personalisieren und zugeschnitten auf die spezifischen Schwachstellen des einzelnen Mitarbeiters automatisiert zum Einsatz bringen.“ Zudem kombinierten moderne Anti-Phishing-E-Mail-Lösungen KI mit „Crowdsourcing“, um selbst neueste „Zero Day“-Bedrohungen frühzeitig aufspüren und rechtzeitig abwehren zu können – „so dass sie gar nicht erst in die Posteingänge der Mitarbeiter gelangen“. Mit solchen und ähnlichen Lösungen werde es Unternehmen auch in Zukunft gelingen, ihre „Human Risks“ im Griff zu behalten.

Weitere Informationen zum Thema:

ThreatDown Powered by Malwarebytes, 2025
2025 ThreatDown State of Malware / Threats that matter in the year of autonomous AI

KnowBe4, 2023
The Future of Phishing Defense: AI Meets Crowdsourcing

datensicherheit.de, 11.02.2025
Fake-Romance: Scams mit KI-gestützten Deepfake-Promis fordern Opfer / KI-Deepfakes gaukeln Opfern prominente Persönlichkeiten vor, welche angeblich in einer Notlage stecken und finanzielle Unterstützung benötigen

datensicherheit.de, 27.01.2025
Deepfakes: Wie Internet-Nutzer täuschend echte Fälschungen erkennen können / Immer häufiger tauchen aktuell sogenannte Deepfakes auf, d.h. mit Künstlicher Intelligenz manipulierte Fotos und Videos

datensicherheit.de, 05.12.2024
KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert / Deepfakes werden in Audio- und Video-Formaten vermehrt für Betrugsmanöver eingesetzt

[datensicherheit.de, 20.02.2025] Proofpoint meldet, dass eigene Sicherheitsexperten eine zunehmende Bedrohung durch sogenannte „Fake-Update“-Angriffe festgestellt hätten: „Bei diesen Angriffen werden gefälschte Update-Benachrichtigungen verwendet, um Benutzer zur Installation von Malware zu verleiten.“ Dabei tun sich demnach zwei neu identifizierte Bedrohungsakteure hervor („TA2726“ und „TA2727“), welche die Malware-Verbreitung über kompromittierte Webseiten vorantrieben.

Gefälschte Update-Benachrichtigungen, um Nutzer zum Download von Malware zu verleiten

Die Angreifer setzten dabei auf Techniken wie „Traffic Distribution Services“ (TDS), um den Datenverkehr gezielt auf kompromittierte Webseiten umzuleiten. „Auf diesen Websites werden den Nutzern gefälschte Update-Benachrichtigungen angezeigt, um sie zum Download von Malware zu verleiten.“

Besonders auffällig sei dabei, dass die Angreifer zunehmend maßgeschneiderte Malware einsetzten, „die für verschiedene Plattformen optimiert ist“. Während Malware für „Windows“ und „Android“ bereits weit verbreitet sei, habe Proofpoint auch eine neue „Mac“-Malware namens „FrigidStealer“ entdeckt: „Diese Malware erbeutet sensible Nutzerdaten wie Browser-Cookies und Passwörter und überträgt sie an die Angreifer.“

Angriffserkennung erschwert: Malware je nach Betriebssystem und Browser des Benutzers variiert

Ein weiteres beunruhigendes Detail sei die zunehmende Regionalisierung der Angriffsstrategien. „Proofpoint hat beobachtet, dass je nach geographischem Standort des Nutzers unterschiedliche ,Payloads’ ausgeliefert werden.“

Dies erschwere die Erkennung der Angriffe erheblich, weil die Malware je nach Betriebssystem und Browser des Benutzers variiere. „Dass ,TA2726‘ als Traffic-Distributor fungiert und den Datenverkehr gezielt zu anderen Akteuren wie ,TA569‘ und ,TA2727‘ umleitet, macht die Angriffe noch effizienter.“

Malware-Angriffe basieren auf gängigen Web-Techniken und Social-Engineering-Methoden

Weil diese Malware-Angriffe auf gängigen Web-Techniken und Social-Engineering-Methoden basierten, seien sie besonders schwer zu erkennen. Unternehmen schenkten der Sicherheit ihrer Websites und Webserver oft zu wenig Beachtung, „obwohl diese ein beliebtes Ziel für Angreifer sind“. Proofpoint empfiehlt daher, „die Netzwerksicherheit und den Endgeräteschutz zu verstärken, um solchen Bedrohungen vorzubeugen“.

Zudem sollten Unternehmen ihre Mitarbeiter regelmäßig schulen, um verdächtige Aktivitäten frühzeitig zu erkennen und zu melden. „Zudem empfiehlt Proofpoint weitere Schutzmaßnahmen wie den Einsatz von Browser-Isolationstechnologien, die verhindern, dass schädliche Webseiten auf den Endgeräten der Nutzer Schaden anrichten können.“ Darüber hinaus sollten Unternehmen auch das Öffnen von Skript-Dateien auf „Windows“-Geräten blockieren, um das Risiko sogenannter Web-Injections weiter zu reduzieren.

Weitere Informationen zum Thema:

proofpoint, The Proofpoint Threat Research Team, 18.02.2025
An Update on Fake Updates: Two New Actors, and New Mac Malware

[datensicherheit.de, 14.01.2024] Vor Kurzem haben Sicherheitsexperten von CloudSEK in einem Blog-Beitrag (s.u.) eine neue Angriffskampagne Cyber-Krimineller per E-Mail vorgestellt: Deren primäre Zielgruppe seien „YouTube-Influencer“. Unter Vorspiegelung falscher Tatsachen würden diese dazu verleitet, Malware zu installieren, welche es den Angreifern dann entweder ermögliche, sich Zugriff auf deren Systeme zu verschaffen oder vertrauliche Daten zu entwenden. „Um geeignete Opfer aufzuspüren, deren Daten zu extrahieren und E-Mail-Adressen zu sammeln, setzen die Angreifer Multi-Parser-Tools auf ,YouTube’ an“, berichtet Dr. Martin J. Krämer, „Security Awareness Advocate“ bei KnowBe4, in seiner aktuellen Stellungnahme. Dann komme ein Browser-Automatisierungs-Tool zum Einsatz, mit dem die E-Mails über SMTP-Server via Massenversand an ihre Opfer verschickt würden.

Foto: KnowBe4

Dr. Martin J. Krämer rät zu regelmäßigen Phishing-Tests

Auch gefälschte und kompromittierte E-Mail-Adressen kommen zum Einsatz

In den E-Mails gäben sich die Angreifer als Mitarbeiter bekannter Marken aus, welche an einer Zusammenarbeit interessiert seien. Um möglichst glaubwürdig zu erscheinen, kämen hierbei auch gefälschte und kompromittierte E-Mail-Adressen zum Einsatz. Den Opfern werde für eine Werbekooperation ein lukratives Angebot, basierend auf der Anzahl ihrer Abonnenten, unterbreitet. Diese E-Mails seien überzeugend und in einem professionellen Stil gehalten.

Die Malware sei nun entweder in den Anhängen der E-Mail, in „Word“-Dokumenten, PDF- oder „Excel“-Dateien, oder in einer verlinkten ZIP-Datei auf „OneDrive“ versteckt – getarnt als Geschäftsangebot, Vertrag, oder Werbematerial. In letzterem Fall befänden sich am Ende der E-Mail ein „OneDrive“-Link für den Zugriff auf eine mit einem Passwort gesicherte Zip-Datei. „Klickt das Opfer auf den Link, wird es auf die ,OneDrive’-Seite weitergeleitet.“

Verhängnisvolle E-Mail-Anhänge

„Lädt sich ein Opfer nun die Zip-Datei herunter und extrahiert sie – oder lädt sich einen der Anhänge herunter – wird Malware auf seinem System installiert.“ Um deren Erkennung durch gängige Sicherheitsfilter und Antiviren-Lösungen zu umgehen, sei die bösartige Nutzlast dabei in zwei komprimierte Dateien eingebettet. „Sobald das Archiv extrahiert ist, wird die Malware bereitgestellt und beginnt, das System des Empfängers zu kompromittieren.“

Diese Malware sei dabei in der Regel darauf ausgelegt, dem Angreifer Fernzugriff zu gewähren oder vertrauliche Daten, wie Anmeldedaten, Finanzinformationen und Geistiges Eigentum, zu entwenden. „Gestohlene Daten, wie Browser-Anmeldeinformationen, Cookies und ,Clipboard’-Daten, werden hierbei an einen Command-and-Control-Server (C2), der sich unter Kontrolle des Angreifers befindet, weitergeleitet.“

Eingehenden E-Mails wird immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet

Hauptzielgruppe der Angriffskampagne seien sogenannte Content-Kreatoren und Online-Influencer – vor allem auf „YouTube“ operierende. Zwei Opfergruppen also, die eigentlich gut mit dem Internet, seinen derzeitigen Risiken und Gefahren vertraut sein sollten. „Der Umstand, dass Cyber-Kriminelle sich dennoch gerade diesen Personenkreis zur Zielgruppe genommen haben, lässt dementsprechend tief blicken“, kommentiert Dr. Krämer. Auch hier werde eingehenden E-Mails immer noch viel zu häufig mit zu viel Vertrauen statt dem erforderlichen Misstrauen begegnet, fielen Online-Nutzer immer noch viel zu leicht auf „Social Engineering“-Angriffe herein.

Das Beispiel der neuartigen Angriffskampagne auf „Youtube“-Influencer zeigt laut Dr. Krämer, dass „noch mehr getan“ werden müsse: „Privatpersonen müssen sich mehr über aktuelle Risiken und Gefahren des ,World Wide Web’ auf dem Laufenden halten, Unternehmen mehr tun, mehr investieren, um die Sicherheitskultur ihrer Belegschaft zu erhöhen, das Sicherheitsbewusstsein ihrer Mitarbeiter zu verbessern!“ Neben einem Mehr an Fortbildungen und Trainings würden sie dabei auch an regelmäßigeren Phishing-Tests nicht herumkommen. „Anders wird sich die stetig wachsende Gefahr erfolgreicher Phishing-, Spear Phishing- und Social Engineering-Angriffe nicht in den Griff bekommen lassen!“

Weitere Informationen zum Thema:

CloudSEK, Mayank Sahariya, 16.12.2024
How Threat Actors Exploit Brand Collaborations to Target Popular YouTube Channels

[datensicherheit.de, 30.10.2024] Kaspersky warnt in einer aktuellen Stellungnahme vor einer Malware-Kampagne, welche sich demnach gegen sogenannte FinTech-Nutzer richtet. Auch in Deutschland und Österreich gebe es Betroffene – vorwiegend kleine und mittlere Unternehmen (KMU), Finanz- und FinTech-Akteure sowie Anwaltskanzleien. Der für die Attacken genutzte Remote-Access-Trojaner sei vermutlich dem APT-Akteur „DeathStalker“ zuzurechnen.

Laut Kaspersky-Telemetrie richtet sich globale Malware-Kampagne gegen Nutzer in 20 Ländern

Kaspersky habe eine weltweite Spionage-Kampagne entdeckt, welche sich gegen die FinTech- und Trading-Branche richte – betroffen seien sowohl Unternehmen als auch Einzelpersonen: „Dabei nutzen die Bedrohungsakteure ,Telegram’-Kanäle mit Finanzthemen zur Verbreitung einer Trojaner-Spyware. Das ,Global Research and Analysis Team’ von Kaspersky (GReAT) vermutet hinter der Kampagne den Hack-for-Hire-APT-Akteur ,DeathStalker’, der bereits öfters in Erscheinung trat und sich auf die Finanzbranche spezialisiert hat.“

Laut Kaspersky-Telemetrie richtet sich die globale Kampagne gegen Nutzer in 20 Ländern, darunter in Europa auch Deutschland und Österreich. „Bei der jüngsten von Kaspersky beobachteten Angriffswelle versuchten die Bedrohungsakteure, ihre Opfer mit der Malware ,DarkMe’ über ,Telegram’-Kanäle, die sich mit Finanzthemen beschäftigen, zu infizieren.“ Bei „DarkMe“ handele es sich um einen Remote-Access-Trojaner (RAT), der Informationen stehlen und Remote-Befehle ausführen könne, welche von einem unter Täter-Kontrolle stehenden Server stammten.

Die Installation dieser Malware sei das Ende einer Infektionskette, welche höchstwahrscheinlich mit schädlichen LNK-, COM- und CMD-Dateien erfolge. Sie seien in ein Dateiarchiv verpackt – wie zum Beispiel RAR oder ZIP –, welches wiederum Anhang eines „Telegram“-Posts der Angreifer sei. Nach erfolgreicher Installation entferne die Malware die zur Bereitstellung des „DarkMe“-Implantats benötigten Dateien, vergrößere dieses Implantat und lösche weitere Spuren, welche auf eine Malware-Infektion hindeuten könnten.

Kasperky-Experten: APT „DeathStalker“ vermutlich für Angriffe verantwortlich

Kasperky-Experten vermuten hinter diesen Cyber-Angriffen den Bedrohungsakteur „DeathStalker“ (früher „Deceptikons“): „Eine Cyber-Söldner- und Hack-for-Hire-Gruppe, die mindestens seit dem Jahr 2018, möglicherweise bereits seit 2012, aktiv ist. ,DeathStalker’ entwickelt eigene Toolsets und gilt als APT-Experte.“ Hauptziel sei das Sammeln von Unternehmens-, Finanz- und persönlichen Daten für die jeweiligen Auftraggeber, welche sich davon wohl Wettbewerbsvorteile versprächen.

„Angegriffen werden vorwiegend kleine und mittlere Unternehmen, Finanz- und FinTech-Akteure sowie Anwaltskanzleien und – vereinzelt – auch Regierungsstellen.“ Da noch nie ein Diebstahl von Geldern beobachtet worden sei, stufe Kaspersky „DeathStalker“ als eine nicht-staatliche Geheimorganisation ein, welche zudem großen Wert auf die Verschleierung ihrer Aktionen lege und gerne „unter falscher Flagge“ operiere.

„Anstelle von traditionellen Phishing-Methoden nutzen Bedrohungsakteure nun auch ,Telegram’-Kanäle zur Verbreitung ihrer Malware“, so Maher Yamout, „Lead Security Researcher“ im „Global Research and Analysis Team“ (GReAT) bei Kaspersky. Bereits in früheren Kampagnen habe man beobachten können, dass Messaging-Plattformen wie „Skype“ als Infektionsvektoren dienten. Anders als bei Phishing-Websites vertrauten potenzielle Opfer dort eher den Absendern und öffneten schädliche Dateien. „Zudem löst das Herunterladen von Dateien über Messenger-Apps weniger Sicherheitswarnungen aus als ein normaler Internet-Download“, erläutert Yamout. Dies spiele den Bedrohungsakteuren zusätzlich in die Hände. Nutzer sollten daher bei Nachrichten und Links besonders wachsam sein – dies schließe auch Instant-Messaging-Apps wie „Skype“ und „Telegram“ ein.

Kaspersky-Empfehlungen zum Schutz vor „DarkMe“

Für Privatpersonen empfiehlt Kaspersky:

• die Installation einer vertrauenswürdigen Sicherheitslösung (wie z.B. „Kaspersky Premium“)
• und sich stets über aktuelle Cyber-Angriffe etwa mit Hilfe einschlägiger Blogs zu informieren.

Unternehmen empfiehlt Kaspersky folgende Maßnahmen zum Schutz vor fortgeschrittenen Bedrohungen:

• „Die unternehmenseigenen Sicherheitsexperten benötigen tiefgreifenden Einblick in alle Cyber-Bedrohungen, denen das Unternehmen ausgesetzt sein könnte.“ „Kaspersky Threat Intelligence“ beispielsweise vermittele umfassende und aussagekräftige Erkenntnisse im Kontext des Vorfallmanagements und solle dabei helfen, Cyber-Risiken rechtzeitig zu erkennen.
• Zusätzlich sollten Mitarbeiter über Cybersecurity-Kurse auf dem Laufenden gehalten werden. Kaspersky z.B. biete mit seinem „Kaspersky Expert Training Portfolio“ praxisorientierte Schulungsangebote für InfoSec-Experten an.
• „Kaspersky Next“ schließlich biete etwa Unternehmen jeder Größenordnung und Branche Echtzeitschutz, fortschrittliche Endpoint-Protection sowie umfassende EDR- und XDR-Technologien.

Weitere Informationen zum Thema:

kaspersky daily
Neueste Beiträge

[datensicherheit.de, 14.09.2024] Trend Micro nimmt in einem aktuellen Blog-Beitrag Stellung zur Hacker-Gruppe „Earth Preta“ (auch „Mustang Panda“): Diese setzt demnach in einer neuen Angriffswelle auf „selbstverbreitende Malware, die sich über Wechseldatenträger ausbreitet, sowie auf Spear-Phishing-Kampagnen“. Ziel dieser Angriffe seien derzeit hauptsächlich Regierungsbehörden in der Asien-Pazifik-Region (APAC). Die Gruppe nutze Wechseldatenträger als Infektionsvektor und gehe Cyber-Spionage nach, um Systeme zu kontrollieren und Daten zu stehlen. Trend Micro hat nach eigenen Angaben kürzlich über eine Zunahme der Aktivitäten chinesischer Bedrohungsakteure berichtet, zu denen auch „Earth Preta“ gehöre.

Foto: Trend Micro

Richard Werner erinnert an „Stuxxnet“ – diese Malware sollte beispielsweise über USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren, wurde allerdings auch außerhalb Irans nachgewiesen…

Cyber-Würmer greifen im Prinzip alles Verwundbare an

Richard Werner, „Security Advisor“ bei bei Trend Micro, kommentiert die Aktivitäten der Hacker-Gruppe „Earth Preta“: „Würmer – in diesem Fall die eingesetzte selbstverbreitende Software – sind ein wenig aus der Mode gekommen. Eine Infektion über sie ist typischerweise sehr schnell und damit im Verhältnis zu anderen Angriffsmethoden deutlich wahrnehmbarer.“

Sogenannte Würmer seien auch nicht selektiv, sondern griffen im Prinzip alles Verwundbare an. „Das heißt, dass beispielsweise ein staatlicher Angreifer das Risiko hat, ebenfalls Schaden an der eigenen Infrastruktur anzurichten“, erläutert Werner.

Um dieses Risiko zu mindern, verwendeten die Täter hierzu die Propagierungsmethode „Wechseldatenträger“ (z.B. USB-Sticks) – dies verkompliziere die Sache und berge andere Risiken.

Cyber-Infektion per Wechseldatenträger birgt Risiko der Verwendung auch außerhalb des gewünschten Einsatzbereiches

Zum Einen müsse der Angreifer es schaffen, „dass die Schadroutine auch im gewünschten Ziel ankommt – was nur funktioniert, wenn das Opfer auch diese Art Datenträger verwendet“. Zum Anderen steige die Wahrscheinlichkeit mit jeder weiteren – durch den Angreifer nicht mehr kontrollierbaren – Kompromittierung, „dass er entdeckt wird und seine komplette Operation auffliegt“. Auch bei Wechseldatenträgerinfektionen bestehe die Möglichkeit, dass sie außerhalb des gewünschten Einsatzbereiches verwendet würden.

Die Schadvariante „Stuxxnet“ sollte beispielsweise über die USB-Sticks von Servicetechnikern das iranische Atomprogramm sabotieren. Werner ruft in Erinnerung: „Sie wurde allerdings auch außerhalb des Irans nachgewiesen, da dieselben USB-Sticks von den nicht eingeweihten Servicetechnikern international eingesetzt wurden.“

Eine unmittelbare Bedrohung für Deutschland sieht Werner nur insofern, als dass es ein großes Interesse an sensiblen Daten gebe und der „Datenhunger der chinesischen Regierung“ bemerkenswert sei. Werners Fazit: „Dass wir auch in Deutschland offen über beispielsweise Vorratsdatenspeicherung diskutieren, zeigt mir, dass in demokratischen Rechtsstaaten Verwendungszwecke relevant wären.“

Weitere Informationen zum Thema:

TREND MICRO, Lenart Bermejo & Sunny Lu & Ted Lee, 09.09.2024
Malware / Earth Preta Evolves its Attacks with New Malware and Strategies

[datensicherheit.de, 25.07.2024] Sogenannte Botnets – also Netzwerke von Geräten, welche mit Malware infiziert sind und für Cyber-Angriffe genutzt werden können – sollen laut einer aktuellen Analyse von Kaspersky-Experten im Darknet bereits ab 99 US-Dollar verfügbar sein. Das illegale Marktangebot sei dabei vielfältig: „Die Preise können je nach Qualität des jeweiligen angebotenen Botnets auf bis zu 10.000 US-Dollar steigen.“ In einigen Fällen sei auch die Entwicklung individueller Botnets möglich – solche speziell angepassten Botnets verfügten über spezifische Infektionsprozesse, Malware-Typen, Infrastruktur und Umgehungstechniken. Die Kosten hierfür begännen bei 3.000 US-Dollar und seien nicht auf eine bestimmte Preisspanne beschränkt.

Seit Anfang 2024 wurden mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet

Neben einmaligen Käufen könnten Botnets auch gemietet oder als geleakter Quellcode für einen symbolischen Preis erworben werden: „Die Preise reichen von 30 bis 4.800 US-Dollar pro Monat beziehungsweise zehn bis 50 US-Dollar für geleakte Quellcodes für Botnets.“ Seit Anfang 2024 hätten Kaspersky-Experten mehr als 20 Angebote für Botnets zum Mieten oder Verkauf in Darknet-Foren und „Telegram“-Kanälen beobachtet.

„Mirai“ wohl das berüchtigtste Beispiel für ein Botnet

„,Mirai’ ist wohl das berüchtigtste Beispiel für ein Botnet. Es durchsucht das Internet nach IoT-Geräten mit schwachen Standard-Passwörtern und verwendet eine Reihe bekannter Standardanmeldeinformationen, um Zugriff zu erhalten und sie zu infizieren“, erläutert Alisa Kulishenko, Sicherheitsexpertin bei „Kaspersky Digital Footprint Intelligence“. Die infizierten Geräte würden dann Teil des Botnets, welches ferngesteuert werden könne, um verschiedene Arten von Cyber-Angriffen durchzuführen.

Botnets ermöglichen illegales Krypto-Mining oder Ransomware-Angriffe

Kulishenko: „Die potenziellen Einnahmen aus Angriffen mit Botnets, die gekauft oder gemietet wurden, lohnen sich für Cyber-Kriminelle oftmals sehr.“ Denn diese Botnets ermöglichten beispielsweise illegales Krypto-Mining oder Ransomware-Angriffe – „bei letzteren belaufen sich die durchschnittlichen Lösegeldzahlungen auf zwei Millionen US-Dollar“. Die meisten dieser illegalen Geschäfte im Darknet erfolgten privat, über persönliche Nachrichten, und die „Partner“ würden in der Regel auf Basis ihres Rufs – beispielsweise aufgrund von Bewertungen in Web-Foren – ausgewählt.

Kaspersky-Tipps, um eigene Geräte vor Botnet-Einbindung zu bewahren:

• Sicherstellen, dass die aktuelle Version der Firmware auf den Geräten verwendet wird und regelmäßig Updates durchgeführt werden!
• Remote-Zugriff auf das Gerät deaktivieren – es sei denn, er wird wirklich benötigt!
• Remote-Zugriff über einen VPN-Kanal konfigurieren – dafür könne beispielsweise ein IPSec-Protokoll verwendet werden!
• Ein einzigartiges und starkes Passwort für alle Geräte und Dienste verwenden und Default-Passwort ändern!
• Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Premium“) nutzen, welche Geräte und die eigene digitale Privatsphäre schützt!

Unternehmen bei Botnet-Abwehr besonders herausgefordert

Für Unternehmen wird „Kaspersky Digital Footprint Intelligence“ empfohlen, um IT-Sicherheitsanalysten dabei zu unterstützen, „die Perspektive eines Angreifers auf die eigenen Unternehmensressourcen einzunehmen und die ihm zur Verfügung stehenden potenziellen Angriffsvektoren zu entdecken“. Dies trage dazu bei, das Bewusstsein für bestehende Bedrohungen durch Cyber-Kriminelle zu schärfen und präventiv Gegenmaßnahmen zu ergreifen. Weiterhin sollte eine zuverlässige Endpoint-Schutzlösung (wie etwa „Kaspersky Endpoint Security for Business“) genutzt werden, „die mit verhaltensbasierten Erkennungs- und Anomaliekontrollfunktionen vor bekannten und unbekannten Bedrohungen schützt“.

Weitere Informationen zum Thema:

kaspersky daily, Leonid Grustniy, 17.06.2022
Router-Malware birgt versteckte Gefahren / Malware kann Ihren Router infizieren, die Internetverbindung verlangsamen und Daten stehlen…

kaspersky
Kaspersky Digital Footprint Intelligence

datensicherheit.de, 25.08.2022
Zunehmende Gefahr durch Botnetze: Wie Anwender betroffene Geräte erkennen / Patrycja Schrenk gibt Tipps, welche Vorsichtsmaßnahmen gegen Botnetze getroffen werden können

datensicherheit.de, 28.09.2020
Zunehmende Gefahr: Botnetze infizieren, kapern, missbrauchen / Patrycja Tulinska rät zu Awareness und technischen Maßnahmen gegen wachsende Bedrohung durch Botnetze

datensicherheit.de, 27.08.2020
Digitale Geschäfte zunehmend im Visier von Botnetzen / Zunahme basiert auf neuen Transaktionen zur Account-Erstellung / Carsten J. Pinnow, Herausgeber datensicherheit.de im Gespräch mit Alexander Frick, Head of Sales D/A/CH ThreatMetrix, A LexisNexis Risk Solutions company

[datensicherheit.de, 26.06.2024] Laut einer umfassende Analyse von BlackBerry nehmen Cyber-Angriffe mit neuartiger Malware demnach pro Minute um 40 Prozent zu: Zwischen Januar und März 2024 seien pro Minute 5,2 solcher Angriffe registriert worden. BlackBerry hat am 26. Juni 2024 seinen neuesten „Global Threat Intelligence Report“ veröffentlicht – dieser zeige auf, dass die Cybersecurity-Lösungen von Blackberry im ersten Quartal 2024 rund 3,1 Millionen Cyber-Angriffe (37.000 pro Tag) erkannt und abgewehrt hätten. Zwischen Januar und März 2024 habe BlackBerry 630.000 Malware-Hashes entdeckt – eine Steigerung von 40 Prozent gegenüber dem vorherigen Berichtszeitraum. Mehr als die Hälfte der erfassten Cyber-Angriffe (60%) habe Kritische Infrastrukturen (KRITIS), darunter Behörden, das Gesundheitswesen, den Finanzsektor und die Telekommunikation getroffen – von diesen Angriffen seien 40 Prozent allein auf den Finanzsektor entfallen.

Abbildung: BlackBerry

BlackBerry hat „Global Threat Intelligence Report“ für den Berichtszeitraum September bis Dezember 2023 herausgegeben

Laut interner Daten von BlackBerry 82 Prozent der Angriffe auf USA gerichtet

Weltweit seien die USA am stärksten von Cyber-Angriffen betroffen gewesen: „Laut den internen Daten von BlackBerry waren im aktuellen Berichtszeitraum 82 Prozent der Angriffe auf das Land USA gerichtet. Zudem enthielten 54 Prozent dieser Angriffe einzigartige (neue) Malware.“ Die eingesetzte Schadsoftware sei zuvor also noch nicht entdeckt worden.

Die Rate der Cyber-Angriffe mit neuartiger Malware pro Minute sei um 40 Prozent gestiegen: „Im Vergleich zum vorherigen Berichtszeitraum verzeichnet BlackBerry bei der Zahl der neuartigen Hashes (einzigartige Malware) pro Minute einen Anstieg von 40 Prozent.“ Das entspreche durchschnittlich 7.500 einzigartigen Malware-Samples pro Tag beziehungsweise 5,2 pro Minute, welche sich gegen Kunden von BlackBerry gerichtet hätten.

BlackBerry sieht Zunahme der Bedrohungen für Privatunternehmen

Bedrohungen für Privatunternehmen nähmen langsam, aber sicher zu: „36 Prozent aller erfassten Cyber-Angriffe zielten auf Unternehmen (einschließlich Einzelhandel, Fertigung, Automobilindustrie und professionelle Dienstleistungen) – eine Steigerung von drei Prozent gegenüber dem vorherigen Berichtszeitraum.“ Dieser Sektor habe jedoch einen Anstieg von zehn Prozent bei Fällen mit neuer Malware gesehen. Unternehmen blieben ein Ziel für Bedrohungsakteure, welche immer raffinierter vorgingen und häufig „Social Engineering“ einsetzten, um an Zugangsdaten von Accounts zu gelangen und Malware zu verbreiten.

Common Vulnerabilities and Exposures (CVE) seien schnell in allen Formen von Malware ausgenutzt worden – besonders bei Ransomware und Infostealern (CVE ist ein standardisiertes System zur Identifizierung, Katalogisierung und Bekanntmachung von Sicherheitslücken und -risiken). Von den im aktuellen Berichtszeitraum gemeldeten 8.900 CVE hätten 56 Prozent bei einem Höchstwert von zehn einen Schweregrad von sieben erhalten. „Gegenüber dem vorherigen Berichtszeitraum entspricht das einer Steigerung von drei Prozent.“ Trotz „Takedowns“ richteten Ransomware-Gruppen weiterhin Chaos an: „Weltweit waren im aktuellen Berichtszeitraum die drei aktivsten Ransomware-Gruppen ,LockBit’, ,Hunters International’ und ,8Base’.“

BlackBerry Threat Intelligence and Research Team warnt: Bedrohungsakteure werden weiter umfangreiche Maßnahmen ergreifen, um Opfer zu finden

All diese Bedrohungen seien durch das weltweit politisch aufgeladene Jahr verstärkt worden, in dem Desinformations- und Deepfake-Kampagnen in den Sozialen Medien weiterhin allgegenwärtig sein würden. „Die russische Invasion in der Ukraine, die andauernden Konflikte im Nahen Osten und die Wahlen in vielen Ländern der Welt werden die dominierenden Faktoren dafür sein, wie Bedrohungsakteure ihre Ziele und Methoden anpassen.“

Basierend auf seiner Datenanalyse sagt das „BlackBerry Threat Intelligence and Research Team“ nach eigenen Angaben voraus, dass Bedrohungsakteure weiterhin umfangreiche Maßnahmen ergreifen würden, um potenzielle Opfer gezielt ins Visier zu nehmen. Die Zunahme neuer Ransomware und Infostealer zeige außerdem: „Private Daten bleiben bei Bedrohungsakteuren auch in Zukunft sehr begehrt, wobei Sektoren wie das Gesundheitswesen und die Finanzdienstleistungsbranche zu den Top-Zielen gehören werden.“

Ismael Valenzuela, „Vice President of Threat Research and Intelligence“ bei BlackBerry, kommentiert: „Jede Ausgabe unseres Reports bringt neue, erschreckende Trends ans Licht: Die Zahl neuartiger Malware nimmt weiter zu, ohne Anzeichen dafür, dass das aufhört. Zudem sind Bedrohungsakteure sehr motiviert, sei es aus finanziellen Gründen oder um Chaos zu stiften.“ Er führt abschließend aus: „In einem Jahr, in dem über 50 Länder einzelne Wahlen abhalten, geopolitische Spannungen auf einem Höchststand sind und jede Nation bald auf die Olympischen Spiele fixiert sein wird, kann die Bedrohungslage überwältigend erscheinen.“ Ihr Report gebe einen Überblick darüber, „worauf Bedrohungsakteure abzielen, wie sie vorgehen und was wir in den kommenden Monaten erwarten können“. So könnten Verteidiger einen Schritt voraus sein.

Weitere Informationen zum Thema:

BlackBerry
Global Threat Intelligence Report / Laden Sie die März 2024 Edition herunter / Berichtszeitraum: September – Dezember 2023

BlackBerry Cybersecurity
GLOBAL THREAT INTELLIGENCE REPORT / MARCH 2024

BlaclBerry Blog
About The BlackBerry Research and Intelligence Team