Check Points Top Malware Ranking – AsyncRAT sorgt in Deutschland für wirtschaftliche Schäden

Bildungs- und Gesundheitswesen am meisten angriffen

[datensicherheit.de, 13.03.2025] Check Point® Software Technologies Ltd. hat seinen Global Threat Index für Februar 2025 veröffentlicht. Abermals zeigt sich eine drastische Veränderung in der deutschen Malware-Landschaft. War im Januar noch Formbook mit 16,5 Prozent der dominierende Schädling, ist nun nicht nur der Infostealer aus der Top 3 verschwunden – auch die nachfolgenden Plätze wurden durch FakeUpdates und AsyncRat neu besetzt. Bei letzterem handelt es sich um einem Remote Access Trojaner, der auch international zunehmend Systeme kompromittiert. Auf dem Spitzenplatz in Deutschland stand im Februar Androxgh0st, eine Python-basierte Malware, die Backdoor-Verbindungen herstellen und auch als Krypto-Miner verwendet werden kann.

Sicherheitsforscher von Check Point Research (CPR) haben beobachtet, dass der aufstrebende Trojaner AsyncRAT in professionellen Kampagnen eingesetzt wird, die Plattformen wie TryCloudflare und Dropbox zur Verbreitung von Malware nutzen. Dies spiegelt den zunehmenden Trend wider, legitime Plattformen auszunutzen, um Sicherheitsvorkehrungen zu umgehen und im Zielsystem unentdeckt zu bleiben. Die Angriffe beginnen in der Regel mit Phishing-E-Mails mit Dropbox-URLs und führen zu einem mehrstufigen Infektionsprozess mit LNK-, JavaScript- und BAT-Dateien.

Maya Horowitz, VP of Research bei Check Point Software, kommentiert: „Cyberkriminelle nutzen legitime Plattformen, um Malware zu verbreiten und einer Entdeckung zu entgehen. Unternehmen müssen wachsam bleiben und proaktive Sicherheitsmaßnahmen implementieren, um die Risiken solcher sich entwickelnden Bedrohungen zu mindern.“

Top-Malware in Deutschland

Die Pfeile beziehen sich auf die Veränderung des Rankings im Vergleich zum Vormonat.

1. ↑ Androxgh0st (2,07 %) – AndroxGh0st ist eine Python-basierte Malware, die auf Anwendungen abzielt, die das Laravel PHP-Framework verwenden. Sie sucht nach ungeschützten .env-Dateien, die sensible Informationen wie Anmeldedaten für Dienste wie AWS, Twilio, Office 365 und SendGrid enthalten. Zusätzlich nutzt sie ein Botnetz, um Websites zu identifizieren, auf denen Laravel ausgeführt wird, und um vertrauliche Daten zu extrahieren. Sobald der Zugriff erfolgt ist, können Angreifer zusätzliche Malware einsetzen, Backdoor-Verbindungen herstellen und Cloud-Ressourcen für Aktivitäten wie das Mining von Kryptowährungen nutzen.
2. ↑ FakeUpdates (2,04 %) – Fakeupdates (auch bekannt als SocGholish) ist eine Downloader-Malware, die erstmals 2018 entdeckt wurde. Sie wird über Drive-by-Downloads auf kompromittierten oder bösartigen Websites verbreitet und fordert Benutzer auf, ein gefälschtes Browser-Update zu installieren. Die Fakeupdates-Malware wird mit einer russischen Hackergruppe namens Evil Corp in Verbindung gebracht und dient dazu, nach der Erstinfektion verschiedene sekundäre Nutzlasten zu übertragen.
3. ↑ AsyncRat (1,83 %) – AsyncRAT ist ein Trojaner für den Fernzugriff (Remote Access Trojan, RAT), der auf Windows-Systeme abzielt und erstmals 2019 identifiziert wurde. Er leitet Systeminformationen an einen Command-and-Control-Server weiter und führt Befehle aus, wie das Herunterladen von Plugins, das Beenden von Prozessen, das Aufnehmen von Screenshots und die Aktualisierung seiner selbst. Er wird häufig über Phishing-Kampagnen verbreitet und für Datendiebstahl und Systemkompromittierung eingesetzt.

Meist angegriffene Branchen und Sektoren in Deutschland:

1. ↔ Bildung
2. ↑ Gesundheitswesen und Medizintechnik
3. ↔ Biotechnologie und Pharmazeutik

Top Mobile Malware

1. ↔ Anubis – Anubis steht weiterhin an der Spitze der mobilen Malware. Er ist nach wie vor ein wichtiger Banking-Trojaner, der in der Lage ist, die Multi-Faktor-Authentifizierung (MFA) zu umgehen, Keylogging zu betreiben und Ransomware-Funktionen auszuführen.
2. ↑ Necro – Necro, ein bösartiger Android-Downloader, ist im Rang aufgestiegen. Er ermöglicht es Cyberkriminellen, schädliche Komponenten auf der Grundlage von Befehlen seiner Schöpfer auszuführen und so eine Reihe von bösartigen Aktionen auf infizierten Geräten zu ermöglichen.
3. ↓ AhMyth – AhMyth, ein Remote-Access-Trojaner (RAT), der auf Android-Geräte abzielt, hat leicht an Verbreitung verloren. Er stellt jedoch nach wie vor eine erhebliche Bedrohung dar, da er in der Lage ist, sensible Informationen wie Bankdaten und MFA-Codes auszuspionieren.

Wichtigste Ransomware-Gruppen

Clop bleibt die am weitesten verbreitete Ransomware-Gruppe und ist für 35 Prozent der identifizierten Angriffe verantwortlich. Es folgen RansomHub und Akira auf den Plätzen 2 und 3.

1. ↔ Clop – Clop ist nach wie vor ein wichtiger Akteur im Bereich der Ransomware und nutzt die Taktik der „doppelten Erpressung“, um den Opfern mit der Veröffentlichung gestohlener Daten zu drohen, wenn kein Lösegeld gezahlt wird.
2. ↑ RansomHub – RansomHub ist eine bekannte Ransomware-as-a-Service (RaaS)-Operation, die als Rebranding-Version der Ransomware Knight entstanden ist. Es hat schnell Berühmtheit erlangt für seine ausgeklügelten und weit verbreiteten Kampagnen, die auf verschiedene Systeme abzielen, darunter Windows, macOS und Linux.
3. ↑ Akira – Akira zielt auf Windows- und Linux-Systeme ab. Die Gruppe wurde mit Phishing-Kampagnen und Exploits in VPN-Endpunkten in Verbindung gebracht, was sie zu einer ernsthaften Bedrohung für Unternehmen macht.

Weitere Information zum Thema:

datensicherheit.de, 02.03.2025
Darktrace Threat Report 2024: Malware-as-a-Service eine zunehmende Bedrohung

Check Point Blog
February 2025’s Malware Spotlight: AsyncRAT Emerges, Targeting Trusted Platforms