Emotet hat Deutschland im Griff

Maya Horowitz – Check Point

Check Point stellt die Most Wanted Malware des Oktobers vor. Datenklau, Phishing, Hintertüren, Trojaner und ein Wurm machen Anwendern das Leben schwer 

SAN CARLOS, Kalifornien, 29. November, 2019 Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, veröffentlicht die neuen Ergebnisse des Global Threat Index für Oktober 2019. In Deutschland bedeutet das: Emotet holt sich die Führung zurück.

Der enorm vielseitige und modulare Trojaner bekam im Sommer eine Auszeit samt General-Überholung spendiert. Danach nahm das Bot-Netz wieder seine Arbeit auf und sorgte bereits mit einigen Zwischenfällen für Aufsehen. Darunter waren Angriffe auf das Berliner Kammergericht (500 Rechner werden derzeit noch gesäubert), mehrere Krankenhäuser und ein Juwelier. Jüngst kam die Infektion des Netzwerks der Humboldt-Universität hinzu. Emotet war in den letzten Monaten derart aktiv und erfolgreich, dass Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), während der Vorstellung des Lagebericht 2019, zu Protokoll gab, Emotet sei der „König der Schadsoftware“. Passend zum Monatsende, verbreitete Emotet zudem eine Halloween-Spam-Kampagne. Dabei gingen Phishing-E-Mails mit betrügerischen Betreffzeilen an Benutzer, wie „Happy Halloween“ oder „Halloween Party Invitation“, wobei ein infizierter Anhang beigefügt war.

Das illegale Schürfen von Krypto-Währung über infizierte Rechner dagegen scheint an Beliebtheit stark einzubüßen, wie Check Points Research-Team herausfand. „Die Auswirkungen von Krypto-Minern sind im Jahr 2019 um fast zwei Drittel zurückgegangen. Dagegen ist die in diesem Monat am weitesten verbreitete Malware, Emotet, jedoch eine ernsthafte Bedrohung. Es handelt sich um ein hochmodernes Bot-Netz, das für die Verbreitung anderer Arten von Malware verwendet wird – insbesondere der berüchtigten Ryuk-Ransomware,“ erklärt Maya Horowitz, Director Threat Intelligence & Research Products bei Check Point.

Weiter spricht Horowitz über die Gefahren, die von Emotet ausgehen, und Schutzmaßnahmen: „Im September haben wir gesehen, dass dieses Bot-Netz nach drei Monaten Ruhezeit reaktiviert wurde und neue Kampagnen schnell verbreitete.  Daher ist es unerlässlich, dass Unternehmen ihre Mitarbeiter vor den Risiken von Phishing-E-Mails, dem Öffnen von E-Mail-Anhängen oder dem Anklicken von Links warnen, die nicht von einer vertrauenswürdigen Quelle oder Kontakt stammen. Die Firmen sollten auch Anti-Malware-Lösungen der neuesten Generation einsetzen, die verdächtige Inhalte automatisch aus E-Mails extrahieren können, bevor sie den Endbenutzer erreichen.“

Die Top 3 ‘Most Wanted’ Malware im Oktober:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

In diesem Monat führt Emotet die Top-Malware-Liste mit 23,23 Prozent Verbreitung die deutsche Liste an. Auf Platz zwei landet der Wurm Ramnit mit 9,69 Prozent, während Agent Tesla mit 5,37 Prozent auf Platz 3 rutscht.

  1. ↑ Emotet Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. Ramnit – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um Wechseldatenträger und Festplatten zu infizieren. Ramnit fungiert auch als Hintertür.
  3. ↓ AgentTesla – AgentTesla ist ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert. AgentTesla ist in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehören (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook E-Mail-Client). AgentTesla wurde als RAT verkauft, wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten.

Top 3 ‘Most Wanted’ Mobile Malware im Oktober:

In diesem Monat ist Guerrilla die am weitesten verbreitete Handy-Malware, gefolgt von Lotoor und AndroidBauts.

  1. Guerrilla – Ein Android-Trojaner, der in verschiedene, echte Anwendungen heimlich eingebettet ist und betrügerische Daten herunterladen kann. Guerrilla generiert Werbeeinnahmen für die Malware-Entwickler.
  2. Lotoor – Nutzt Schwachstellen im Android-Betriebssystem aus, um Root-Rechte auf diesen mobilen Geräten zu erlangen.
  3. AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.

Top 3 der ausgenutzten Schwachstellen im Oktober:

In diesem Monat waren SQL-Injektions-Techniken die häufigste genutzte Schwachstelle und betrafen 36 Prozent der Unternehmen weltweit. An zweiter Stelle steht die Schwachstelle OpenSSL TLS DTLS Heartbeat Information Disclosure mit 33 Prozent, dicht gefolgt von MVPower DVR Remote Code Execution, die 32 Prozent der Unternehmen weltweit betrifft.

  1. ↑ SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
  2.    ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  3. ↓ MVPower DVR Remote Code Execution – Eine Schwachstelle entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann diese Schwachstelle aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Den kompletten Blog-Beitrag der Most Wanted Malware im Oktober 2019 finden Sie im Check Point Blog.