Check Point’s Top Malware Mai 2021: Trickbot bleibt Nummer 1

Maya Horowitz – Copy[2][1]

Check Point Research berichtet, dass Trickbot, der oft in als Teil von Ransomware-Angriffen eingesetzt wird, den zweiten Monat in Folge, die am weitesten verbreitete Malware ist

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber-Sicherheitslösungen, hat den Global Threat Index für Juni 2021 veröffentlicht.

Trickbot ist ein Botnet und Banking-Trojaner, der Finanzdaten, Kontodaten und persönliche Informationen stehlen sowie sich innerhalb eines Netzwerks verbreiten und Ransomware absetzen kann. Letzten Monat berichtete CPR, dass die durchschnittliche wöchentliche Anzahl von Ransomware-Angriffen in den letzten 12 Monaten um 93 Prozent gestiegen ist, und warnte auch davor, dass entsprechende Attacken oft nicht mit Ransomware beginnen. Bei den Ryuk-Ransomware-Angriffen wurde beispielsweise die Emotet-Malware verwendet, um das Netzwerk zu infiltrieren, das dann mit der Top-Malware dieses Monats, Trickbot, infiziert wurde, bevor die Ransomware schließlich die Daten verschlüsselte.

Seit das Emotet-Botnet im Januar abgeschaltet wurde, hat der Trickbot-Trojaner und das Botnet an Popularität gewonnen. Er wurde kürzlich auch mit einem neuen Ransomware-Stamm namens ‚Diavol‘ in Verbindung gebracht. Trickbot wird ständig mit neuen Fähigkeiten, Funktionen und Verbreitungsvektoren aktualisiert, was ihn zu einer flexiblen und anpassbaren Malware macht, die als Teil von Mehrzweckkampagnen verbreitet werden kann.

„Bekannte Ransomware-Gruppen wie Ryuk und REvil setzen für die ersten Schritte der Infektion auf verschiedene Formen von Malware – eine der wichtigsten ist die Top-Malware dieses Monats, Trickbot“, sagt Maya Horowitz, Director, Threat Intelligence & Research, Products bei Check Point. „Unternehmen müssen sich der Risiken weiterhin bewusst sein und sicherstellen, dass angemessene Lösungen vorhanden sind. Neben dem Botnet- und Banking-Trojaner Trickbot umfasst die Liste in diesem Monat eine große Bandbreite an verschiedenen Malware-Typen, darunter Botnets, Infostealer, Backdoors, RATs und Mobile. Für Unternehmen ist es von entscheidender Bedeutung, über die richtigen Technologien zu verfügen, um mit einer solchen Vielzahl von Bedrohungen umgehen zu können. Wenn sie das tun, kann die Mehrheit der Angriffe, selbst die fortgeschrittensten wie von REvil, verhindert werden, ohne den normalen Geschäftsablauf zu stören.“

CPR enthüllte diesen Monat auch, dass HTTP Headers Remote Code Execution die am häufigsten ausgenutzte Schwachstelle ist, von der 47 Prozent der Unternehmen weltweit betroffen sind, gefolgt von MVPower DVR Remote Code Execution, von der 45 Prozent der Unternehmen weltweit betroffen sind. Dasan GPON Router Authentication Bypass nimmt den dritten Platz in der Liste der am häufigsten ausgenutzten Schwachstellen ein, mit einer weltweiten Auswirkung von 44 Prozent.

Top 3 Most Wanted Malware für Deutschland:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber des Vormonats.

Trickbot bleibt auch in diesem Monat an der Spitze, während Formbook auf Rang zwei klettert. Platz drei belegt der Trojaner-Bot Amadey.

1. ↔ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.

2. ↑ Formbook – FormBook ist ein InfoStealer, der sich an das Windows-Betriebssystem richtet. Er wurde erstmals 2016 entdeckt und wird aufgrund seiner starken Ausweichmethoden und seines relativ niedrigen Preises in illegalen Hacking-Foren vermarktet. FormBook sammelt Anmeldeinformationen aus verschiedenen Webbrowsern sowie Screenshots, überwacht und protokolliert Tastenanschläge und kann Dateien gemäß seinen C&C-Aufträgen herunterladen und ausführen.

3. ↑ Amadey – Amadey ist ein Trojaner-Bot, der erstmals im Oktober 2018 entdeckt wurde. Er wird hauptsächlich zum Sammeln von Informationen über die Umgebung eines Opfers verwendet, kann aber auch andere Malware ausliefern. Amadey wird hauptsächlich durch Exploit-Kits wie RigEK und Fallout EK verbreitet.

Die Top 3 Most Wanted Mobile Malware:

Erneut belegt xHelper den ersten Platz bei der am weitesten verbreiteten mobilen Malware, gefolgt von Hiddad und XLoader.

1. ↔ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.

2. ↑ Hiddad  Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.

3. ↑ XLoader  XLoader ist ein Android-Spyware- und Banking-Trojaner, der von der Yanbian Gang, einer chinesischen Hackergruppe, entwickelt wurde. Diese Malware nutzt DNS-Spoofing, um infizierte Android-Apps zu verbreiten, um persönliche und finanzielle Informationen zu sammeln.

Die Top 3 Most Wanted Schwachstellen:

In diesem Monat ist HTTP Headers Remote Code Execution die am häufigsten ausgenutzte Schwachstelle, von der 47 Prozent der Unternehmen weltweit betroffen sind, gefolgt von MVPower DVR Remote Code Execution, von der 45 Prozent der Unternehmen weltweit betroffen sind. Dasan GPON Router Authentication Bypass nimmt den dritten Platz in der Liste der am häufigsten ausgenutzten Schwachstellen ein, mit einer weltweiten Auswirkung von 44 Prozent.

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.

2. ↑ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – In Dasan-GPON-Routern besteht eine Sicherheitslücke zur Umgehung der Authentifizierung. Bei erfolgreicher Ausnutzung dieser Schwachstelle können entfernte Angreifer vertrauliche Informationen erlangen und sich unbefugt Zugang zum betroffenen System verschaffen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über drei Milliarden Webseiten und 600 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten am Tag.

Den kompletten internationalen Beitrag zur Most Wanted Malware im Juni 2021 lesen Sie im Check-Point-Blog.

Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/

Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Folgen Sie Check Point auf:

Twitter: https://www.twitter.com/checkpointsw

Facebook: https://www.facebook.com/checkpointsoftware

Blog: https://blog.checkpoint.com

YouTube: https://www.youtube.com/user/CPGlobal

LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Folgen Sie Check Point Research über:

Blog: https://research.checkpoint.com/

Twitter: https://twitter.com/_cpresearch_