Top Malware April 2024: Aufstieg des Multi-Plattform-Trojaners „Androxgh0st“

code-1486361_1280
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland ist CloudEye für jeden fünften Malware-Vorfall verantwortlich

 

REDWOOD CITY, Kalifornien, USA – 15. Mai 2024 Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein führender Anbieter einer KI-gestützten, cloudbasierten Cybersicherheitsplattform, hat seinen Global Threat Index für April 2024 veröffentlicht.

 

Im vergangenen Monat stellten die Forscher eine deutliche Zunahme von Androxgh0st-Angriffen fest. Die Malware wird als Werkzeug für den Diebstahl sensibler Informationen über Botnets eingesetzt. Unter Ausnutzung von Schwachstellen wie CVE-2021-3129 und CVE-2024-1709 setzen die Angreifer Web-Shells zur Fernsteuerung ein und konzentrieren sich auf den Aufbau von Botnetzen zum Diebstahl von Anmeldeinformationen. Dies wurde in einem gemeinsamen Cybersecurity Advisory (CSA) des FBI und der CISA festgestellt. Androxgh0st-Akteure haben eine Vorliebe für die Ausnutzung von Schwachstellen in Laravel-Anwendungen gezeigt, um Anmeldedaten für Cloud-basierte Dienste wie AWS, SendGrid und Twilio zu erbeuten. Jüngste Anzeichen deuten darauf hin, dass sich der Schwerpunkt auf den Aufbau von Botnets zur Ausnutzung breiterer Systeme verlagert.

 

Der Index hebt unterdessen Erkenntnisse von „Shame Sites“ hervor, die von Ransomware-Gruppen mit doppelter Erpressung betrieben werden und Informationen über die Opfer veröffentlichen, um nicht zahlende Ziele unter Druck zu setzen. LockBit3 führt das Ranking mit neun Prozent der veröffentlichten Angriffe erneut an, gefolgt von Play mit sieben Prozent und 8Base mit sechs Prozent. 8Base, das wieder in die Top 3 aufgestiegen ist, behauptete vor kurzem, in die IT-Systeme der Vereinten Nationen eingedrungen zu sein und Informationen über die Personalabteilung und das Beschaffungswesen exfiltriert zu haben. Obwohl LockBit3 weiterhin an erster Stelle steht, musste die Gruppe mehrere Rückschläge hinnehmen. Im Februar wurde die Datenleck-Website im Rahmen einer behördenübergreifenden Kampagne mit dem Namen Operation Cronos beschlagnahmt, und in diesem Monat veröffentlichten dieselben internationalen Strafverfolgungsbehörden neue Details, in denen sie 194 Mitgliedsorganisationen identifizierten, die LockBit3 nutzen, sowie die Demaskierung und Sanktionierung des Anführers der Gruppe.

 

„Unsere Untersuchungen haben gezeigt, dass die gemeinsamen internationalen Bemühungen gegen LockBit3 offenbar erfolgreich waren und den weltweiten Einfluss der Gruppe seit Anfang 2024 um mehr als fünfzig Prozent reduziert haben“, bemerkt Maya Horowitz, VP of Research bei Check Point Software. „Ungeachtet der jüngsten positiven Entwicklungen müssen Unternehmen ihrer Cybersicherheit weiterhin Priorität einräumen, indem sie proaktiv handeln und die Netzwerk-, Endpunkt- und E-Mail-Sicherheit stärken. Die Implementierung von mehrschichtigen Schutzmaßnahmen und die Einführung von robusten Backup- und Wiederherstellungsprozeduren sowie von Plänen zur Reaktion auf Vorfälle sind nach wie vor der Schlüssel zur Steigerung der Cyber-Resilienz.“

 

Top-Malware in Deutschland

*Die Pfeile beziehen sich auf die Veränderung der Rangfolge im Vergleich zum Vormonat. Die Zahlen in Klammern bezeichnen den Anteil der jeweiligen Malware an den insgesamt beobachteten.

  1. CloudEyE (18,58 %) – CloudEye ist ein Downloader, der auf die Windows-Plattform zielt und dazu verwendet wird, schädliche Programme herunterzuladen und auf den Computern der Opfer zu installieren. 
  2. Nanocore (3,63 %) – NanoCore ist ein Fernzugriffs-Trojaner, der auf Benutzer von Windows-Betriebssystemen abzielt und erstmals 2013 in freier Wildbahn beobachtet wurde. Alle Versionen des RAT enthalten grundlegende Plugins und Funktionen wie Bildschirmaufnahmen, Kryptowährungs-Mining, Fernsteuerung des Desktops und Diebstahl von Webcam-Sitzungen.
  3. ↔ FakeUpdates (3,13 %)Fakeupdates (alias SocGholish) ist ein in JavaScript geschriebener Downloader. Er schreibt die Nutzdaten auf die Festplatte, bevor er sie startet. Fakeupdates führt zu einer weiteren System-Infiltration durch viele zusätzliche Schadprogramme, darunter GootLoader, Dridex, NetSupport, DoppelPaymer und AZORult.

 

Meist ausgenutzte Sicherheitslücken

 

Im vergangenen Monat waren die am häufigsten ausgenutzten Schwachstellen weltweit „Command Injection Over http“ und „Web Servers Malicious URL Directory Traversal“, von denen 52 Prozent der Unternehmen betroffen waren. Es folgten „HTTP Headers Remote Code Execution“ mit einem weltweiten Anteil von 45 Prozent.

 

1.       ↔ Command Injection Over HTTP (CVE-2021-43936, CVE-2022-24086) – Es wurde eine Schwachstelle für Command Injection Over HTTP gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Bei erfolgreicher Ausnutzung könnte ein Angreifer beliebigen Code auf dem Zielrechner ausführen.

 

2.       ↔ Web Server Malicious URL Directory Traversal (CVE-2010-4598,CVE-2011-2474,CVE-2014-0130,CVE-2014-0780,CVE-2015-0666,CVE-2015-4068,CVE-2015-7254,CVE-2016-4523,CVE-2016-8530,CVE-2017-11512,CVE-2018-3948,CVE-2018-3949,CVE-2019-18952,CVE-2020-5410,CVE-2020-8260)– Es existiert eine Directory Traversal-Schwachstelle auf verschiedenen Web Servern. Die Sicherheitsanfälligkeit ist auf einen Eingabevalidierungsfehler in einem Webserver zurückzuführen, der die URI für die Verzeichnisdurchquerungsmuster nicht ordnungsgemäß bereinigt. Eine erfolgreiche Ausnutzung erlaubt es nicht authentifizierten Angreifern, beliebige Dateien auf dem verwundbaren Server offenzulegen oder darauf zuzugreifen.

 

3.       ↑ HTTP-Header Remote Code Execution (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-1375) – HTTP-Header erlauben es dem Client und dem Server, zusätzliche Informationen mit einer HTTP-Anfrage zu übermitteln. Ein entfernter Angreifer kann einen anfälligen HTTP-Header verwenden, um beliebigen Code auf dem Rechner des Opfers auszuführen.

 

Top 3 Mobile Malware

 

Im letzten Monat stand Anubis an erster Stelle der am weitesten verbreiteten mobilen Malware, gefolgt von AhMyth und Hiddad.

1.                   ↔ Anubis – Anubis ist eine Banking-Trojaner-Malware, die für Android-Handys entwickelt wurde. Seit seiner ersten Entdeckung hat er zusätzliche Funktionen erhalten, darunter Remote-Access-Trojaner (RAT), Keylogger, Audio-Aufnahmefunktionen und verschiedene Ransomware-Funktionen. Er wurde in Hunderten von verschiedenen Anwendungen im Google Store entdeckt.

2.                   ↔ AhMyth – AhMyth ist ein Remote Access Trojaner (RAT), der 2017 entdeckt wurde. Er wird über Android-Apps verbreitet, die in App-Stores und auf verschiedenen Websites zu finden sind. Wenn ein Nutzer eine dieser infizierten Apps installiert, kann die Malware sensible Informationen vom Gerät sammeln und Aktionen wie Keylogging, das Erstellen von Screenshots, das Versenden von SMS-Nachrichten und das Aktivieren der Kamera durchführen, was in der Regel zum Stehlen sensibler Informationen genutzt wird.

3.                   ↑ Hiddad – Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und sie dann in einem Drittanbieter-Store veröffentlicht. Ihre Hauptfunktion ist die Anzeige von Werbung, aber sie kann auch Zugriff auf wichtige Sicherheitsdetails des Betriebssystems erlangen.

Top 3 der angegriffenen Branchen und Bereiche in Deutschland

 

1.                   Bildung und Forschung

2.                   Gesundheitswesen

3.                   Kommunikation

 

Aktivste Ransomware-Gruppen

 

Dieser Abschnitt enthält Informationen, die von Ransomware Shame Sites stammen. Sie werden von Ransomware-Gruppen betrieben, die mit Double Extortion (doppelte Erpressung) arbeiten, um Informationen über die Opfer zu veröffentlichen. Die Daten von diesen Shame-Sites sind zwar mit Verzerrungen behaftet, bieten aber dennoch wertvolle Einblicke in das Ransomware-Ökosystem.

 

Lockbit3 war im vergangenen Monat die am weitesten verbreitete Ransomware-Gruppe und für neun Prozent der veröffentlichten Angriffe verantwortlich, gefolgt von Play mit sieben Prozent und 8Base mit sechs Prozent.

 

  1. Lockbit3 – LockBit ist eine Ransomware, die in einem RaaS-Modell arbeitet und erstmals im September 2019 gemeldet wurde. LockBit zielt auf große Unternehmen und Regierungseinrichtungen in verschiedenen Ländern ab, nicht aber auf Einzelpersonen in Russland oder der Gemeinschaft Unabhängiger Staaten. Obwohl es im Februar 2024 aufgrund von Strafverfolgungsmaßnahmen zu erheblichen Ausfällen kam, hat Lockbit wieder Informationen über seine Opfer veröffentlicht.

 

  1. Play – Play Ransomware, auch als PlayCrypt bezeichnet, ist eine Ransomware, die erstmals im Juni 2022 auftauchte. Diese Ransomware hat ein breites Spektrum von Unternehmen und kritischen Infrastrukturen in Nordamerika, Südamerika und Europa ins Visier genommen, wobei bis Oktober 2023 etwa 300 Einrichtungen betroffen waren. Play Ransomware verschafft sich in der Regel über kompromittierte gültige Konten oder durch Ausnutzung ungepatchter Schwachstellen, wie z. B. in Fortinet SSL-VPNs, Zugang zu Netzwerken. Sobald sie im Netzwerk ist, nutzt sie Techniken wie die Verwendung von LOLBins (living-off-the-land binaries) für Aufgaben wie die Exfiltration von Daten und den Diebstahl von Anmeldeinformationen.

 

  1. 8Base – Die 8Base-Bedrohungsgruppe ist eine Ransomware-Bande, die mindestens seit März 2022 aktiv ist. Sie erlangte Mitte 2023 aufgrund einer bemerkenswerten Zunahme ihrer Aktivitäten große Bekanntheit. Diese Gruppe wurde bei der Verwendung einer Vielzahl von Ransomware-Varianten beobachtet, wobei Phobos ein gemeinsames Element ist. 8Base operiert mit einem hohen Maß an Raffinesse, was sich in der Verwendung fortschrittlicher Techniken in ihrer Ransomware zeigt. Zu den Methoden der Gruppe gehören doppelte Erpressungstaktiken. 

 

Weitere Informationen finden Sie im Check Point Blog: https://blog.checkpoint.com/security/april-2024s-most-wanted-malware-surge-in-androxgh0st-attacks-and-the-decline-of-lockbit3/

 

Folgen Sie Check Point über:
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies  

X: https://www.twitter.com/checkpointsw  

Facebook: https://www.facebook.com/checkpointsoftware  

Blog: https://blog.checkpoint.com   

YouTube: https://www.youtube.com/user/CPGlobal  

  

Über Check Point Research 

Check Point Research stellt Check Point Software-Kunden und der gesamten Geheimdienst-Community führende Erkenntnisse über Cyber-Bedrohungen zur Verfügung. Das Forschungsteam sammelt und analysiert globale Cyberangriffsdaten, die in der ThreatCloud gespeichert sind, um Hacker in Schach zu halten und gleichzeitig sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.

 

Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter einer KI-gestützten, cloudbasierten Cybersicherheitsplattform, die mehr als 100.000 Unternehmen weltweit schützt. Check Point nutzt die Kraft der KI überall, um die Effizienz und Genauigkeit der Cybersicherheit durch seine Infinity-Plattform zu verbessern, mit branchenführenden Erkennungsraten, die eine proaktive Antizipation von Bedrohungen und intelligentere, schnellere Reaktionszeiten ermöglichen. Die umfassende Plattform umfasst Cloud-Technologien, bestehend aus Check Point Harmony zur Absicherung des Arbeitsplatzes, Check Point CloudGuard zur Absicherung der Cloud, Check Point Quantum zur Absicherung des Netzwerks und Check Point Infinity Core Services für kollaborative Sicherheitsabläufe und -dienste. 

 

Kontakt

Investorenkontakt Pressekontakt 
Kip E. Meintzer Laura Martinez Hidalgo
Check Point Software Technologies Check Point Software Technologies
+1.650.628.2040 Tel: +44 7785 381302
ir@checkpoint.com press@checkpoint.com

Kafka Kommunikation GmbH & Co. Kg
Dr. Bastian Hallbauer-Beutler
Mark Geiger
Fabian Haid
Fabian Thanner
Justin Ford
Lukas Beck

Tel.: 089 74747058-0
checkpointteam@kafka-kommunikation.de