Top Malware für April 2020: Fernzugriff stark gefährdet

Ein Artikel von red | 13.05.2020 - 14:29

Der bekannte Banking-Trojaner Dridex, der 2011 auftauchte, bleibt die gefährlichste Malware in Deutschland. Dridex wurde über die Jahre aktualisiert und wird nun in den frühen Angriffsphasen zum Herunterladen von gezielter Ransomware wie BitPaymer und DoppelPaymer eingesetzt. Überhaupt sind Banking-Trojaner in der Bundesrepublik auf dem Vormarsch, denn Trickbot musste den zweiten Platz zwar für Ramnit räumen – einen Wurm, der es auf öffentliche FTP-Server zum Dateienaustausch abgesehen hat – bleibt aber aktiv genug für den dritten Rang.

Das Reserach Team warnt außerdem davor, dass ‚MVPower DVR Remote Code Execution‘ weiterhin die am häufigsten ausgenutzte Schwachstelle bleibt und sogar noch gefährlicher wurde: Betraf die Sicherheitslücke im März noch 30 Prozent der Organisationen weltweit, sind es im April nun 46 Prozent – ein enormer Anstieg. Der Fernzugriff – seit vielen Jahren ein schwaches Glied in der Kette, das oft in der Kritik stand – stellt derzeit also einen der Haupt-Angriffswege für Cyber-Kriminelle dar.

Maya Horowitz_klein.jpg

Maya Horowitz, Head of Cyber Research and Threat Intelligence bei Check Point: "Cyber-Kriminelle sind derzeit eindeutig darauf aus, die persönlichen und geschäftlichen Informationen oder Zugangsdaten von Nutzern zu stehlen, um diese zu Geld zu machen. Es ist daher essentiell, dass Unternehmen ihre Mitarbeiter gegen solche Gefahren schulen und ihre Fachleute auf dem neuesten Stand der Dinge zu Werkzeugen und Techniken halten – besonders jetzt, da viele im Home Office arbeiten und den Fernzugriff nutzen müssen."

Top 3 Most Wanted Malware für Deutschland

1. ↔ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

2. ↑ Ramnit – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um Wechseldatenträger und Festplatten zu infizieren. Ramnit fungiert auch als Hintertür.

3. ↓ Trickbot – Trickbot ist eine Dyre-Variante, die im Oktober 2016 auf den Markt kam. Seit seinem Erscheinen hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor kurzem gerieten auch Indien, Singapur und Malaysien ins Visier, nun folgt Deutschland.

(Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat)

Die Top 3 Most Wanted Mobile Malware

Auf dem ersten Platz hält sich weiterhin xHelper. Dahinter tauschen Lotoor und AndroidBauts die Reihenfolge.

1. ↔ xHelper - Eine bösartige Android-Anwendung, die seit März 2019 in freier Wildbahn zu sehen ist und zum Herunterladen anderer bösartiger Anwendungen und zur Anzeige von Werbung verwendet wird. Die Anwendung ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und installiert sich neu, wenn der Benutzer sie deinstalliert.

2. ↑ Lotoor - Ein Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.

3. ↓ AndroidBauts – Adware gegen Android, die IMEI, IMSI, GPS-Ortung und andere Geräteinformationen auslesen kann und die Installation von Anwendungen, sowie Verknüpfungen, von Drittanbietern auf mobilen Geräten ermöglicht.

Die Top 3 Most Wanted Schwachstellen

Die Schwachstelle ‚MVPower DVR Remote Code Execution‘ bleibt die am häufigsten ausgenutzte und betraf 46 Prozent der Unternehmen weltweit. An zweiter Stelle folgt ‚OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)’ mit 41 Prozent. Danach kommt ‚ Command Injection Over HTTP Payload(CVE-2020-8515)’ mit 40 Prozent Auswirkung, deren Angriffe besonders in Verbindung mit Zero-Day-Attacken gegen DrayTek-Router und Switch Devices beobachtet wurden.

1. ↔ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.

2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

3. ↑ Command Injection Over HTTP Payload (CVE-2020-8515) – Ein Angreifer kann diese Lücke ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde es dem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.