Check Point: Top Malware im Mai 2019

Windows-RDP-Schwachstelle BlueKeep hält IT-Sicherheit in Atem

[datensicherheit.de, 15.06.2019] Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd, hat seinen neuesten Global Threat Index für Mai 2019 veröffentlicht. Das Sicherheitsforschungs-Team mahnt Unternehmen, alle Systeme zu überprüfen und zu aktualisieren, die für den Microsoft RDP-Fehler „BlueKeep“ (CVE-2019-0708) unter Windows 7 und Windows Server 2008-Maschinen anfällig sind. Nur so können sie verhindern, dass der Fehler für Ransomware- und Kryptomining-Angriffe missbraucht wird.

BlueKeep-Schwachstelle betrifft fast eine Million Maschinen

Die BlueKeep-Schwachstelle betrifft fast eine Million Maschinen, die am öffentlichen Internet hängen, darunter innerhalb der Netzwerke von Unternehmen. Die Schwachstelle gilt als kritisch, da sie keine Benutzer-Interaktion erfordert, um ausgenutzt zu werden. Das Remote Desktop Protocol (RDP) ist bereits ein etablierter, beliebter Angriffsvektor, der zur Installation von Ransomware wie SamSam und Dharma verwendet wurde. Das Check Point Research-Team sieht derzeit viele Scannings, die aus mehreren Ländern stammen, Systeme auf die offene Lücke überprüfen und die erste Aufklärung vor einem Angriff sein könnten. Um dem entgegen zu wirken, bietet Check Point gegen diesen Angriff sowohl Netzwerk- als auch Endpunkt-Schutz, neben den relevanten Microsoft-Patches.

© Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point

Maya Horowitz, Threat Intelligence and Research Director bei Check Point erklärt: „Die größte Bedrohung, die wir in den letzten Monaten gesehen haben, ist BlueKeep. Obwohl noch keine Angriffe zu beobachten sind, wurden mehrere, öffentliche Proof-of-Concept-Exploits entwickelt. Wir stimmen mit Microsoft und anderen Beobachtern der Branche überein, dass BlueKeep verwendet werden könnte, um Angriffe in ähnlichem Umfang der massiven WannaCry- und NotPetya-Kampagnen aus dem Jahr 2017 zu starten. Ein einzelner Computer mit diesem Fehler kann verwendet werden, um als bösartiger Ausgangspunkt zu dienen, von dem ausgehend ein ganzes Netzwerk infiziert wird. Danach können alle infizierten Computer mit Internetzugang andere anfällige Geräte auf der ganzen Welt über das Internet infizieren – so kann sich der Schädling exponentiell und unaufhaltsam ausbreiten. Daher ist es wichtig, dass Unternehmen sich selbst – und damit auch andere – schützen und den Fehler jetzt reparieren, bevor es zu spät ist.“

Die Ratschläge der Sicherheitsforscher sollten auch angesichts der drei verbreitetsten Schädlinge in Deutschland im Monat Mai befolgt werden. Emotet, der unangefochtene König, dient seit Monaten dazu, als Vorhut in Systeme eingeschleust zu werden, um dann eine Hintertür für andere Schadprogramme zu öffnen. Auf Platz zwei findet sich mit Ramnit als Neuling ein Wurm ein, der ebenfalls als Hintertür fungieren kann und sich über FTP-Server oder Wechseldatenträger verbreitet. Als drittes Programm kehrt Lokibot in die Bestenliste zurück, das auf den Diebstahl von Informationen spezialisiert ist, wie E-Mail-Konten und Passwörter. Für alle drei ist die offenliegende Schwachstelle im RDP-Service ein gefundenes Fressen.

Die Top 3 ‘Most Wanted’ Malware im Mai 2019:

* Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat.

• ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
• ↑ Ramnit – Ramnit ist ein Wurm, der hauptsächlich über Wechseldatenträger und infizierte Dateien, die auf öffentliche FTP-Server hochgeladen wurden, verbreitet wird. Die Malware erstellt eine Kopie von sich selbst, um Wechseldatenträger und Festplatten zu infizieren. Ramnit fungiert auch als Hintertür.
• ↑ Lokibot – Lokibot ist ein Info Stealer, der hauptsächlich über Phishing-E-Mails vertrieben wird und Daten wie E-Mail-Konten, Passwörter für CryptoCoin-Wallets und FTP-Server, ausliest.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten ausgenutzten Cyber-Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits liegt vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen. Zum ersten Mal nach 12 Monaten fiel Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) vom ersten Platz ab, betraf aber stattliche 40 Prozent der Unternehmen, gefolgt vom Neuling Apache Struts2 Content-Type Remote Code Execution (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Die Top 3 ‘Most Exploited’ Schwachstellen im Mai 2019:

Im Mai erlebten wir eine Auferstehung der traditionellen Angriffstechniken (wahrscheinlich verursacht durch die sinkende Rentabilität von Kryptominern), wobei SQL Injections-Techniken mit einem globalen Einfluss von 49 Prozent die Liste der Schwachstellen anführen. Web Server Exposed Git Repository Information Disclosure und OpenSSL TLS DTLS Heartbeat Information Disclosure belegten die Plätze zwei und drei. Sie betrafen 44 Prozent und 41 Prozent der Unternehmen auf der Welt.

• ↑  SQL Injection (verschiedene Techniken) – Einfügen einer SQL-Abfrage in die Eingabe vom Client zur Anwendung, während eine Schwachstelle in der Software einer Anwendung ausgenutzt wird.
• ↑ Web Server Exposed Git Repository Information Disclosure – Eine Schwachstelle zur Offenlegung von Kontoinformationen wurde im Web Server Exposed Git Repository gemeldet. Der Verlust sensibler Daten geht mit einer erfolgreichen Ausnutzung der Lücke einher.
• ↓  OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziert es täglich mehrere Millionen von Malware-Typen.

Weitere Informationen zum Thema:

Check Point Blog
May 2019’s Most Wanted Malware: Patch Now to Avoid the BlueKeep Blues

datensicherheit.de, 14.05.2019
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner