Aktuelles, Branche, Studien - geschrieben von am Montag, August 10, 2020 22:04 - noch keine Kommentare

Emotet nach Comeback auf Platz 1

Check Point veröffentlicht „Global Threat Index“ für Juli 2020 und sieht Emotet, AgentTesla und Dridex auf Spitzenplätzen

[datensicherheit.de, 10.08.2020] Der Banking-Trojaner Emotet ist offensichtlich nach längerer Pause zurück und schießt nach Erkenntnissen der Sicherheitsforscher von Check Point „sofort hoch auf den ersten Platz“ – dahinter reihten sich „AgentTesla“ und „Dridex“ ein. Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der eigenen „ThreatCloud Intelligence“, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere. Die „ThreatCloud“-Datenbank analysiere täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziere mehr als 250 Millionen Malware-Aktivitäten.

check-point-maya-horowitz

Foto: Check Point

Foto: kaspersky
Maya Horowitz: Angestellte dürfen keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken!

Emotet verbeitet Malspam-Kampagnen

Seit Februar 2020 hätten sich die Aktivitäten von „Emotet“ – hauptsächlich das wellenartige Versenden von Malware-Kampagnen – verringert und schließlich völlig aufgehört. Nun aber, im Juli 2020, hätten sie wieder enorm zugenommen und deutsche Unternehmen hart getroffen.
Hauptsächlich habe dieser Schädling sogenannte Malspam-Kampagnen verbreitet, um die Malwares „Trickbot“ und „Qbot“ auszuliefern. Beide seien auf Bankdaten spezialisiert und könnten sich in Netzwerken auch hin und her bewegen.

Emotet versteckt sich in Word-Anhängen von E-Mails

Viele der betrügerischen E-Mails enthielten infizierte „Word“-Dokumente, welche bei Öffnung eine PowerShell ausführten, um die „Emotet“-Datenbanken und Programmteile herunterzuladen.
Die attackierten Rechner würden dann automatisch dem riesigen Bot-Netz hinzugefügt. Ähnliches habe bereits 2019 beobachtet werden können: „Das Bot-Netz ging damals über den Sommer vom Netz um gewartet und verbessert zu werden. Im September kam ,Emotet‘ mit Wucht zurück.“

Emotet-Entwickler haben offenbar seine Funktionen und Fähigkeiten erneut aktualisiert

„Es ist interessant, dass ,Emotet‘ Anfang dieses Jahres für einige Monate ruhte und damit ein Muster wiederholte, das wir erstmals 2019 beobachtet hatten. Wir können davon ausgehen, dass die Entwickler hinter dem Bot-Netz seine Funktionen und Fähigkeiten erneut aktualisiert haben“, so Maya Horowitz, „Head of Cyber Research and Threat Intelligence“ bei Check Point Software Technologies.
Da „Emotet“ nun wieder aktiv sei, sollten Organisationen ihre Mitarbeiter darüber aufklären, „wie sie die Arten von Malspam erkennen können, auf die sich das Bot-Netz derzeit spezialisiert hat“. Die Angestellten dürften keinesfalls blindlings E-Mail-Anhänge öffnen oder auf Links aus externen Quellen klicken. Unternehmen sollten auch den Einsatz von Anti-Malware-Lösungen in Betracht ziehen, die verhindern könnten, „dass solche Inhalte die Endbenutzer erreichen – besonders wenn es darum geht, Zero-Day-Attacken zu blockieren“.

Malware für Deutschland: Die Top 3 im Juli 2020

Die Pfeile beziehen sich laut Check Point auf die Änderung der Platzierung gegenüber dem Vormonat.

  1. ↑ Emotet
    „Emotet“ gilt als ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er sei früher als Banking-Trojaner eingesetzt worden, diene jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt demnach verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich könne er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↓ AgentTesla
    „AgentTesla“ ist „ein fortschrittlicher RAT, der als Keylogger und Passwort-Dieb fungiert und seit 2014 Computer infiziert“. Er sei in der Lage, die Tastatureingaben des Opfers, die System-Zwischenablage, Screenshots und Anmelde-Informationen auszulesen, sowie Daten zu sammeln, die zu einer Vielzahl installierter Software gehörten (einschließlich „Google Chrome“, „Mozilla Firefox“ und „Microsoft Outlook E-Mail-Client“). „AgentTesla“ sei als RAT verkauft worden, „wobei die Kunden 15 bis 69 Dollar je Lizenz zahlten“.
  3. ↓ Dridex
    „Dridex“ sei ein Banking-Trojaner, der auf „Windows“-Systeme ziele und von Spam-Kampagnen und „Exploit Kits“ verbreitet werde. Diese nutzen „WebInjects“, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. „Dridex“ kontaktiere einen Remote-Server, sende Informationen über das infizierte System und könne zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Mobile Malware für Deutschland: Die Top 3 im Juli 2020

Die Spitze habe „xhelper“ zurückerobert und verweise den Neueinsteiger „Necro“ auf Rang 2. An dritter Stelle steht mit „PreAMo“ ebenfalls ein neuer „Gast“.

  1. ↑ xhelper
    Eine bösartige „Android“-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet werde. Sie sei in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
  2. ↓ Necro
    „Necro“ sei ein „Android Trojan Dropper“. Er könne andere Malware herunterladen, aufdringliche Werbung anzeigen und Geld stehlen, „weil er kostenpflichtige Abonnements berechnet“.
  3. ↑ PreAMo
    Diese Mobile Malware imitiere den Nutzer und klicke in seinem Namen auf Werbebanner, die über drei Agenturen ausgeliefert würden: „Presage“, „Admob“ und „Mopub“.

Schwachstellen für Deutschland: Die Top 3 im Juli 2020

Die Schwachstelle „MVPower DVR Remote Code Execution“ stehe nun an der Spitze und betreffe 44 Prozent der Unternehmen weltweit. Auf Platz zwei rutsche „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) in der Rangliste der weltweit größten Schwachstellen mit 42 Prozent. Den dritten Platz erringe „Command Injection Over HTTP Payload“ (CVE-2020-8515) mit 38 Prozent.

  1. ↑ MVPower DVR Remote Code Execution
    Ein Einfallstor entstehe bei der Ausführung von Remote-Code in „MVPower DVR“-Geräten. Ein Angreifer könne dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  2. ↓ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)
    Eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen bestehe. Ein Angreifer könne diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
  3. ↑ Command Injection Over HTTP Payload (CVE-2020-8515)
    Ein Angreifer könne diese Lücke ausnutzen, „indem er eine speziell gestaltete Anfrage an das Opfer sendet“. Eine erfolgreiche Ausnutzung würde es dem Angreifer erlauben, beliebigen Code auf dem Zielrechner auszuführen.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD
Check Point Blog / July‘s Most Wanted Malware: Emotet Strikes Again After Five-Month Absence

datensicherheit.de, 02.08.2020

Emotet: Insbesondere USA und GB im Visier / Offensichtlich ist Emotet nach fünfmonatiger Pause zurück

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet



Kommentieren

Kommentar

Medienpartner

it-sa 365

Kooperation

TeleTrusT - Bundesverband IT-Sicherheit e.V.

Mitgliedschaft

German Mittelstand

Mitgliedschaft

BISG e.V.

Multiplikator

Allianz für Cyber-Sicherheit

Gefragte Themen


Datenschutzerklärung