[datensicherheit.de, 15.01.2019] Check Point® Software Technologies Ltd. hat seinen neuesten Global Threat Index für Dezember 2018 veröffentlicht. Im Index für Deutschland taucht erstmals SLoad auf, ein PowerShell-Downloader, der häufig Ramnit-Banking-Trojaner nachlädt.

Generell führt jedoch die Cryptomining-Malware Emotet weiterhin den Index an und auch Coinhive ist zum 13. Mal in Folge unter den Top 3 Bedrohungen gelistet.

© Check Point

Maya Horowitz, Threat Intelligence und Forschungsgruppenleiterin bei Check Point, sagt dazu: „Der Bericht vom Dezember listet SLoad zum ersten Mal in den Top 10. Der plötzliche Anstieg verstärkt den wachsenden Trend zu schädlicher, vielseitiger Malware im Global Threat Index, wobei sich die Top 10 zu gleichen Teilen auf Cryptominer und Malware verteilen. Die Vielfalt der Malware im Index macht es unerlässlich, dass Unternehmen eine vielschichtige Cybersicherheitsstrategie anwenden, die sowohl vor etablierten Malware-Familien als auch vor neuen Bedrohungen schützt.“

 Die Top 3 ‘Most Wanted’ Malware im Monat Dezember 2018:

* Die Pfeile beziehen sich auf die Rangfolgeänderung gegenüber dem Vormonat.

1. ↑ Emotet – Fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet wurde früher als Banking-Trojaner eingesetzt, aber dient derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-Emails verbreitet werden, die schädliche Anhänge oder Links enthalten.
2. ↑ SLoad – SLoad ist ein PowerShell-Downloader, der am häufigsten den Ramnit-Banking-Trojaner nachlädt und viele Spionagefunktionen bietet. Die Malware sammelt Informationen über das infizierte System, einschließlich einer Liste der laufenden Prozesse wie Outlook und Citrix. SLoad kann auch Screenshots erstellen und den DNS-Cache auf bestimmte Domänen (z.B. gezielt Banken) überprüfen sowie externe Binärdateien laden.
3. ↓ Coinhive – Cryptominer, der entwickelt wurde, um Online-Mining der Cryptowährung Monero durchzuführen, während ein Benutzer eine Webseite besucht, ohne dass der Nutzer es merkt, zustimmt oder am Gewinn beteiligt wird. Das implementierte JavaScript nutzt große Anteile der Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.

Die Sicherheitsforscher von Check Point analysierten auch die am häufigsten genutzten Cyber-Schwachstellen. Auf dem ersten Platz blieb CVE-2017-7269, dessen globale Auswirkungen ebenfalls leicht auf 49 Prozent stiegen, verglichen mit 47 Prozent im November. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure mit einem Einfluss von 42 Prozent, dicht gefolgt von PHPMyAdmin Misconfiguration Code Injection mit einem Einfluss von 41 Prozent.

Die Top 3 ‘Most Exploited’ Schwachstellen im Dezember 2018:

1. Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Durch das Senden einer Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Angreifer von außen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.
2. OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Eine Schwachstelle zur Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.
3. ↑ Web servers PHPMyAdmin Misconfiguration Code Injection – In PHPMyAdmin wurde eine Schwachstelle bei der Codeinjektion gemeldet. Die Schwachstelle ist auf eine Fehlkonfiguration von PHPMyAdmin zurückzuführen. Ein Angreifer kann diese Schwachstelle von außen nutzen, indem er eine speziell gestaltete HTTP-Anfrage an das Ziel sendet.

* Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem nach eigenen Angaben  größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die komplette Most Wanted Malware Top 10 im Dezember 2018 finden Sie im Check Point Blog:  http://www.checkpoint.com/threat-prevention-resources/index.html

Weitere Informationen zum Thema:

datensicherheit.de, 10.12.2018
Dr. Shifro: Check Point deckt neues Ransomware-Geschäftsmodell auf

datensicherheit.de, 22.11.2018
Apple-Betriebssysteme: Ransomware-Angriffe steigen um 500 Prozent an

datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware

[datensicherheit.de, 23.09.2018] Das Unternehmen Check Point® Software Technologies Ltd. veröffentlichte kürzlich seinen neuen Global Threat Index für August 2018. Erkennbar ist ein signifikanter Anstieg von Angriffen des Banking-Trojaners Ramnit. Im August 2018 sprang Ramnit auf Platz 6 des Threat Index und ist der am öftesten genutzten Banking-Trojaner. Seit Juni 2018 hat sich der Einsatz von solchen Schädlingen mehr als verdoppelt.

„Dies ist der zweite Sommer in Folge, in dem Kriminelle in zunehmendem Maße Banking-Trojaner einsetzten, um Opfer anzugreifen und schnellen Profit zu machen“, sagt Maya Horowitz, Threat Intelligence Group Manager von Check Point. „Trends wie diese sollte man nicht ignorieren, denn Hacker sind sich sehr wohl bewusst, welche Angriffsvektoren zu einem bestimmten Zeitpunkt mit großer Wahrscheinlichkeit erfolgreich sind. Das lässt vermuten, dass Internet-Nutzer durch ihre Surf-Gewohnheiten in den Sommermonaten für Banking-Trojaner anfälliger sind, und verdeutlicht außerdem, dass böswillige Hacker bei ihren Versuchen, Geld zu erpressen, hartnäckig und raffiniert sind.“

Im August 2018 bleibt der Cryptominer Coinhive, von der 17 Prozent der Organisationen weltweit betroffen sind, die am häufigsten auftretende Malware. Dorkbot und Andromeda liegen auf Platz zwei bzw. drei, jeweils mit einem weltweiten Anteil von 6 Prozent.

Die Top 3 der „Most Wanted“ Malware im August 2018:

*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

1. Coinhive: Cryptominer, der entwickelt wurde, um die Kryptowährung Monero zu schürfen, sobald ein Nutzer eine bestimmte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer, um Münzen zu schürfen und könnte für einen Systemausfall sorgen.
2. ↑ Dorkbot: IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber, sowie den Download zusätzlicher Malware auf das infizierte System zulassen soll. Es handelt sich um einen Banking-Trojaner, mit der primären Motivation sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten.
3. ↑ Andromeda: Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren. Andromeda kann modifiziert werden, um verschiedene Botnetz-Typen zu kreieren.

Check Point-Forscher analysierten auch die am häufigsten ausgenutzten Cybersicherheitslücken. An erster Stelle stand CVE-2017-7269, mit weltweiten Auswirkungen von 47 Prozent. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure, von der weltweit 41 Prozent betroffen waren, gefolgt von CVE-2017-5638, die global 36 Prozent aller Organisationen kompromittierte.

Die Top 3 der „Most Exploited“ Schwachstellen im August: 

1.  Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Ein Angreifer könnte per Fernzugriff durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): In OpenSSL besteht eine Sicherheitslücke bei der Offenlegung von Informationen. Die Schwachstelle existiert aufgrund eines Fehlers im Umgang mit TLS/DTLS-Heartbeat-Paketen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Speicherinhalte eines vernetzten Clients oder Servers offenzulegen.
3. ↑ D-Link DSL-2750B Remote Command Execution: In D-Link DSL-2750B Routern wurde eine Remote-Code-Execution-Lücke gemeldet. Die erfolgreiche Ausnutzung könnte auf dem betroffenen System zur Ausführung von beliebigem Code führen.

Check Points Global Threat Impact Index und seine ThreatCloud Map, werden von Check Points ThreatCloud Intelligence betrieben. Es ist das größte Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.

Weitere Informationen zum Thema:

Check Point Blog
Liste der Top-10 Malware-Familien im August 2018

datensicherheit.de, 21.09.2018
Banktrojaner DanaBot mit modularer Architektur in Europa aktiv

datensicherheit.de, 10.08.2018
Banking-Trojaner halten Spitzenplatz im zweiten Quartal 2018

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware

[datensicherheit.de, 19.09.2018] Heartbleed ist ein schwerwiegender Bug in OpenSSL, der bereits im Jahr 2014 entdeckt wurde und es Unbefugten und Kriminellen erlaubt, scheinbar sichere und verschlüsselte TLS-Verbindungen auszuspionieren und private Daten von Clients und Servern zu lesen. Der Global Threat Index für August 2018 von Check Point zeigt, dass der Fehler noch vier Jahre nach seiner Entdeckung zu einer der Schwachstellen zählt, die am häufigsten ausgenutzt werden.

Foto: Venafi

Kevin Bocek, VP Security Strategy and Threat Intelligence bei Venafi

Kevin Bocek erklärt dazu: „Heartbleed lebt und wird von Kriminellen ausgenutzt. Check Point erkennt, dass die zweithäufigste ausgenutzte Schwachstelle im August 2018 Heartbleed war (CVE-2014-0160; CVE-2014-0346). Dies ist ein Weckruf, dass der oft scheiternde Korrekturschritt, die Ersetzung aller Maschinenidentitäten wie TLS-Schlüssel und Zertifikate, noch ausgeführt werden muss.“

„Die Global 5000 Unternehmen, darunter eine Mehrheit in Deutschland, hatten es bereits ein Jahr nach der ersten Meldung nicht geschafft, Heartbleed vollständig zu beseitigen, und schlimmer noch, die meisten deutschen Unternehmen sind immer noch anfällig – vier Jahre später. Eine vollständige Behebung der Schwachstelle erforderte sowohl das Patchen als auch ein anschließendes Ersetzen aller verletzlichen Maschinenidentitäten, weil diese leicht gestohlen werden können“, so Bocek weiter. „Während die Unternehmen patchen, ersetzten die meisten allerdings nicht die TLS-Schlüssel und -Zertifikate. Genau diese sind aber durch Heartbleed verwundbar. Ohne Reaktion können Maschinen im Internet nachgeahmt oder private Kommunikationen leicht mitgelesen werden. Daher ist der Schutz aller Maschinenidentitäten wie TLS-Schlüssel und Zertifikate dringend erforderlich. In der letzten Woche gab das US Government Accountability Office (GAO) bekannt, dass eine der Hauptursachen für den weitreichenden Equifiax-Vorfall der fehlende Schutz eines unbekannten und abgelaufenen TLS-Zertifikats war. Dadurch waren die Systeme zur Threat Protection für einen Angriff blind.“

Bild: Venafi

Jens Sabitzer, Sales Engineer DACH bei Venafi

Jens Sabitzer ergänzt: „Heartbleed war eine der am weitesten verbreiteten und gefährlichsten Sicherheitsprobleme in der jüngsten Geschichte der Kryptografie, und der Bericht von Check Point beweist, dass es sich immer noch um ein großes Risiko im Internet handelt. Der Diebstahl von Maschinenidentitäten ermöglicht fortgeschrittene Attacken wie Man-in-the-Middle oder versteckte Lauschangriffe. Organisationen sollten ihren Schutz rund um ihre Maschinenidentitäten herum verbessern. Der Vorfall im Bundesministerium für Verkehr und digitale Infrastruktur (BMVI) im Jahr 2016 macht zudem deutlich, dass häufig eine Behebung keine ausreichenden Maßnahmen ergriffen werden. Nach dem unverzichtbaren Austausch von Maschinenidentitäten müssen außerdem zukünftige Fehler, wie z. B. bei der Einrichtung neuer Webserver und -Dienste, vermieden werden.“

Weitere Informationen zum Thema:

Check Point
Global Threat Index für August 2018

datensicherheit.de, 13.04.2016
Integration von SSL-Zertifikaten wird künftig zur Pflicht

datensicherheit.de, 09.06.2014
Security Advisory: Neue Sicherheitslücken in OpenSSL identifiziert

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

[datensicherheit.de, 16.03.2018] Laut des Global Threat Index von Check Point waren im Februar 42 Prozent der Organisationen weltweit von Cryptominern betroffen. Gefährlichster Schädling ist Coinhive, der im Februar 20 Prozent aller Unternehmen befallen hat. Ihm folgt Cryptoloot mit 16 Prozent und Rig Exploit Kit mit einer Befallrate von 15 Prozent aller Organisationen.

Cryptoloot schaffte es zum ersten Mal in die Top Drei des Indexes.  Dabei lässt sich ein richtiger Wettbewerb mit Coinhive erkennen. Cryptoloot versucht schon länger, den Cryptomining-Markt zu beherrschen, indem weniger Einnahmen von Webseiten generiert werden, dafür aber das Zielspektrum erweitert wird. Dadurch hat die Variante ihre globale Infektionsate mehr als verdoppelt – von 7 Prozent im Januar auf 16 Prozent im Februar.

Cryptomining ständig wachsende Bedrohung

In den vergangenen vier Monaten hat sich Cryptomining zu einer ständig wachsenden Bedrohung für Unternehmen entwickelt, denn für Kriminelle bleibt es weiterhin eine lukrative Methode.  Maya Horowitz, Threat Intelligence Group Manager bei Check Point, sagt: „In den vergangenen vier Monaten hat sich Cryptomining-Malware ständig verbreitet. Diese anhaltende Bedrohung verlangsamt nicht nur PCs und Server, sondern kann, sobald Cyberkriminelle in die Netzwerke eingedrungen sind, auch genutzt werden, um andere böswillige Aktionen durchzuführen. Daher ist es für Unternehmen wichtiger denn je, eine mehrschichtige Cybersicherheitsstrategie einzuführen, die sowohl vor gängigen Malware-Familien als auch vor brandneuen Bedrohungen schützt.“

© Check Point

Maya Horowitz, Threat Intelligence Group Manager bei Check Point

Die Top 10 der „Most Wanted” Malware im Februar 2018:

* Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

1. Coinhive – Crypto-Miner, der entwickelt wurde, um die Kryptowährung Monero online zu schürfen, sobald ein Nutzer eine Internetseite ohne Zustimmung des Nutzers besucht.
2. ↑ Cryptoloot – Crypto-Miner, der die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen für das Schürfen von Kryptowährungen nutzt – indem er Transaktionen zur Blockchain hinzufügt und neue Währung freigibt.
3. Rig ek – Rig liefert Exploits für Flash, Java, Silverlight und Internet Explorer.
4. ↑ JSEcoin – JavaScript-Miner, der in Internetseiten eingebettet werden kann.
5. ↓ Roughted – Großangelegte Malvertising-Kampagne, die zur Verbreitung verschiedener bösartiger Webseiten und Payloads wie Scams, Adware, Exploit Kits und Ransomware eingesetzt wird.
6. ↓ Fireball – Browser-Hijacker, der in einen voll funktionsfähigen Malware-Downloader verwandelt werden kann.
7. ↑ Necurs – Botnetz, das über Spam-E-Mails zur Verbreitung von Malware, hauptsächlich Ransomware und Banking-Trojaner, genutzt wird.
8. ↓ Andromeda – Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren.
9. ↑ Virut – Botnetz, das bekanntermaßen für cyberkriminelle Aktivitäten genutzt wird, beispielsweise für DDoS-Angriffe, Spam, Betrug, Datendiebstahl und Pay-per-Install-Aktivitäten.
10. ↓ Ramnit – Banking-Trojaner, der Bank-Anmeldedaten, FTP-Passwörter, Session-Cookies und persönliche Daten stiehlt.
    Triada, eine modulare Backdoor-Malware für Android, war die beliebteste Malware für Angriffe auf den Mobilbereich von Unternehmen, gefolgt von Lokibot und Hiddad.

Check Points Global Threat Impact Index und seine ThreatCloud Map werden von Check Points ThreatCloud Intelligence betrieben, dem größten Kooperationsnetzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen.

Weitere Infromationen zum Thema:

datensicherheit.de, 11.01.2018
Hackerangriff auf Behörde: Ziel Krypto-Währungen schürfen

Check Point
Check Points Threat Prevention