[datensicherheit.de, 22.03.2017] Nach Erkenntnissen von Check Point ist ein Umbruch bei den Malware-Bedrohungen in Deutschland zu erkennen. Bei der aktuellen Analyse der größten Cyber-Bedrohungen im Februar 2017 hätten sich mit „Yakes“, „Fareit“ und „Adwind“ gleich drei Gefahren mit besonders hoher Anzahl von gemessenen Infektionen gezeigt. Auf globaler Ebene suche der Downloader „Hancitor“ Organisationen vermehrt heim.

Signifikanter Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“

Die Check Point® Software Technologies Ltd. sieht in ihrer monatlichen Analyse der größten Malwarebedrohungen eine Veränderung der eingesetzten Schädlinge. Global tauche „Hancitor“ zum ersten Mal unter den zehn meistbenutzten Angriffswerkzeugen auf. In Deutschland erkenne man einen signifikanten Anstieg von Attacken mit „Yakes“, „Fareit“ und „Adwind“.
Obwohl „Yakes“ nur „Windows“-Geräte infiziere, nehme dieser Schädling eine hohe Position bei den größten Bedrohungen ein. Dazu erstelle er einen neuen Sychost-Prozess auf dem Endgerät des Opfers und lade dadurch Schadcode auf die Maschine. Im nächsten Schritt werde ein Server per Fernzugriff kontaktiert und würden in der Regel mit „Base64“ verschlüsselte Daten ausgetauscht; er versuche über eine URL weitere Malware auf das infizierte System zu laden.
Der Schädling „Fareit“, ein Trojaner, der es in der Regel auf Zugangsdaten und Passwörter abgesehen habe, sei 2012 zum ersten Mal entdeckt worden – er lese Informationen aus dem Speicher des Webbrowsers aus. Daher gehörten FTP und E-Mail-Zugangsdaten, Verlaufsdateien, Serverinformationen sowie Details zu Ports ebenfalls zu seinen Zielen.
„Adwind“ ziele auf Systeme mit „Java Runtime“-Unterstützung ab. Durch eine Backdoor kommuniziere dieser Schädling nach außen und könne verschiedene Befehle für die Angreifer ausführen. Unter anderem sei er in der Lage, Nachrichten auf dem Bildschirm des Opfers anzeigen zu lassen, URLs zu öffnen oder weiteren Schadcode herunterzuladen. Nachgeladene Plug-Ins erweiterten „Adwind“ mit neuen Funktionen und erlaubten die Fernsteuerung des Endgerätes oder die Ausführung von Shell-Commands.

Botnetz „Kelihos“ global größte Bedrohung

Global führe das Botnetz „Kelihos“ die Liste der größten Bedrohungen an. Diese Malware sei bereits seit 2010 aktiv, und Untersuchungen gingen davon aus, dass weltweit zwölf Prozent aller Organisationen von ihr betroffen seien. Ursprünglich sei „Kelihos“ eine relative plumpe Spam-Kampagne gewesen, habe sich aber dann zu einem mietbaren Botnetz weiterentwickelt, welches Spam gegen Bezahlung an gewünschte Ziele schicke.
Das bereits 2011 zum ersten Mal zerschlagene Netzwerk sei noch schlagkräftiger wieder auferstanden – die Cyber-Kriminellen hätten es geschafft, immer wieder neue Bots zu rekrutieren. Aktuell seien über 300.000 Endpunkte infiziert – jeder davon könnte über 200.000 Spam-E-Mails pro Tag verschicken.

Top-Bedrohungen weltweit (Februar 2017)

1. „Kelihos“ – Botnetz, spezialisiert auf „Bitcoin“-Diebstahl und Spamming. Durch Peer-to-Peer-Kommunikation könne jeder Endpunkt zum Node für „Command & Control“-Server werden.
2. „HackerDefender“ – User-Mode-Rootkit für „Windows“, durch welches Daten, Prozesse und Registry-Informationen versteckt werden könnten. Zudem könne „HackerDefender“ eine Hintertür und eine Portumleitung implementieren. Er nutze existierende TCP-Ports und tarne so die Backdoor.
3. „Cryptowall“, ursprünglich ein Doppelgänger der „Cryptolocker“-Ransomware, habe sich aber weiterentwickelt: Aktuell einer der meistgenutzten Verschlüsselungsschädlinge der Welt. Es setze auf AES-Chiffrierung und verschleiere seine C&C-Kommunikation über das „TOR“-Netzwerk.

Im Bereich Mobile gibt es mit „Hiddad“ eine zunehmende Bedrohung für „Android“-Geräte. Dabei werde Schadcode in legitime Applikation geladen und versteckt, um über Apps-Stores auf die Geräte der Opfer zu gelangen. Dabei ziele „Hiddad“ auf das Anzeigen von ungewollter Werbung ab, könne aber auch Sicherheitsdetails aus dem Betriebssystem auslesen und private Informationen abgreifen.

Foto: Check Point® Software Technologies Ltd.

Nathan Shuchami: Unternehmen müssen sich vorbereiten!

Viele Schädlinge nutzen unbekannte Schwachstellen

„Die Zunahme der Attacken im Februar 2017 verdeutlicht die aktuelle Situation vieler IT-Abteilungen. Organisationen brauchen die richtigen Tools, um mit der Vielzahl von Bedrohungen umgehen zu können. Die Situation hat sich grundlegend verändert, denn viele Schädlinge nutzen unbekannte Schwachstellen – Unternehmen müssen sich daher vorbereiten“, rät Nathan Shuchami, „VP Emerging Products“ bei Check Point.
Der Bedrohungsindex von Check Point basiert nach eigenen Angaben auf der „Threat Intelligence“, die der Anbieter aus seiner „ThreatCloud World Cyber Threat Map“ zieht. Dort werden demnach weltweite Cyber-Angriffe in Echtzeit aufgezeigt. Die „ThreatCloud“-Datenbank enthalte über 250 Millionen auf Bots untersuchte Adressen, über elf Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziere sie täglich Millionen Malware-Typen.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD., 13.03.2017
Hancitor Makes First Appearance in Top Five ‘Most Wanted’ Malware in Check Point’s February Global Threat Impact Index

datensicherheit.de, 27.11.2016
Check Point warnt: Weihnachtszeit ist auch Hacking-Zeit

datensicherheit.de, 26.10.2016
„Conficker“ auf Platz 1: Check Point’s Top Malware im September 2016 publiziert

[datensicherheit.de, 23.08.2016] Nach eigenen Angaben weisen aktuelle Forschungsergebnisse von Check Point auf einen Rückgang bei Angriffen mit traditionellen Schädlingen und auf einen Aufschwung bei mobiler Malware hin. Die Gefahrenanalyse für Juli 2016 bringe indes mit dem „Zeus“-Trojaner einen alten Bekannten zurück ins Rampenlicht.

Anzahl bleibt auf Rekordniveau

Die Check Point® Software Technologies Ltd. Hat die monatlichen Ergebnisse ihrer „Threat Intelligence“-Untersuchungen veröffentlicht. Im Juli 2016 seien 2.300 aktive Malware-Familien aufgespürt worden. Dies bedeutet demnach einen Rückgang an aktiven Malware-Familien im Vergleich zum Vormonat, insgesamt bleibe die Anzahl aber auf Rekordniveau. Zum vierten Mal in Folge sei „HummingBad“ die am meisten auf mobilen Geräten aufgespürte Malware.
Die Sicherheitsforscher von Check Point hätten neben dem „Conficker“-Wurm und der Ransomware „Locky“ einen alten Bekannten besonders oft gefunden – den „Zeus“-Trojaner. Bereits seit 2007 im Umlauf, sei auch diese Schadsoftware niemals aus dem Index verschwunden und werde noch immer von Cyber-Kriminellen eingesetzt. Größtenteils durch Drive-by-Downloads herbeigeführt, sei „Zeus“ lange Jahre erfolgreich darin gewesen, Bankdaten auszuspähen und so wirtschaftlichen Schaden anzurichten. Seit 2011 tauche er auch immer wieder auf mobilen Geräten auf. Er bilde nun den Neuzugang in der „Top Malware“-Liste von Check Point im Juli 2016:

1. „Conficker“ ()
   Ein Wurm, der Remote-Zugriffe, Malware-Downloads und den Diebstahl von Legitimationsdaten zulässt, indem die Systemsicherheitsdienste von „Microsoft Windows“ deaktiviert werden. Infizierte Geräte werden von einem Botnetz gesteuert. Dabei kommuniziert die Malware mit einem C&C-Server, um Anweisungen zu erhalten.
2. „Zeus“ (↑)
   Hierbei handelt es sich um einen weit verbreiteten „Windows“-Trojaner, der zumeist Bankdaten stiehlt, beziehungsweise kopiert. Ist ein Rechner infiziert worden, sendet die Schadsoftware die gekaperten Account-Credentials an den C&C-Server. Darüber hinaus versendet der Trojaner auch Ransomware. Verschickt wird die Malware zumeist via E-Mail mit Phishing-Attacken. Im Oktober 2010 verhaftete das FBI mehr als hundert Personen, die mit „Zeus“-Trojanern Geld gestohlen hatten. Inzwischen werden „Zeus“-Varianten von vielen Cyber-Kriminellen für Phishing und Drive-by-Downloads genutzt.
3. „Locky“ (↑)
   Eine Ransomware, die vor allem „Windows“-Geräte angreift. Die Malware sendet Systeminformationen an einen externen Server und empfängt einen Verschlüsselungs-Key, um Daten auf dem infizierten System zu verschlüsseln. Die Schadsoftware verlangt ein Lösegeld in Form von Bitcoins. Um weiterhin bei einem Neustart des Systems aktiviert zu bleiben, nistet sich das Programm sogar in die Registry ein.

Mobile Malware-Familien als signifikante Gefahr für Geschäftshandys

Mobile Malware-Familien seien im Juli 2016 eine „signifikante Gefahr für Geschäftshandys“ geblieben. Die „Top 3“ der mobilen Malware-Familien waren laut Check Point:

1. „HummingBad“ ()
   „Android“-Malware, die auf dem Gerät ein persistentes Rootkit einrichtet, betrügerische Anwendungen installiert und zusätzliche bösartige Aktivitäten ermöglicht. Dazu gehören beispielsweise das Installieren eines „Key Loggers“, der Diebstahl von Legitimationsdaten und die Umgehung der von Unternehmen genutzten verschlüsselten E-Mail-Container. Bislang hat die Malware 85 Millionen Mobilgeräte infiziert.
2. „Ztorg“ (↑)
   Trojaner, der Root-Privilegien nutzt, um Apps auf mobilen Geräten herunterzuladen und zu installieren, ohne, dass der Nutzer dies mitbekommt.
3. „XcodeGhost“ ()
   Eine kompromittierte Version der iOS-Entwicklerplattform „Xcode“. Diese inoffizielle Version von „Xcode“ wurde so abgeändert, dass sie Schadcode in jede App einschleusen kann. Der Injection-Code sendet die App-Informationen an einen C&C-Server, sodass die infizierte App das Clipboard des Geräts auslesen kann.

„Advanced Threat Prevention“-Maßnahmen empfohlen

Unternehmen sollten sich nicht in falscher Sicherheit wiegen, weil die Anzahl der aktiven Malware-Familien im Juli zurückgegangen sei, unterstreicht Nathan Shuchami, „Head of Threat Prevention“ bei Check Point. Die Anzahl der aktiven Malware-Familien bleibe auf Rekordkurs, dies führe zu zahlreichen Herausforderungen, denen sich Firmen stellen müssten, „wenn sie ihr Netzwerk gegen Cyber-Kriminelle schützen wollen“.
Organisationen aller Art müssten weiterhin ihre Netzwerke aufmerksam schützen, so Shuchami. Unternehmen benötigten „Advanced Threat Prevention“-Maßnahmen in Netzwerken, Endpunkten und auf mobilen Geräten, um Schadsoftware bereits vor der Infektion aufzuhalten. Shuchami nennt hierzu beispielhaft „Lösungen wie Check Points SandBlast und Mobile Threat Prevention“, die diese Bereiche umfassend vor aktuellen Bedrohungen schützten.

Foto: Check Point® Software Technologies Ltd.

Nathan Shuchami: Netzwerke weiterhin aufmerksam schützen!

Erkenntnisgewinn aus der „ThreatCloud World Cyber Threat Map“

Check Point’s Bedrohungsindex basiert nach eigenen Angaben auf der „Threat Intelligence“, die der Anbieter aus seiner „ThreatCloud World Cyber Threat Map“ zieht. Dort würden weltweite Cyber-Angriffe in Echtzeit aufgezeigt.
Die „Threat Map“ werde von Check Point’s „ThreatCloudTM Intelligence“ betrieben, dem größten „kollaborative Netzwerk im Kampf gegen Cybercrime“.
Die „ThreatCloud“-Datenbank enthalte über 250 Millionen auf Bots untersuchte Adressen, über elf Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziere sie täglich Millionen Malware-Typen.

Weitere Informationen zum Thema:

Check Point
Threat Prevention Resources