[datensicherheit.de, 23.09.2018] Das Unternehmen Check Point® Software Technologies Ltd. veröffentlichte kürzlich seinen neuen Global Threat Index für August 2018. Erkennbar ist ein signifikanter Anstieg von Angriffen des Banking-Trojaners Ramnit. Im August 2018 sprang Ramnit auf Platz 6 des Threat Index und ist der am öftesten genutzten Banking-Trojaner. Seit Juni 2018 hat sich der Einsatz von solchen Schädlingen mehr als verdoppelt.

„Dies ist der zweite Sommer in Folge, in dem Kriminelle in zunehmendem Maße Banking-Trojaner einsetzten, um Opfer anzugreifen und schnellen Profit zu machen“, sagt Maya Horowitz, Threat Intelligence Group Manager von Check Point. „Trends wie diese sollte man nicht ignorieren, denn Hacker sind sich sehr wohl bewusst, welche Angriffsvektoren zu einem bestimmten Zeitpunkt mit großer Wahrscheinlichkeit erfolgreich sind. Das lässt vermuten, dass Internet-Nutzer durch ihre Surf-Gewohnheiten in den Sommermonaten für Banking-Trojaner anfälliger sind, und verdeutlicht außerdem, dass böswillige Hacker bei ihren Versuchen, Geld zu erpressen, hartnäckig und raffiniert sind.“

Im August 2018 bleibt der Cryptominer Coinhive, von der 17 Prozent der Organisationen weltweit betroffen sind, die am häufigsten auftretende Malware. Dorkbot und Andromeda liegen auf Platz zwei bzw. drei, jeweils mit einem weltweiten Anteil von 6 Prozent.

Die Top 3 der „Most Wanted“ Malware im August 2018:

*Die Pfeile beziehen sich auf die Veränderung in der Rangliste verglichen mit dem Vormonat.

1. Coinhive: Cryptominer, der entwickelt wurde, um die Kryptowährung Monero zu schürfen, sobald ein Nutzer eine bestimmte Internetseite besucht. Das eingebettete JavaScript nutzt einen Großteil der Rechnerressourcen von Maschinen der Endnutzer, um Münzen zu schürfen und könnte für einen Systemausfall sorgen.
2. ↑ Dorkbot: IRC-basierter Wurm, der Remote-Code-Ausführung durch seinen Betreiber, sowie den Download zusätzlicher Malware auf das infizierte System zulassen soll. Es handelt sich um einen Banking-Trojaner, mit der primären Motivation sensible Daten zu stehlen und Denial-of-Service-Angriffe zu starten.
3. ↑ Andromeda: Modulares Botnetz, das hauptsächlich als Backdoor genutzt wird, um weitere Malware auf infizierten Hosts zu installieren. Andromeda kann modifiziert werden, um verschiedene Botnetz-Typen zu kreieren.

Check Point-Forscher analysierten auch die am häufigsten ausgenutzten Cybersicherheitslücken. An erster Stelle stand CVE-2017-7269, mit weltweiten Auswirkungen von 47 Prozent. An zweiter Stelle lag OpenSSL TLS DTLS Heartbeat Information Disclosure, von der weltweit 41 Prozent betroffen waren, gefolgt von CVE-2017-5638, die global 36 Prozent aller Organisationen kompromittierte.

Die Top 3 der „Most Exploited“ Schwachstellen im August: 

1.  Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Ein Angreifer könnte per Fernzugriff durch Versenden einer manuellen Anfrage über ein Netzwerk an den Microsoft Windows Server 2003 R2 mithilfe der Microsoft Internet Information Services 6.0 einen beliebigen Code ausführen oder auf dem Zielserver eine Denial-of-Service-Situation herbeiführen. Dies ist hauptsächlich auf eine Sicherheitslücke im Pufferüberlauf zurückzuführen, die durch ungenaue Validierung eines langen Headers in der http-Abfrage entstanden ist.
2. ↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): In OpenSSL besteht eine Sicherheitslücke bei der Offenlegung von Informationen. Die Schwachstelle existiert aufgrund eines Fehlers im Umgang mit TLS/DTLS-Heartbeat-Paketen. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Speicherinhalte eines vernetzten Clients oder Servers offenzulegen.
3. ↑ D-Link DSL-2750B Remote Command Execution: In D-Link DSL-2750B Routern wurde eine Remote-Code-Execution-Lücke gemeldet. Die erfolgreiche Ausnutzung könnte auf dem betroffenen System zur Ausführung von beliebigem Code führen.

Check Points Global Threat Impact Index und seine ThreatCloud Map, werden von Check Points ThreatCloud Intelligence betrieben. Es ist das größte Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert. Die Threat-Cloud-Datenbank enthält über 250 Millionen auf Bot-Erkennung untersuchte Adressen, über 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Webseiten. Täglich identifiziert sie Millionen Arten von Malware.

Weitere Informationen zum Thema:

Check Point Blog
Liste der Top-10 Malware-Familien im August 2018

datensicherheit.de, 21.09.2018
Banktrojaner DanaBot mit modularer Architektur in Europa aktiv

datensicherheit.de, 10.08.2018
Banking-Trojaner halten Spitzenplatz im zweiten Quartal 2018

datensicherheit.de, 19.07.2018
Im Juni 2018 50 Prozent mehr Banking-Trojaner unter Bedrohungsakteuren

datensicherheit.de, 11.06.2018
Wandel der Bedrohungslage: Bankentrojaner vor Ransomware

[datensicherheit.de, 01.03.2017] Das Internet vergesse nichts – diese Erfahrung müssten leider auch Sicherheitsanbieter und Ermittlungsbehörden immer wieder machen. Zwar würden die Schlagzeilen von den neuesten Bedrohungen und Abwehrtechniken beherrscht, doch sollte man nicht den Fehler machen, „alte“ Bedrohungen und Taktiken von Cyber-Kriminellen zu unterschätzen. Der totgeglaubte Bankentrojaner „Ramnit“, der 2016 ein wahres Comeback gefeiert habe, sei ein perfektes Beispiel dafür.

2015 Befehls- und Kontrollserver vom Netz genommen

„Ramnit“ treibe seit 2010 sein Unwesen und stehle vertrauliche Informationen wie Kontodaten. Europol habe dem Treiben Einhalt gebieten wollen und im Februar 2015 einige Befehls- und Kontrollserver vom Netz genommen, von denen aus der Trojaner auf den infizierten Rechnern der Anwender gesteuert worden sei. Zu diesem Zeitpunkt seien die Behörden von 3,2 Millionen erfolgreichen Infektionen ausgegangen.

„Ramnit 2.0“ – gefährlicher denn je

Doch nur wenige Monate sei der Schädling wieder aufgetaucht, nämlich im Dezember 2015, und gefährlicher denn je. So nisteten sich die neuen Varianten in alle laufenden Prozesse ein, um permanent im Speicher ausgeführt zu werden, und löschten Registrierungseinträge von Sicherheitslösungen, um nicht entdeckt zu werden.
In der Tat sei „Ramnit“ weltweit gesehen in jedem Quartal 2016 die „Top-Banking-Malware“ gewesen. Selbst in Deutschland, wo das Online-Banking im Vergleich zu anderen Ländern sehr sicher sei, tauche „Ramnit“ auf den vorderen Plätzen der Liste mit Internetbedrohungen auf.

Auch „Dridex“ feiert Wiederauferstehung

Der Infektionsweg sei immer derselbe: Spam-Nachrichten mit Links auf infizierte Webseiten, von denen aus der Schädling auf die Rechner der Anwender heruntergeladen werde.
Bekannte Schadsoftware, bekannter Infektionsweg – es gebe viele solcher Beispiele, die belegten, dass der Kampf gegen Bedrohungen im Netz dem gegen das Schlangenungeheuer „Hydra“ gleiche (haut man ihr den Kopf ab, wachsen zwei neue nach). Der Bankentrojaner „Dridex“ sei übrigens neben „Ramnit“ ein weiterer Fall „wundersamer“ Wiederauferstehung, nachdem er 2015 vom FBI ins Visier genommen worden sei.

Spam-Filter, Wachsamkeit und gesundes Misstrauen empfohlen

Auch wenn heute in der aktuellen Sicherheitsdiskussion viel über IoT-Geräte, Sicherheitslücken und das Aufspüren unbekannter Bedrohungen mittels neuer Technologien wie maschinelles Lernen die Rede sei, dürfe das Alte nicht in Vergessenheit geraten.
Das beste Mittel gegen Risiken wie „Ramnit“-Infektionen sei der gute alte Spam-Filter – neben der Wachsamkeit und einem gesunden Misstrauen der Anwender. Schließlich sollte man niemals auf unbekannte und unaufgefordert zugeschickte Links in E-Mail-Nachrichten klicken.

Mehrschichtige Lösungen, die alte und neue Bedrohungen erkennen und abwehren!

Die Cyber-Kriminellen rüsteten ständig auf. So gleiche der „Ramnit“ von 2016 in vielen Aspekten nicht mehr dem Original von 2010. Gleichzeitig setzten sie jedoch auf Bewährtes und entwickelten nicht nur ständig neuartige Bedrohungen, sondern auch bestehende weiter.
Dementsprechend könnten IT-Sicherheitsanbieter nicht auf eine einzige Abwehrmethode setzen, so innovativ und effektiv sie auch sein mag. Für das beste Schutzniveau sorgten immer noch mehrschichtige Lösungen, die alte und neue Bedrohungen erkennen und abwehren können und sozusagen generationenübergreifend Sicherheitstechnologien in sich vereinen.

Foto: TREND MICRO Deutschland GmbH

Udo Schneider: langjährige Erfahrung als Berater, Trainer und Security-Analyst

Weitere Informationen zum Thema:

TREND MICRO
blog.trendmicro.de / RAMNIT: die Comeback Story des letzten Jahres

datensicherheit.de, 17.01.2017
Ransomware: Gefahr in Deutschland bleibt akut