[datensicherheit.de, 09.12.2021] Sicherheitsforscher von „Check Point Research“ (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., beobachten nach eigenen Angaben „eine Wiederbelebung des berüchtigten ,Emotet‘-Bot-Netzes durch den Kollegen ,Trickbot‘“. Beide hätten schon in der Vergangenheit zusammengearbeitet und so sei es nicht verwunderlich, dass die Abschaltung von „Emotet“ nur zeitweise möglich gewesen sei.

Foto: Check Point

Lotem Finkelstein berichtet über aktuelle Erkenntnisse bezüglich Emotet-Ransomware

Emotet einst als gefährlichste Ransomware der Welt betitelt

„Emotet“ sei einst als „gefährlichste Ransomware der Welt“ betitelt worden – nun schätzt CPR die Zahl der „Trickbot“-“Emotet“-Opfer „in nur zehn Monaten auf 140.000 Menschen, verteilt auf 149 Länder“. Neue, über „Trickbot“ verbreitete „Emotet“-Varianten seien von CPR am 15. November 2021 entdeckt worden – zehn Monate nach dem Zugriff der Behörden und dem vermeintlichen Ende dieses Bot-Netzes.
Dies sei ein deutlicher Indikator für eine Flut von Ransomware-Angriffen, da solche Bot-Netze vor allem Ransomware-Banden eine Hintertür öffneten.

• Portugal und die USA seien die Hauptziele von „Trickbot“.
• Die wichtigsten der getroffenen Branchen seien Behörden, das Finanzwesen und die Industrie.
• „Trickbot“ stütze sich bei der Verbreitung stark auf eine kleine Anzahl von IP-Adressen.

Comeback von Emotet ein Warnzeichen: Zunahme der Ransomware-Angriffe im Jahr 2022 zu erwarten

„,Emotet‘ war das stärkste Bot-Netz in der Geschichte der Cyber-Kriminalität. Nun hat es sein starkes Fundament an andere Hacker verkauft, um die Malware schnell zu verbreiten, zumeist an Ransomware-Banden. Das Comeback von ,Emotet‘ ist ein Warnzeichen bezüglich eines weiteren Anstiegs der Ransomware-Angriffe im Jahr 2022, unser bester Indikator“, sagt Lotem Finkelstein, „Head of Threat Intelligence“ bei Check Point Software und warnt.
Die „Trickbot“-Malware, welche stets mit „Emotet“ zusammengearbeitet habe, erleichtere die Wiederkehr des Bot-Netzes, weil es diesem bei der Verbreitung helfe. So starte „Emotet“ von einer sehr soliden Position, statt bei null. In nur zwei Wochen sei „Emotet“ damit zur siebtbeliebtesten Malware weltweit geworden – „wie in unserer globalen Liste der Top-Malware zu sehen ist“.
Finkelstein rät abschließend: „Wir sollten außerdem mit ,Emotet‘- und ,Trickbot‘-Infektionen so umgehen, als handele es sich um Ransomware selbst, denn andernfalls ist es nur eine Frage der Zeit, bis es zu einem echten Ransomware-Angriff kommt“.

Weitere Informationen zum Thema:

Check Point SOFTWARE TECHNOLOGIES LTD.
Trickbot Rebirths Emotet: 140,000 Victims in 149 Countries in 10 Months

datensicherheit.de, 18.11.2021
Erfolgreiche Geschäftsmodelle bleiben: Emotet meldet sich zurück / Im Januar 2021 hatte Europol gemeldet, die Infrastruktur und Täter der Emotet-Gruppe identifiziert zu haben

datensicherheit.de, 15.11.2021
G DATA warnt: Emotet ist zurück / Emotet war über Jahre hinweg Cybercrime-Allzweckwaffe

datensicherheit.de, 29.01.2021
Folgen noch unklar: Ermittlungsbehörden versetzten Emotet schweren Schlag / Hoffnung keimt auf, dass es schwer für das kriminelle Netz hinter Emotet wird, sich von dieser Niederlage zu erholen

[datensicherheit.de, 28.01.2021] Der „Takedown“ des „Emotet“-Botnetzes sei ein „empfindlicher Schlag gegen Cybercrime“ – indes wohl nur eine „Verschnaufpause für Unternehmen“. Daher sollten Unternehmen die nun so gewonnene Zeit nutzen und ihre Sicherheitsstrategie überprüfen, empfiehlt Tim Berghoff, „Security Evangelist“ bei G DATA.

Foto: G DATA

Tim Berghoff: Gratulation an das BKA, die ZIT und alle Beteiligten zu der sehr erfolgreichen Operation!

Neu-Infektionen mit Emotet – der Allzweckwaffe des Cybercrime – vorerst unterbunden

In einer koordinierten Aktion nationaler und internationaler Ermittlungsbehörden sei das international operierende Botnetz hinter der „Emotet“-Malware zerschlagen worden. Damit sei die Infrastruktur hinter „der Allzweckwaffe des Cybercrime“ nicht mehr funktional – und Unternehmen vorerst vor einer Infektion durch „Emotet“ geschützt.
Bereits erfolgte Infektionen seien aber auch nach der erfolgreichen Aktion nicht bereinigt: „Wer eine Warnung durch das BSI erhalten hat, sollte diese nach wie vor ernstnehmen.“
Berghoff betont: „Wir gratulieren dem BKA, der ZIT und allen Beteiligten zu der sehr erfolgreichen Operation. Die Welt ist durch diese Aktion ein Stück sicherer geworden. Die IT-Sicherheitslage bleibt zwar angespannt, aber allen IT-Verantwortlichen in Unternehmen dürfte ein Stein vom Herzen fallen.“

Wiederaufbau der Emotet-Infrastruktur möglich – wird aber Zeit und Geld kosten

Es sei nicht auszuschließen, dass die Gruppen hinter „Emotet“ das Netzwerk in den kommenden Monaten oder Jahren wiederaufbauen würden – doch dies werde viel Zeit und Geld kosten. „Diese Zeit sollten Unternehmen nutzen, ihre eigene IT-Sicherheitsstrategie zu überprüfen und gegebenenfalls anzupassen“, rät Berghoff.
„Emotet“ sei als „Allzweckwaffe des Cybercrime“ die mit Abstand gefährlichste Bedrohung für Unternehmen. Im vergangenen Jahr, 2020, hätten die Experten von G DATA über 800.000 Samples dieser Schadsoftware identifiziert.
„Emotet“ fungiere quasi als Türöffner und lade nach einer erfolgreichen Infektion des Systems weiteren Schadcode nach. Dabei handele es sich meist um Verschlüsselungstrojaner wie „Ryuk“ oder „Trickbot“. G DATA CyberDefense beobachtet „Emotet“ nach eigenen Angaben seit vielen Jahren „rund um die Uhr“, um Kunden bestmöglich vor dieser Gefahr zu schützen. Die G DATA Gruppe stelle ihre Fähigkeiten im Bereich Malware-Analyse und IT-Forensik regelmäßig auch Ermittlungsbehörden und betroffenen Unternehmen zur Verfügung.

Weitere Informationen zum Thema:

datensicherheit.de, 22.10.2020
Emotet: Varianten ohne Ende

[datensicherheit.de, 02.08.2020] Schon mehrere Meldungen der letzten Zeit warnten vor der Rückkehr einer Schadsoftware: Offensichtlich ist „Emotet“ nach einer fünfmonatigen Pause zurück. Nach aktuellen Erkenntnissen der Rohde & Schwarz Cybersecurity GmbH scheinen nun „besonders die Vereinigten Staaten und Großbritannien ins Visier der Angreifer geraten zu sein“.

Abbildung: Rohde & Schwarz Cybersecurity GmbH

E-Book zur Emotet-Problematik und zu Schutzmaßnahmen

Emotet sucht Eintritt in Netzwerke via Phishing-Mails

Bei der ersten Angriffswelle am 17. Juli seien 250.000 E-Mails verschickt worden, um diese Schadsoftware zu verbreiten. Es bleibe wohl dabei, dass „Emotet“ den Eintritt in die Netzwerke via Phishing-Mails versucht. Diese kämen mit einem Anhang samt Makro.

Emotet aktiviert Verbindung zum C&C-Server der Cyber-Kriminellen

„Aktiviert der Empfänger dieses Makro, wird die Verbindung zum C&C-Server (Command & Control Server) der Angreifer aktiv.“ Dann hätten die Cyber-Kriminellen die Chance, sich im Netzwerk auszubreiten.

Emotet bringt auch noch Trickbot und Ryuk mit

Es werde dann weitere Schadsoftware nachgeladen. Dazu gehöre „Trickbot“, der es auf „Credentials“ abgesehen habe. Zum Schluss komme „Ryuk“ zum Einsatz – eine Ransomware. Diese sorge im schlimmsten Fall dafür, dass alle Daten verschlüsselt werden.

Hohe Erfolgsquote der Emotet-Phishing-Attacke befürchtet

Bei so einer enormen Anzahl von E-Mails sei anzunehmen, dass die Erfolgsquote hoch ausfallen werde, besonders weil diese Fake-Mails kaum von legitimen E-Mails zu unterscheiden seien.

Empfehlungen für Opfer von Emotet

Wer Opfer von „Emotet“ wurde, sollte laut Rohde & Schwarz Cybersecurity folgende generellen Empfehlungen beachten:

• Nehmen Sie alle Rechner vom Netz!
• Identifizieren Sie alle infizierten Rechner!
• Nehmen Sie kompromittierte Accounts dauerhaft vom Netz!
• Setzen Sie alle infizierten Rechner neu auf!

Online-Seminar-Aufzeichnung zu Emotet

In einem aufgezeichneten Online-Seminar geht Rohde & Schwarz Cybersecurity auf die aktuelle Bedrohung durch „Emotet“ ein:

• Lernen Sie „Emotet“ und seine Historie genauer kennen!
• Wie sieht ein Angriff mit „Emotet“ konkret aus?
• Erfahren Sie, welche Schutzmaßnahmen Sie im Vorfeld ergreifen sollten!
• Lernen Sie unsere Lösungen kennen, mit denen Sie sich vor „Emotet“ schützen!

E-Book zu Emotet, Phishing & Co.

Wer sich in die Thematik einlesen möchte, dem empfiehlt Rohde & Schwarz Cybersecurity abschließend ein E-Book:

• Zusammenfassung der Problematik.
• Informationen zu „Emotet, Phishing & Co.“
• Wie man sich effektiv schützen kann.

Weitere Informationen zum Thema:

RS ROHDE&SCHWARZ
Emotet & Co. – Warum Sie sich keine Sorgen machen müssen

RS ROHDE&SCHWARZ
Emotet, Phishing & Co.

datensicherheit.de, 28.07.2020
Bösartige Dateianhänge: Emotet erinnert wieder an die Gefahr / Angesichts neuer Emotet-Welle warnt REDDOXX vor Makros in E-Mails

datensicherheit.de, 23.07.2020
Emotet droht: BKA warnt vor neuer Spamwelle / Wiederauftauchen der „grauen Eminenz der Malware“ – weiterentwickelter Emotet

[datensicherheit.de, 15.05.2020] Nach Meldungen verschiedener Medien wurden beginnend im Januar bis heute zahlreiche Supercomputer in europäischen Universitäten über Cyberangriffe infiltriert (Der Spiegel berichtet von 9). Nicht wenige wie Golem berichten, dass die Angreifer externe SSH-Zugänge gekapert haben, um sich Zugriff zu verschaffen. Was sie dort mit der Rechenkapazität tun und anstellen wollen, ist bislang noch unklar. Bislang wurden anscheinende nur Zugangsdaten abgefangen. Interessant ist aber, dass diese spektakuläre Angriffskampagne nur die jüngste in einer ganzen Reihe ist, die SSH als Angriffsvektor nutzen. Hierzu eine kurze Liste der jüngsten Malware, die sich SSH bedient, darunter Crimeware, Kryptominer, ein Wurm und Rootkits:

• TrickBot: Ursprünglich ein Banking-Trojaner, der 2016 erstmals auftauchte, wurde TrickBot zu einer flexiblen, universellen, modulbasierten Crimeware-Lösung, die sich im Laufe der Jahre auf Unternehmensumgebungen verlagert hat. TrickBot wird Cyberkriminellen als Dienst für verschiedene Zwecke angeboten, und seine Module sind auf die Bedürfnisse einer bestimmten kriminellen Aktivität ausgerichtet. Es umfasst viele Funktionen, von der Erstellung von Netzwerkprofilen, der Sammlung von Massendaten und der Einbindung von seitlich durchlaufenden Exploits. Im letzten Jahr hat TrickBot die Möglichkeit hinzugefügt, Berechtigungsnachweise sowohl für PuTTY (SSH-Client für Microsoft) als auch für OpenSSH zu erfassen. Zusätzlich zu den Berechtigungsnachweisen ist die Malware so konzipiert, dass sie nach Informationen über den Hostnamen und den Benutzernamen sucht, um sich seitlich (lateral) zu bewegen.
• KryptoSink: Diese Kryptomining-Kampagne nutzt eine fünf Jahre alte Schwachstelle (CVE-2014-3120) in Elasticsearch-Systemen auf Windows- und Linux-Plattformen aus, um die XMR-Kryptowährung abzubauen. CryptoSink erzeugt eine Hintertür zum Zielserver, indem der öffentliche Schlüssel des Angreifers der autorisierten Schlüsseldatei auf dem Rechner des Opfers hinzugefügt wird.
  Linux-Wurm: Dieser Wurm zielt auf anfällige Exim-Mail-Server auf Unix-Link-Systemen, um Monero-Kryptowährungs-Miner zu liefern. Der Wurm erstellt eine Hintertür zum Server, indem er seinen eigenen öffentlichen SSH-Schlüssel hinzufügt und den SSH-Server aktiviert, falls dieser deaktiviert ist.
• Skidmap: Hierbei handelt es sich um ein Kernel-Modus-Rootkit, das durch Hinzufügen des öffentlichen SSH-Schlüssels des Angreifers zu der autorisierten Schlüsseldatei Zugriff auf eine Hintertür zu einem Zielrechner erhält. Skidmap nutzt Ausnutzungen, Fehlkonfigurationen oder die Exposition gegenüber dem Internet, um Root- oder administrativen Zugriff auf das System zu erhalten und Kryptomining-Malware abzuwerfen.

Yana Blachman, Threat Intelligence Forscherin und Expertin für SSH bei Venafi, Bild: Venafi

Yana Blachman, Threat Intelligence Forscherin und Expertin für SSH bei Venafi kommentiert diese Entwicklungen wie folgt:

„Der Angriff auf die Supercomputer in Europa ist Teil einer wachsenden Zahl von Angriffskampagnen, die in jüngster Zeit weltweit auf SSH-Maschinenidentitäten abzielen. Diese werden zur Automatisierung von Kontrolle und Arbeitslasten verwendet und können den Zugriff auf die kritischsten Systeme und Informationen der Organisation ermöglichen und daher für Angreifer sehr wertvoll werden.

Die Gültigkeit von SSH-Maschinenidentitäten laufen nie ab, und die meisten Organisationen welchseln sie nicht rotierend aus. Deshalb ist es nicht überraschend, dass sie ein begehrtes Ziel für Angreifer sind, um möglichst lange im Netzwerk zu bleiben, sich darin zu bewegen und weitere Ziele zu infiltrieren.

Die Angriffskette, zu der die Supercomputer in Europa gehören, zeigt wie sehr die SSH-Maschinenidentitäten für Angreifer im Verlauf ihres Angriffs zugänglich sind und von Unternehmen nicht sicher verwaltet werden. Solange Unternehmen keine vollständige Sichtbarkeit und Inventarisierung über Rechenzentren und die Cloud hinweg haben und nicht über Richtlinien und automatisierte Rotationsprozesse verfügen, werden die Angreifer sie weiterhin ins Visier nehmen und ausnutzen, wenn sie schlecht verwaltet werden.“

Weitere Informationen zum Thema:

datensicherheit.de, 19.02.2020
Maschinenidentitäten: Drei Tipps und Tricks zur Erneuerung, Neuausstellung und Widerrufung

datensicherheit.de, 14.07.2019
Fünf Risiken von Maschinenidentitäten

[datensicherheit.de, 16.07.2019] Jelle Wieringa, „Security Awareness Advocate“ bei KnowBe4, kommentiert die Aufdeckung einer Malware-Variante von „Trickbot“ mit der Betźeichnung „TrickBooster“. Demnach berichtet das US-IT-Portal „Engadget“, dass eine Variante der „TrickBot“-Malware, von der Sicherheitsfirma „Deep Instinct TrickBooster“ genannt, in letzter Zeit bis zu 250 Millionen E-Mail-Konten kompromittiert haben könnte. Unter den gestohlenen Datensätzen sollen sich einige befinden, die von Mitarbeitern in den Regierungen der USA, Großbritannien und Kanada genutzt werden. Diese Malware selbst sei nicht neu, denn sie sei 2016 das erste Mal entdeckt worden.

Foto: KnowBe4

Jelle Wieringa: „Menschliche Firewall“ zur Abwehr von Social-Engineering-Attacken empfohlen

Von übernommenen E-Mail-Konten bösartige Spam-E-Mails versendet

Von den übernommenen E-Mail-Konten seien bösartige Spam-E-Mails versendet und die gesendeten Nachrichten sowohl aus dem Postausgang als auch aus dem Papierkorb gelöscht worden.
Wieringa: „Die Angreifer scheinen vor allem ihre eigene Malware ,TrickBooster‘ weiterverbreitet zu haben. Die von der Sicherheitsfirma gefundene Datenbank enthielt mehr als 25 Millionen ,Gmail‘-Adressen, 19 Millionen ,Yahoo.com‘-Adressen und elf Millionen ,Hotmail.com‘-Adressen.“ Darüber hinaus seien auch AOL, MSN und Yahoo Großbritannien betroffen gewesen.

TrickBooster erstmals am 25. Juni 2019 entdeckt

Laut dem US-IT-Portal „TechCrunch“ sei „TrickBooster“ erstmals am 25. Juni 2019 entdeckt worden. Die Entdecker hätten derweil weitere Untersuchungen angestellt und die Informationen mit den Strafverfolgungsbehörden geteilt.
„Diese neue Malware-Variante und vor allem ihr Erfolg sind beunruhigend, denn wie die Sicherheitsfirma es ausdrückt, ist ,TrickBooster‘ eine mächtige Ergänzung zu dem bereits jetzt schon riesigen Arsenal an Tools der Erschaffer von ,TrickBot‘‘‘, so Wieringa.

Security-Awareness-Training mit Phishing-Tests empfohlen

Es sei sehr schwierig, „sich gegen Spam-E-Mails zu schützen, die versuchen mit Social-Engineering-Attacken Mitarbeiter und Verbraucher dazu zu bringen auf infizierte Links zu klicken“. Der beste Weg, um sich als Unternehmen gegen solche Angriffe zu schützen, sei der Aufbau einer „menschlichen Firewall“. Dafür müssten sich alle Mitarbeiter einem fortgeschrittenen Security-Awareness-Training mit regelmäßig durchgeführten simulierten Phishing-Tests unterziehen.
Diese Trainings unterstützten dabei, bösartige E-Mails und Webinhalte zu erkennen. Verbunden mit den Erfahrungswerten, die Mitarbeiter im Laufe der Zeit im Umgang mit diesen Angriffen entwickelt hätten, erhöhten sich die Chancen für eine erfolgreiche Abwehr eines Angriffs deutlich.

Weitere Informationen zum Thema:

TC, 12.07.2019
TrickBot malware learns how to spam, ensnares 250M email addresses

datensicherheit.de, 08.07.2019
Tippverhalten-basierte Sicherheitslösung sind zu kompromittieren

datensicherheit.de, 27.06.2019
Hacker: Mehr als 10 weltweit tätige Telekommunikationsanbieter infiltriert

datensicherheit.de, 14.06.2019
Empfehlungen für den Aufbau eines Sicherheitsbewusstseins in Unternehmen

datensicherheit.de, 14.05.2019]
Trickbot: Cyber-Kriminelle setzen auf bewährten Banking-Trojaner

[datensicherheit.de, 14.05.2019] Nach eigenen Angaben bestätigen Sicherheitsforscher aus dem Hause Check Point die Rückkehr von „Trickbot“ – einem Mehrzweck-Banking-Trojaner. Außerdem rückt laut Check Point mit „Pony“ ein weiterer Info-Stealer auf Platz 3 vor.

Trickbot: Bankdaten sammeln und Steuerdokumente stehlen

Die Check Point® Software Technologies Ltd. hat den neuesten „Global Threat Index“ für April 2019 veröffentlicht. Nach vielen Monaten verlieren demnach Ransomware und Kryptominer erstmals an Boden, denn der Banking-Trojaner „Trickbot“ sei nach fast zwei Jahren zurück unter den obersten Drei des Index.
Mehrzweck-Banking-Trojaner wie „Trickbot“ seien eine „beliebte Wahl aller Cyber-Kriminellen, die auf große Geldgewinne hoffen“. „Trickbot“-Einsätze hätten im April 2019 stark zugenommen, angeführt von einer Spam-Kampagne zum „US-amerikanischen Steuertag“, der mit der Frist für die Einkommensteuererklärung in den Vereinigten Staaten zusammenfalle. In Spam-Nachrichten seien „Excel“-Dokumente als Dateianhänge verbreitet worden, hinter denen sich „Trickbot“ versteckt habe, um auf die Computer der Opfer heruntergeladen zu werden. Kaum geschehen, habe sich der Banking-Trojaner über Netzwerke verbreitet, um Bankdaten zu sammeln und Steuerdokumente für betrügerische Zwecke zu stehlen.

Pony: Info-Stealer in Top 3 aufgestiegen

Diese Rückkehr des eigentlich sehr alten Banking-Trojaners „Trickbot“ verdeutliche die Verlagerung der Taktiken, mit denen Kriminelle ihre finanziellen Erträge aus Kampagnen maximierten: Mehrere beliebte Kryptomining-Dienste seien vom Netz gegangen und die Werte von Kryptowährungen im vergangenen Jahr, 2018, stetig gesunken. Nun griffen die Kriminellen wieder auf bewährte Methoden zurück.
Neben „Trickbot“, der es auf die Bankkonten abgesehen habe, steige mit „Pony“ passenderweise ein Info-Stealer in die Top 3 auf. Auch dieser sei sehr alt und erfahre nun eine Wiederbelebung durch Internet-Kriminelle, um Nutzerdaten und Zugangsinformationen zu stehlen, oder sogar von Rechner zu Rechner zu hüpfen, um ein Botnetz anzulegen.

Verbreitung der „Ryuk“-Ransomware

Maya Horowitz, „Threat Intelligence and Research Director“ bei Check Point, kommentiert: „In diesem Monat haben es sowohl ,Trickbot‘ als auch der Dauerbrenner ,Emotet‘ unter die Top 3 der Malware-Liste geschafft.“ Dies sei besonders beunruhigend, da beide Botnets heutzutage nicht nur zum Stehlen privater Daten und Zugangsinformationen, sondern auch zur Verbreitung der „Ryuk“-Ransomware verwendet würden.
„Ryuk“ sei bekannt dafür, dass er auf Vermögenswerte wie Datenbanken und Backup-Server ziele und ein Lösegeld bis über einer Million US-Dollar verlange. „Da sich diese Malware ständig weiterentwickelt, ist es wichtig, eine robuste Verteidigungslinie gegen sie aufzubauen, die eine fortschrittliche Bedrohungsabwehr bietet“, so Horowitz.

Top 3 „Most Wanted Malware“ im April 2019 lt. Check Point:

„Emotet“ – ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Früher als Banking-Trojaner eingesetzt, dient er derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.

↑ „Trickbot“ – ist eine „Dyre“-Variante, seit Oktober 2016 auf dem Markt. Seitdem hat sich der Banking-Trojaner auf Bankkunden vor allem in Australien und Großbritannien konzentriert. Vor Kurzem gerieten auch Indien, Singapur und Malaysia ins Visier, nun folgt Deutschland.

↑ „Pony“ – ein Info-Stealer, in erster Linie entwickelt, um Benutzerdaten von infizierten „Windows“-Plattformen zu stehlen und sie an einen C&C-Server zurückzusenden. Auch bekannt als „Pony Stealer“, „Pony Loader“, „FareIT“ u.a. „Pony“ gibt es seit 2011 und bis uns Jahr 2013 wurde der Quellcode öffentlich gemacht, so dass sich dezentrale Versionen entwickeln konnten. Die vielfältigen Funktionen ermöglichen es Angreifern nicht nur, System- und Netzwerkaktivitäten zu überwachen oder zusätzliche Malware herunterzuladen und zu installieren, sondern auch weitere Rechner zu infizieren, um ein Botnet anzulegen. Aufgrund seiner dezentralen Struktur wurde „Pony“ hinter zahlreichen, unterschiedlichen Angriffsvektoren erkannt.

Die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert

Die Sicherheitsforscher von Check Point hätten auch die am häufigsten ausgenutzten Cyber-Schwachstellen analysiert. „OpenSSL TLS DTLS Heartbeat Information Disclosure Exploits“ liege vorne mit einer globalen Auswirkung auf 44 Prozent der Unternehmen.
Zum ersten Mal nach zwölf Monaten sei „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269) vom ersten Platz abgefallen, habe aber stattliche 40 Prozent der Unternehmen betroffen, gefolgt vom Neuling „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) mit einem globalen Einfluss von 38 Prozent der Unternehmen auf der ganzen Welt.

Top 3 „Most Exploited“-Schwachstellen im März 2019 lt. Check Point:

↑ „OpenSSL TLS DTLS Heartbeat Information Disclosure“ (CVE-2014-0160; CVE-2014-0346) – eine Schwachstelle zur Offenlegung von Informationen, die in „OpenSSL“ aufgrund eines Fehlers beim Umgang mit „TLS/DTLS-Heartbeat“-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

↓ „Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow“ (CVE-2017-7269): Durch das Senden einer Anforderung über ein Netzwerk an den „Microsoft Windows Server 2003 R2“ und über die „Microsoft Internet Information Services 6.0“ kann ein Angreifer von außen einen beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Schwachstelle im Puffer-Overflow zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

↑ „Apache Struts2 Content-Type Remote Code Execution“ (CVE-2017-5638) – in den „Apache Struts2“ mit „Jakarta Multipart Parser“ besteht eine Sicherheitslücke bei der Ausführung von Remote-Code. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er einen ungültigen Inhaltstyp als Teil einer Datei-Upload-Anfrage sendet. Eine erfolgreiche Ausnutzung kann zur Ausführung von beliebigem Code auf dem betroffenen System führen.

„ThreatCloud Intelligence“ zur Bekämpfung der Cyber-Kriminalität

Der „Global Threat Impact Index“ und die „ThreatCloud Map“ von Check Point basierten auf der „ThreatCloud Intelligence“ von Check Point, „dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität“, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefere.
Die „ThreatCloud“-Datenbank enthält laut Check Point über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als elf Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites. Außerdem identifiziere es täglich mehrere Millionen von Malware-Typen.

© Check Point

Maya Horowitz: Sowohl „Trickbot“ als auch der Dauerbrenner „Emotet“ unter die Top 3 der Malware-Liste

Weitere Informationen zum Thema:

datensicherheit.de, 24.04.2019
Ransomware: BSI warnt vor gezielten Angriffen auf Unternehmen

datensicherheit.de, 18.03.2019
PSW GROUP warnt: Trojaner Emotet gefährlicher denn je

datensicherheit.de, 15.01.2019
Checkpoint stellt die ‘Most Wanted‘-Malware des Monats Dezember 2018 vor

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner