Malware-Trends im November 2018

Am Heiligabend gelangweilt hier im Blog gelandet? Da kann ich helfen – ein kleiner Rückblick auf Malware-Trends vom November 2018 kann nicht schaden. In Kurz: Der Global Threat Index des Sicherheitsspezialisten Check Point zeigt den Aufstieg des Emotet Botnets im November (ich hatte berichtet). Aber: Coinhive bleibt den 12. aufeinander folgenden Monat an der Spitze.

Sicherheitsspezialist Check Point veröffentlicht monatlich einen Rückblick auf die globalen Sicherheitstrends in Form eines Global Threat Index. Für November 2018 zeigt der Index, dass das Botnetz von Emotet in die Top-10-Rangliste des Index aufgenommen wurde. Der Trojaner wurde in mehreren Kampagnen, darunter eine Thanksgiving-Kampagne, verbreitet.

Bei der Thanksgiving-Kampagne wurden Malspam-E-Mails in Form von Thanksgiving-Karten mit E-Mail-Betreffzeilen wie „Thanksgiving day wishes", „Thanksgiving wishes" und „the Thanksgiving day congratulation!" verteilt. Diese E-Mails enthielten bösartige Anhänge, oft mit Dateinamen im Zusammenhang mit Thanksgiving. Ziel war es, das Botnetz zu verbreiten und andere Malware und bösartige Kampagnen einzusetzen. Infolgedessen hat sich der globale Einfluss des Emotet Botnets gegenüber Oktober 2018 um 25 Prozent erhöht.

In der Zwischenzeit war der November der erste Jahrestag des Coinhive-Kryptominer. Dieser führt den Global Threat Index seit Dezember 2017 an. In den letzten 12 Monaten waren allein 24 Prozent der Unternehmen weltweit von Coinhive betroffen, während Kryptomining-Malware einen globalen Gesamteinfluss von 38 Prozent hatte.

Während Coinhive nach wie vor beliebt ist und seit einem Jahr die produktivste Malware für Cyberkriminelle ist, hat sich die Zahl der Malware, die zur Bereitstellung zusätzlicher Nutzlasten auf infizierten Computern verwendet werden kann, erhöht. Diese Malware-Arten können aufgrund ihrer Vielseitigkeit die Rendite für Angreifer maximieren.

Die November „Most Wanted"-Top 3:

Die Pfeile markieren die Veränderungen im Vergleich zum Vormonat an.

1. ↑ Emotet – Kryptominer, der die CPU- oder GPU-Leistung des Opfers und vorhandene Ressourcen für das Kryptomining nutzt – Transaktionen zur Blockchain hinzufügt und neue Währungen freigibt. Es ist ein Konkurrent von Coinhive, der versucht, stets im Verborgenen zu agieren, indem er einen geringeren Prozentsatz der Einnahmen aus Websites verlangt.
2. ↔ Coinhive – Kryptominer, der entwickelt wurde, um das Online-Mining der Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine Webseite ohne Wissen des Benutzers besucht oder die Gewinne mit dem Benutzer genehmigt. Das implantierte JavaScript nutzt die großen Rechenressourcen der Endbenutzer, um Münzen zu schürfen und kann damit das System zum Absturz bringen.
3. ↑ Andromeda – Modularer Bot, der hauptsächlich als Hintertür verwendet wird, um zusätzliche Malware an infizierte Hosts zu verteilen, kann jedoch modifiziert werden, um verschiedene Arten von Botnetzen zu erstellen.

Die Forscher von Check Point analysierten auch die am häufigsten ausgenutzten Schwachstellen. CVE-2017-7269 steht mit einer globalen Auswirkung von 48 Prozent der Unternehmen weiterhin an erster Stelle der Liste der am stärksten ausgenutzten Schwachstellen. OpenSSL TLS DTLS Heartbeat Information Disclosure behauptet seinen zweiten Platz mit einem globalen Einfluss von 44 Prozent.  CVE-2016-6309, eine Schwachstelle in der tls_get_message_body-Funktion von OpenSSL steht an dritter Stelle und betrifft 42 Prozent der Unternehmen.

Die im November am meisten ausgenutzten Schwachstellen:

1. ↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269): Durch das Senden einer ausgearbeiteten Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein entfernter Angreifer beliebigen Code ausführen oder eine Denial-of-Service-Abfrage auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Pufferüberlaufschwachstelle zurückzuführen, die durch eine unsachgemäße Validierung eines langen Headers in einer HTTP-Anfrage verursacht wurde.

1. 2.     ↔ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346): Eine Schwachstelle bei der Offenlegung von Informationen, die in OpenSSL aufgrund eines Fehlers beim Umgang mit TLS/DTLS-Heartbeat-Paketen besteht. Ein Angreifer kann diese Schwachstelle nutzen, um Speicherinhalte eines verbundenen Clients oder Servers offenzulegen.

3. ↑ OpenSSL tls_get_message_body Function init_msg Structure Use After Free (CVE-2016-6309) – In der Funktion tls_get_message_body von OpenSSL wurde eine Schwachstelle gemeldet, die nach dem Verlassen des Systems genutzt werden kann. Ein entfernter, nicht authentifizierter Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Nachricht an den anfälligen Server sendet. Die erfolgreiche Ausnutzung ermöglicht es dem Angreifer, beliebigen Code auf dem System auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung der Cyberkriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen für die Bot-Erkennung analysierte Adressen, mehr als 11 Millionen Malware-Signaturen und über 5,5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

Die komplette Most Wanted Malware Top 10 im November finden Sie im Check Point Blog. Check Point's Threat Prevention Ressourcen finden Sie hier.

Ähnliche Artikel
Achtung: Emotet-Malware-Welle gefährdet deutsche Firmen
Mehr zum Malware-Befall im Klinikum Fürstenfeldbruck
Kreisklinik Fürstenfeldbruck: IT durch Virus lahm gelegt
Emotet Trojaner-Infektion bei Kraus-Maffei