Die meistgesuchte Malware im April: Cryptomining-Malware, die auf nicht gepatchte Server-Sicherheitslücken abzielt, sagt Check Point

20160817_chkp_graphic

Der neueste Global Threat Index von Check Point zeigt, dass Hacker im April 2018 auf nicht gepatchte Server-Schwachstellen abzielten, um Maschinen zu infizieren und Kryptowährung abzubauen

Singapur, @mcgallen #microwireinfo, 16. Mai 2018 - Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, veröffentlichte seinen neuesten Global Threat Index für April 2018 und enthüllte, dass Cyber-Kriminelle zunehmend auf nicht gepatchte Server-Schwachstellen abzielen diese Computer mit Cryptomining-Malware zu infizieren.

Der April 2018 war der vierte Monat in Folge, in dem Cryptomining-Malware den Top Ten Most Wanted Malware Index von Check Point dominierte. Die Coinhive-Variante belegte mit einer weltweiten Reichweite von 16% weiterhin den Spitzenplatz als am weitesten verbreitete Malware. Cryptoloot - eine weitere Crypto-Mining-Malware - lag mit einer globalen Reichweite von 14% knapp dahinter, während die Roughted Malvertising-Malware an dritter Stelle lag (11%).

Die Forscher von Check Point identifizierten auch einen signifikanten Anstieg eines Trends, der Anfang dieses Jahres einsetzte und bei dem Cyberkriminelle auf nicht gepatchte Server-Schwachstellen in Microsoft Windows Server 2003 (CVE-2017-7269) und Oracle Web Logic (CVE-2017-10271) abzielen. um illegal Kryptowährung abzubauen. Weltweit waren 46% der Unternehmen weltweit auf die Sicherheitsanfälligkeit in Microsoft Windows Server 2003 ausgerichtet, während die Sicherheitsanfälligkeit in Oracle Web Logic knapp dahinter lag und 40% der Unternehmen auf der ganzen Welt ansprach.

"Mit dem stetigen Wachstum von Crypto-Mining-Malware innovieren Cyberkriminelle ihre Techniken, um neue Wege zu finden, um die Maschinen der Opfer auszunutzen und mehr Einnahmen zu erzielen." Maya Horowitz, Leiterin der Threat Intelligence Group am Check Point, kommentierte. "Jetzt, da sie versuchen, Netzwerke mit nicht gepatchten Server-Schwachstellen zu infiltrieren, ist dies eine klare Erinnerung für Unternehmen, dass Sicherheitsgrundlagen - wie das Patchen - entscheidend sind, um sicherzustellen, dass Netzwerke sicher bleiben."

Horowitz fuhr fort: „Es ist beunruhigend, dass so viele Unternehmen von diesen bekannten Sicherheitslücken betroffen waren, zumal Patches für beide seit mindestens 6 Monaten verfügbar sind. Angesichts der Tatsache, dass mehr als 40% der Unternehmen weltweit von diesen Angriffen betroffen waren, ist es wichtig, dass Unternehmen eine mehrschichtige Cybersicherheitsstrategie anwenden, die sowohl vor Cyberangriffen etablierter Malware-Familien als auch vor brandneuen Bedrohungen schützt. “

Die Top 2018 der meistgesuchten April 3:

* Die Pfeile beziehen sich auf die Rangänderung gegenüber dem Vormonat.

  1. Münze - Crypto-Miner wurde entwickelt, um das Online-Mining der Monero-Kryptowährung durchzuführen, wenn ein Benutzer eine Webseite ohne dessen Wissen oder Zustimmung besucht
  2. Cryptoloot - Crypto-Miner, der die CPU- oder GPU-Leistung des Opfers und die vorhandenen Ressourcen verwendet, um Transaktionen zur Blockchain hinzuzufügen und neue Währungen freizugeben.
  3. Überlegt - Malvertising in großem Maßstab zur Bereitstellung verschiedener schädlicher Websites und Nutzdaten wie Betrug, Adware, Exploit-Kits und Ransomware. Es kann verwendet werden, um jede Art von Plattform und Betriebssystem anzugreifen, und verwendet Ad-Blocker-Bypass und Fingerabdruck, um sicherzustellen, dass es den relevantesten Angriff liefert.

Lokibot, ein Android-Banking-Trojaner, der Super-User-Berechtigungen zum Herunterladen von Malware gewährt, war die beliebteste Malware, mit der die mobilen Objekte von Organisationen angegriffen wurden, gefolgt von Triada und Hiddad.

Aprils Top 3 der meistgesuchten mobilen Malware:

  1. Lokibot - Android-Banking-Trojaner und Info-Stealer, der sich auch in eine Ransomware verwandeln kann, die das Telefon sperrt.
  2. Triada - Modulare Backdoor für Android, die Superuser-Berechtigungen für heruntergeladene Malware gewährt.
  3. Hiddad - Android-Malware, die legitime Apps neu verpackt und diese dann an einen Drittanbieter-Store weitergibt.

Check Point-Forscher analysierten auch die am häufigsten ausgenutzten Cyber-Schwachstellen. An erster Stelle stand CVE-2017-7269 mit einer globalen Auswirkung von 46%, gefolgt von CVE-2017-10271, von dem 40% der Unternehmen weltweit betroffen waren. An dritter Stelle stand die SQL-Injection, von der 16% der Unternehmen weltweit betroffen waren.

Die drei häufigsten Sicherheitslücken im April:

  1. Microsoft IIS WebDAV ScStoragePathFromUrl-Pufferüberlauf (CVE-2017-7269) - Durch Senden einer gestalteten Anforderung über ein Netzwerk an Microsoft Windows Server 2003 R2 über Microsoft Internet Information Services 6.0 kann ein Remoteangreifer beliebigen Code ausführen oder Denial-of-Service-Bedingungen auf dem Zielserver verursachen. Dies ist hauptsächlich auf eine Sicherheitsanfälligkeit durch Pufferüberlauf zurückzuführen, die durch eine fehlerhafte Validierung eines langen Headers in einer HTTP-Anforderung verursacht wurde. Ein Patch ist seit März 2017 verfügbar.
  2. Remote-Codeausführung der Oracle WebLogic WLS-Sicherheitskomponente (CVE-2017-10271) - In Oracle WebLogic WLS liegt eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung vor. Dies liegt an der Art und Weise, wie Oracle WebLogic XML-Decodierungen verarbeitet. Ein erfolgreicher Angriff kann zu einer Remotecodeausführung führen. Ein Patch ist seit Oktober 2017 verfügbar.
  3. SQL Injection - Einfügen einer SQL-Abfrage in die Eingabe vom Client in die Anwendung, während eine Sicherheitslücke in der Software einer Anwendung ausgenutzt wird.
    Diese Liste zeigt perfekt, wie Bedrohungsakteure sowohl moderne Techniken (zwei 2017 veröffentlichte Sicherheitslücken) als auch klassische Angriffsmethoden wie SQL-Injection verwenden.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud-Intelligenz von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends von einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank enthält über 250 Millionen Adressen, die für die Bot-Erkennung analysiert wurden, mehr als 11 Millionen Malware-Signaturen und über 5.5 Millionen infizierte Websites und identifiziert täglich Millionen von Malware-Typen.

* Die vollständige Liste der Top 10 Malware-Familien im April finden Sie im Check Point Blog: http://blog.checkpoint.com/2018/05/14/aprils-wanted-malware-cryptomining-malware-targeting-unpatched-server-vulnerabilities

Die Ressourcen zur Bedrohungsprävention von Check Point finden Sie unter: https://www.checkpoint.com/threat-prevention-resources/index.html

Folgen Sie dem Check Point über:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal

Informationen zu Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein weltweit führender Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen. Seine Lösungen schützen Kunden vor Cyber-Angriffen mit einer branchenführenden Fangrate von Malware, Ransomware und anderen Arten von Angriffen. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die die Cloud-, Netzwerk- und Mobilgeräteinformationen von Unternehmen schützt, sowie das umfassendste und intuitivste Sicherheitsmanagementsystem mit einem Kontrollpunkt. Check Point schützt über 100,000 Organisationen aller Größen.

###