Hüten Sie sich vor dem Wiederaufleben des Emotet-Botnetzes

Foto von Philipp Katzenberger auf Unsplash

Anmerkung des Herausgebers: Gerade als wir das Emotet-Botnetz für eine vergangene Ära hielten, scheint es gleich wieder auf die Beine zu kommen. Dies ist eine faire Warnung für Cybersicherheitspraktiker, dass die Bösewichte immer wieder unermüdlich versuchen, unsere Netzwerke und Systeme zu zerstören. Die Pressemitteilung des Anbieters finden Sie weiter unten.

Die meistgesuchte Malware im Juli 2020: Emotet schlägt nach fünf Monaten Abwesenheit erneut zu

Check Point Research stellt fest, dass die Verbreitung von Spam-Kampagnen im Emotet-Botnetz nach einer gewissen Zeit der Inaktivität stark zunimmt, um Bankdaten zu stehlen und sich in zielgerichteten Netzwerken zu verbreiten

SINGAPUR, @mcgallen #microwireinfo, 11. August 2020 - Check Point Research, der Threat Intelligence-Arm von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersicherheitslösungen, hat seinen neuesten globalen Bedrohungsindex für Juli 2020 veröffentlicht. Forscher stellten fest, dass Emotet nach fünfmonatiger Abwesenheit wieder auf den ersten Platz im Index zurückgekehrt ist und 1% beeinflusst. von Organisationen weltweit.

Seit Februar 2020 verlangsamten sich die Aktivitäten von Emotet - hauptsächlich das Versenden von Wellen von Malspam-Kampagnen - und hörten schließlich auf, bis sie im Juli wieder auftauchten. Dieses Muster wurde 2019 beobachtet, als das Emotet-Botnetz während der Sommermonate seine Aktivität einstellte, aber im September wieder aufgenommen wurde.

Im Juli verbreitete Emotet Malspam-Kampagnen und infizierte seine Opfer mit TrickBot und Qbot, mit denen Bankdaten gestohlen und innerhalb von Netzwerken verbreitet werden. Einige der Malspam-Kampagnen enthielten schädliche Dokumentdateien mit Namen wie "form.doc" oder "rechnung.doc". Laut Forschern startet das schädliche Dokument eine PowerShell, um die Emotet-Binärdatei von Remote-Websites abzurufen, Maschinen zu infizieren und sie dem Botnetz hinzuzufügen. Die Wiederaufnahme der Aktivitäten von Emotet unterstreicht das Ausmaß und die Leistungsfähigkeit des Botnetzes weltweit.

„Es ist interessant, dass Emotet Anfang dieses Jahres einige Monate lang inaktiv war und ein Muster wiederholte, das wir erstmals 2019 beobachtet haben. Wir können davon ausgehen, dass die Entwickler hinter dem Botnetz seine Funktionen und Fähigkeiten aktualisiert haben. Da das Unternehmen jedoch wieder aktiv ist, sollten Unternehmen die Mitarbeiter darüber informieren, wie sie die Arten von Malspam identifizieren können, die diese Bedrohungen tragen, und vor dem Risiko warnen, E-Mail-Anhänge zu öffnen oder auf Links aus externen Quellen zu klicken. Unternehmen sollten sich auch mit der Bereitstellung von Anti-Malware-Lösungen befassen, die verhindern können, dass solche Inhalte die Endbenutzer erreichen “, sagte Maya Horowitz, Director, Threat Intelligence & Research, Produkte bei Check Point.

Das Forschungsteam warnt außerdem davor, dass „MVPower DVR Remote Code Execution“ die am häufigsten ausgenutzte Sicherheitsanfälligkeit ist und 44% der Unternehmen weltweit betrifft, gefolgt von „OpenSSL TLS DTLS Heartbeat Information Disclosure“, die 42% der Unternehmen weltweit betrifft. "Command Injection Over HTTP Payload" steht an dritter Stelle mit einer globalen Auswirkung von 38%.

Top-Malware-Familien

* Die Pfeile beziehen sich auf die Rangänderung gegenüber dem Vormonat.

In diesem Monat ist Emotet die beliebteste Malware mit einer weltweiten Auswirkung von 5% der Unternehmen, dicht gefolgt von Dridex und Agent Tesla, von denen jeweils 4% der Unternehmen betroffen sind.

  1. ↑ Emote - Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet war ursprünglich ein Banking-Trojaner, wird aber kürzlich als Vertreiber anderer Malware oder bösartiger Kampagnen verwendet. Es werden mehrere Methoden zur Aufrechterhaltung der Persistenz- und Ausweichtechniken verwendet, um eine Erkennung zu vermeiden. Darüber hinaus kann es über Phishing-Spam-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↑ Dridex - Dridex ist ein Trojaner, der auf die Windows-Plattform abzielt und Berichten zufolge über einen Spam-E-Mail-Anhang heruntergeladen wird. Dridex kontaktiert einen Remote-Server und sendet Informationen über das infizierte System. Es kann auch beliebige Module herunterladen und ausführen, die vom Remote-Server empfangen werden.
  3. ↓ Agent Tesla - Agent Tesla ist eine fortschrittliche RAT, die als Keylogger und Informationsdiebstahl fungiert und in der Lage ist, die Tastatureingaben des Opfers, die Systemzwischenablage, Screenshots und das Herausfiltern von Anmeldeinformationen einer Vielzahl von auf dem Computer eines Opfers installierten Software (einschließlich Google Chrome) zu überwachen und zu erfassen. Mozilla Firefox und Microsoft Outlook E-Mail-Client).

Top ausgenutzte Schwachstellen

In diesem Monat ist „MVPower DVR Remote Code Execution“ die am häufigsten ausgenutzte Sicherheitsanfälligkeit und betrifft 44% der Unternehmen weltweit, gefolgt von „OpenSSL TLS DTLS Heartbeat Information Disclosure“, von der 42% der Unternehmen weltweit betroffen sind. "Command Injection Over HTTP Payload" steht an dritter Stelle mit einer globalen Auswirkung von 38%.

  1. ↑ MVPower DVR Remote Code Execution - Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die in MVPower-DVR-Geräten besteht. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um über eine gestaltete Anforderung beliebigen Code im betroffenen Router auszuführen.
  2. ↓ Offenlegung von OpenSSL TLS DTLS-Herzschlaginformationen (CVE-2014-0160; CVE-2014-0346) - Eine in OpenSSL vorhandene Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen. Die Sicherheitsanfälligkeit ist auf einen Fehler bei der Verarbeitung von TLS / DTLS-Heartbeat-Paketen zurückzuführen. Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um den Speicherinhalt eines verbundenen Clients oder Servers offenzulegen.
  3. ↑ Befehlsinjektion über HTTP-Nutzdaten - Es wurde eine Befehlsinjektion über eine HTTP-Payload-Sicherheitsanfälligkeit gemeldet. Ein entfernter Angreifer kann dieses Problem ausnutzen, indem er eine speziell gestaltete Anfrage an das Opfer sendet. Eine erfolgreiche Ausnutzung würde es einem Angreifer ermöglichen, beliebigen Code auf dem Zielcomputer auszuführen.

Top-Familien für mobile Malware

Diesen Monat ist xHelper die beliebteste Malware, gefolgt von Necro und PreAMo.

  1. xHelper - Eine bösartige Anwendung, die seit März 2019 in freier Wildbahn eingesetzt wird und zum Herunterladen anderer schädlicher Apps und zum Anzeigen von Werbung verwendet wird. Die Anwendung kann sich vor dem Benutzer verstecken und sich selbst neu installieren, falls sie deinstalliert wurde.
  2. Necro - Necro ist ein Android Trojan Dropper. Es kann andere Malware herunterladen, aufdringliche Anzeigen schalten und Geld stehlen, indem bezahlte Abonnements berechnet werden.
  3. PreAMo - PreAmo ist eine Android-Malware, die den Benutzer nachahmt, indem Sie auf Banner klicken, die von drei Werbeagenturen abgerufen wurden - Presage, Admob und Mopub.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud-Intelligenz von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends von einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank überprüft täglich über 2.5 Milliarden Websites und 500 Millionen Dateien und identifiziert täglich mehr als 250 Millionen Malware-Aktivitäten.

Die vollständige Liste der Top 10 Malware-Familien im Juli finden Sie auf der Check Point Blog.

Die Ressourcen zur Bedrohungsprävention von Check Point finden Sie unter  http://www.checkpoint.com/threat-prevention-resources/index.html

Über Check Point Research
Check Point Research bietet Check Point Software-Kunden und der größeren Intelligence-Community führende Informationen zu Cyber-Bedrohungen. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf ThreatCloud gespeichert sind, um Hacker in Schach zu halten und sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzfunktionen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.

Folgen Sie Check Point Research über:

Informationen zu Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen weltweit. Die Lösungen von Check Point schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und fortschrittlichen gezielten Bedrohungen. Check Point bietet eine mehrstufige Sicherheitsarchitektur, "Infinity Total Protection mit fortschrittlicher Bedrohungsprävention der Generation V". Diese kombinierte Produktarchitektur schützt die Cloud, das Netzwerk und die mobilen Geräte eines Unternehmens. Check Point bietet das umfassendste und intuitivste Sicherheitsmanagementsystem mit einem Kontrollpunkt. Check Point schützt über 100,000 Organisationen aller Größen.

###