Vorsicht vor Valak Variant-Malware - Ratschläge von Check Point-Forschern

shahadat-rahman-BfrQnKBulYQ-unsplash

Kurzbeschreibung des Herausgebers: Forscher von Check Point haben berichtet, dass in ihrem Top-Malware-Bericht vom September 2020 eine Variante der Valak-Malware aufgetaucht ist. Die neue Valak-Variante kann möglicherweise Informationen von Einzelpersonen und Unternehmen stehlen und sich möglicherweise auf Microsoft Exchange-basierte Mailserver sowie auf die Anmeldeinformationen und Domänenzertifikate der Benutzer auswirken. Die Pressemitteilung des Anbieters finden Sie weiter unten.

Die meistgesuchte Malware im September 2020: Neue Valak-Variante, die Informationen stiehlt, wird erstmals in die Top-10-Malware-Liste aufgenommen 

Check Point-Forscher stellen einen starken Anstieg der Angriffe mit neuer Valak-Malware fest, während der Emotet-Trojaner den dritten Monat in Folge auf dem ersten Platz bleibt

SINGAPUR, @mcgallen #microwireinfo, 8. Oktober 2020 - Check Point Research, der Threat Intelligence-Arm von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cybersicherheitslösungen, hat seinen neuesten globalen Bedrohungsindex für September 2020 veröffentlicht. Forscher fanden heraus, dass eine aktualisierte Version von Valak-Malware zum ersten Mal in den Index aufgenommen wurde und als 9. am weitesten verbreitet gilt Malware im September.

Valak wurde erstmals Ende 2019 beobachtet und ist eine hoch entwickelte Bedrohung, die zuvor als Malware-Loader eingestuft wurde. In den letzten Monaten wurden neue Varianten mit erheblichen funktionalen Änderungen entdeckt, die es Valak ermöglichen, als Informationsdiebstahler zu agieren, der sowohl Einzelpersonen als auch Unternehmen ansprechen kann. Diese neue Version von Valak kann vertrauliche Informationen aus Microsoft Exchange-Mailsystemen sowie Benutzeranmeldeinformationen und Domänenzertifikate stehlen. Im September wurde Valak durch Malspam-Kampagnen mit schädlichen DOC-Dateien weit verbreitet.

Der Emotet-Trojaner bleibt den dritten Monat in Folge auf dem ersten Platz im Index und betrifft 1% der Unternehmen weltweit. Der Qbot-Trojaner, der im August zum ersten Mal in die Liste aufgenommen wurde, war im September ebenfalls weit verbreitet und stieg im Index vom 14. auf den 10. Platz.

„Diese neuen Kampagnen zur Verbreitung von Valak sind ein weiteres Beispiel dafür, wie Bedrohungsakteure ihre Investitionen in etablierte, bewährte Formen von Malware maximieren. Zusammen mit den aktualisierten Versionen von Qbot, die im August veröffentlicht wurden, soll Valak den Diebstahl von Daten und Anmeldeinformationen von Organisationen und Einzelpersonen in großem Maßstab ermöglichen. Unternehmen sollten sich mit der Bereitstellung von Anti-Malware-Lösungen befassen, die verhindern können, dass solche Inhalte Endbenutzer erreichen, und ihren Mitarbeitern raten, beim Öffnen von E-Mails vorsichtig zu sein, auch wenn sie scheinbar aus einer vertrauenswürdigen Quelle stammen “, sagte Maya Horowitz, Director, Threat Intelligence & Forschung, Produkte am Check Point.

Das Forschungsteam warnt außerdem davor, dass „MVPower DVR Remote Code Execution“ die am häufigsten ausgenutzte Sicherheitsanfälligkeit ist und 46% der Unternehmen weltweit betrifft, gefolgt von „Dasan GPON Router Authentication Bypass“, von dem 42% der Unternehmen weltweit betroffen sind. Die Offenlegung von OpenSSL TLS DTLS Heartbeat-Informationen (CVE-2014-0160; CVE-2014-0346) hatte einen globalen Einfluss von 36%.

Top-Malware-Familien

* Die Pfeile beziehen sich auf die Rangänderung gegenüber dem Vormonat.

In diesem Monat ist Emotet nach wie vor die beliebteste Malware mit einer weltweiten Auswirkung von 14% der Unternehmen, gefolgt von Trickbot und Dridex mit einer Auswirkung von 4% bzw. 3% bzw. Organisationen weltweit.

  1. ↔ Emotet - Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Emotet war ursprünglich ein Banking-Trojaner, wird aber kürzlich als Vertreiber anderer Malware oder bösartiger Kampagnen verwendet. Es werden mehrere Methoden zur Aufrechterhaltung der Persistenz- und Ausweichtechniken verwendet, um eine Erkennung zu vermeiden. Darüber hinaus kann es über Phishing-Spam-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↑ Trickbot - Trickbot ist ein dominanter Banking-Trojaner, der ständig mit neuen Funktionen, Funktionen und Verteilungsvektoren aktualisiert wird. Dies ermöglicht Trickbot, eine flexible und anpassbare Malware zu sein, die im Rahmen von Mehrzweckkampagnen verbreitet werden kann.
  3. ↑ Dridex - Dridex ist ein Trojaner, der auf die Windows-Plattform abzielt und Berichten zufolge über einen Spam-E-Mail-Anhang heruntergeladen wird. Dridex kontaktiert einen Remote-Server und sendet Informationen über das infizierte System. Es kann auch beliebige Module herunterladen und ausführen, die vom Remote-Server empfangen werden.

Top ausgenutzte Schwachstellen

In diesem Monat ist „MVPower DVR Remote Code Execution“ die am häufigsten ausgenutzte Sicherheitsanfälligkeit und betrifft 46% der Unternehmen weltweit, gefolgt von „Dasan GPON Router Authentication Bypass“, von dem 42% der Unternehmen weltweit betroffen sind. An dritter Stelle steht „OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346)“ mit einer globalen Auswirkung von 36%.

  1. ↑ MVPower DVR Remote Code Execution - Eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung, die in MVPower-DVR-Geräten besteht. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um über eine gestaltete Anforderung beliebigen Code im betroffenen Router auszuführen.
  2. Umgehung der Dasan GPON Router-Authentifizierung (CVE-2018-10561) - Eine Sicherheitsanfälligkeit bezüglich der Umgehung der Authentifizierung, die in Dasan GPON-Routern besteht. Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit würde es Angreifern von Remotestandorten aus ermöglichen, vertrauliche Informationen abzurufen und unbefugten Zugriff auf das betroffene System zu erhalten.
  3. ↑ Offenlegung von Informationen zu OpenSSL TLS DTLS Heartbeat (CVE-2014-0160; CVE-2014-0346) - In OpenSSL liegt eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen vor. Die Sicherheitsanfälligkeit ist auf einen Fehler bei der Verarbeitung von TLS / DTLS-Heartbeat-Paketen zurückzuführen. Ein Angreifer kann diese Sicherheitsanfälligkeit nutzen, um den Speicherinhalt eines verbundenen Clients oder Servers offenzulegen.

Top-Familien für mobile Malware 

Diesen Monat ist xHelper die beliebteste mobile Malware, gefolgt von Xafecopy und Hiddad.

  1. xHelper - Eine bösartige Anwendung, die seit März 2019 in freier Wildbahn eingesetzt wird und zum Herunterladen anderer schädlicher Apps und zum Anzeigen von Werbung verwendet wird. Die Anwendung kann sich vor dem Benutzer verstecken und sich selbst neu installieren, falls sie deinstalliert wurde.
  2. Xafekopy - Der Xafecopy-Trojaner wird als nützliche Apps wie Battery Master getarnt. Der Trojaner lädt heimlich bösartigen Code auf das Gerät. Sobald die App aktiviert ist, klickt die Xafecopy-Malware auf Webseiten mit WAP-Abrechnung (Wireless Application Protocol) - eine Form der mobilen Zahlung, bei der die Kosten direkt von der Handyrechnung des Benutzers abgebucht werden.
  3. Hiddad - Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und dann an einen Drittanbieter-Store weitergibt. Die Hauptfunktion besteht darin, Anzeigen anzuzeigen, es kann jedoch auch auf wichtige Sicherheitsdetails zugegriffen werden, die in das Betriebssystem integriert sind.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud-Intelligenz von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends von einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank überprüft täglich über 2.5 Milliarden Websites und 500 Millionen Dateien und identifiziert täglich mehr als 250 Millionen Malware-Aktivitäten.

Die vollständige Liste der Top 10 Malware-Familien im September finden Sie auf der Check Point Blog. Die Ressourcen zur Bedrohungsprävention von Check Point finden Sie unter  http://www.checkpoint.com/threat-prevention-resources/index.html.

Über Check Point Research 
Check Point Research bietet Check Point Software-Kunden und der größeren Intelligence-Community führende Informationen zu Cyber-Bedrohungen. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf ThreatCloud gespeichert sind, um Hacker in Schach zu halten und sicherzustellen, dass alle Check Point-Produkte mit den neuesten Schutzfunktionen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.

Folgen Sie Check Point Research über:

Informationen zu Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein weltweit führender Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen. Die Lösungen von Check Point schützen Kunden vor Cyber-Angriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und fortschrittlichen gezielten Bedrohungen. Check Point bietet eine mehrstufige Sicherheitsarchitektur, "Infinity Total Protection mit fortschrittlicher Bedrohungsprävention der Generation V". Diese kombinierte Produktarchitektur schützt die Cloud, das Netzwerk und die mobilen Geräte eines Unternehmens. Check Point bietet das umfassendste und intuitivste Sicherheitsmanagementsystem mit einem Kontrollpunkt. Check Point schützt über 100,000 Organisationen aller Größen.

###