Veröffentlicht am

Kurzbeschreibung des Herausgebers: Der Ansturm von Malware bleibt hoch, auch wenn Teile der Welt unter der anhaltenden Pandemie zusammenbrechen. Im letzten Bericht des Global Threat Index vom April 2021 von einem führenden Anbieter von Cybersicherheit Check Point SoftwareDer Dridex-Trojaner, der bei einigen Ransomware-Angriffen verwendet wird, ist für jeden CISO- oder Cybersicherheitspraktiker und -führer von Vorteil. Die Version des Anbieters finden Sie weiter unten.

Die meistgesuchte Malware im April 2021: Dridex bleibt in der globalen Welle der Ransomware-Angriffe an der Spitze

Check Point Research berichtet, dass der Dridex-Trojaner, der häufig in der Anfangsphase von Ransomware-Angriffen verwendet wird, im zweiten Monat in Folge die am häufigsten vorkommende Malware ist

SINGAPUR, @mcgallen #microwireinfo, 14. Mai 2021- Check Point Research (CPR), der Threat Intelligence-Arm vonCheck Point® Software Technologies Ltd. (NASDAQ: CHKP), ein weltweit führender Anbieter von Cyber-Sicherheitslösungen, hat seinen neuesten Global Threat Index für April 2021 veröffentlicht. Forscher berichten, dass AgentTesla zum ersten Mal den zweiten Platz im Index belegt hat, während der etablierte Dridex-Trojaner immer noch der ist Die am weitesten verbreitete Malware, die im März nach dem siebten Platz im Februar an die Spitze aufgestiegen ist.

Diesen Monat verbreitete sich Dridex, ein Trojaner, der auf die Windows-Plattform abzielt, über die QuickBooks Malspam-Kampagne. Die Phishing-E-Mails verwendeten das Branding von QuickBooks und versuchten, den Benutzer mit gefälschten Zahlungsbenachrichtigungen und Rechnungen zu locken. Der E-Mail-Inhalt fordert zum Herunterladen eines schädlichen Microsoft Excel-Anhangs auf, der dazu führen kann, dass das System mit Dridex infiziert wird.

Diese Malware wird häufig als erste Infektionsphase bei Ransomware-Vorgängen verwendet, bei denen Hacker die Daten eines Unternehmens verschlüsseln und ein Lösegeld verlangen, um sie zu entschlüsseln. Zunehmend verwenden diese Hacker doppelte Erpressungsmethoden, bei denen sie vertrauliche Daten von einer Organisation stehlen und drohen, diese öffentlich zu veröffentlichen, sofern keine Zahlung erfolgt. CPR berichtet im März Die Zahl der Ransomware-Angriffe hatte zu Beginn des Jahres 57 um 2021% zugenommen, aber dieser Trend hat sich weiter verstärkt und gegenüber dem Vorjahreszeitraum um 107% zugenommen. Zuletzt, Koloniale Pipeline, ein großes US-amerikanisches Kraftstoffunternehmen, war Opfer eines solchen Angriffs und ist es im Jahr 2020 schätzte, dass Ransomware Kosten Unternehmen weltweit rund 20 Milliarden US-Dollar - eine Zahl, die fast 75% höher ist als 2019.

Zum ersten Mal belegte AgentTesla den 2. Platz in der Top-Malware-Liste. AgentTesla ist ein erweiterter RAT (RAS-Trojaner), der seit 2014 aktiv ist und als Keylogger und Passwort-Stealer fungiert. Diese RAT kann die Tastatureingaben und die Systemzwischenablage des Opfers überwachen und erfassen sowie Screenshots aufzeichnen und Anmeldeinformationen exfiltrieren, die für eine Vielzahl von auf dem Computer des Opfers installierter Software (einschließlich Google Chrome, Mozilla Firefox und Microsoft Outlook-E-Mail-Client) eingegeben wurden. In diesem Monat gibt es eine Zunahme von AgentTesla-Kampagnen, die sich über Malspam verbreiten. Der E-Mail-Inhalt fordert zum Herunterladen einer Datei auf (es kann sich um einen beliebigen Dateityp handeln), die dazu führen kann, dass das System mit Agent Tesla infiziert wird.

„Während wir weltweit eine enorme Zunahme von Ransomware-Angriffen beobachten, ist es keine Überraschung, dass die Top-Malware dieses Monats mit dem Trend zusammenhängt. Im Durchschnitt alle 10 Sekunden weltweit wird ein Unternehmen Opfer von Ransomware “, sagte Maya Horowitz, Direktorin für Threat Intelligence & Research, Produkte bei Check Point. „Vor kurzem wurden die Regierungen aufgefordert, mehr gegen diese wachsende Bedrohung zu unternehmen, aber es gibt keine Anzeichen für eine Verlangsamung. Alle Organisationen müssen sich der Risiken bewusst sein und sicherstellen, dass angemessene Anti-Ransomware-Lösungen vorhanden sind. Umfassende Schulungen für alle Mitarbeiter sind ebenfalls von entscheidender Bedeutung. Sie verfügen daher über die erforderlichen Fähigkeiten, um die Arten von böswilligen E-Mails zu identifizieren, die Dridex und andere Malware verbreiten, da auf diese Weise viele Ransomware-Exploits beginnen. “

CPR ergab außerdem, dass "Web Server Exposed Git Repository Information Disclosure" die am häufigsten ausgenutzte Sicherheitsanfälligkeit ist und 46% der Unternehmen weltweit betrifft, gefolgt von "HTTP-Header-Remotecodeausführung (CVE-2020-13756)", die 45.5% der Unternehmen weltweit betrifft . "MVPower DVR Remote Code Execution" belegt mit einer globalen Auswirkung von 44% den dritten Platz in der Liste der am häufigsten ausgenutzten Sicherheitslücken.

Top-Malware-Familien

* Die Pfeile beziehen sich auf die Rangänderung gegenüber dem Vormonat.

In diesem Monat ist Dridex nach wie vor die beliebteste Malware mit einer weltweiten Auswirkung von 15% der Unternehmen, gefolgt von Agent Tesla und Trickbot, die 12% bzw. 8% der Unternehmen weltweit betreffen.

  1. Dridex - Dridex ist ein Trojaner, der auf die Windows-Plattform abzielt und hauptsächlich über böswillige Spam-Anhänge verbreitet wird. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann auf Befehl auch beliebige Module herunterladen und ausführen. Dridex-Infektionen dienen häufig als erste Grundlage für unternehmensweite Ransomware-Angriffe.
  2. ↑ Agent Tesla - Agent Tesla ist eine fortschrittliche RAT, die als Keylogger und Informationsdiebstahl fungiert und in der Lage ist, die Tastatureingaben des Opfers, die Systemtastatur, das Aufnehmen von Screenshots und das Exfiltrieren von Anmeldeinformationen für eine Vielzahl von auf dem Computer eines Opfers installierter Software, einschließlich Google Chrome, zu überwachen und zu erfassen. Mozilla Firefox und der Microsoft Outlook-E-Mail-Client.
  3. ↑ Trickbot - Trickbot ist ein modularer Botnet- und Banking-Trojaner, der ständig mit neuen Funktionen, Features und Verteilungsvektoren aktualisiert wird. Auf diese Weise kann Trickbot eine flexible und anpassbare Malware sein, die im Rahmen von Mehrzweckkampagnen verbreitet werden kann.

Top ausgenutzte Schwachstellen

In diesem Monat ist "Web Server Exposed Git Repository Information Disclosure" die am häufigsten ausgenutzte Sicherheitsanfälligkeit, von der 46% der Unternehmen weltweit betroffen sind, gefolgt von "HTTP Headers Remote Code Execution (CVE-2020-13756)", von der 45.5% der Unternehmen weltweit betroffen sind. "MVPower DVR Remote Code Execution" belegt den dritten Platz in der Liste der am häufigsten ausgenutzten Sicherheitslücken mit einer globalen Auswirkung von 44%.

  1. Offenlegung von Informationen zum Git-Repository auf dem Webserver - Die Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen wurde im Git Repository gemeldet. Eine erfolgreiche Ausnutzung dieser Sicherheitsanfälligkeit kann eine unbeabsichtigte Offenlegung von Kontoinformationen ermöglichen.
  2. Remotecodeausführung von HTTP-Headern (CVE-2020-10826, CVE-2020-10827, CVE-2020-10828, CVE-2020-13756) - Mit HTTP-Headern können der Client und der Server zusätzliche Informationen mit einer HTTP-Anforderung übergeben. Ein entfernter Angreifer verwendet möglicherweise einen anfälligen HTTP-Header, um beliebigen Code auf dem Computer des Opfers auszuführen.
  3. MVPower DVR Remote-Codeausführung - In MVPower-DVR-Geräten besteht eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Ein entfernter Angreifer kann diese Schwachstelle ausnutzen, um über eine gestaltete Anforderung beliebigen Code im betroffenen Router auszuführen.

Top mobile Malware

Diesen Monat belegt xHelper den ersten Platz bei der am weitesten verbreiteten mobilen Malware, gefolgt von Triada und Hiddad.

  1. xHelper - Eine bösartige Anwendung, die seit März 2019 in freier Wildbahn eingesetzt wird und zum Herunterladen anderer schädlicher Apps und zur Anzeige von Werbung verwendet wird. Die Anwendung kann sich vor dem Benutzer verstecken und sich selbst neu installieren, falls sie deinstalliert wurde.
  2. Triada - Modulare Backdoor für Android, die heruntergeladenen Malware Superuser-Berechtigungen gewährt.
  3. Hiddad - Hiddad ist eine Android-Malware, die legitime Apps neu verpackt und dann an einen Drittanbieter-Store weitergibt. Die Hauptfunktion besteht darin, Anzeigen anzuzeigen, es kann jedoch auch auf wichtige Sicherheitsdetails zugegriffen werden, die in das Betriebssystem integriert sind.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud-Intelligenz von Check Point, dem größten kollaborativen Netzwerk zur Bekämpfung von Cyberkriminalität, das Bedrohungsdaten und Angriffstrends von einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank überprüft täglich über 3 Milliarden Websites und 600 Millionen Dateien und identifiziert täglich mehr als 250 Millionen Malware-Aktivitäten.

Die vollständige Liste der Top 10 Malware-Familien im April finden Sie auf der Check Point Blog.

Über Check Point Research 

Check Point Research (CPR) bietet führende Informationen zu Cyber-Bedrohungen Check Point Software Kunden und die größere Geheimdienstgemeinschaft. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf ThreatCloud gespeichert sind, um Hacker in Schach zu halten und sicherzustellen, dass alle Check Point-Lösungen mit den neuesten Schutzfunktionen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.

Folgen Sie Check Point Research über:

Über uns Check Point Software Technologien Ltd.  

Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein weltweit führender Anbieter von Cybersicherheitslösungen für Regierungen und Unternehmen. Das Lösungsportfolio von Check Point Infinity schützt Unternehmen und öffentliche Organisationen vor Cyberangriffen der 5. Generation mit einer branchenführenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity besteht aus drei Grundpfeilern, die kompromisslose Sicherheit und die Verhinderung von Bedrohungen der Generation V in Unternehmensumgebungen bieten: Check Point Harmony für Remotebenutzer; Überprüfen Sie Point CloudGuard, um Clouds automatisch zu sichern. und Check Point Quantum zum Schutz von Netzwerkperimetern und Rechenzentren, die alle vom umfassendsten, intuitivsten einheitlichen Sicherheitsmanagement der Branche gesteuert werden. Check Point schützt über 100,000 Organisationen aller Größen.

###