Aktuelle Meldungen

Bitdefender Analyse 2017: Ransomware dominierte die Bedrohungslandschaft

November 2017


Global Threat Report zeigt: Qbot ist wieder zurück - Crypto-Currency-Miner adaptieren neue Exploits

Ransomware ist auch 2017 auf Platz eins der weltweiten Cyberattacken. Dies zeigt die aktuelle Jahresanalyse von Bitdefender. Der Cybersecurity-Anbieter schützt 500 Millionen Nutzern weltweit vor Bedrohungen aus dem Internet und fasst seine Expertise im globalen Threat Report zusammen. So zeigt sich, dass Cyberkriminelle verstärkt neue Variationen von erpresserischer Software herstellen und auch Crypto-Currency-Miner die cyberkriminellen Aktivitäten weiter befeuern – sie adaptieren die neuesten Exploits, um schneller die digitale Währung zu errechnen. Zudem ist ein alter Bekannter in neuem Gewand auf der Malware-Bühne: Der Wurm Qbot ist wieder da.

Mit seinem globalen Netzwerk von mehr als 500 Millionen Sensoren sowie „Honeypots“ zum Auffinden digitaler Bedrohungen hat Bitdefender jederzeit ein Auge auf neu auftretende Bedrohungen oder Cyber-Angriffe. Der aktuelle Global Threat Report 2017 zeigt, dass Ransomware die am häufigsten anzutreffende Bedrohung ist. Allein im Jahr 2017 wurden 160 neue signifikante Ransomware-Familien entdeckt, jeweils mit Dutzenden oder gar Hunderten von Variationen pro Familie. Die produktivste Ransomware ist dabei Troldesh/Crysis, mit hunderten bislang entdeckten Sub-Varianten. Mit Troldesh konkurriert GlobeImposter um die Anzahl der meisten freigesetzten Sub-Varianten.

Ransomware befeuert das Malware-Business
Das kommerzielle Malware-Ökosystem konzentriert sich intensiv auf die Entwicklung und den Ausbau von Ransomware. Bitdefender Statistiken zeigen, dass jede sechste Spam-E-Mail mit irgendeiner Form von Ransomware gebündelt ist – es gibt Links zu Drive-by-Download-Sites, Anhänge mit Ransomware oder sogar JavaScript/VBS-Downloader für Ransomware. 
Auch Ransomware, die sich speziell auf Unternehmen ausgerichtet, ist im Trend. Seit dem Wiederauftreten der Troldesh-Ransomware-Familie im März dieses Jahres waren viele Unternehmen mit ganz gezielten Angriffen konfrontiert, die das Remote Desktop Protocol missbrauchten, eine Verbindung zur IT-Infrastruktur herstellten und Computer manuell infizierten.

Nun Polymorph – Qbot ist wieder da
Eine weitere interessante Entwicklung in der Bedrohungslandschaft 2017 ist das erneute Auftauchen der Malware Qbot, die auch als Brresmon oder Emotet bekannt ist. Qbot ist ein vielseitiger, netzwerkfähiger Wurm mit Backdoor-Fähigkeiten, der schon seit einigen Jahren existiert. Er hat ein deutliches Re-Design der Führungs- und Kontrollinfrastruktur erhalten, ist in großen Volumina aufgetaucht und hat - was noch wichtiger ist - eine Cloud-basierte polymorphe Engine, die es ihm erlaubt, eine praktisch unbegrenzte Anzahl von Formen anzunehmen, um so die Erkennung durch Anti-Virus-Programme zu vermeiden.

Und es wird fleißig gegraben
Auch Crypto Currency Miners sind 2017 ein Thema. Sie haben in diesem Jahr verschiedene Formen und Ausprägungen angenommen. Bestehende illegale Currency Miner haben eilig die angeblich von der NSA stammenden Exploits EternalBlue und EternalRomance genutzt, um Computer in Organisationen zu infizieren und Rechenleistung für das Mining abzuzweigen - so zum Beispiel der Monero Miner Adylkuzz, der Anfang Mai etwa zeitgleich mit WannaCry erschien. Eine weitere Entwicklung ist, dass Angreifer Mining Schadcode in kompromittierte Websites integrieren, um ein breiteres Publikum zu erreichen und die Ausbeute an Crypto Currency zu erhöhen.

Zu den wichtigsten Erkenntnissen gehören darüber hinaus diese:

  • Die USA sind immer noch das beliebteste Ziel für Cyberkriminalität. Sie rangieren mit 18,5 Prozent aller in 2017 von Bitdefender-Sensoren entdeckten Vorfälle an erster Stelle.
  • Illegale Bitcoin-Miners – beispielsweise Application.BitcoinMiner – dominieren die diesjährige Spitze der Malware-Charts und machen mehr als 1,05 Prozent aller weltweit entdeckten Infektionen im Windows-Umfeld aus. Auf Platz zwei rangiert der Trojaner JS:Trojan.Cryxos gefolgt von einem alten, nun etwas umgewandelten Bekannten, Trojan.LNK.
  • Im Android-Umfeld ist einer der am weitesten verbreiteten Android-Schadcodes der Android.Trojan.Downloader - auf ihn entfallen 20,82 Prozent der Angriffe. Diese Malware-Familie täuscht die Opfer, indem sie verschiedene Arten von gefälschten Anwendungen herunterlädt und vorgaukelt, es handele sich um legitime Flash- oder Adobe-Updates.

Der vollständige Bitdefender The Global Threat Landscape Report 2017 (englisch) steht kostenlos zum Download bereit unter https://www.bitdefender.com/resources-library/industry-reports.html