Bitdefender Analyse 2017: Ransomware dominierte die Bedrohungslandschaft
November 2017
Global Threat Report zeigt: Qbot ist wieder zurück - Crypto-Currency-Miner adaptieren neue Exploits
Ransomware ist auch 2017 auf Platz eins der weltweiten Cyberattacken. Dies zeigt die aktuelle Jahresanalyse von Bitdefender. Der Cybersecurity-Anbieter schützt 500 Millionen Nutzern weltweit vor Bedrohungen aus dem Internet und fasst seine Expertise im globalen Threat Report zusammen. So zeigt sich, dass Cyberkriminelle verstärkt neue Variationen von erpresserischer Software herstellen und auch Crypto-Currency-Miner die cyberkriminellen Aktivitäten weiter befeuern – sie adaptieren die neuesten Exploits, um schneller die digitale Währung zu errechnen. Zudem ist ein alter Bekannter in neuem Gewand auf der Malware-Bühne: Der Wurm Qbot ist wieder da.
Mit seinem globalen Netzwerk von mehr als 500 Millionen Sensoren sowie „Honeypots“ zum Auffinden digitaler Bedrohungen hat Bitdefender jederzeit ein Auge auf neu auftretende Bedrohungen oder Cyber-Angriffe. Der aktuelle Global Threat Report 2017 zeigt, dass Ransomware die am häufigsten anzutreffende Bedrohung ist. Allein im Jahr 2017 wurden 160 neue signifikante Ransomware-Familien entdeckt, jeweils mit Dutzenden oder gar Hunderten von Variationen pro Familie. Die produktivste Ransomware ist dabei Troldesh/Crysis, mit hunderten bislang entdeckten Sub-Varianten. Mit Troldesh konkurriert GlobeImposter um die Anzahl der meisten freigesetzten Sub-Varianten.
Ransomware befeuert das Malware-Business
Das kommerzielle Malware-Ökosystem konzentriert sich intensiv auf die Entwicklung und den Ausbau von Ransomware. Bitdefender Statistiken zeigen, dass jede sechste Spam-E-Mail mit irgendeiner Form von Ransomware gebündelt ist – es gibt Links zu Drive-by-Download-Sites, Anhänge mit Ransomware oder sogar JavaScript/VBS-Downloader für Ransomware.
Auch Ransomware, die sich speziell auf Unternehmen ausgerichtet, ist im Trend. Seit dem Wiederauftreten der Troldesh-Ransomware-Familie im März dieses Jahres waren viele Unternehmen mit ganz gezielten Angriffen konfrontiert, die das Remote Desktop Protocol missbrauchten, eine Verbindung zur IT-Infrastruktur herstellten und Computer manuell infizierten.
Nun Polymorph – Qbot ist wieder da
Eine weitere interessante Entwicklung in der Bedrohungslandschaft 2017 ist das erneute Auftauchen der Malware Qbot, die auch als Brresmon oder Emotet bekannt ist. Qbot ist ein vielseitiger, netzwerkfähiger Wurm mit Backdoor-Fähigkeiten, der schon seit einigen Jahren existiert. Er hat ein deutliches Re-Design der Führungs- und Kontrollinfrastruktur erhalten, ist in großen Volumina aufgetaucht und hat - was noch wichtiger ist - eine Cloud-basierte polymorphe Engine, die es ihm erlaubt, eine praktisch unbegrenzte Anzahl von Formen anzunehmen, um so die Erkennung durch Anti-Virus-Programme zu vermeiden.
Und es wird fleißig gegraben
Auch Crypto Currency Miners sind 2017 ein Thema. Sie haben in diesem Jahr verschiedene Formen und Ausprägungen angenommen. Bestehende illegale Currency Miner haben eilig die angeblich von der NSA stammenden Exploits EternalBlue und EternalRomance genutzt, um Computer in Organisationen zu infizieren und Rechenleistung für das Mining abzuzweigen - so zum Beispiel der Monero Miner Adylkuzz, der Anfang Mai etwa zeitgleich mit WannaCry erschien. Eine weitere Entwicklung ist, dass Angreifer Mining Schadcode in kompromittierte Websites integrieren, um ein breiteres Publikum zu erreichen und die Ausbeute an Crypto Currency zu erhöhen.
Zu den wichtigsten Erkenntnissen gehören darüber hinaus diese:
Der vollständige Bitdefender The Global Threat Landscape Report 2017 (englisch) steht kostenlos zum Download bereit unter https://www.bitdefender.com/resources-library/industry-reports.html