Der neue McAfee Labs Threat Report für Dezember 2017 untersucht den Anstieg und die Trends bei neuer Malware, Ransomware und anderen Bedrohungen im dritten Quartal 2017.
Mit 57,6 Millionen neuen Malware-Samples – vier neuen Samples pro Sekunde – verzeichnet der Bericht einen neuen Rekordwert. Darunter finden sich Entwicklungen wie neue dateilose Malware mit bösartigen Makros, eine neue Version der Locky-Ransomware namens „Lukitus“ sowie neue Varianten der Banking-Trojaner Trickbot und Emotet. Der Report verzeichnet auch eine hohe Anzahl von Angriffen auf die Sicherheitslücken in der Microsoft-Technologie – obwohl der Plattformanbieter bereits im ersten Quartal 2017 entsprechende Patches veröffentlichte.
„Das dritte Quartal zeigte, dass Angreifer weiterhin von den dynamischen, für sie vorteilhaften Merkmalen von Plattformtechnologien wie PowerShell, der verlässlichen Fahrlässigkeit einzelner Phishing-Opfer, aber auch dem ebenso verlässlichen Scheitern von Organisationen beim Schließen ihrer Sicherheitslücken mit verfügbaren Sicherheits-Updates profitieren“, kommentiert Raj Samani, Chief Scientist bei McAfee. „Angreifer werden natürlich immer nach Möglichkeiten suchen, neue Entwicklungen und etablierte Plattformen auszunutzen. Allerdings liegt die größere Herausforderung für unsere Branche wohl darin, Einzelpersonen und Organisationen davon zu überzeugen, nicht selbst zu ihren schlimmsten Feinden zu werden.“
Bedrohungsaktivitäten im dritten Quartal
•Sicherheitsvorfälle: Im dritten Quartal gab es 263 öffentlich aufgedeckte Sicherheitsvorfälle. Dies entspricht einem Rückgang um 15 Prozent gegenüber dem zweiten Quartal. Mehr als 60 Prozent davon wurden auf dem amerikanischen Kontinent gemeldet.
•Angriffsziel vertikale Branchen: Der Gesundheits- und der öffentliche Sektor machten im dritten Quartal mehr als 40 Prozent aller Vorfälle aus.
•Angriffsvektoren: Die häufigste aufgedeckte Angriffsmethode waren gekaperte Konten, gefolgt von Lecks, Malware, DDoS und gezielten Angriffen.
•Mobile Malware: Die Gesamtzahl mobiler Malware stieg weiter und erreichte 21,1 Millionen Samples. Der Anstieg bei neuer mobiler Malware um 60 Prozent gegenüber dem Vorquartal ist vor allem auf einen rasanten Anstieg der Ransomware für Android-Bildschirme zurückzuführen.
•Malware insgesamt: Neue Malware-Samples nahmen im dritten Quartal um zehn Prozent auf 57,5 Millionen zu. Die Gesamtzahl der Malware-Samples stieg in den letzten vier Quartalen um 27 Prozent auf fast 781 Millionen.
•Dateilose Malware: Während sich das Wachstum von JavaScript-Malware um 26 Prozent verlangsamte, hat sich PowerShell-Malware mit 119 Prozent mehr als verdoppelt.
•Ransomware: Neue Ransomware-Samples nahmen im dritten Quartal um 36 Prozent zu. Die Gesamtzahl neuer Ransomware stieg im letzten Quartal um 14 Prozent auf 12,2 Millionen.
•Mac OS-Malware: Die Zahl der Mac OS-Malware-Samples wuchs im dritten Quartal um sieben Prozent.
•Makro-Malware: Makro-Malware nahm weiterhin zu und wuchs um acht Prozent.
Bekannte Schwachstellen werden ausgenutzt
Im dritten Quartal 2017 nutzten Cyber-Kriminelle weiterhin Microsoft Office-Schwachstellen wie CVE-2017-0199. Die Schwachstelle in Microsoft Office und WordPad erlaubt die Remotecode-Ausführung über eine präparierte Datei. Für diese Angriffe nutzten zahlreiche Hacker ein über GitHub verfügbares Tool, mit dem sich ein Backdoor-Angriff ganz einfach und ohne komplexe Konfiguration erstellen lässt.
Neue Varianten des Banking-Trojaners „Trickbot“ nutzten den EternalBlue-Exploit-Code, der für die massiven WannaCry- und NotPetya-Ransomware-Epidemien im zweiten Quartal verantwortlich war. Trotz der fortgesetzten Bemühungen von Microsoft, EternalBlue mit Sicherheitspatches zu bekämpfen, erwies sich der Code für die neuen Trickbot-Autoren immer noch als effektiv. Sie kombinierten ihn mit neuen Funktionen wie Diebstahl von Kryptowährungen und neuen Bereitstellungsmethoden. Damit mauserten sich diese neuen Versionen von Trickbot zu den aktivsten Banking-Trojanern im dritten Quartal.
„Sobald eine Schwachstelle einmal entdeckt wurde, entwickeln böswillige Parteien ausgeklügelte Bedrohungen, um sie auszunutzen“, ergänzt Steve Grobman, Chief Technology Officer bei McAfee. „2017 wird als das Jahr in Erinnerung bleiben, in dem solche Schwachstellen für umfangreiche Cyber-Angriffe genutzt wurden. Dazu zählen die Ransomware-Epidemien WannaCry und NotPetya und hochkarätige Lecks wie bei Equifax. Höhere Investitionen sind erforderlich, um Cyber-Schwachstellen zu erkennen und zu beheben. Nur dann können Technologieanbieter, Regierungen und Unternehmen hoffen, den Cyber-Kriminellen einen Schritt voraus zu sein, die wiederum rasant daran arbeiten, Schwachstellen zu entdecken und auszunutzen.“
Dateilose Bedrohungen
Dateilose Bedrohungen stellten im dritten Quartal weiterhin ein wachsendes Problem dar. Allein PowerShell-Malware wuchs um 119 Prozent. Sehr prominent in dieser Kategorie war der Banking-Trojaner „Emotet“, der sich durch große Spam-Kampagnen auf der ganzen Welt ausbreitete und Benutzer dazu verleitete, Microsoft Word-Dokumente herunterzuladen. Damit wird unabsichtlich ein PowerShell-Makro aktiviert, das die Malware auf ihr System herunterlädt und installiert.
Ransomware „Lukitus“
Eine der wichtigsten Entwicklungen im Bereich Ransomware war das Auftreten von „Lukitus“, einer neuen Version der Locky-Ransomware. Innerhalb der ersten 24 Stunden des Angriffs wurde die Ransomware über mehr als 23 Millionen Spam-E-Mails verbreitet. Insgesamt nahmen neue Ransomware-Samples um 36 Prozent zu. Die Gesamtzahl der Ransomware-Samples stieg in den letzten vier Quartalen um 44 Prozent auf 12,3 Millionen.
„DragonFly“: Neue Branchen, neue Ziele
Das Team von McAfee Advanced Threat Research fand heraus, dass die Malware „DragonFly 2.0“ ihr Angriffsspektrum im Lauf des Jahres erweitert hat. Die Anfang 2017 im Energiesektor entdeckte Malware zielt jetzt auch auf andere Branchen, insbesondere Pharma, Finanzdienstleistungen und Buchhaltung, ab. Diese Angriffe wurden durch Spear-Phishing-E-Mails ausgelöst. Sie verlocken den Empfänger dazu, auf Links zu klicken, die den Trojaner herunterladen und Angreifern Netzwerkzugriff gewähren.
www.mcafee.com/de