Report: Blockchains als Hosts für schädliche Inhalte instrumentalisiert
Ein neuer Report zeigt, dass von April bis Juni sieben neue Malware-Varianten in die Top-10-Liste aufgenommen wurden. Dazu zählen „Lumma Stealer“, der Daten stiehlt, und eine „Mirai“-Botnet-Version, die Smart Devices in Bots verwandelt. Auch „LokiBot“, der Anmeldeinformationen auf Windows- und Android-Geräten stiehlt, und „EtherHiding“, das Blockchains missbraucht gehören dazu.
WatchGuard Technologies hat den neuesten Internet Security Report für das zweite Quartal 2024 veröffentlicht, in dem das WatchGuard Threat Lab über neue Cyberbedrohungen berichtet. Eine bemerkenswerte Entwicklung ist der verstärkte Einsatz von „EtherHiding“ – einer Technik, bei der Hacker bösartige PowerShell-Skripte in Blockchains wie „Binance Smart Contracts“ einbetten. Diese Skripte werden auf kompromittierten Webseiten durch gefälschte Fehlermeldungen verbreitet, die Nutzer dazu auffordern, angeblich ihren Browser zu aktualisieren. Klicken die Opfer auf den Link, wird das bösartige Skript ausgeführt.
Besonders problematisch an dieser Methode ist, dass Blockchains von Natur aus als unveränderbar gelten. Dadurch könnten sie zu dauerhaften Hosts für schädlichen Code werden, was das Risiko für künftige Angriffe erhöht. Bösartige Inhalte könnten in diesen unveränderbaren Strukturen dauerhaft existieren, was es Angreifern ermöglicht, diese langfristig zu nutzen.
Corey Nachreiner, Chief Security Officer bei WatchGuard Technologies, weist darauf hin, dass Bedrohungsakteure häufig bestimmte Angriffstechniken in Wellen nutzen. Diese Trends zeigen, wie wichtig es ist, regelmäßig Sicherheitsupdates einzuspielen und Software zu patchen, um Angreifern den Zugang über bekannte Schwachstellen zu verwehren. Er hebt auch die Bedeutung eines „Defense-in-Depth“-Ansatzes hervor, bei dem mehrere Sicherheitsebenen zusammenwirken. Ein solcher Ansatz, idealerweise unterstützt durch einen engagierten Managed Service Provider, ist entscheidend, um aktuellen Bedrohungen wirksam zu begegnen.
Der Report verdeutlicht zudem, dass die Kombination aus innovativen Angriffstechniken und der Nutzung von Blockchain-Strukturen durch Cyberkriminelle die Notwendigkeit für moderne Sicherheitslösungen weiter verstärkt. Unternehmen sind gefordert, nicht nur klassische Sicherheitslücken zu schließen, sondern auch auf neue Bedrohungen in bisher als sicher geltenden Technologien wie der Blockchain vorbereitet zu sein.
Weitere wichtige Ergebnisse des Reports
Rückgang der Malware-Gesamtzahl um 24 Prozent
Im zweiten Quartal 2024 sank das Malware-Aufkommen insgesamt um 24 Prozent, was hauptsächlich auf den Rückgang der signaturbasierten Erkennungen zurückzuführen ist, die um 35 Prozent seltener wurden.
Anstieg von evasiver Malware um 168 Prozent
Während die klassische Malware zurückging, nahm die sogenannte evasive Malware stark zu. Diese schwerer zu erkennenden Bedrohungen stiegen im Vergleich zum Vorquartal um 168 Prozent.
Netzwerkangriffe nahmen um 33 Prozent zu
Im zweiten Quartal 2024 stieg die Anzahl der Netzwerkangriffe um 33 Prozent. Der asiatisch-pazifische Raum war mit 56 Prozent der Vorfälle besonders stark betroffen, was mehr als einer Verdopplung gegenüber dem ersten Quartal entspricht.
NGINX-Schwachstelle führte die Netzwerkangriffe an
Eine bereits 2019 entdeckte NGINX-Schwachstelle war für 29 Prozent aller erkannten Netzwerkangriffe verantwortlich. Insgesamt wurden etwa 724.000 Vorfälle gezählt, die sich über die USA, EMEA- und APAC-Regionen erstreckten. Diese Schwachstelle war in den letzten Quartalen nicht einmal unter den Top 50 vertreten.
Fuzzbunch-Hacking-Toolkit als zweitgrößte Bedrohung für Endgeräte
Das Fuzzbunch-Toolkit, ein 2016 durch die Shadow Brokers gestohlenes Hacking-Framework zur Kompromittierung von Windows-Systemen, stellte die zweitgrößte Bedrohung für Endgeräte dar.
Chromium-basierte Browser als Ziel für Malware-Angriffe
Bei 74 Prozent aller Browser-basierten Endpunkt-Malware-Angriffe wurden Chromium-basierte Browser wie Google Chrome, Microsoft Edge und Brave genutzt.
Phishing-Angriffe durch „trojan.html.hidden.1.gen“
Die Malware-Signatur „trojan.html.hidden.1.gen“ gehörte zu den am weitesten verbreiteten Varianten. Diese Signatur wurde vor allem in Phishing-Kampagnen verwendet, um Anmeldeinformationen direkt vom Browser der Opfer zu stehlen. Ein beobachteter Fall betraf Studierende und Dozenten der Valdosta State University in Georgia.
Alle Erkenntnisse stammen aus den anonymisierten und zusammengefassten Daten der aktiven WatchGuard-Lösungen für Netzwerk- und Endgeräteschutz. Diese Daten wurden von Nutzern bereitgestellt, die zugestimmt haben, ihre Bedrohungsinformationen zur Forschung des Threat Lab weiterzugeben. Die Analyse folgt dem Konzept der „WatchGuard Unified Security Platform“ und basiert auf den regelmäßigen vierteljährlichen Auswertungen zu Malware, Netzwerk- und Endgerätebedrohungen.
Der ausführliche Internet Security Report in englischer Sprache steht hier online zum Download zur Verfügung.
