Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Erhöhtes Risiko für Ransomware- und RAT-Angriffe

Im dritten Quartal des Jahres haben Threat Labore ein erhöhtes Risiko in Bezug auf Ransomware und Remote Access Trojaner (RATs) für Unternehmen und Verbraucher festgestellt. RATs können zur Industriespionage, zum Diebstahl von Zugangsdaten, zu Stalkingzwecken und sogar für Distributed Denial of Service (DDoS)-Angriffe eingesetzt werden.

Avast hat seinen Q3/2021 Threat Report veröffentlicht. Die Researcher beobachteten auch Neuheiten in der sich ständig weiterentwickelnden Cyberkriminalität bezüglich neuer Mechanismen, die von Exploit-Kits und dem mobilen Banking-Trojaner Flubot verwendet werden.

Zu Beginn des dritten Quartals 2021 wurde die Welt Zeuge eines massiven Supply-Chain-Angriffs auf den IT-Management-Softwareanbieter Kaseya und seine Kunden durch die Sodinokibi/REvil-Ransomware. Die Avast Threat Labs erkannten und blockierten diesen Angriff auf mehr als 2.400 Endpunkten. Nachdem sich die Politik eingeschaltet hatte, gaben die Betreiber den Ransomware-Schlüssel frei und deaktivierten die Infrastruktur von Sodinokibi. Bis zum 9. September, als Avast eine neue Variante entdeckte und blockierte, wurden keine neuen Varianten mehr gesichtet. Insgesamt verzeichneten die Threat Labs im dritten Quartal einen Anstieg des Risikos durch Ransomware-Angriffe um fünf Prozent gegenüber dem zweiten Quartal 2021 und sogar um 22 Prozent gegenüber dem ersten Quartal 2021.

Eine weitere gefährliche Bedrohung für Unternehmen und Endanwender waren auch RATs, die sich im dritten Quartal ebenfalls stärker verbreiteten als in den vorangegangenen beiden Quartalen. Avast beobachtete drei neue RAT-Varianten, darunter FatalRAT mit Anti-VM-Funktionen, VBA RAT, das die Internet Explorer-Schwachstelle CVE-2021-26411 ausnutzt, sowie eine neue Version von Reverse RAT mit der Build-Nummer 2.0, die zusätzlich Webkamera-Fotoaufnahmen, Dateidiebstahl und Anti-AV-Funktionen beinhaltet. „RATs können eine fundamentale Bedrohung für Unternehmen darstellen, da sie sich für Industriespionage einsetzen lassen“, erklärt Jakub Kroustek, Avast Malware Research Director. „RATs können aber auch gegen Verbraucher eingesetzt werden, zum Beispiel um ihre Zugangsdaten zu stehlen, ihre Computer in ein Botnetz einzubinden, um DDoS-Attacken auszuführen, und leider auch für Cyberstalking, was die Privatsphäre und das Wohlbefinden einer Person massiv beeinträchtigen kann.“

Rootkits, Exploit-Kits und mobile Banking-Trojaner

Zusätzlich verzeichneten die Avast Threat Labs am Ende des dritten Quartals einen deutlichen Anstieg von Rootkit-Aktivitäten – die signifikanteste Entwicklung in diesem Quartal. Ein Rootkit ist eine bösartige Software, die Cyberkriminellen unbefugten Zugriff mit den höchsten Systemprivilegien ermöglicht. Rootkits bieten in der Regel Dienste für andere Malware im Benutzermodus an.

Eine weitere Malware-Kategorie, die wieder auf dem Vormarsch zu sein scheint, sind Exploit-Kits. Diese weisen bemerkenswerte Neuerungen auf, einschließlich der gezielten Ausnutzung von Sicherheitslücken in Google Chrome. Das aktivste Exploit-Kit war PurpleFox, vor dem Avast im Durchschnitt täglich über 6.000 Benutzer schützte. Auch Rig und Magnitude waren im dritten Quartal dieses Jahres weit verbreitet. Nach einer relativ langen Inaktivität erwachte auch wieder das Exploit-Kit Underminer und begann, sporadisch HiddenBee und Amadey zu verbreiten. Einige Exploit-Kits, insbesondere PurpleFox und Magnitude, werden sehr aktiv weiterentwickelt und erhalten regelmäßig neue Funktionen und Exploit-Möglichkeiten.

Die Labs beobachteten außerdem neue Malware-Taktiken bei mobilen Endgeräten. So änderte FluBot, ein Android-SMS-Banking-Trojaner, seinen Social-Engineering-Ansatz. Jakub Kroustek sagt: „FluBot verbreitete sich zunächst unter dem Deckmantel von Lieferdiensten, um die Opfer dazu zu verleiten, eine ‚Tracking-App‘ für den Erhalt von Paketen herunterzuladen, für welche die Empfänger angeblich den Liefertermin verpasst hatten oder für Pakete, die sie angeblich erwarteten. Im dritten Quartal hat Avast neue Szenarien für die Verbreitung dieser Malware beobachtet. Ein Beispiel ist die Tarnung als Voicemail-Recorder. Ein weiteres Beispiel sind gefälschte Behauptungen über geleakte persönliche Fotos. Die extremste Variante lockt das Opfer auf eine gefälschte Seite, auf der behauptet wird, das Gerät des Opfers sei bereits mit FluBot infiziert, obwohl dies zu diesem Zeitpunkt wahrscheinlich noch gar nicht wahr ist, und bringt Nutzer dazu, ein ‚Heilmittel‘ gegen die ‚Infektion‘ zu installieren. Bei diesem ‚Heilmittel‘ handelt es sich allerdings in Wirklichkeit um die FluBot-Malware selbst.“

FluBot verbreitete sich bereits im zweiten Quartal in seinem ursprünglichen Zielgebiet Europa – Deutschland, Spanien, Italien – und breitete sich später auf das übrige Europa und andere Länder wie Australien und Neuseeland aus. Den vollständigen (englischsprachigen) Threat Report für Q3/2021 von Avast gibt es hier.

Teaserfoto: © Adobe Stock/Negro Elkha

Passende Artikel