Die aktuelle Bedrohungsanalyse von G DATA CyberDefense zeigt, dass Ransomware weiterhin eine große Gefahr bleibt. Gleichzeitig nutzen Cyberkriminelle verstärkt Microsoft Powershell und PyInstaller (Installer für in der Programmiersprache Python kodierte Anwendungen) für ihre Angriffsversuche. Aber auch Schwachstellen in Anwendungen und Betriebssystemen sind ein beliebter Angriffsvektor. Letztlich wird der Mensch durch psychologische Tricks immer wieder zum Opfer.
Bildquelle: G DATA CyberDefencse AG
Auch wenn Ermittlungsbehörden 2024 Infrastrukturen von Cyberkriminellen zerschlagen haben, etwa bei der Operation „Endgame“ oder „Power Off“, findet die Gegenseite immer wieder neue Wege, um IT-Systeme zu infiltrieren. Dazu braucht es nicht einmal notwendigerweise neue Schadsoftware. Die Cyberschurken entwickeln bestehende Angriffswerkzeuge weiter und kombinieren verschiedene Tools miteinander. Die Experten für IT Sicherheit von G DATA CyberDefense haben aktuelle Bedrohungsdaten ausgewertet. Die Analyse zeigt, dass Angriffsvektoren wie etwa Information-Stealer rückläufig sind. Andere Angriffswege haben aber zugenommen:
1. PowerShell-Angriffe sind um 127 Prozent gestiegen. Insbesondere SocGholish und ChromeLoader wurden im vergangenen Jahr sehr häufig von Cyberkriminellen eingesetzt. SocGholish, auch bekannt als FakeUpdates, ist seit 2017 bei mehreren Cybercrime-Gruppen im Einsatz. Bei der Malware handelt es sich um einen Downloader, der über HTTP kommuniziert. Dabei tarnt sich die schädliche Software als gefälschtes Browser-Update.
ChromeLoader ist ein hartnäckiger Browser-Hijacker, der die Einstellungen des betroffenen Browsers verändert und den Internetverkehr auf Werbeseiten umleitet. Dabei tarnt sich die Malware als Browser-Erweiterung. Sie verbreitet sich über eine ISO-Datei, die sich als gecracktes Videospiel, raubkopierter Film oder Serie ausgibt, um Nutzer zum Öffnen der Datei zu verleiten.
2. Angriffe mit Python haben sich mehr als versechsfacht. Dabei setzen Angreifer auf PyInstaller-basierte Malware, die Dateien von Python zu EXE konvertiert. Ein Grund für die große Beliebtheit: Es ist einfach, Code in PyInstaller zu schreiben. Besonders verbreitet ist ChromePyJacker – eine Malware, die sich in Chrome einnistet, um Werbung nachzuladen.
3. Eine Zunahme um 110 Prozent verzeichneten die Security-Fachleute von G DATA bei Exploit-basierten Angriffen. Dabei nutzen Cybergangs Sicherheitslücken in Betriebssystemen und Anwendungen aus, um Schadsoftware einzuschleusen und Systeme zu kompromittieren. Auffällig ist, dass Exploits immer noch für Angriffe ausgenutzt werden, die schon mehrere Jahre alt sind und für die Patches zu Verfügung stehen, etwa in Microsoft Office. Kriminelle verlassen sich hier darauf, dass wichtige Sicherheitsupdates nicht installiert wurden – und vielfach zurecht.
Malware-Top-10 2024
Stark verändert haben sich die Malware-Top-10 im Vergleich zum Jahr 2023: Insgesamt fünf der zehn häufigsten Malware-Familien sind neu auf den vorderen Plätzen. Außerdem sind in diesem Ranking viele verschiedene Malware-Arten vertreten. Wie in den Vorjahren finden sich unter den zehn häufigsten Malware-Familien einige alte Bekannte sowie Neueinsteiger.
2024 Name (Art)
1 Urelas (Trojan)
2 Gamarue (Wurm)
3 Imperium (Metamorpher Keylogger und Stealer)
4 Nitol (Botnet)
5 KpotStealer (Stealer)
6 Vilsel (Downloader)
7 Buterat (Remote Access Trojan)
8 Simda (Backdoor)
9 Salgorea (Backdoor)
10 Prepscram (Sotware-Bundler)
Den Spitzenplatz übernimmt dieses Mal Urelas – ein Trojaner für Datendiebstahl und Spionage. Er zielt auf Windows-Betriebssysteme ab und zeichnet sich durch ausgefeilte Verschleierungstechniken aus, die seine Erkennung und Analyse erschweren. Der Neueinsteiger Gamarue verbreitet sich als Wurm über mobile Speichermedien wie etwa USB-Sticks und nutzt dafür Verknüpfungsdateien unter Windows. Auf Platz drei findet sich mit Imperium ein weiterer Neuzugang. Die Besonderheit des Stealers und Keyloggers: Er ist metamorph und verändert kontinuierlich den eigenen Code. Zudem ist metamorphe Malware in der Lage, den inneren Aufbau bei jeder neuen Infektion eines Computersystems vollständig umzuwandeln.
Waren in den Vorjahren insbesondere Remote Access Trojaner mehrfach in den Top 10 vertreten, zeigt sich für 2024 ein vielfältiges Bild mit ganz unterschiedlichen Malware-Arten wie Backdoors, Stealer oder Botnets. Eine Erklärung für das Ranking: Angreifer kombinieren verschiedene Schadsoftwares miteinander, um den Profit zu steigern. Eine weitere Auffälligkeit: Einige Malware-Familien sind schon sehr lange aktiv, wie etwa Buterat (seit 2011) oder Salgorea (seit 2018). Das ist ein Zeichen dafür, dass Entwickler der Malware die Schadsoftware stetig weiterentwickeln.
Die aktuelle Bedrohungsanalyse zeigt, dass Schutztechnologien den Grundstein für einen umfassenden IT-Schutz darstellen. Aber es braucht auch aufmerksame Angestellte, um Angriffsversuche via Social Engineering oder per Phishing zu erkennen. Das Bewusstsein für Cybergefahren lässt sich mittels Security Awareness Training stärken. Ebenso wichtig ist eine Strategie für einen Incident. Mit einem Notfallplan in der Hinterhand sind Unternehmen deutlich schneller wieder handlungsfähig.
