Das Viren-Jahr 2021: Die vier gefährlichsten Malware-Programme

Ransomware-Erpressung hat sich von einem Trend zu einer der größten Herausforderungen in der Online-Welt entwickelt. Daten waren noch nie so gefährdet wie heute: Cyberkriminelle stehlen und verschlüsseln sie, so dass sie für Unternehmen unzugänglich werden und drohen, sie offenzulegen, wenn kein Lösegeld gezahlt wird. Hinzu kommt, dass Hacker immer raffiniertere Angriffstaktiken anwenden und neue Kräfte rekrutieren – für jeden gestoppten Angriff schießen zwei neue Angreifer wie Pilze aus dem Boden. Tyler Moffitt, Senior Security Analyst bei Carbonite + Webroot, stellt die gefährlichsten Malware-Programme des letzten Jahres vor:

1. LemonDuck

Ob über COVID-E-Mails, Exploits, dateilose Powershell-Module oder Brute-Force-Angriffe: LemonDuck, die bekannte Botnet- und Cryptomining-Malware, schafft sich auf jede erdenkliche Weise Zugriff auf Systeme. Seit 2021 stiehlt sie zudem Anmeldedaten, entfernt Sicherheitsprotokolle und hinterlässt sogar Tools für Folgeangriffe. Das Zielbetriebssystem ist dabei unerheblich – Linux, Mac OS und Windows sind gleichermaßen von Angriffen betroffen. Unauffällig schürft LemonDuck die Kryptowährung Monero (XMR) – Gewinne entstehen für die Kriminellen sofort, während sie beim Opfer im Laufe der Zeit über die Stromrechnung anfallen. Ein Lösegeld fordert die Malware nicht, der Angriff bleibt daher lange unentdeckt. LemonDuck ist außerdem eines der wenigen bekannten Malware-Programme, das andere konkurrierende Malware entfernt und so patcht, wie sie eingeschleust wurden. Ein Grund mehr, warum LemonDuck zu den gefährlichsten Schadcodes des Jahres zählt. Darüber hinaus hat Microsoft 2021 die Aktivitäten einer Variante mit dem Codenamen „LemonCat“ aufgedeckt, die auf LemonDuck basiert. Die Angriffsinfrastruktur der Cat-Variante tauchte Berichten zufolge im Januar auf und führte schließlich zu Angriffen, die auf Schwachstellen in Microsoft Exchange Server abzielten.

2. REvil

Auf der Liste der gefährlichsten Malware darf REvil natürlich nicht fehlen. Vormals unter anderem bekannt als Sodinokibi, ist Ransomware-as-a-Service (RaaS) das Hauptgeschäft von REvil. Das heißt: Die Hackergruppe erstellt den Ransomware-Nutzdaten und ermöglicht dann einen Zahlungs-Prozess. Interessenten können diesen Service kaufen oder abonnieren und selbst Angriffe ausführen, ohne sich mit der Materie auskennen zu müssen. Die Gewinne werden in der Regel untereinander aufgeteilt.

Aufsehen erregte REvil Anfang Juli durch einen Angriff auf den IT-Dienstleister Kaseya. Die Hacker drangen über eine Schwachstelle in der VSA-Software in die Server von Drittanbietern ein und verschlüsselten Daten. Kurz darauf wurde über eine Nachricht im Darknet die Zahlung von 70 Millionen Dollar für die Entschlüsselung der Daten gefordert. Aber auch REvil musste einen Schlag einstecken: Nach dem Angriff auf die Kaseya-Lieferkette gingen Payments, Leak-Seiten und Onion-Links sofort offline. Zudem gelang internationalen Ermittlern im November ein weiterer Coup gegen REvil. Das US-Justizministerium teilte mit, dass ein Verdächtiger gefasst worden sei, der vermutlich hinter der Cyberattacke auf Kaseya stecke. Ob die REvil-Gruppe gänzlich von der Bildfläche verschwinden wird, bleibt allerdings abzuwarten. Denn: Es wurden immer nur Partner des Netzwerks gefasst. Alle Drahtzieher von REvil sind noch auf freiem Fuß.

3. Trickbot

Trickbot ist ein Banking-Trojaner, der sich zu einem der bekanntesten und beliebtesten Botnets entwickelt hat. Er wird aufgrund seiner Vielseitigkeit und Widerstandsfähigkeit von vielen Ransomware-Gruppen genutzt. Im letzten Jahr führten das US-Verteidigungsministerium und Microsoft Angriffe auf das Botnet durch. Obwohl es anfangs endgültig zerschlagen schien, ist Trickbot nun wiederaufgetaucht. Sobald Trickbot auf dem Computer ist, nutzt er Exploits, um sich durch Netzwerke zu bewegen, sich unauffällig zu verbreiten und über Wochen hinweg so viele Anmeldedaten wie möglich zu sammeln. Hat er die Kontrolle über die Umgebung übernommen, richtet er den größten Schaden mit einer Ransomware-Attacke an.

Auch cyberkriminelle Gruppen wie Emotet, die erst kürzlich wieder aktiv zu sein scheinen, nutzen Trickbot, um wieder verstärkt Systeme zu infizieren. Und auch die Verhaftung eines Bandenmitglieds im Herbst scheint nicht dafür zu sorgen, dass Trickbot von der Bildfläche verschwindet.

4. Cobalt Strike

Bei Cobalt Strike handelt es sich um ein von White Hats entwickeltes Pen Testing Tool. Es simuliert Cyberangriffe, identifiziert Schwachstellen und ermöglicht es, die Schwachstellen in der Verteidigung von Organisationen zu finden. Ein Hacking Tool für gute Absichten – warum landet es dann auf dieser Liste? Dieses Tool verfügt über mehrere nützliche Funktionen, wie zum Beispiel Process Injections, Rechteausweitung oder Extraktion von Anmeldeinformationen und Hash-Werten. Diese Funktionen sind für Hacker besonders attraktiv, weshalb Cobalt Strike unter Cyberkriminellen stark an Beliebtheit gewonnen hat. Außerdem ist das Tool sehr einfach zu verwenden, was es perfekt macht für skalierbare, maßgeschneiderte Angriffe auf Unternehmen. So wurde Cobalt Strike 2021 von der cyberkriminellen Gruppe Wizard Spider verwendet, um die Systeme der irischen Gesundheitsbehörde HSE anzugreifen, Krankenakten zu stehlen und Mitarbeiterdaten herunterzuladen.

Mehr Sicherheit im Netz

Die Bedrohungslandschaft im Internet wandelt sich stetig. Anwender und IT-Verantwortliche sowie alle Mitarbeiter im Unternehmen müssen gleichermaßen auf verstärkte Sicherheit im Netz setzen. Denn nicht nur die oben genannten Gruppen, auch Ransomware-Gruppen wie Conti, Dridex, DarkSide oder Hello Kitty, haben in den vergangenen Monaten enormes kriminelles Potenzial gezeigt. Für Anwender gilt es, sich eingängig mit den Bedrohungen im Netz auseinanderzusetzen. Ein sicheres Antivirenprogramm, regelmäßige Updates und eine gesunde Portion Mistrauen sind hier der erste Schritt in die richtige Richtung.

Für Unternehmen hingegen werden Backups zur Priorität. Diese sollten regelmäßig überprüft werden und Warnmeldungen enthalten, damit Administratoren Probleme leicht erkennen können. Die Kombination von Online-Backups, die Daten verschlüsselt speichern, und Backup-Laufwerken, die bei Gefahr vom Netz genommen werden können, ist dabei entscheidend. Unternehmen sollten außerdem RDP-Lösungen einsetzen, die Daten verschlüsseln und eine mehrstufige Authentifizierung verwenden. Darüber hinaus gilt es, die eigenen Mitarbeiter zu sensibilisieren. Über Cybersicherheitsschulungen und Phishing-Simulationen zum Beispiel lernen sie, nicht auf unseriöse Links oder Anhänge in E-Mails zu klicken und keine persönlichen Daten online preiszugeben. Darüber hinaus sind regelmäßige Updates unerlässlich, da Hacker gerne veraltete Software und Betriebssysteme nutzen, um Malware in Systeme einzuschleusen und Daten zu stehlen.  

Bestimmte Aussagen in dieser Pressemeldung können Worte enthalten, die nach den geltenden Wertpapiergesetzen als sogenannte Zukunfts-gerichtete Aussagen oder Informationen gelten. Diese Aussagen basieren auf den aktuellen Erwartungen, Schätzungen, Vorhersagen und Prognosen von OpenText über das Betriebsumfeld, die Wirtschaft und die Märkte, in denen das Unternehmen tätig ist. Diese Aussagen unterliegen wesentlichen Annahmen, Risiken und Ungewissheiten, die schwer vorherzusagen sind, sodass tatsächliche Ergebnisse ggf. erheblich abweichen könnten. Die Annahmen von OpenText könnten sich, obwohl das Unternehmen sie zum Zeitpunkt dieser Pressemitteilung für vernünftig hält, als ungenau erweisen und folglich können die tatsächlichen Ergebnisse wesentlich von den hier dargelegten Erwartungen abweichen. Weitere Informationen zu Risiken und anderen Ereignissen, die auftreten können, finden Sie im Jahresbericht von OpenText gemäß Form 10-K, in den Quartalsberichten gemäß Formular 10-Q, in anderen Security Filings und anderen bei Wertpapieraufsichtsbehörden eingereichten Unterlagen. Sofern nicht anderweitig durch die geltenden Wertpapiergesetze gefordert, lehnt OpenText jegliche Absicht oder Verpflichtung zur Aktualisierung oder Überarbeitung von Zukunfts-gerichteten Aussagen ab, sei es aufgrund neuer Informationen, zukünftiger Ereignisse oder aus anderen Gründen.  

Copyright © 2021 OpenText. Alle Rechte vorbehalten. OpenText ist eine Marke von OpenText. Ein oder mehrere Patente können dieses Produkt abdecken. Für weitere Informationen besuchen sie https://www.opentext.com/patents.  

 

Über OpenText

OpenText vereinfacht, transformiert und beschleunigt den Informationsbedarf von Unternehmen, auf der Basis von On-Premise oder Cloud-Technologien und schafft so die Voraussetzungen für die Digitale Welt.

Weitere Informationen über OpenText (NASDAQ: OTEX, TSX: OTEX) sind unter www.opentext.de auf dem Blog von CEO Mark Barrenechea verfügbar.

Erreichen Sie uns auf:
[url=https://blogs.opentext.com/category/ceo-blog/]OpenText CEO Mark Barrenechea’s blog[/url]
[url=https://twitter.com/opentext]Twitter[/url] | [url=https://www.linkedin.com/company/opentext]LinkedIn[/url]

Firmenkontakt und Herausgeber der Meldung:

OpenText
Werner-von-Siemens-Ring 20
85630 Grasbrunn
Telefon: +49 (89) 4629-0
Telefax: +49 (89) 4629-1199
http://www.opentext.de

Ansprechpartner:
Roland Latzel
Director of Marketing
Telefon: +49 (2162) 50299-57
E-Mail: roland.latzel@mailstore.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel