ESET hat seinen Jahresabschlussbericht zur aktuellen Bedrohungslage in der IT veröffentlicht. ESET ist ein Sicherheitsunternehmen, das umfangreiche Produkte für Windows, Linux und Mac anbietet. Die Datenerhebung erfolgte mit ESET eigenen Daten und wohl auch externen Daten.
Entsprechend diesen Daten hat sich die Bedrohungslage etwas entspannt. Gründe dafür sind verbesserte Abwehrmechanismen, z.B. in den Webbrowsern oder im Windows 11, der Einbruch des Kryptomarktes ( wenn es nichts zu holen gibt…) und der Ukraine Krieg. Letzteres führte dazu, dass sich viele Gruppierungen für eine Seite entschieden und sich aktiv am Cyberkrieg beteiligten. Das wiederum führte zu speziellen Ransomware Angriffen von beiden Seiten. Diese Angriffe hatten in der Regel das Ziel, in Unternehmens IT einzudringen und Daten unwiderrufbar zu verschlüsseln. Hier kam dann auch eine neue .Net Ransomware zum Einsatz, die über das Active Directory verbreitet wurde.
Downloader sind spezielle Viren, die durch das Herunterladen von Programmen aus dem Internet verbreitet werden. Hier zeigte sich, dass deren Angriffsschwung abgenommen hat (um 50%). Aber es war auch erkennbar, dass Entwickler bestimmter Viren weiterhin aktiv sind und neue Entwicklungen verbreiten.
Angriffe über den Webbrowser sind etwas zurückgegangen, aber die Angreifer werden immer fantasievoller. Ein Hauptangriffsziel war hier der Finanzsektor. Man lockte Opfer z.B. auf eine fast identische Webseite einer Bank und kam so an die nötigen Bankinformationen für weitere Aktionen. Soziale Medien und Shopping Anbieter waren auch ein sehr beliebtes Angriffsziel. Ähnliches Schema, aber anderer Ansatz, z.B. “Bitte hier anmelden, um deine Kontodaten zu verifizieren!” usw..
EMail Angriffe sind ebenfalls deutlich zurückgegangen. Auffällig war die Verwendung von Webtechnologie, d.h. man versendete manipulierte Webseiten in der Mail oder lockte eben auf eine solche.
Angriffe über Android haben um über 50% zugenommen! Die Angriffe erfolgten in der Regel über Apps in App Stores von Drittanbietern ( also die Google Sicherheitsmaßnahmen zeigen Wirkung). Die Angriffspalette reicht von “simpler” Adware (Werbe Apps, die schädliche Programme nachladen können; ein Anstieg von bis zu 1000%) bis hin zu umfangreichen Trojaner Apps (verstecken von Schadprogrammen in harmlos wirkenden Programmen) , die umfangreichste Daten ausgelesen haben usw.. Ein beliebtes Mittel war auch die Verwendung von VPN Apps, die dann zum Mitlesen von Daten dienten.
Auf dem MacOS und iOS war ein leichter Rückgang von Vorfällen zu bemerken (auf das ganze Jahr betrachtet sogar etwas deutlicher). Eine Ausnahme bildet unerwünschte Software. Das ist Software, die tolle Funktionen verspricht, z.B. einen Performance Boost. Diese Programme haben dann in der Regel tiefgreifende Systemrechte und ermöglichen damit die Installation von Malware (Spionage Programme). Die meisten Vorfälle wurden in den USA registriert (20%). Auf Deutschland entfallen 5%. Auffällig war, dass immer zu Feiertagen die Vorfälle abnahmen, wenn die Opfer oder der Betreiber der Malware diesem nachkamen. Vorfälle mit Adware waren am Zweithäufigsten aufgetreten. Trojaner waren ebenfalls vertreten.
IoT Geräte (Internet of Things), das sind z.B. Smarthome Geräte, waren ebenfalls wieder von Angriffen betroffen. Angreifer übernahmen die Kontrolle von diesen Geräten und starteten damit Angriffe, z.B. DDoS (Angriff auf einen bestimmten Dienst, um diesen z.B. zum Absturz zu bringen; z.B. ein Webserver).ESET geht hier auch von größeren, ruhenden Bot Netzen aus (Geräte, die zur Zeit nicht für Angriffe verwendet werden, aber bereits von Angreifern übernommen wurden und nur noch auf den entsprechenden Befehl warten). Ein weiteres Problem ist z.B. die voranschreitende Digitalisierung beim Kfz. Immer mehr Autodiebe greifen auf Sicherheitslücken zurück, um das Fahrzeug zu öffnen und unter Umständen damit abzuhauen. Hier kann man auf die Modelle von Hyundai/ Genesis, Tesla/ Model Y und Nissan/ Infinity verweisen, die entsprechende Lücken hatten. >>Google hat übrigens durch seine Technologien einen umfangreichen DDoS Angriff auf einen Kunden erkannt und verhindert// kann aber schon 2021 gewesen sein<<
Brute Force Angriffe wurden ebenfalls von ESET erfasst. Hier versucht man Passwörter zu knacken. Die Kompromittierung von Fernzugriffen (RDP) war ein Ziel (abnehmend). Ein weiteres Ziel waren Datenbanken (stark zunehmend). Ansonsten betrifft das alle Dienste, die durch Passwörter geschützt sind. Auffällig waren die IP/ Internet Adressen der Angreifer. Diese waren öfters dem russischen Raum zuzuordnen.
Exploits kamen ebenfalls zum Einsatz. Also die Ausnutzung von Fehlern in der Programmierung. Hier attackierte man EMail Dienste, Dateidienste (SMB), Webserver (Apache) usw.. Hervorzuheben ist hier die “LOG4J” Sicherheitslücke. Obwohl diese seit längerem bekannt war, konnten trotzdem bis Ende des Jahres entsprechende Vorfälle registriert werden (Anzahl wie zu Beginn). Viele der ausgenutzten Lücken waren übrigens schon deutlich älter. >>An dieser Stelle muss man auch mal direkt darauf hinweisen, dass Angreifer im gestiegenen Maß gezielt Linux Server attackieren. Also das sind kein Zufälle mehr, sondern spezialisierte Angriffe.<<
Ansonsten waren es wohl ESET Hacker, die Sicherheitslücken im UEFI der Lenovo Notebooks gefunden haben. Diese Lücken konnten ausgenutzt werden, um das Secure Boot zu deaktivieren. Das erleichtert die Ausführung bösartiger Programme beim Start des Systems. Updates sind vorhanden, wenn es noch Support für das Gerät gab.
In Deutschland wurden vergleichsweise wenig Vorfälle registriert. Die meisten waren in den USA, China bzw. asiatischer Raum, Ukraine, Russland und Südamerika.
Ihr könnt euch die komplette Veröffentlichung bei ESET in englischer Sprache herunterladen.
TOP 10 MALWARE DETECTIONS
HTML/Phishing.Agent trojan
HTML/Phishing.Agent is a detection name for malicious HTML code often used in a phishing email’s attachment. Attackers tend to use it instead of other file types, since executable attachments are usually automatically blocked or more likely to raise suspicion. When such an attachment is opened, a phishing site is opened in the web browser, posing as e.g., an official banking, payment service or social networking website. The website requests credentials or other sensitive information, which are then sent to the attacker.
Win/Exploit.CVE-2017-11882 trojan
This detection name stands for specially crafted documents exploiting the CVE-2017-11882 [22] vulnerability found in Microsoft Equation Editor, a component of Microsoft Office. The exploit is publicly available and usually used as the first stage of compromise. When the user opens the malicious document, the exploit is triggered and its shellcode executed. Additional malware is then downloaded onto the computer to perform arbitrary malicious actions.
HTML/Phishing trojan
HTML/Phishing trojan represents generic malware detections that are collected based on scanning malicious URLs in emails and email attachments. If an email or its attachment contains a blocklisted URL, it triggers an HTML/Phishing.Gen detection.
MSIL/TrojanDownloader.Agent trojan
MSIL/TrojanDownloader.Agent is a detection name for malicious software written for the Windows platform, and that uses the .NET Framework; this malware tries to download other malware using various methods. It usually contains either a URL or a list of URLs leading to the final payload. This malware often acts as the first layer of a much more complex package, taking care of the installation part on the victimized system.
JS/Agent trojan
This detection name covers various malicious JavaScript files. These are often obfuscated to avoid static detections. They are typically placed onto compromised but otherwise legitimate websites, with the aim of achieving drive-by compromise of visitors.
DOC/Fraud trojan
DOC/Fraud detections cover mainly Microsoft Word documents with various types of fraudulent content, distributed via email attachments. The purpose of this threat is to profit from the victim’s involvement, for example by persuading victims to disclose their credentials or sensitive data. Recipients might be tricked into believing they have won a lottery prize or been offered a very favorable loan. The documents often contain links to websites where victims are asked to fill in personal information.
DOC/TrojanDownloader.Agent trojan
This classification represents malicious Microsoft Office documents that download further malware from the internet. The documents are often disguised as invoices, forms, legal documents, or other seemingly important information. They may rely on malicious macros, embedded Packager (and other) objects, or even serve as decoy documents to distract the recipient while malware is downloaded in the background.
LNK/Agent trojan
LNK/Agent is a detection name for malware utilizing Windows LNK shortcut files to execute other files on the system. Shortcut files have been popular among attackers, as they are typically considered benign and less likely to raise suspicion. LNK/Agent files don’t contain any payload and are usually parts of other, more complex malware. They are often used to achieve persistence of the main malicious files on the system or as a part of the compromise vector.
HTML/Fraud trojan
HTML/Fraud detections cover various types of fraudulent, HTML-based content, distributed with the aim of gaining money or other profit from the victim’s involvement. This includes scam websites, as well as HMTL-based emails and email attachments. In such an email, recipients may be tricked into believing they have won a lottery prize and are then requested to provide personal details. Another common case is the so-called advance fee scam [23], such as the notorious Nigerian Prince scam also known as “419 scam”.
VBA/TrojanDownloader.Agent trojan
VBA/TrojanDownloader.Agent is a detection typically covering maliciously crafted Microsoft Office files that try to manipulate users into enabling the execution of macros. Upon execution, the enclosed malicious macro typically downloads and executes additional malware. The malicious documents are usually sent as email attachments, disguised as important information relevant to the recipient.
