Gesundheitswesen

Bot-Netze Emotet und Trickbot liefern Ransomware gegen Krankenhäuser

, San Carlos, Check Point | Autor: Herbert Wieler

Bot-Netze Emotet und Trickbot liefern Ransomware gegen Krankenhäuser

Top Malware für Oktober 2020: Bot-Netze erpressen Krankenhäuser

Check Point Research, die Threat Intelligence-Abteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), einem weltweit führenden Anbieter von Cyber Security-Lösungen, hat den Global Threat Index für Oktober 2020 veröffentlicht.

In den Vereinigten Staaten von Amerika hat das Federal Bureau of Investigations (FBI) gemeinsam mit der US-Regierung vor Kurzem eine Warnung herausgegeben, dass Ransomware-Attacken gegen Krankenhäuser enorm zunehmen. Mittlerweile registriert die Behörde über eine Million Infektionen durch Trickbot weltweit, die größtenteils zum Ausliefern von Ransomware, wie Ryuk, missbraucht wurden. In Deutschland kommt vorrangig das berüchtigte Emotet-Bot-Netz zum Einsatz, dass weiterhin auf Platz eins steht und im Oktober noch rund 15 Prozent der Unternehmen betraf, wie Check Point messen konnte. Die Threat-Intelligence-Daten zeigen außerdem, dass die Angriffe gegen das Gesundheitswesen in der Region EMEA (Europa, Mittlerer Osten und Afrika) um 36 Prozent zunahmen.

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point

Maya Horowitz, Director Threat Intelligence and Research and Products bei Check Point Software Technologies, erläutert: „Seit Beginn der Coronavirus-Krise haben Ransomware-Angriffe zugenommen, um Security-Lücken auszunutzen, welche durch die rasche Umstellung auf Tele-Arbeit entstanden sind. Während die Organisationen ihre Unterstützung der Mitarbeiter im Homeoffice einrichteten und sortierten, schlugen die Angreifer bereits zu. Die Anzahl dieser Attacken ist in den letzten drei Monaten alarmierend angestiegen, insbesondere jene gegen den Gesundheitssektor. Sie werden von bereits bestehenden TrickBot- und Emotet-Infektionen angetrieben. Wir empfehlen dem Gesundheitswesen überall dringend, sehr wachsam zu sein und nach solchen Infektionen zu suchen, bevor sie Schaden anrichten können. Es sind Einfallstore für eine Ransomware.“

Außerdem hält sich in Deutschland auf dem dritten Platz der Banking-Trojaner Dridex, während den zweiten Platz Hiddad erringt, eine Andorid Malware, die kostenpflichtige Werbung anzeigt, oder sogar Sicherheitsinformationen jedes Geräts auslesen kann.

Top 3 Most Wanted Malware für Deutschland:

Die Pfeile beziehen sich auf die Änderung der Platzierung gegenüber dem Vormonat

Emotet bleibt an der Spitze, gefolgt nun von Hiddad. Auf Platz drei verbleibt Dridex in den oberen Drei.

  1. ↔ Emotet – Emotet ist ein fortschrittlicher, sich selbst verbreitender und modularer Trojaner. Er wurde früher als Banking-Trojaner eingesetzt, dient jedoch derzeit als Verbreiter anderer Schadprogramme oder ganzer Kampagnen. Er nutzt verschiedene Methoden, um betriebsbereit zu bleiben und kennt Ausweichtechniken, um einer Entdeckung zu entgehen. Zusätzlich kann er durch Phishing-E-Mails verbreitet werden, die schädliche Anhänge oder Links enthalten.
  2. ↑ Hiddad – Dabei handelt es sich um eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter weitergibt. Seine Hauptfunktion ist das Einblenden von Anzeigen. Allerdings ist sie auch in der Lage dazu, sich Zugriff auf wichtige Sicherheitsdetails zu verschaffen, die in das Betriebssystem integriert sind. Diese Funktion ermöglicht es Angreifern sensible Benutzerdaten abzugreifen.
  3. ↓ Dridex – Dridex ist ein Banking-Trojaner, der auf Windows-Systeme zielt und von Spam-Kampagnen und Exploit Kits verbreitet wird. Diese nutzen WebInjects, um Bankdaten abzufangen und auf einen von Angreifern kontrollierten Server umzuleiten. Dridex kontaktiert einen Remote-Server, sendet Informationen über das infizierte System und kann zusätzliche Module zur Fernsteuerung herunterladen und ausführen.

Die Top 3 Most Wanted Mobile Malware:

Die Spitze erringt Hiddad, während xhelper auf den zweiten Rang rutscht. An dritter Stelle steht nun Lotoor.

  1. ↑ Hiddad – Hiddad ist eine Android-Malware, die legitime Anwendungen neu verpackt und dann an einen Drittanbieter-Shop weitergibt. Die Hauptfunktion besteht darin, Werbung anzuzeigen, aber sie kann auch Zugang zu wichtigen Sicherheitsdetails erhalten, die in das Betriebssystem integriert sind.
  2. ↓ xhelper – Eine bösartige Android-Anwendung, die seit März 2019 zum Herunterladen anderer bösartiger Anwendungen und zum Anzeigen von Werbung verwendet wird. Sie ist in der Lage, sich vor dem Benutzer und mobilen Antivirenprogrammen zu verstecken und sich selbst neu zu installieren, wenn der Benutzer sie deinstalliert.
  3. ↑ Lotoor – Ein Hacking-Tool, das Schwachstellen im Android-Betriebssystem ausnutzt, um Root-Rechte auf kompromittierten mobilen Geräten zu erlangen.

Die Top 3 Most Wanted Schwachstellen:

Die Schwachstelle MVPower DVR Remote Code Execution steht an der Spitze und bedroht 43 Prozent der Unternehmen weltweit. Auf Platz zwei schiebt sich Dasan GPON Router Authentication Bypass (CVE-2018-10561) in der Rangliste der weltweit größten Schwachstellen mit 42 Prozent. Den dritten Platz erringt erstmals die Schwachstelle HTTP Headers Remote Code Execution (CVE-2020-13756) mit ebenfalls 42 Prozent.

  1. ↔ MVPower DVR Remote Code Execution – Ein Einfallstor entsteht bei der Ausführung von Remote-Code in MVPower DVR-Geräten. Ein Angreifer kann dieses aus der Ferne ausnutzen, um beliebigen Code im betroffenen Router über eine ausgearbeitete Anfrage (Request) auszuführen.
  2. ↔ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – Eine Schwachstelle, die es erlaubt, die Authentifizierung in Dasan GPON-Routern zu umgehen. Die erfolgreiche Ausnutzung dieser Schwachstelle gibt Hackern die Möglichkeit, an sensible Informationen zu gelangen und sich unbefugten Zugang zum betroffenen System zu verschaffen.
  3. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – HTTP-Header lassen den Client und den Server zusätzliche Informationen über eine HTTP-Anfrage austauschen. Ein virtueller Angreifer kann einen anfälligen HTTP-Header missbrauchen, um eigenen Schad-Code einzuschleusen und auszuführen.

Der Global Threat Impact Index und die ThreatCloud Map von Check Point basieren auf der ThreatCloud Intelligence von Check Point, dem größten gemeinschaftlichen Netzwerk zur Bekämpfung der Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem globalen Netzwerk von Bedrohungssensoren liefert. Die ThreatCloud-Datenbank analysiert täglich über 2,5 Milliarden Webseiten und 500 Millionen Dateien und identifiziert mehr als 250 Millionen Malware-Aktivitäten.