Prag, Tschechische Republik, 11. August 2022 — Avast (LSE: AVST), ein weltweit führender Anbieter von digitalen Sicherheits- und Privatsphärelösungen, hat heute seinen Q2/2022 Threat Report veröffentlicht, der weltweit einen signifikanten Anstieg von Ransomware-Angriffen um 24 Prozent gegenüber Q1/2022 aufzeigt. Die Avast-Forscher*innen entdeckten außerdem einen neuen Zero-Day-Exploit in Google Chrome sowie Anzeichen dafür, dass Cyberkriminelle künftig weniger auf Makros als Infektionsvektor setzen werden.
Ransomware-Angriffe nehmen zu
Nach einem monatelangen Rückgang haben die weltweiten Ransomware-Angriffe in Q2/2022 deutlich zugenommen. Die höchsten Zuwächse im Vergleich zum Vorquartal verzeichneten Argentinien (+56 Prozent), Großbritannien (+55 Prozent), Brasilien (+50 Prozent), Frankreich (+42 Prozent) und Indien (+37 Prozent).
„Verbraucher*innen, aber vor allem Unternehmen sollten auf der Hut sein und sich auf Begegnungen mit Ransomware vorbereiten, da diese Art von Bedrohung nicht so schnell verschwinden wird“, erklärt Jakub Kroustek, Malware Research Director bei Avast. „Der Rückgang der Ransomware-Angriffe, den wir in Q4/2021 und Q1/2022 beobachtet haben, war den Strafverfolgungsbehörden zu verdanken, die Mitglieder von Ransomware-Gruppen verhafteten. Aber auch der Ukraine-Krieg trug hierzu bei. Dieser führte zu Unstimmigkeiten innerhalb der Conti-Ransomware-Gruppe, wodurch deren Aktivitäten gestoppt wurden. Im zweiten Quartal 2022 haben sich die Dinge dramatisch verändert. Die Conti-Mitglieder haben sich nun aufgespaltet und neue Ransomware-Gruppen wie Black Basta und Karakurt gegründet oder sich anderen bestehenden Gruppen wie Hive, BlackCat oder Quantum angeschlossen, was wieder zu einem Anstieg der Aktivitäten führte.“
Zero-Day-Schwachstellen
Außerdem entdeckten die Avast Researcher zwei neue Zero-Day-Exploits, die vom israelischen Spyware-Anbieter Candiru genutzt wurden, um unter anderem Journalist*innen im Libanon anzugreifen. Die erste Schwachstelle war ein Fehler in WebRTC, die ausgenutzt wurde, um Google Chrome-Nutzer*innen über gezielte Watering Hole-Angriffe zu schaden. Diese Angriffe betrafen allerdings auch andere Browser. Ein weiterer Exploit ermöglichte es den Angreifern, aus einer Sandbox zu entkommen, in der sie nach Ausnutzung des ersten Zero-Days gelandet waren. Die zweite von Avast entdeckte Zero-Day-Schwachstelle wurde ausgenutzt, um in den Windows-Kernel einzudringen.
Eine weitere Zero Day-Schwachstelle, die in dem Bericht beschrieben wird, ist Follina. Hierbei handelt es sich um einen Fehler bei der Remote-Codeausführung in Microsoft Office, der im großen Stil von Angreifer*innen ausgenutzt wurde – angefangen von Cyberkriminellen bis hin zu russlandnahen APT-Gruppen, die in der Ukraine operieren. Der Zero-Day wurde auch von Gadolinium/APT40, einer bekannten chinesischen APT-Gruppe, bei einem Angriff auf Ziele in Palau missbraucht.
Makros standardmäßig blockiert
Microsoft blockiert jetzt standardmäßig VBA-Makros in Office-Anwendungen. Makros sind seit Jahrzehnten ein beliebter Infektionsvektor. Sie wurden für weitere Bedrohungen genutzt, einschließlich Remote-Access-Trojanern wie Nerbian RAT, einem neuen, in Go geschriebenen RAT, der in Q2/2022 auftauchte, und von der Confucius APT-Gruppe genutzt wurde, um weitere Malware auf den Computern der Opfer zu droppen.
„Wir haben bereits festgestellt, dass sich Cyberkriminelle darauf vorbereiten, alternative Infektionsvektoren zu nutzen, da Makros jetzt standardmäßig blockiert werden. So haben beispielsweise IcedID und Emotet bereits damit begonnen, LNK-Dateien, ISO- oder IMG-Images und andere Tricks, die die Windows-Plattform unterstützt, als Alternative zu Maldocs (schadhafte Dokumente) zu verwenden, um ihre Kampagnen zu verbreiten“, so Jakub Kroustek weiter. „Während Cyberkriminelle sicherlich weiterhin andere Wege finden werden, um ihre Malware auf die Computer der Menschen zu bringen, sind wir zuversichtlich, dass Microsofts Entscheidung dazu beitragen wird, das Internet sicherer zu machen.“
Das passierte in Deutschland, Österreich und der Schweiz
Remote-Access-Trojan-Aktivitäten blieben in Q2/2022 weltweit nahezu konstant. Allerdings konnte Avast neben einem enormen Anstieg der RAT-Angriffe in Japan (+63 Prozent), aufgrund von AsyncRat, auch für Deutschland ein deutlich erhöhtes Bedrohungspotenzial feststellen. Hier stiegen die RAT-Aktivitäten um 28 Prozent im Vergleich zu Q1/2022 an, was hauptsächlich auf RATs wie Netwire zurückzuführen ist.
Ähnlich sieht es mit dem Auftreten von Desktop-Adware aus: Dieses ist im zweiten Quartal 2022 zwar generell zurückgegangen, aber Avast konnte hier ebenso einen Anstieg des Risikos für Nutzer*innen in Deutschland feststellen, vor allem aber in Österreich und der Schweiz. Der gemeinsame Nenner für beide Länder ist die Revizer Adware, die in der Regel durch andere Malware oder kostenlose Anwendungen eingeschleust wird. Die Revizer-Adware überwacht die Aktionen der Benutzer*innen auf bestimmten Websites und aktualisiert deren Inhalte ohne deren Zustimmung oder Erlaubnis. Die Adware fügt in der Regel unerwünschte Banner auf Websites ein, die die Nutzer*innen besuchen, schreibt die Standard-Startseite von Browsern um und definiert, dass der Text von Webseiten durch Hyperlinks aktualisiert wird, die zu unerwünschten oder bösartigen Inhalten führen.
Den vollständigen Avast-Bedrohungsbericht Q2/2022 finden Sie hier.