Tempe, Ariz. USA und Prag, Tschechische Republik, 02. November 2022 — Avast (LSE: AVST), ein weltweit führender Anbieter von digitalen Sicherheits- und Privatsphärelösungen, hat heute seinen Avast Q3/2022 Threat Report veröffentlicht, der die Cyber- Bedrohungslandschaft anhand der Telemetriedaten von Avast sowie Erkenntnissen von Expert*innen zusammenfasst. So zeigen die Daten von Avast Ende September einen Anstieg der PC-Adware-Aktivitäten. Außerdem schützte Avast in Q3/2022 im Vergleich zum vorherigen Quartal 370 Prozent mehr Nutzer*innen vor der Informationsdiebstahls-Malware „Raccoon Stealer“. Ransomware-Angriffe nahmen in einigen Märkten wie Kanada, Spanien und Deutschland zu, weltweit gingen sie jedoch leicht zurück. Die Wahrscheinlichkeit, dass Handy-Nutzer*innen auf einen Banking-Trojaner stoßen, stieg weltweit im Quartalsvergleich um sieben Prozent, obwohl Europol das FluBot-Netzwerk aufgebrochen hat. Die meisten bösartigen Aktivitäten blieben stabil oder gingen in Q3/2022 zurück.
„Ein interessanter Trend, den wir in diesem Quartal beobachtet haben, war das aktive Crowdsourcing und die Bezahlung von Personen zur Unterstützung ihrer kriminellen Aktivitäten, einschließlich der Verbesserung, Vermarktung und Verbreitung ihrer Malware", sagte Jakub Kroustek, Malware Research Director bei Avast.
„Was Cyberangriffe angeht, haben wir gegen Ende des dritten Quartals 2022 eine leichte Zunahme von DealPly-Adware ausgemacht, sowie einen massiven Anstieg von Infektionsversuchen durch Raccoon Stealer. Außerdem konnten wir verstärkte MyKings- Botnet-Aktivitäten feststellen und ein neues, in Go geschriebenes Botnet namens Pitraix. Das Gesamtniveau der Cyberangriffe blieb hoch, allerdings schienen sich die Cyberkriminellen in den Sommermonaten etwas zu entspannen.”
Das Risiko, in diesem Quartal auf Ransomware zu stoßen, stieg in Kanada im Vergleich zu Q2/2022 um 16 Prozent. In Deutschland und Spanien war die Wahrscheinlichkeit, Opfer eines Ransomware-Angriffs zu werden, um zwölf Prozent höher, während weltweit das Risiko von Ransomware-Angriffen etwas geringer ausfiel.
„Ransomware-Gruppen verwenden zunehmend komplizierte Methoden der partiellen Verschlüsselung, z. B. indem sie nur den Anfang oder das Ende einer Datei oder Dateiblöcke verschlüsseln. Das Ziel dabei ist, Dateien rasch zu verschlüsseln, damit sie von Benutzer*innen nicht entdeckt werden”, sagt Jakub Kroustek.
„Darüber hinaus stehlen Ransomware-Banden jetzt Daten von Unternehmen, was in Fachkreisen als Datenexfiltration bezeichnet wird, und drohen mit der Veröffentlichung sensibler Dateien. Doch statt diese anschließend zu verschlüsseln, löschen oder beschädigen sie die Dateien. Wir haben auch eine interessante Reihe von Ereignissen beobachtet, an denen die Erpresserbande hinter der LockBit-Ransomware beteiligt war. So hat die Gruppe ein Bug-Bounty-Programm aufgestellt, das sinngemäß Kopfgelder für die Entdeckung von Schwachstellen oder die Übermittlung von Ideen an die Gruppe zahlt. Außerdem gibt es Belohnungen für Leute, die sich ihr Logo auf den Körper tätowieren lassen, Mitglieder der Gruppe, die Vergeltung üben und Code weitergeben, sowie ein Hin und Her zwischen der Erpressergruppe und einem Sicherheitsunternehmen namens Entrust.“
Die pro-russische Gruppe NoName057(16) hat im Q3/2022 Unternehmen wie Banken und Nachrichtenagenturen sowie Regierungen, die die Ukraine unterstützen, mit DDoS-Angriffen attackiert. Die Gruppe nutzt für ihre Vergeltungsaktion ein Botnetz von Computern, die mit der Bobik-Malware infiziert sind. Nach Beobachtungen von Avast hat die Gruppe eine Erfolgsquote von 40 Prozent. Etwa 20 Prozent der Angriffe können in ihren Konfigurationsdateien jedoch nicht nachgewiesen werden. Im August kündigte die Gruppe ein neues Projekt namens DDOSIA an und gründete eine neue, private Telegram-Gruppe mit mehr als 700 Mitgliedern. Das DDOSIA-Projekt ermöglicht es jedem und jeder im Internet, eine Binärdatei herunterzuladen, mit der er DDoS-Angriffe auf von NoName057(16) festgelegte Websites durchführen kann. Im Gegenzug werden sie mit Kryptowährungen belohnt.
Die APT-Gruppe Gamaredon konzentrierte sich in Q3/2022 auch auf die Ukraine und griff militärische und staatliche Einrichtungen sowie ausländische Botschaften in der Ukraine an. Die Gruppe nahm neue Tools in ihr Portfolio auf, darunter Programme zur Dateiexfiltration, verschiedene Dropper sowie neue Methoden zur Verteilung von Payloads und IPs von C&C- Servern.
LuckyMouse, eine bekannte chinesisch-sprachige Hackergruppe, hatte es auf mehrere Regierungsbehörden in den Vereinigten Arabischen Emiraten, Taiwan und den Philippinen abgesehen. Avast fand auf den infizierten Computern Hintertüren, Passwort-Stealer für Chrome und Open-Source-Tools wie BadPotato, das für Privilege Escalation verwendet wird. Die Angreifer*innen haben die Geräte wahrscheinlich über einen kompromittierten Server infiziert.
Andere Gruppen, die von Avast beobachtet werden, sind das Donot Team, auch bekannt als APT-C-35, und Transparent Tribe, auch bekannt als APT36. Das Donot Team war in Q3/2022 vor allem in Pakistan aktiv. Avast entdeckte DLL-Module aus dem Malware-Framework yty auf mehreren infizierten Geräten. Transparent Tribe, bei dem es sich vermutlich um eine pakistanische Gruppe handelt, griff weiterhin Opfer in Indien und Afghanistan an und infizierte PCs über Spearphishing und Office-Dokumente mit bösartigen VBA-Makros. Avast Researcher*innen stellten fest, dass die Programmdateien zum CrimsonRAT-Stamm gehören, einer von Transparent Tribe angepassten Malware, die für den Zugriff auf infizierte Netzwerke verwendet wird.
DealPly erreichte Ende September 2022 ihren Höhepunkt. Bei der Adware handelt es sich um eine Chrome-Erweiterung, die in der Lage ist, neue Seiten im Browser zu ändern und neu geöffnete Tabs zu ersetzen, den Browserverlauf zu lesen, Lesezeichen zu ändern und Apps, Erweiterungen und Themen im Browser zu verwalten. Diese Fähigkeiten ermöglichen es den Cyberkriminellen hinter der Erweiterung, Suchergebnisse zu ändern und durch Werbung zu ersetzen, im Browser gespeicherte Kennwörter und Kreditkartendaten auszulesen und mitzulesen, was Benutzer in Formulare eingeben (und was sie in der Vergangenheit ausgefüllt haben).
Raccoon Stealer, eine Informationsdiebstahls-Malware, die Daten stehlen und weitere Malware herunterladen und ausführen kann, feierte in Q3/2022 ein großes Comeback. Avast schützte 370 Prozent mehr Benutzer*innen vor dem Stealer als im vorangegangenen Quartal.
„Raccoon Stealer verbreitet sich, wenn Nutzer*innen versuchen, ‚gecrackte‘ Versionen von Software wie Adobe Photoshop, Filmora Video Editor und uTorrent Pro herunterzuladen", erklärt Jakub Kroustek. „Oft ignorieren sie den Virenschutz oder schalten ihn ganz aus, wenn sie beispielsweise versuchen, gefälschte Softwaredateien herunterzuladen. Sie setzen sich damit dem Risiko aus, Malware wie Raccoon Stealer zu downloaden. Malware ist oft in der Lage, weitere bösartige Programme herunterzuladen. Auf diese Weise wird zum Beispiel DealPly verbreitet. Daher müssen Nutzer*innen Antiviren-Software installieren und den Schutz stets aktiviert lassen.”
Während sich die Botnet-Aktivität in Q3/2022 stabilisierte, nahm die MyKings-Botnet-Aktivität zu. MyKings ist ein Botnetz, das sich auf den Diebstahl von Kryptowährungen konzentriert und seit 2016 aktiv ist.
Adware bleibt die dominierende Bedrohung, wenn es um Mobilgeräte geht, wobei Adware wie HiddenAds und FakeAdBlocker am meisten verbreitet sind. Die Länder, in denen Avast die Nutzer am häufigsten vor Adware schützte, waren Brasilien, Indien, Argentinien und Mexiko.
Trotz der kürzlichen Beseitigung des FluBot-Netzes durch Europol stieg das weltweite Risiko, Opfer eines Banking-Trojaners zu werden, in Q3/2022 im Vergleich zu Q2/2022 um sieben Prozent. Banking-Trojaner werden hauptsächlich über SMS-Phishing verbreitet, können aber auch über Dropper-Malware verbreitet werden.
TrojanSMS oder Premium-SMS-Betrügereien zielen weiterhin auf Mobilfunknutzer*innen ab. Führend in dieser Kategorie sind SMSFactory und Darkherring, während UltimaSMS und Grifthorse sich zurückziehen. SMSFactory und Darkherring werden über Pop-ups, Malvertising und gefälschte App-Stores verbreitet. Im Gegensatz dazu wurden UltimaSMS und Grifthorse über den Google Play Store verbreitet, was allerdings gestoppt werden konnte, indem Google sie aus dem Store entfernte
Der vollständige Avast Threat Report Q3/2022 kann im Avast Decoded Blog eingesehen werden: https://decoded.avast.io/threatresearch/avast-q3-2022-threat-report/.