Pressemitteilungen

Q4/2021 Threat Report von Avast

Avast Threat Researcher*innen beobachteten die Wiederauferstehung der Schadstoffsoftware Emotet, verstärkte Coinminer-Aktivitäten.

Avast Threat Researcher*innen beobachteten die Wiederauferstehung der Schadstoffsoftware Emotet, verstärkte Coinminer-Aktivitäten.


Prag, Tschechische Republik, 31. Januar 2022 – Avast (LSE:AVST), ein weltweit führender Anbieter von digitaler Sicherheit und Datenschutz, veröffentlicht den Q4/2021 Threat Report. Insbesondere der Missbrauch der Log4j-Schwachstelle durch Coinminer, Remote Access Trojaner (RATs), Botnets, Ransomware und APTs hat die CISO-Abteilungen im Dezember 2021 unter Druck gesetzt. Darüber hinaus beobachteten die Avast Threat Researcher*innen die Wiederbelebung des Emotet-Botnets und einen 40-prozentigen Anstieg von Coinminern - ein Risiko sowohl für Verbraucher*innen als auch für Unternehmen. Die Ergebnisse für das vierte Quartal zeigen außerdem eine Zunahme von Adware, Betrug mit technischem Support auf Desktops sowie Abo-Betrug und Spyware auf Android-Geräten, die auf Verbraucher*innen abzielen. Gleichzeitig verzeichnete Avast weniger Ransomware- und RAT-Aktivitäten.

„Zum Jahresende brachte die extrem gefährliche, allgegenwärtige und leicht zu missbrauchende Log4j-Schwachstelle die CISO-Abteilungen ins Schwitzen. Und das zu Recht, denn Angreifer*innen nutzen die Schwachstelle als Waffe, um alles Mögliche zu verbreiten, von Coinminern über Bots bis hin zu Ransomware“, sagte Jakub Kroustek, Avast Malware Research Director.

„Andererseits freuen wir uns über den Rückgang von RAT- und Ransomware-Angriffen sowie von Informationsdiebstahl. Die RAT-Aktivitäten sind dank der Feiertage zurückgegangen. Die Malware-Autor*innen hinter dem Remote-Access-Tool DcRat gingen sogar so weit, ihren RAT in 'SantaRat' umzubenennen. Auch Informationsdiebe waren etwas weniger aktiv, insbesondere der Passwort- und Informationsdieb Fareit – im Vergleich zum Vorquartal um 61 Prozent“, so Kroustek. „Der Schaden, den Ransomware in den ersten drei Quartalen 2021 anrichtete, hat Staaten, Regierungsbehörden und Sicherheitsanbieter dazu gebracht, koordiniert zusammenzuarbeiten, um Ransomware-Autor*innen und -Betreiber*innen zur Strecke zu bringen. Unserer Ansicht nach hat dies zu einem deutlichen Rückgang der Angriffe geführt. Die Ransomware-Risikoquote sank im Vergleich zum Vorquartal um beeindruckende 28 Prozent. Wir hoffen, dass sich dieser Trend fortsetzt, sind aber auch auf das Gegenteil vorbereitet."

Angriffe über Log4j-Schwachstelle
Die Schwachstelle in der Java-Protokollierungsbibliothek Log4j erwies sich für Unternehmen als äußerst gefährlich, da die Bibliothek allgegenwärtig ist und sich leicht ausnutzen lässt. Avast Threat Researcher*innen beobachteten, dass Coinminer, RATs, Bots, Ransomware und APT-Gruppen die Sicherheitslücke missbraucht haben. Verschiedene Botnets, darunter das berüchtigte Mirai-Botnet, nutzten die Schwachstelle aus. Bei den meisten Bot-Angriffen handelte es sich lediglich um Tests der Schwachstelle, aber Avast stellte auch zahlreiche Versuche fest, potenziell bösartige Codes zu laden. Über die Schwachstelle wurden einige RATs verbreitet, am häufigsten NanoCore, AsyncRat und Orcus. Die erste Ransomware, die die Forscher*innen bei der Ausnutzung der Sicherheitslücke entdeckten, war eine minderwertige Ransomware namens Khonsari.

Darüber hinaus beobachteten die Avast Threat Researcher*innen, dass die Akteur*innen hinter der Schadsoftware Emotet mehrere Teile umschrieben, so die Maschinerie wiederbelebten und mit der neuesten Reinkarnation von Emotet den Botnet-Markt zurückeroberten.

Verbraucher sind Ziel von Adware, Coinminer und Tech-Support-Betrug
Die Aktivitäten von Desktop-Adware und Rootkits haben im vierten Quartal 2021 zugenommen. Die Avast Threat Researcher*innen glauben, dass diese Trends mit dem Cerbu-Rootkit zusammenhängen, das Browser-Homepages entführen und die URLs von Websites entsprechend der Rootkit-Konfiguration umleiten kann. Cerbu lässt sich leicht als Adware konfigurieren und einsetzen, um die Opfer mit unerwünschter Werbung zu belästigen und eine Hintertür in die Rechner der Opfer einzubauen.

Während der Bitcoin-Preis Ende 2021 stieg, nahm die Zahl der Coinminer, die sich häufig über infizierte Webseiten und raubkopierte Software verbreiteten, um 40 Prozent zu. CoinHelper war einer der häufigsten Coinminer, der im vierten Quartal 2021 sehr aktiv war und hauptsächlich Nutzer*innen in Russland und der Ukraine angriff. Coinminer missbrauchen heimlich die Rechenleistung eines Benutzers, um Kryptowährungen zu schürfen, was hohe Stromrechnungen verursachen und die Lebensdauer der Hardware der Benutzer*innen beeinträchtigen kann. Darüber hinaus sammelt CoinHelper Informationen über die Opfer, einschließlich ihrer geografischen Lage, der installierten Antivirenlösung und der verwendeten Hardware.

Bei der Beobachtung verschiedener Kryptowährungen fiel den Avast Threat Researcher*innen vor allem Monero auf. Obwohl Monero anonym sein soll, ermöglichten die falsche Verwendung von Adressen und die Funktionsweise von Mining-Pools tiefere Einblicke in die Monero-Mining-Operationen der Malware-Autor*innen. Die Forscher*innen fanden heraus, dass sich der Gesamtgewinn aus dem CoinHelper-Coinminer bis zum 29. November 2021 auf 339.694,86 USD belief. Im Monat Dezember wurden zusätzlich etwa 15.162 XMR, rund 3.446,03 USD, geschürft. CoinHelper verbreitet sich immer noch aktiv und ist in der Lage, täglich rund 0,474 XMR abzubauen.

Die Avast Threat Researcher*innen beobachteten außerdem eine Häufung von Betrugsversuchen rund um technischen Support, bei denen den Anwender*innen ein technisches Problem vorgegaukelt wird und sie so dazu bringt, eine Hotline anzurufen. Die angeblichen Support-Mitarbeiter*innen fordern sie zur Zahlung hoher Supportgebühren oder zur Gewährung von Fernzugriff auf ihr System auf.

UltimaSMS und Facestealer auf mobilen Geräten
UltimaSMS, ein Premium-SMS-Betrug, ist in den vergangenen Monaten wieder aufgetaucht. Im Oktober waren im Play-Store UltimaSMS-Apps erhältlich, die legitime Anwendungen und Spiele imitierten und oft mit einprägsamer Werbung versehen waren. Nach dem Herunterladen wurden die Nutzer*innen aufgefordert, ihre Telefonnummer einzugeben, um auf die App zuzugreifen. Anschließend wurden sie zu einem Premium-SMS-Dienst angemeldet, der bis zu zehn US-Dollar pro Woche kosten kann. Die Drahtzieher*innen von UltimaSMS machten in den sozialen Medien intensiv Werbung für ihre Anwendungen und erreichten so mehr als zehn Millionen Downloads.

Facestealer, eine Spyware zum Diebstahl von Facebook-Anmeldedaten, tauchte im vierten Quartal 2021 erneut mehrfach auf. Die Malware tarnt sich als Foto-Editor, Horoskop, Fitness-App und andere Apps. Nach einer gewissen Zeit fordert die App die Benutzer*innen auf, sich bei Facebook anzumelden, um die App ohne Werbung weiter nutzen zu können.
 

Ausführlichere Informationen finden Sie im vollständigen Bericht: https://go.fischerappelt.de/e/304191/rch-avast-q4-21-threat-report-/223dhc/572815454?h=Prly-DZaaOSkqcusiNBv1_SqjT8pwUvo9pRij5UmcXs