Avast Press

Q3/2021 Threat Report von Avast: Erhöhtes Risiko für Ransomware- und RAT-Angriffe

Geschrieben von Avast PR | November 16, 2021

Prag, Tschechische Republik, 16. November 2021 – Avast  (LSE:AVST), ein weltweit führender Anbieter von IT-Sicherheits- und Privatsphärelösungen, veröffentlicht heute seinen Q3/2021 Threat Report. Im dritten Quartal des Jahres haben die Avast Threat Labs ein erhöhtes Risiko in Bezug auf Ransomware und Remote Access Trojaner (RATs) für Unternehmen und Verbraucher festgestellt. RATs können zur Industriespionage, zum Diebstahl von Zugangsdaten, zu Stalkingzwecken und sogar für Distributed Denial of Service (DDoS)-Angriffe eingesetzt werden. Die Avast Threat Researcher*innen beobachteten auch Neuheiten in der sich ständig weiterentwickelnden Cyberkriminalität bezüglich neuer Mechanismen, die von Exploit-Kits und dem mobilen Banking-Trojaner Flubot verwendet werden.
     
Ransomware und RATs gefährden Unternehmen
Zu Beginn des dritten Quartals 2021 wurde die Welt Zeuge eines massiven Supply-Chain-Angriffs auf den IT-Management-Softwareanbieter Kaseya und seine Kunden durch die Sodinokibi/REvil-Ransomware. Die Avast Threat Labs erkannten und blockierten diesen Angriff auf mehr als 2.400 Endpunkten. Nachdem sich die Politik eingeschaltet hatte, gaben die Betreiber*innen den Ransomware-Schlüssel frei und deaktivierten die Infrastruktur von Sodinokibi. Bis zum 9. September, als Avast eine neue Variante entdeckte und blockierte, wurden keine neuen Varianten mehr gesichtet. Insgesamt verzeichneten die Avast Threat Labs im dritten Quartal einen Anstieg des Risikos bezüglich Angriffen durch Ransomware um fünf Prozent gegenüber dem zweiten Quartal 2021 und sogar um 22 Prozent gegenüber dem ersten Quartal 2021.

Eine weitere gefährliche Bedrohung für Unternehmen und Endanwender waren auch RATs, die sich im dritten Quartal ebenfalls stärker verbreiteten als in den vorangegangenen beiden Quartalen. Avast beobachtete drei neue RAT-Varianten, darunter FatalRAT mit Anti-VM-Funktionen, VBA RAT, das die Internet Explorer-Schwachstelle CVE-2021-26411 ausnutzt, sowie eine neue Version von Reverse RAT mit der Build-Nummer 2.0, die zusätzlich Webkamera-Fotoaufnahmen, Dateidiebstahl und Anti-AV-Funktionen beinhaltet. „RATs können eine fundamentale Bedrohung für Unternehmen darstellen, da sie sich für Industriespionage einsetzen lassen“, erklärt Jakub Kroustek, Avast Malware Research Director. „RATs können aber auch gegen Verbraucher*innen eingesetzt werden, zum Beispiel um ihre Zugangsdaten zu stehlen, ihre Computer in ein Botnetz einzubinden, um DDoS-Attacken auszuführen, und leider auch für Cyberstalking, was die Privatsphäre und das Wohlbefinden einer Person massiv beeinträchtigen kann.“

Wachsende Verbreitung von Rootkits und Neuerungen bei Exploit-Kits und mobilen Banking-Trojanern
Zusätzlich verzeichneten die Avast Threat Labs am Ende des dritten Quartals einen deutlichen Anstieg von Rootkit-Aktivitäten – die signifikanteste Entwicklung in diesem Quartal. Ein Rootkit ist eine bösartige Software, die Cyberkriminellen unbefugten Zugriff mit den höchsten Systemprivilegien ermöglicht. Rootkits bieten in der Regel Dienste für andere Malware im Benutzermodus an.

Eine weitere Malware-Kategorie, die wieder auf dem Vormarsch zu sein scheint, sind Exploit-Kits. Diese weisen bemerkenswerte Neuerungen auf, einschließlich der gezielten Ausnutzung von Sicherheitslücken in Google Chrome. Das aktivste Exploit-Kit war PurpleFox, vor dem Avast im Durchschnitt täglich über 6.000 Benutzer schützte. Auch Rig und Magnitude waren im dritten Quartal dieses Jahres weit verbreitet. Nach einer relativ langen Inaktivität erwachte auch wieder das Exploit-Kit Underminer und begann, sporadisch HiddenBee und Amadey zu verbreiten. Einige Exploit-Kits, insbesondere PurpleFox und Magnitude, werden sehr aktiv weiterentwickelt und erhalten regelmäßig neue Funktionen und Exploit-Möglichkeiten.

Die Avast Threat Labs beobachteten außerdem neue Malware-Taktiken bei mobilen Endgeräten. So änderte FluBot, ein Android-SMS-Banking-Trojaner, seinen Social-Engineering-Ansatz. Jakub Kroustek sagt: „FluBot verbreitete sich zunächst unter dem Deckmantel von Lieferdiensten, um die Opfer dazu zu verleiten, eine ‚Tracking-App‘ für den Erhalt von Paketen herunterzuladen, für welche die Empfänger*innen angeblich den Liefertermin verpasst hatten oder für Pakete, die sie angeblich erwarteten. Im dritten Quartal hat Avast neue Szenarien für die Verbreitung dieser Malware beobachtet. Ein Beispiel ist die Tarnung als Voicemail-Recorder. Ein weiteres Beispiel sind gefälschte Behauptungen über geleakte persönliche Fotos. Die extremste Variante lockt das Opfer auf eine gefälschte Seite, auf der behauptet wird, das Gerät des Opfers sei bereits mit FluBot infiziert, obwohl dies zu diesem Zeitpunkt wahrscheinlich noch gar nicht wahr ist, und bringt Nutzer*innen dazu, ein ‚Heilmittel‘ gegen die ‚Infektion‘ zu installieren. Bei diesem ‚Heilmittel‘ handelt es sich allerdings in Wirklichkeit um die FluBot-Malware selbst.“

FluBot verbreitete sich bereits im zweiten Quartal in seinem ursprünglichen Zielgebiet Europa – Deutschland, Spanien, Italien – und breitete sich später auf das übrige Europa und andere Länder wie Australien und Neuseeland aus. 
     
Für weitere Informationen lesen Sie hier den vollständigen Threat Report für Q3/2021 von Avast