G DATA Bedrohungsreport: Deutlicher Anstieg bei Linux-Ransomware 

Zahl der abgewehrten Cyberangriffe steigt zum Beginn des Ukraine-Kriegs um mehr als 27 Prozent

Aktuell nutzen Cyberkriminelle in Deutschland auffällig viel Linux-Ransomware, um Network Attached Storage (NAS)-Geräte anzugreifen. Der Bedrohungsreport 1/2022 der Bochumer IT-Sicherheitsexperten zeigt, dass QNAPCrypt, QLocker und Deadbolt besonders verbreitet sind. Betroffen sind sowohl Unternehmen als auch private Anwender*innen, die solche Geräte etwa als Back-up einsetzen. Die Ransomware verschlüsselt nicht nur die Daten, sondern exfiltriert diese auch. So setzen Cyberkriminelle ihre Opfer doppelt unter Druck. Zahlen sie nicht das geforderte Lösegeld, veröffentlichen die Angreifer die Daten. Da ein Großteil der Ransomware über Sicherheitslücken in der Software der NAS-Geräte gelangt, sollten Anwender*innen umgehend Updates einspielen und ihre Geräte schützen.

Infolge des Ukraine-Kriegs hat sich die Zahl der Cyberattacken nur kurzfristig erhöht. So verzeichnet der G DATA Bedrohungsreport für Februar 2022 einen Anstieg von mehr als 27 Prozent abgewehrter Angriffsversuche gegenüber Januar. Bereits im April ist die Zahl abgewehrter Angriffe dann allerdings deutlich gesunken, im Vergleich zum März um über 18 Prozent. Zur Jahresmitte hat sich die Zahl abgewehrter Angriffe wieder normalisiert und liegt wieder auf dem Niveau vor Beginn des Ukraine-Kriegs.

„Der sogenannte Cyberkrieg ist ausgefallen“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. „Entgegen Befürchtungen vieler Sicherheitsexperten hat es kaum konzentrierte Angriffsversuche gegen kritische Infrastrukturen in Deutschland gegeben. Lediglich die Zahl normaler Angriffsversuche mit Malware hat sich kurzzeitig erhöht. Allerdings waren die Warnungen für viele Unternehmen ein Wecksignal, um die IT-Sicherheit des Unternehmens zu prüfen und den Schutz zu verbessern.“

Die aktuellen Zahlen belegen auch, dass Cyberkriminelle im ersten Quartal verstärkt Unternehmen ins Visier genommen haben. Denn trotz des starken Rückgangs von April bis Juni bleiben die Zahlen auf einem hohen Niveau. So ist die Zahl der abgewehrten Angriffsversuche auf Unternehmen binnen drei Monaten um mehr als 25 Prozent gesunken. Der Rückgang bei privaten Anwender*innen beträgt nur 5,4 Prozent.

Malware-Top-10
Im Vergleich zum zweiten Halbjahr 2021 hat sich die Malware-Top-10 deutlich verändert. Sieben der zehn häufigsten Schadsoftwares sind neu. Dominiert wird das Ranking wie auch in den Vorjahren von Remote Access Trojanern. Sie ermöglichen eine vom Nutzer unbemerkte Fernsteuerung und administrative Kontrolle eines fremden Rechners. So können Angreifer unter anderem den Desktop des Opfers einsehen, Tastatureingaben protokollieren, auf die Kamera zugreifen sowie die in Browsern gespeicherte Anmeldeinformationen kopieren oder Dateien hoch- bzw. herunterladen Für den erstplatzierten DC-RAT gilt: DC-RAT hat einen Aufschwung an neuen Samples, weil die Malware selbstständig und zufallsgeneriert Samples generiert. Die Gefahr durch DC-RAT hat also keineswegs zugenommen, sondern Sandboxsysteme, die verdächtige Software prüfen, generieren aktiv neue Samples und erzeugen so eine künstliche Zunahme. Auffällig ist, dass sowohl Emotet als auch QBot zurzeit nicht in den Rankings oben stehen.





Platz
Name
Anteil in Prozent
Art


1 (-)
 DC-RAT
 16
 Remote Access Trojaner


 2 (-)
 Prepscram
 13
 Software Bundler


 3 (3)
 Tofsee
 12
 Remote Access Trojaner


 4 (-)
 Tinba
 11
 Banking Trojaner


 5 (1)
 Dridex
 10
 Information Stealer


 6 (-)
 SakulaRAT
 9
 Remote Access Trojaner


 7 (-)
 Pistolar
 9
 Dropper


 8 (-)
 Redline
 7
 Information Stealer


 9 (6)
 Bladabindi/njRAT
 6
 Remote Access Trojaner


 10 (-)
 Farfli
 6
 Remote Access Trojaner



Vorjahresplatzierung in Klammern

Neue Angriffswege ins Netzwerk 
Ein weiteres Ergebnis des aktuellen G DATA Reports: Angreifer suchen und finden immer neue Wege, um Systeme zu attackieren. Sie setzen vermehrt auf Dateiformate wie RAR-, ZIP- und IMG-Dateien, um makroaktivierte Dokumente zu versenden. Diese enthalten keine Office-Dokumente, sondern ISO, Batch, Powershell oder EXE, mit dem sie den Makro-Blockierschutz von Microsoft umgehen und Malware verbreiten.

Trotz der gesunkenen Zahlen ist das Risiko für Unternehmen und Anwender*innen weiterhin groß, einer Cyberattacke zum Opfer zu fallen. Aktuelle Schwachstellen in Anwendungen öffnen Kriminellen genauso die Tür wie unaufmerksame Mitarbeitende, die den Anhang einer Phishing-Mail öffnen.