Check Points «Most Wanted»
16.03.2021, 07:17 Uhr
Emotet-Lücke wird gefüllt
Dank dem Schlag gegen das Emotet-Netzwerk ist die zugehörige Schadsoftware in der Schweiz nicht mehr virulent. Doch die Vakanz wird von Cyberkriminellen schnell mit neuen Banking-Trojanern gefüllt, wie Check Points helvetische Malware-Top-ten-Liste zeigt.
Die konzertierte, weltweite Polizeiaktion am 27. Januar gegen das Emotet-Netzwerk zeigt Wirkung: Der notorische Trojaner, der über ein Jahr lang auch auf Schweizer Rechner sein Unwesen getrieben hat und zu den virulentesten Schadprogrammen zählte, ist Geschichte und tritt in der «Most Wanted»-Liste von Check Point Software Technologies nicht mehr in Erscheinung. Mit dieser Malware-«Hitparade» ermittelt der Cybersecurity-Spezialist jeden Monat die Schadsoftware-Typen, die Check Point auf Unternehmensrechnern der Schweiz und weltweit am häufigsten gefunden und ausgefiltert hat.
Doch die Lücke, die Emotet hinterlässt, wird offenbar schnell von potenziellen Nachfolgern gefüllt. So haben die Virenjäger von Check Point im Februar in der Schweiz den Banken-Trojaner Qbot besonders häufig angetroffen. Dieser erreichte mit einer Verbreitungsrate von über sieben Prozent die Top-Position in der Malware-«Hitparade».
Bei Qbot, der auch unter der Bezeichnung Qakbot bekannt ist, handelt es sich um einen Online-Banken-Trojaner, der bereits seit 2008 beobachtet wird. Die Malware hat es hauptsächlich darauf angelegt, die Zugangsdaten von Bankkundinnen und -kunden zu stehlen sowie deren Eingaben aufzuzeichnen. Qbot weiss sich zudem gut zu verstecken und Antviren-Software auszutricksen. So verwendet er Anti-VM-, Anti-Debugging und Anti-Sanbox-Techniken, um die Analyse und Aufdeckung zu erschweren.
Rasante Ausbreitung
Zudem sei Qbot sehr «ansteckend» und verbreite sich daher rasend schnell, erklärt Patrik Honegger von Check Point Schweiz gegenüber Computerworld. Dies sei auch der Grund dafür, dass der Trojaner hierzulande die Top-Liste anführt, während Qbot weltweit mit knapp drei Prozent nicht annähernd so verbreitet sei wie in der Schweiz. Denn sind Nutzer mit Qbot infiziert, liest die Malware dem Security-Experten zufolge die komplette Mailbox aus, und die Hacker hinter Qbot «bewaffnen» existierende E-Mail-Konversationen. In der Folge würden die verseuchten Mails als scheinbar legitime Antwort an alle Teilnehmer der ursprünglichen Konversation verschickt. «Sobald sich ein Schweizer Unternehmen infiziert, erhöht sich die Wahrscheinlichkeit, dass sich auch mehr Schweizer Unternehmen infizieren», gibt Honegger zu bedenken.
Weltweit ist dagegen eher Trickbot derzeit in die Fussstapfen von Emotet getreten, denn er führt die globale Malware-Hitliste von Check Point an. In der Schweiz rangierte die Malware dagegen im Februar auf Platz 5. Wie einst Emotet ist auch Trickbot als Online-Banking-Trojaner gestartet. Da er aber sehr modular aufgebaut ist, kann er für alle möglichen Angriffsformen verwendet werden.
Most Wanted Malware – Februar 2021
Rang | Malware-Familie | Art der Schadsoftware | Verbreitung Schweiz | Globale Verbreitung |
1 | Qbot | Banken-Trojaner | 7.24% | 2.94% |
2 | CpuMiner-Multi | Kryptominer | 2.20% | 0.74% |
3 | DameWare | Remote Administration Tool | 1.89% | 0.04% |
4 | Formbook | Infostealer | 1.42% | 2.33% |
5 | Trickbot | Banken-Trojaner | 1.26% | 3.17% |
6 | Arkei | Trojaner | 0.94% | 0.76% |
7 | SmokeLoader | Trojaner | 0.79% | 0.32% |
7 | XMRig | Kryptominer | 0.79% | 3.08% |
7 | Mirai | IoT-Malware | 0.79% | 0.47% |
10 | Phorpiex | Botnet | 0.63% | 1.76% |
10 | RigEK | Exploit-Sammlung | 0.63% | 1.46% |
10 | Netwire | Remote Administration Tool | 0.63% | 0.30% |
10 | Dridex | Banken-Trojaner | 0.63% | 1.59% |
Most Wanted Malware – Februar 2021
Rang | Malware-Familie | Art der Schadsoftware | Verbreitung Schweiz | Globale Verbreitung |
1 | Qbot | Banken-Trojaner | 7.24% | 2.94% |
2 | CpuMiner-Multi | Kryptominer | 2.20% | 0.74% |
3 | DameWare | Remote Administration Tool | 1.89% | 0.04% |
4 | Formbook | Infostealer | 1.42% | 2.33% |
5 | Trickbot | Banken-Trojaner | 1.26% | 3.17% |
6 | Arkei | Trojaner | 0.94% | 0.76% |
7 | SmokeLoader | Trojaner | 0.79% | 0.32% |
7 | XMRig | Kryptominer | 0.79% | 3.08% |
7 | Mirai | IoT-Malware | 0.79% | 0.47% |
10 | Phorpiex | Botnet | 0.63% | 1.76% |
10 | RigEK | Exploit-Sammlung | 0.63% | 1.46% |
10 | Netwire | Remote Administration Tool | 0.63% | 0.30% |
10 | Dridex | Banken-Trojaner | 0.63% | 1.59% |