Cyber-Kriminelle setzen immer öfter auf Schwachstellen im Rahmen von Kryptowährungen. So lautet ein Ergebnis des Internet Security Reports, den der IT-Security-Anbieter WatchGuard für das erste Quartal 2018 veröffentlicht hat. Demnach sind 98,8 Prozent aller einschlägiger Malware-Varianten in Zusammenhang mit einem oft verwendeten Linux-basierten Kryptowährungs-Miner entdeckt worden.

Ebenso stellt der Report fest, dass die Verbreitung von Malware zunehmend auf einzelne Regionen fokussiert ist. Dies zeigt, dass Angreifer immer mehr vom Gießkannenprinzip abrücken und die Bedrohung gezielter kanalisieren, so WatchGuard weiter. Die Erkenntnisse des Sicherheitsanbieters basieren auf den Auswertungen der Log-Daten von knapp 40.000 hauseigenen Firebox-Appliances weltweit. Insgesamt haben die UTM-Appliances (Unified Threat Management) des Herstellers im ersten Quartal mehr als 23 Millionen verschiedene Malware-Varianten (durchschnittlich 628 pro Appliance) und über zehn Millionen Netzwerkübergriffe (durchschnittlich 278 pro Lösung) identifiziert.

Eine weitere Erkenntnis des Reports sei, dass im untersuchten Zeitraum erstmals 98,8 Prozent der identifizierten Programme auf den Download des gleichen gängigen, Linux-basierten Krypto-Miners abzielen. Zuvor haben solche „Dropper“- oder „Downloader“-Programme auf ein großes Spektrum an Malware zurückgegriffen, die sie nach der Infektion des Systems herunterladen und ausführen. Die bisherigen Analysen für das zweite Quartal deuten laut WatchGuard zudem darauf hin, dass Cryptomining-Malware seinen Platz in der hauseigenen Top-25-Liste verteidigen und sogar in die Top 10 vorrücken wird.

In der herstellereigenen Top-10-Liste befindet sich zudem mit Ramnit eine bisher unbedeutende Malware-Variante. Der Trojaner trat erstmals 2010 zu Tage und tauchte 2016 erneut auf. Derzeit werden nahezu alle (98,9 Prozent) der neuen Ramnit-Entdeckungen aus Italien gemeldet, was für eine gezielte Angriffskampagne spricht, so der Security-Anbieter. Frühere Versionen von Ramnit haben es konkret auf Banking-Daten abgesehen.

Darüber hinaus hat der Sicherheitsanbieter einen enormen Anstieg von Malware-Vorfällen in der Region Asien-Pazifik registriert. Lag die Region in der Vergangenheit deutlich unter dem Volumen von Europa und Amerika, verzeichnete der Asien-Pazifik-Raum im ersten Quartal 2018 die meisten Vorfälle im weltweiten Vergleich von Windows-basierter Malware. Die UTM-Lösungen des Herstellers setzen nach eigenen Bekunden neben herkömmlichen signaturbasierten Erkennungsmethoden auch auf den Sicherheits-Service APT Blocker, der auf Verhaltensanalyse basiert. Erkenne der APT Blocker eine Malware-Variante, bedeutet dies, dass diese von der traditionellen und vorgelagerten Antivirenlösung nicht erkannt wurde.

Sogenannte Zero-Day-Malware, die in der Lage ist, traditionelle signaturbasierte Antivirenlösungen zu umgehen, macht laut WatchGuard 46 Prozent aller erkannten Malware aus. Für den Sicherheitsanbieter ist dies ein Indiz dafür, dass Cyber-Kriminelle weiterhin daran arbeiten, herkömmliche AV-Dienste zu umgehen. Daher rät WatchGuard Unternehmen dazu auch auf verhaltensbasierte Sicherheitsmaßnahmen zu setzen.

Der aktuelle Internet Security Report steht unter www.watchguard.com/wgrd-resource-center/security-report als Download zur Verfügung.

Timo Scheibe ist Redakteur bei der LANline.