In der zweiten Jahreshälfte 2024 waren Cyberkriminelle damit beschäftigt, Sicherheitslücken und frische Methoden zu finden, um ihren Opferkreis zu erweitern. Dies zeigen die Ergebnisse unserer Telemetrie, die neue Angriffsvektoren und Social-Engineering-Methoden verzeichnete. Takedown-Operationen wie die von LockBit haben in den Reihen der etablierten Cyberkriminellen für Aufruhr gesorgt.
In einigen Bedrohungskategorien gab es zum Teil starke Veränderungen, beispielsweise bei den Infostealern. Der seit Jahren aktive Infostealer „Formbook“ hat den bisherigen „Spitzenreiter“ Tesla abgelöst. Ziel der Malware ist es, eine Vielzahl sensibler Daten zu stehlen. Obwohl Formbook bereits seit fast einem Jahrzehnt auf dem Markt ist, bleibt es dank seines Malware-as-a-Service-Modells (MaaS) und seiner kontinuierlichen Weiterentwicklung bei Cyberkriminellen äußerst beliebt.
Infostealer im Wandel
Lumma Stealer ist ein neuer Vertreter in der Infostealer-Szene und eine weitere MaaS, die immer häufiger zum Einsatz kommt: Im zweiten Halbjahr 2024 stiegen die Erkennungen um fast 400 Prozent, auch bedingt durch bemerkenswert bösartige Kampagnen. Der berüchtigte RedLine Stealer hingegen wurde im Oktober 2024 von internationalen Behörden abgeschaltet. Das Ende der „Infostealer as a Service“-Malware wird mit Sicherheit dazu führen, dass neue, ähnliche Bedrohungen an ihre Stelle treten.
Krypto Wallets im Visier: Steigende Bedrohungen unter macOS und Android
Es überrascht nicht, dass die Daten von Kryptowährungs-Wallets eines der Hauptziele von Hackern waren. Eine mögliche Erklärung ist der Höhenflug einiger Kryptowährungen in der zweiten Jahreshälfte. Die Analyse unserer Telemetrie zeigt, dass die Anzahl der Erkennungen von Krypto-Stealern auf mehreren Plattformen zugenommen hat. Am stärksten war der Anstieg unter macOS. Hier hat sich die sogenannte „Password Stealing Ware“ im Vergleich zum ersten Halbjahr mehr als verdoppelt. Diese Bedrohung zielt vor allem auf Login-Daten von Kryptowährungs-Wallets ab. Auch für Android ist ein Anstieg der finanziellen Bedrohungen zu verzeichnen, die es auf Banking-Apps und digitale Geldbörsen abgesehen haben (20 Prozent).
Neue Risiken durch PWAs und WebAPKs
Android- und iOS-Nutzer sollten sich vor einer neuen Angriffsmethode in Acht nehmen, die Forscher von ESET in der zweiten Jahreshälfte 2024 entdeckt und analysiert haben. Bei diesen Angriffen nutzen Cyberkriminelle die Technologien Progressive Web App (PWA) und WebAPK, um herkömmliche Sicherheitsmaßnahmen für mobile Apps zu umgehen. PWAs und WebAPKs benötigen keine explizite Erlaubnis des Nutzers, um Apps aus unbekannten Quellen zu installieren. Dadurch besteht die Gefahr, dass Anwender unwissentlich schädliche Apps herunterladen, die beispielsweise Bankdaten stehlen. Sollten die Hersteller der Betriebssysteme hier in Zukunft keine Abhilfe schaffen, ist mit immer ausgefeilteren und vielfältigeren Phishing-Kampagnen unter Verwendung von PWAs und WebAPKs zu rechnen.
Deepfake-Betrug in sozialen Medien
Nutzer sozialer Medien werden zunehmend Opfer von Betrugsversuchen, bei denen Deepfake-Videos und Posts von Unternehmen für betrügerische Investitionsprogramme werben. Betrugsversuche, die von ESET als HTML/Nomani bezeichnet werden, verzeichneten zwischen den Berichtszeiträumen einen Anstieg der Erkennungen um 335 Prozent. Wir gehen davon aus, dass diese Bedrohung weiter zunehmen wird.
Betrug auf Buchungsplattformen: Telekopye und kompromittierte Unterkunftsanbieter
Im zweiten Halbjahr 2024 kam es zu einer neuen Betrugsmasche, die sich gegen Nutzer beliebter Unterkunftsbuchungsplattformen wie Booking.com und Airbnb richtete. Die Betrüger nutzten ein Toolkit namens Telekopye, das ursprünglich entwickelt wurde, um Geld und Daten von Nutzern auf Online-Marktplätzen zu stehlen. Die Cyberkriminellen kompromittieren die Konten legitimer Anbieter von Unterkünften, um Personen ausfindig zu machen, die kürzlich einen Aufenthalt gebucht haben. Diese werden dann über betrügerische Zahlungsseiten kontaktiert.
RansomHub übernimmt die Führung
Die Zerschlagung des ehemaligen Marktführers LockBit hat zu einer Neuordnung der Ransomware-Landschaft geführt. Das entstandene Vakuum wird von einem neuen Akteur gefüllt: RansomHub. Diese Ransomware-as-a-Service-Lösung wurde erstmals in der ersten Jahreshälfte 2024 gesichtet. Bis zum Ende dieses Kalenderjahres hat sich die Malware mit Hunderten von Opfern als neuer Platzhirsch etabliert.
Folgen Sie ESET research auf Twitter, um regelmäßig Updates zu wichtigen Trends und Top-Bedrohungen zu erhalten.
Um mehr darüber zu erfahren, wie Threat Intelligence die Cybersicherheit Ihres Unternehmens verbessern kann, besuchen Sie die ESET Threat Intelligence Seite.
