Marktbericht

Sicherheitsbewusstsein und das FBI prägen das Malwaregeschehen 2023 

Uhr

Der Bankingtrojaner Qbot hat in diesem Jahr lange Zeit das Malware-Geschehen in der Schweiz geprägt. Inzwischen ist Qbot verschwunden und der meistverbreitete Trojaner heisst nun Nanocore. Bislang wurden Schweizer Firmen im Schnitt 675 Mal pro Woche von Cyberkriminellen angegriffen.

(Source: akindo / iStock.com)
(Source: akindo / iStock.com)

"Qbot bleibt auf dem Malware-Thron." Die monatlichen Malware-Rankings von Check Point wurden über weite Strecken des Jahres 2023 zum "Groundhog Day". Acht Monate lang war der Bankingtrojaner die meistverbreitete Malware der Schweiz. "Qbot aka Qakbot ist eine Advanced Malware in dem Sinne, dass sie Multi-Purpose-based arbeitet, quasi via gehijackten E-Mails mit infizierten PDF- oder WSF-Anhängen, und sich dadurch massiv in gewissen Industrien verbreitete, welche die klassischen 3rd-Party-Risiken für andere darstellen", erklärt Marco Eggerling, Chief Information Security Officer EMEA bei Check Point Software Technologies.

Die Qbot-Dominanz währte bis zum August, als den Behörden ein entscheidender Schlag gegen die Malware gelang. "Das FBI konnte erfolgreich den Computer eines Administrators des Qbot-Netzwerks infiltrieren. Mit den dadurch gewonnenen Erkenntnissen gelang es, in einer koordinierten Aktion ein Deinstallationstool an alle Qbot-infizierten Rechner zu senden", schildert Stephan Berger, Head of Investigations bei Infoguard. Die Massnahme zeigte Wirkung: Im September war Qbot prompt aus der "Most Wanted"-Liste verschwunden.

Viel Glück und ein neuer Spitzenreiter

Im direkten Vergleich zu den EU-Nachbarn sei die Schweiz in den vergangenen zehn Monaten von den Kampagnen der Malware-Gangs verschont geblieben, sagt Eggerling. "Wir haben viel Glück gehabt." Der Experte führt dies zum einen auf einen hohen Reifegrad der Informationssicherheit zurück: Schweizer Firmen wurden gemäss Zahlen von Check Point in den vergangenen zehn Monaten im Schnitt 675 Mal pro Woche angegriffen. In Deutschland waren es 769, in Österreich gar 895 Angriffe pro Woche. Zum anderen sieht Eggerling ein gestiegenes Bewusstsein von Usern hinsichtlich potenziell schädlicher Mail-Inhalte. Immerhin 59 Prozent aller Schadcodes wurden laut Check Point via E-Mail propagiert. Die vergleichsweise niedrige Zahl der Angriffe sei jedoch eine Momentaufnahme. "Wir hatten natürlich auch Opfer zu verzeichnen, und dies durch die komplette Wertschöpfungskette hindurch und von Gross nach Klein."

Marco Eggerling, CISO bei Check Point. (Source: zVg)

Marco Eggerling, CISO bei Check Point. (Source: zVg)

Gemäss dem Threat Intelligence Report von Check Point ist nach dem Ende von Qbot der Remote-Access-Trojaner (RAT) Nanocore mit einer Verbreitung von 2 Prozent die neue Top-Malware in der Schweiz (Stand: 23. September). Dahinter folgen der Infostealer AgentTesla, das Botnet Mirai (je 1,2 Prozent) sowie die RATs AsyncRat und Remcos, die jeweils 0,9 Prozent der Firmen betrafen.

Während global vor allem der Wissenschafts- und Forschungssektor sowie militärische Einrichtungen ins Visier von Cyberkriminellen gerieten, war in der Schweiz die Kommunikationsbranche mit Abstand das beliebteste Angriffsziel. Dazu zählen auch grosse Medienhäuser wie CH Media, das im Sommer einer Attacke zum Opfer fiel. Fast ein Drittel (31 Prozent) aller Angriffe auf Schweizer Organisationen finden von den USA aus statt, 14 Prozent aus Deutschland und 11 Prozent direkt aus der Schweiz. Auch im Vereinigten Königreich, in den Niederlanden und in Singapur wurden Angriffe auf die Schweiz verübt.

So geht es weiter

"Wir glauben, 'das Beste' kommt noch", sagt Eggerling mit Blick auf 2024. Aktuell seien Schadcodes im Umlauf, die via KI polymorph gestaltet werden. "Diese Formwandler werden uns im kommenden Jahr beschäftigen, und durch das Aufrüsten von KI-Technologien auf beiden Seiten (Angreifer und Verteidiger) verlagert sich ein Teil des Spielfeldes in diese Ecke", schätzt der Experte von Check Point. "Wir werden interessante Techniken sehen, eventuell auch mit älteren Vektoren, die in modernisierter Form für Angriffe genutzt werden", ergänzt Berger von Infoguard.

Webcode
jnLxRyTF