SECURITY3. Januar 2022

Log4J: Zahlen, Daten, Fakten zur Java-Schwachstelle

In Deutschland wurden mittlerweile 53 % der von Check Point erfassten Firmen-Netzwerke attackiert. In Österreich sind es schon 57 %, in der Schweiz 47 %. Weltweit liegt der Schnitt der von Log4J betroffenen Netzwerke bei 46 % – Finanzdienstleister sind ganz vorne mit dabei.

Log4J
Check Point
Händler und Systemintegratoren sind mit 59 % weltweit am stärksten betroffen. Die Finanzbranche folgt ein paar Plätze später mit 53 %. Auch Versicherer liegen mit über 49 % noch in der oberen Hälfte der betroffenen Branchen. In weniger als einer Woche nach Auftauchen der Schwachstelle hat Check Point (Website) nach eigenen Angaben mehr als 1,8 Millionen Versuche verzeichnet, die Log4J auszunutzen versuchten.

Log4J am Beispiel eines Krypto-Mining-Trojaners

Angreifer würden die Log4J-Schwachstelle ausnutzen, um beispielsweise einen Trojaner herunterzuladen, der eine Exe-Datei nachlädt, die wiederum einen Krypto-Miner installiert. Sobald der Krypto-Miner installiert wurde, beginnt er, heimlich die Rechenleistung des Opfers anzuzapfen, um für den Profit der Angreifer eine Krypto-Währung “zu schürfen”.

Als Teil der Umgehungstechniken der Malware werden alle relevanten Funktionen und Dateinamen verschleiert, um eine Erkennung durch statische Analysemechanismen zu umgehen. Nun kommt hinzu: Während die meisten der entdeckten Krypto-Miner diese Schwachstelle für Linux-basiertes Krypto-Mining ausnutzten, habe Check-Point jetzt einen Angriffsweg entdeckt, bei dem eine unentdeckte, erstmals NET-basierte Malware eingesetzt wurde. Der Server, der die bösartigen Dateien enthält, befindet sich in den USA und hostet mehrere bösartige Dateien.

Laut dem Sicherheitsunternehmen stellen Krypto-Mining-Angriffe eine Vorstufe zu groß angelegten Angriffen dar, wie Ransomware-Infektionen.”

Es handele sich um eine Generalprobe der Schwachstelle, der Angriffsart und des Schadens, der bei den Opfern angerichtet werden kann. Es sei nur eine Frage der Zeit, bis ein größerer Angriff erfolgt, wenn schon eine beliebige Art von Malware eingeschleust wurde.

Technisch gesehen gebe es dabei keinen großen Unterschied. Was heute als Krypto-Mining funktioniert, kann später zu Ransomware-Attacken ausgeweitet werden.ft

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert