Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Inhalt
  1. Die Top Security Stories
  2. Statistik für das Jahr 2015
  3. Entwicklung der IT-Bedrohungen im Unternehmensbereich
  4. Prognose 2016

Das Jahr in Zahlen

  • Im Jahr 2015 wehrten die Produkte von Kaspersky Lab auf den Computern von 1.966.324 Anwendern Versuche ab, schädliche Software zu starten, die auf den Diebstahl von Geld via Online-Zugriff auf Bankkonten spezialisiert ist.
  • Auf 753.684 Computern individueller Anwender wurden Ransomware-Schädlinge entdeckt. Dabei wurden 179.209 Computer von Erpresser-Programmen angegriffen.
  • Im Laufe des gesamten Jahres erkannte Kaspersky Anti-Virus 121.262.075 individuelle schädliche Objekte (zum Beispiel Skripte, Exploits und ausführbare Dateien).
  • Die Lösungen von Kaspersky Lab wehrten 798.113.087 Attacken ab, die von Internet-Ressourcen aus verschiedenen Ländern der Welt durchgeführt wurden.
  • Im Laufe des Jahres waren 34,2 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.
  • Zur Durchführung der Angriffe über das Netz nutzten die Cyberverbrecher 6.563.145 individuelle Hosts.
  • 24 Prozent der von Kaspersky-Produkten blockierten Webattacken wurden unter Verwendung schädlicher Webressourcen durchgeführt, die sich in den USA befinden.
  • Kaspersky Anti-Virus erkannte 4.000.000 schädliche und potenziell unerwünschte Programme auf den Computern der Anwender.

Von Cyberkriminellen ausgenutzte angreifbare Anwendungen

Im Jahr 2015 beobachteten wir den Einsatz neuer Techniken zur Tarnung von Exploits, Shell-Code und Payloads, die dazu dienen, das Entdecken einer Infektion und die Analyse des Schadcodes zu erschweren. Insbesondere…

Eines der bedeutendsten Ereignisse des Jahres war die Entdeckung zweier Familien von kritischen Sicherheitslücken unter Android. Die Ausnutzung der Stagefright-Sicherheitslücken ermöglichte es einem Angreifer, der zuvor eine speziell aufbereitete MMS an die Nummer des Opfers geschickt hatte, entfernt willkürlichen Code auf dessen Gerät auszuführen. Stagefright 2 wurde zu demselben Zweck ausgenutzt, doch bereits mit Hilfe einer speziell erstellten Mediadatei.

Im Jahr 2015 erfreuten sich Exploits für den Adobe Flash Player großer Beliebtheit unter Cyberkriminellen. Das lässt sich dadurch erklären, dass im Laufe des Jahres eine große Zahl von Sicherheitslücken in diesem Produkt gefunden wurde. Darüber hinaus wurden infolge des Hacking-Team-Datenlecks Informationen über unbekannte Sicherheitslücken im Flash Player öffentlich verfügbar, die sich auch Online-Gangster zunutze machten.

Die Entwickler verschiedener Exploit-Packs reagierten umgehend auf die Entdeckung neuer Sicherheitslücken im Adobe Flash Player und fügten ihren Produkten entsprechend neue Exploits hinzu. Es folgt das „dreckige Dutzend“ der von Cyberkriminellen genutzten Sicherheitslücken im Adobe Flash Player, die jetzt in verbreiteten Exploit-Packs unterstützt werden:

  1. CVE-2015-0310
  2. CVE-2015-0311
  3. CVE-2015-0313
  4. CVE-2015-0336
  5. CVE-2015-0359
  6. CVE-2015-3090
  7. CVE-2015-3104
  8. CVE-2015-3105
  9. CVE-2015-3113
  10. CVE-2015-5119
  11. CVE-2015-5122
  12. CVE-2015-5560
  13. CVE-2015-7645

Traditionell umfassen einige bekannte Exploit-Packs auch ein Exploit für eine Sicherheitslücke im Internet Explorer (CVE-2015-2419). Im Jahr 2015 wurde zudem die Ausnutzung einer Sicherheitslücke in Microsoft Silverlight (CVE-2015-1671) zur Infektion der Computer bekannt. Dieses Exploit erfreut sich unter den wichtigsten „Playern“ auf dem Exploit-Markt allerdings keiner großen Beliebtheit.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Verteilung der Exploits, die Cyberkriminelle im Jahr 2015 bei ihren Attacken eingesetzt haben, nach Typen der angreifbaren Anwendungen

Das Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Internet als auch bei Angriffen auf lokale Anwendungen verwendet werden, unter anderem auch auf die mobilen Geräte der Anwender.

Auch wenn der Anteil der Exploits für den Adobe Flash Player in unserem Rating nur vier Prozent beträgt, sind sie „in freier Wildbahn“ recht häufig anzutreffen. Bei dieser Statistik ist aber unbedingt die Tatsache zu berücksichtigen, dass die Technologien von Kaspersky Lab Exploits auf verschiedenen Etappen ausfindig machen. Zu der Kategorie „Browser“ (62 %) gehören auch Landing-Pages, die die Exploits „ausliefern“. Unseren Beobachtungen zufolge sind das in den meisten Fällen Exploits für den Adobe Flash Player.

Im Laufe des Jahres konnten wir einen Rückgang der Fälle beobachten, in denen Java-Exploits zum Einsatz kamen. Während ihr Anteil Ende 2014 ganze 45 Prozent an allen blockierten Exploits betrug, so ging er innerhalb dieses Jahres nach und nach um 32 Prozentpunkte bis auf 13 Prozent zurück. Zum gegenwärtigen Zeitpunkt sind in keinem bekannten Exploit-Pack noch Java-Exploits vorhanden.

Gleichzeitig registrierten wir eine vermehrte Nutzung von Exploits für Microsoft Office – ihr Anteil stieg von ein auf vier Prozent. Unseren Beobachtungen zufolge wurden diese Exploits im Jahr 2015 mittels massenhafter Spam-Versendungen verbreitet.

Finanz-Malware

Die vorliegende Statistik basiert auf Daten über die von den Kaspersky-Lab-Produkten detektierten Objekten. Diese Daten stammen von Anwendern, die der Übermittlung statistischer Daten zugestimmt haben.

Die Jahresstatistik für 2015 basiert auf Daten aus dem Berichtszeitraum von November 2014 bis Oktober 2015.

Im Jahr 2015 wehrten die Lösungen von Kaspersky Lab auf den Computern von 1.966.324 Anwendern Versuche ab, schädliche Software zu starten, die auf den Diebstahl von Geld via Online-Zugriff auf Bankkonten spezialisiert ist. Im Vergleich zum Jahr 2014 (1.910.520) ist dieser Wert um 2,8 Prozent gestiegen.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Zahl der von Finanz-Malware angegriffenen Anwender, November 2014 bis Oktober 2015

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Zahl der von Finanz-Malware angegriffenen Anwender in den Jahren 2014 und 2015

Im Jahr 2015 nahm die Aktivität von Finanz-Malware in der Zeit von Februar bis April zu, mit maximalen Werten in den Monaten März und April. Eine weitere Spitze wurde im Juni registriert. Im Jahr 2014 wurden die meisten Nutzer in den Monaten Mai und Juni von Finanzschädlingen angegriffen. Von Juni bis Oktober der Jahre 2014 und 2015 ging die Zahl der angegriffenen Anwender allmählich zurück.

Geografie der Attacken

Um die Popularität von Finanz-Malware unter Cyberkriminellen einzuschätzen sowie das Risiko, dem die Computer der Anwender in den verschiedenen Ländern der Welt ausgesetzt sind, haben wir für jedes Land den prozentualen Anteil der Anwender von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert waren, an allen angegriffenen individuellen Anwendern unserer Produkte im Land berechnet.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Geografie der Attacken von Bank-Schädlingen im Jahr 2015 (prozentualer Anteil der von Bank-Trojanern angegriffenen Anwender an allen von Schädlingen angegriffenen Anwendern)

Top-10 der Länder nach prozentualem Anteil der angegriffenen Anwender im Jahr 2015

Land* Prozentualer Anteil der angegriffenen Anwender**
1 Singapur 11,6
2 Österreich 10,6
3 Schweiz 10,6
4 Australien 10,1
5 Neuseeland 10,0
6 Brasilien 9,8
7 Namibia 9,3
8 Hongkong 9,0
9 Südafrika 8,2
10 Libanon 6,6

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Spitzenreiter in diesem Rating ist Singapur. In diesem Land hatten es 11,6 Prozent der Nutzer von Kaspersky-Lab-Produkten, die von Schädlingen angegriffen wurden, im Laufe des Jahres mindestens einmal mit Bank-Trojanern zu tun. Diese Tatsache illustriert die Popularität von Finanz-Schädlingen im Verhältnis zu allen anderen Bedrohungen in diesem Land.

In Spanien wurden 5,4 Prozent der angegriffenen Anwender mindestens einmal im Laufe des Jahres von Bank-Trojanern attackiert. In Italien waren es 5,0 Prozent, in Großbritannien 5,1 Prozent, in Deutschland 3,8 Prozent, in Frankreich 2,9 Prozent. In den USA betrug der entsprechende Wert 3,2 Prozent und in Japan waren es 2,5 Prozent.

In Russland hatten es 2,0 Prozent der angegriffenen Anwender mit Bank-Schädlingen zu tun.

Top 10 der Bank-Malware-Familien

Die Top 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das Jahr 2015 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

Name* Prozentualer Anteil der angegriffenen Anwender**
1 Trojan-Downloader.Win32.Upatre 42,36
2 Trojan-Spy.Win32.Zbot 26,38
3 Trojan-Banker.Win32.ChePro 9,22
4 Trojan-Banker.Win32.Shiotob 5.10
5 Trojan-Banker.Win32.Banbra 3,51
6 Trojan-Banker.Win32.Caphaw 3,14
7 Trojan-Banker.AndroidOS.Faketoken 2,76
8 Trojan-Banker.AndroidOS.Marcher 2,41
9 Trojan-Banker.Win32.Tinba 2,05
10 Trojan-Banker.JS.Agent 1,88

* Von Kaspersky-Lab-Produkten detektierte Objekte. Die Informationen stammen von Anwendern von Kaspersky-Lab-Produkten, die der Übermittlung von statistischen Daten zugestimmt haben.
** Prozentualer Anteil individueller Anwender, die von dem entsprechenden Schädling angegriffen wurden, an allen Anwendern, die von Finanz-Malware angegriffen wurden.

Die überragende Mehrheit der Schädlingsfamilien aus den Top 10 verwendet eine für Bank-Trojaner typische Technik zur Einschleusung von willkürlichem HTML-Code in die vom Browser anzuzeigende Webseite. Die vom Nutzer dort in originale oder vom Trojaner hinzugefügte Web-Formulare eingegebenen Bezahldaten werden von den Cyberkriminellen abgefangen.

Die Schädlinge der Familie Trojan-Downloader.Win32.Upatre standen im Verlauf des gesamten Jahres an der Spitze dieses Ratings. Die Größe der Trojaner übersteigt 3,5 KB nicht, und ihre Funktion ist auf den Download einer „Payload“ auf den infizierten Computer beschränkt – meist handelt es sich dabei um Vertreter der Trojan-Banker-Familie Dyre/Dyzap/Dyreza. Die Hauptaufgabe dieser Banktrojaner liegt im Diebstahl der Bezahldaten der Anwender. Zu diesem Zweck fängt Dyre die Bankdaten während einer Sitzung zwischen dem Browser des Opfers und der Web-Anwendung für das Online-Banking ab – das heißt, er setzt die Technik „Man-in-the-Browser“ (MITB) um. Wir weisen darauf hin, dass dieser Schädling sich aktiv mittels eigens erstellter E-Mails verbreitet, die im Anhang den Downloader enthalten. Außerdem wurde der Downloader Trojan-Downloader.Win32.Upatre im Sommer auf kompromittierten Heimroutern gefunden, ein Beleg dafür, dass Cyberkriminelle diesen Trojaner sehr vielseitig einsetzen.

Ein anderer Stammgast in diesem Rating ist Trojan-Spy.Win32.Zbot (zweiter Platz), der ebenfalls seine Position behauptet. Dass er ständig in diesem Rating vertreten ist, ist kein Zufall. Die Trojaner der Familie Zbot gehörten zu den ersten, die Web-Einschleusungen zur Kompromittierung von Bezahldaten der Anwender von Online-Banking-Systemen einsetzten und den Inhalt der Bank-Webseiten modifizierten. Sie verschlüsselten ihre Konfigurationsdateien mehrfach. Die dechiffrierte Konfigurationsdatei wurde dabei nicht als Ganzes im Speicher verwahrt, sondern in einzelnen Teilen geladen.

Vertreter der Familie Trojan-Banker.Win32.ChePro wurden erstmals im Oktober 2012 entdeckt. Damals griffen die Trojaner hauptsächlich Nutzer in Brasilien, Portugal und Russland an, aktuell werden sie in Attacken auf User in vielen Ländern eingesetzt. Die meisten Samples von ChePro sind Downloader, die für eine erfolgreiche Infektion eines Systems andere Dateien benötigen. In der Regel sind das Bank-Schädlinge, die das Erstellen von Screenshots, das Protokollieren der Tastatureingaben und das Auslesen des Kopierpuffer-Inhalts ermöglichen. Damit verfügen sie über eine Funktionalität, mit der sie bei Angriffen auf praktisch jedes beliebige Online-Banking-System eingesetzt werden können.

In diesem Rating sind auch zwei Familien mobiler Bank-Trojaner vertreten, und zwar Faketoken und Marcher. Die Schädlinge dieser Familie stehlen Bezahldaten von mobilen Android-Geräten.

Die Vertreter der Familie Trojan-Banker.AndroidOS.Faketoken funktionieren in Kooperation mit Bank-Trojanern für PCs. Um sie in Umlauf zu bringen, setzen die Cyberkriminellen Social Engineering ein. Wenn ein Bankkunde mit seinem infizierten PC eine Online-Banking-Seite besucht, verändert der Trojaner diese Seite und fordert den Anwender auf, eine Android-App herunterzuladen, die die Transaktion angeblich schützt. Tatsächlich führt der angebotene Link aber zur Faketoken-App. Nachdem sich Faketoken auf dem Smartphone des Opfers eingenistet hat, erhalten die Verbrecher über den mit einem Bank-Trojaner infizierten Computer des Anwenders Zugriff auf das Bankkonto, und mit dem infizierten mobilen Gerät fangen sie die mTAN ab.

Der zweite mobile Bank-Trojaner ist Trojan-Banker.AndroidOS.Marcher. Nachdem er ein mobiles Gerät infiziert hat, wartet er auf den Start von genau zwei Apps: einer Anwendung für das mobile Banking einer europäischen Bank und Google Play. Ruft der Anwender Google Play auf, zeigt Marcher dem Anwender ein gefälschtes Google-Play-Fenster an, in dem er seine Kreditkartendaten eingeben soll, die dann den Online-Gangstern in die Hände fallen. Genau so geht der Trojaner auch vor, wenn der Nutzer eine Banking-App öffnet.

Auf Position zehn des Ratings befindet sich die Familie Trojan-Banker.JS.Agent. Bei den Vertretern dieser Familie handelt es sich um schädlichen JS-Code, der das Resultat einer Einschleusungsprozedur in die Online-Banking-Seite ist. Die Aufgabe dieses Codes besteht darin, die Bezahldaten abzufangen, die der Nutzer in das Formular auf der Online-Banking-Seite eingibt.

2015 – ein interessantes Jahr für Ransomware

Die Klasse Trojan-Ransom bezeichnet Malware, die auf eine unautorisierte Modifizierung von Nutzerdaten ausgerichtet ist, die diese Daten unbrauchbar macht (beispielsweise Verschlüsselungsprogramme), oder die die normale Funktionsfähigkeit eines Computers blockiert. Für die Entschlüsselung der Dateien oder das Zurücksetzen des Computers in seinen alten – funktionsfähigen – Zustand fordern die Betreiber der Malware normalerweise ein Lösegeld von den Opfern.

Seit ihrem Auftauchen in Form von CryptoLocker im Jahr 2013 hat die Ransomware einen weiten Weg zurückgelegt. Im Jahr 2014 entdeckten wir beispielsweise die erste Ransomware-Version für Android. Nur ein Jahr später entfielen bereits 17 Prozent aller erkannten Infektionen auf Android-Geräte.

Das Jahr 2015 sah auch die erste Ransomware für Linux, die in der Klasse Trojan-Ransom.Linux zu finden ist. Auf der positiven Seite ist zu vermerken, dass den Malware-Autoren ein kleiner Fehler bei der Umsetzung unterlief, wodurch es möglich ist, die Dateien zu entschlüsseln, ohne Lösegeld zahlen zu müssen.

Leider treten immer weniger von solchen Implementationsfehlern auf. Das veranlasste das FBI zu der folgenden Erklärung: „Die Ransomware ist so gut[…]. Um ehrlich zu sein, raten wir den Anwendern häufig, das Lösegeld einfach zu bezahlen.“ Dass das nicht immer eine gute Idee ist, wurde dieses Jahr ebenfalls deutlich, als die niederländische Polizei zwei Personen festnehmen konnte, die verdächtigt wurden, hinter der CoinVault-Malware zu stecken. Etwas später erhielten wir alle 14.000 Chiffrierungsschlüssel, die wir unserem neuen Entschlüsselungstool hinzufügten. Alle CoinVault-Opfer konnten ihre Dateien entschlüsseln, ohne dass sie etwas dafür zahlen mussten.

2015 ist aber auch das Geburtsjahr von TeslaCrypt. TeslaCrypt ist dafür bekannt, die grafische Benutzeroberfläche anderer Ransomware-Familien zu benutzen, ursprünglich dievon CryptoLocker, später die von CryptoWall. Dieses Mal wurde die HTML-Seite von CryptoWall 3.0 vollständig kopiert und nur
die URLs wurden geändert.

Zahl der angegriffenen Nutzer

Das folgende Diagramm zeigt die Zunahme der Nutzer im Laufe des Jahres, bei denen Malware der Klasse Trojan-Ransom entdeckt wurde:

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Zahl der von Malware der Klasse Trojan-Ransom angegriffenen Nutzer (Q4/2014 bis Q3/2015)

Insgesamt wurden im Jahr 2015 auf 753.684 Computern Ransomware-Schädlinge entdeckt. Ransomware wird also mehr und mehr zu einem Problem.

Top 10 der Trojan-Ransom-Familien

In diesem Rating sind die Top 10 der vorherrschenden Ransomware-Familien vertreten. Die Liste besteht aus Browser-basierten Erpresser- oder Blocker-Familien und einigen berühmt-berüchtigten Familien von Verschlüsselungsprogrammen. Die so genannten Windows-Blocker, die den Zugriff auf ein System einschränken (beispielsweise die Familie Trojan-Ransom.Win32.Blocker) und dann ein Lösegeld verlangen, waren vor einigen Jahren überaus populär, als sie ihren Siegeszug in Russland antraten, um sich dann Richtung Westen auszubreiten. Doch heute sind sie nicht mehr so weit verbreitet und daher auch nicht in den Top 10 vertreten.

Name* Prozentualer Anteil der Anwender**
1 Trojan-Ransom.HTML.Agent 38,0
2 Trojan-Ransom.JS.Blocker 20,7
3 Trojan-Ransom.JS.InstallExtension 8,0
4 Trojan-Ransom.NSIS.Onion 5,8
5 Trojan-Ransom.Win32.Cryakl 4,3
6 Trojan-Ransom.Win32.Cryptodef 3,1
7 Trojan-Ransom.Win32.Snocry 3,0
8 Trojan-Ransom.BAT.Scatter 3,0
9 Trojan-Ransom.Win32.Crypmod 1,8
10 Trojan-Ransom.Win32.Shade 1,8

*Die vorliegende Statistik basiert auf den Alarmen von Kaspersky-Lab-Produkten auf den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung statistischer Daten gegeben haben.
** Prozentualer Anteil der von einer bestimmten Trojan-Ransom-Familie angegriffenen Nutzer an allen von einem Schädling der Klasse Trojan-Ransom angegriffenen Nutzern.

Den ersten Platz belegt Trojan-Ransom.HTML.Agent (38 %). An zweiter Stelle steht die Familie Trojan-Ransom.JS.Blocker (20.7 %). Es handelt sich hierbei um Webseiten, die den Browser blockieren und unterschiedliche unerwünschte Inhalte enthalten, meist auch die Erpresser-Mitteilung (zum Beispiel die „Warnung“ einer Strafverfolgungsbehörde). Oder sie enthalten JavaScript-Code, der den Browser blockiert und eine Nachricht anzeigt.

Auf der dritten Position befindet sich Trojan-Ransom.JS.InstallExtension (8 %), eine den Browser blockierende Webseite, die dem Nutzer die Installation einer Chrome-Erweiterung beschert. Bei dem Versuch, die Seite zu schließen, wird eine mp3-Datei mit der folgenden Sprachmitteilung abgespielt: „Um die Seite zu schließen, klicken Sie auf den Button ‚Hinzufügen'“. Die auf diese Weise angebotenen Erweiterungen fügen dem Nutzer keinen Schaden zu, doch sie sind äußerst lästig, und es ist nahezu unmöglich, sie abzulehnen. Diese Art von Erweiterungsverbreitung wird von Partner-Programmen betrieben. Diese ersten drei Familien sind insbesondere in Russland vorherrschend, ebenso wie in einigen Ländern der ehemaligen Sowjetunion.

Wenn man sich einmal anschaut, wo genau Ransomware am weitesten verbreitet ist (nicht nur die drei oben erwähnten Familien), so kommt man auf das Ländertrio Kasachstan, Russland und Ukraine.

Die Familie Cryakl war im dritten Quartal 2015 recht aktiv, mit Spitzenwerten von bis zu 2.300 Infektionsversuchen pro Tag. Eine interessante Besonderheit von Cryakl ist das Verbreitungsschema dieser Malware-Familie. Anstatt die gesamte Datei zu verschlüsseln, chiffriert Cryakl lediglich die ersten 29 Bytes plus drei weitere Blöcke, die sich irgendwo willkürlich in der Datei befinden. Dadurch soll die Verhaltens-basierte Detektion umgangen werden, und die Verschlüsselung der ersten 29 Bytes zerstört den Header.

Cryptodef auf Platz sechs ist die berüchtigte Cryptowall-Ransomware. Cryptowall wird im Gegensatz zu den anderen hier besprochenen Familien am häufigsten in den USA gefunden: Tatsächlich gibt es in den USA dreimal mehr Infektionen als in Russland. Cryptowall wird via Spam-Mails verbreitet, mit denen Nutzer ein ZIP-Archiv bekommen, das seinerseits ein JavaScript enthält. Bei Ausführung lädt das JavaScript Сryptowall herunter und beginnt, die Dateien zu verschlüsseln. Auch die Erpressermitteilung hat sich geändert. Jetzt gratuliert der Schädling den Opfern dazu, „nun Teil der großen Cryptowall-Gemeinschaft zu sein“.

Verschlüsselungsprogramme können nicht nur als ausführbare Dateien bereitgestellt werden, sondern auch unter Verwendung simpler Skript-Sprachen, wie im Fall der Familie Trojan-Ransom.BAT.Scatter. Die Scatter-Familie erschien im Jahr 2014 und entwickelte sich schnell weiter, wobei sie die Funktionalität eines E-Mail-Wurms und eines Trojan-PSW bekam. Bei der Verschlüsselung werden zwei Paare von asymmetrischen Schlüsseln verwendet, die die Chiffrierung der Nutzerdateien ermöglichen, ohne ihre privaten Schlüssel aufzudecken. Die Malware bedient sich umbenannter legitimer Tools zur Verschlüsselung der Dateien

Das Verschlüsselungsprogramm Trojan-Ransom.Win32.Shade, das ebenfalls in Russland sehr weit verbreitet ist, kann vom C&C-Server eine Liste mit den URLs zusätzlicher Malware erhalten. Daraufhin lädt es diese Schadprogramme herunter und installiert sie im System. Alle C&C-Server dieser Familie werden im Netzwerk Tor gehostet. Es wird außerdem vermutet, dass Shade über ein Partnerprogramm verbreitet wird.

Land* Prozentualer Anteil der von Ransomware angegriffenen Nutzer**
1 Kasachstan 5,47
2 Ukraine 3,75
3 Russische Föderation 3,72
4 Niederlande 1,26
5 Belgien 1,08
6 Weißrussland 0,94
7 Kirgisien 0,76
8 Usbekistan 0,69
9 Tadschikistan 0,69
10 Italien 0,57

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil der individuellen Nutzer, deren Computer von Ransomware angegriffen wurden, an allen individuellen Nutzern von Kaspersky Lab-Produkten in diesem Land.

Verschlüsselungsprogramme

Obwohl die Verschlüsselungsprogramme unter Cyberkriminellen heute nicht so populär sind wie Blocker-Software, fügen sie den Anwendern doch größeren Schaden zu. Daher macht es durchaus Sinn, sie hier auch gesondert zu behandeln.

Zahl der neuen Verschlüsselungsprogramme der Klasse Trojan-Ransom

Die folgende Grafik zeigt die Zunahme der neu entwickelten Modifikationen von Verschlüsselungsprogrammen pro Jahr.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Zahl der Modifikationen von Verschlüsselungsprogrammen der Klasse Trojan-Ransom in der Virenkollektion von Kaspersky Lab (2013 bis 2015)

Die Gesamtzahl der Modifikationen von Verschlüsselungsprogrammen beträgt aktuell mindestens 11.000. Im Jahr 2015 wurden zehn neue Familien von Verschlüsselungsprogrammen entwickelt.

Zahl der von Verschlüsselungsprogrammen angegriffenen Nutzer

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Zahl der von Verschlüsselungs-Malware der Klasse Trojan-Ransom angegriffenen Nutzer (2012 bis 2015)

Im Jahr 2015 wurden 179.209 individuelle Anwender von Verschlüsselungsschädlingen angegriffen. Etwa 20 Prozent dieser Angriffe ereigneten sich im Unternehmenssektor.

Man sollte unbedingt bedenken, dass die tatsächliche Anzahl von Vorfällen um ein Vielfaches höher ist: Diese Statistik bezieht nur die Resultate der Signatur-basierten und der heuristischen Erkennung ein, doch die Produkte von Kaspersky Lab detektieren Verschlüsselungstrojaner in den meisten Fällen auch mit Hilfe von verhaltensbasierten Methoden.

Top 10 der von Verschlüsselungsschädlingen angegriffenen Anwender

Land* Prozentualer Anteil der von Verschlüsselungs-Malware angegriffenen Nutzer
1 Niederlande 1,06
2 Belgien 1,00
3 Russische Föderation 0,65
4 Brasilien 0,44
5 Kasachstan 0,42
6 Italien 0,36
7 Lettland 0,34
8 Türkei 0,31
9 Ukraine 0,31
10 Österreich 0,30

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil der individuellen Nutzer, deren Computer von Verschlüsselungsprogrammen der Klasse Trojan-Ransom angegriffen wurden, an allen individuellen Nutzern von Kaspersky-Lab-Produkten in diesem Land.

Der erste Platz wird von den Niederlanden belegt. Die am weitesten verbreitete Familie von Verschlüsselungsschädlingen ist CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Im Jahr 2015 wurde ein Partner-Programm gestartet, das sich CTB-Locker zunutze macht, und neue Sprachen wurden hinzugefügt, unter anderem Niederländisch. In der Regel werden die Computer mit schädlichen Anhängen infiziert. Es sieht so aus, als wäre auch ein niederländischer Muttersprachler in die Infektionskampagne involviert, da die E-Mails in relativ gutem Niederländisch geschrieben sind.

Eine ähnliche Situation liegt in Belgien vor. Auch dort ist CTB-Locker die am weitesten verbreitete Verschlüsselungs-Malware.

In Russland führt Trojan-Ransom.Win32.Cryakl die Liste der Verschlüsselungsprogramme an, die Anwender angreifen.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das Windows-Nutzer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen speziell zu diesem Zweck erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Top 20 der Schadprogramme im Internet

Im Laufe des gesamten Jahres erkannte Kaspersky Anti-Virus 121.262.075 individuelle schädliche Objekte (zum Beispiel Skripte, Exploits und ausführbare Dateien).

Von allen Schadprogrammen, die im Jahr 2015 an Internet-Attacken beteiligt waren, hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Wie auch schon im vergangenen Jahr belegen Werbeprogramme und ihre Komponenten zwölf Positionen in den Top 20. Im Laufe des Jahres wurden auf 26,1 Prozent aller Computer, auf denen Kaspersky Anti-Virus Alarm geschlagen hat, Werbeprogramme und deren Komponenten registriert. Die Zunahme der Werbeprogramme, ihre aggressive Verbreitungsart und ihre Mechanismen zur Abwehr der Erkennung durch Antivirenprogramme setzen den Trend des Jahres 2014 fort.

Auch wenn aggressive Werbung den Anwendern Unannehmlichkeiten bereitet, fügt Adware ihren Computern keinen Schaden zu. Aus den nachfolgenden Top 20 der Bedrohungen haben wir daher Programme der Klassen Adware und Riskware ausgeschlossen. Auf die schädlichen Objekte in der Hitliste entfielen 96,6 Prozent der Attacken von Schadprogrammen.

Name* Prozentualer Anteil an allen Attacken**
1 Malicious URL 75,76
2 Trojan.Script.Generic 8,19
3 Trojan.Script.Iframer 8,08
4 Trojan.Win32.Generic 1,01
5 Expoit.Script.Blocker 0,79
6 Trojan-Downloader.Win32.Generic 0,69
7 Trojan-Downloader.Script.Generic 0,36
8 Trojan.JS.Redirector.ads 0,31
9 Trojan-Ransom.JS.Blocker.a 0,19
10 Trojan-Clicker.JS.Agent.pq 0,14
11 Trojan-Downloader.JS.Iframe.diq 0,13
12 Trojan.JS.Iframe.ajh 0,12
13 Exploit.Script.Generic 0,10
14 Packed.Multi.MultiPacked.gen 0,09
15 Exploit.Script.Blocker.u 0,09
16 Trojan.Script.Iframer.a 0,09
17 Trojan-Clicker.HTML.Iframe.ev 0,09
18 Hoax.HTML.ExtInstall.a 0,06
19 Trojan-Downloader.JS.Agent.hbs 0,06
20 Trojan-Downloader.Win32.Genome.qhcr 0,05

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung von statistischen Daten zugestimmt haben.
** Anteil an allen Web-Attacken der Malware, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Die Top 20 bestehen zu einem großen Teil aus schädlichen Objekten, die in der Regel bei Drive-by-Attacken eingesetzt werden. Sie werden mit heuristischen Methoden als Trojan.Script.Generic, Expoit.Script.Blocker, Trojan-Downloader.Script.Generic und andere detektiert. Solche Objekte belegen sieben Positionen in unserem Rating.

Unter Malicious URL fallen Links aus unserer Schwarzen Liste (Links auf Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen, Steuerungsserver von Botnetzen, Erpresser-Webseiten und so weiter).

Als Trojan.JS.Redirector.ads (8. Platz) erkennt Kaspersky Anti-Virus ein Skript, das Cyberkriminelle auf infizierten Web-Ressourcen platzieren. Es leitet die Browser auf andere Webseiten, beispielsweise auf die Ressourcen von Online-Kasinos. Dass diese Objekte in unserem Rating gelandet sind, sollte Administratoren von Web-Ressourcen daran erinnern, wie einfach die automatische Infektion ihrer Seiten selbst mit den allerkomplexesten Programmen sein kann.

Bei Trojan-Ransom.JS.Blocker.a (9. Platz) handelt es sich um ein Skript, das mit Hilfe der regelmäßigen Aktualisierung einer Seite versucht, den Browser zu blockieren und eine Mitteilung anzuzeigen, die den Nutzer zur Zahlung einer „Strafe“ auffordert, weil er sich anstößige Inhalte angesehen hat. Das Geld soll in eine angegebene elektronische Brieftasche überwiesen werden. Dieses Skript ist in erster Linie auf Porno-Webseiten anzutreffen und es wird von Kaspersky Anti-Virus hauptsächlich in Russland und anderen GUS-Staaten aufgespürt.

Das Skript, das unsere Schutzlösungen als Trojan-Downloader.JS.Iframe.diq (11. Platz) erkennen, findet sich auch auf infizierten WordPress-, Joomla- und Drupal-Webseiten. Die Kampagne zur massenhaften Infektion von Webseiten mit diesem Skript begann im August 2015. An den Server der Cyberkriminellen übermittelt das Skript zunächst Informationen über den Header der infizierten Seite sowie die aktuelle Domain und die Adresse der Seite, von der aus der Anwender auf die Seite mit dem Skript gewechselt ist. Daraufhin wird mit Hilfe eines iframe ein anderes Skript in den Browser des Anwenders geladen, das Informationen über das Betriebssystem auf dem Computer des Nutzers sammelt, über die Zeitzone und über das Vorhandensein von Adobe Flash Player. Danach und nach einer Reihe von Umleitungen landet der Anwender auf einer Webseite, die ihm die Installation eines Werbeprogramms anbietet, das als Update für den Adobe Flash Player getarnt ist. Alternativ wird er zur Installation eines Browser-Plug-ins aufgefordert.

Top 10 der Länder, auf deren Ressourcen Schadprogramme untergebracht sind

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein. In dieser Statistik wurden die Verbreitungsquellen von Adware sowie Hosts, die mit der Tätigkeit von Werbeprogrammen in Verbindung stehen, nicht berücksichtigt.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Zur Durchführung der 798.113.087 Attacken über das Internet, die im Jahr 2015 blockiert wurden, verwendeten die Cyberkriminellen 6.563.145 individuelle Hosts, das sind 16 Prozent weniger als im Jahr 2014.

Insgesamt 80 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Verteilung der Quellen von Webattacken nach Ländern im Jahr 2015

Die Besetzung der ersten vier Plätze hat sich gegenüber dem Vorjahr nicht geändert. Frankreich ist von dem siebten auf den fünften Platz (5,07 %) aufgestiegen, die Ukraine dagegen fiel von Position fünf auf Position sieben zurück (4,16 %). Nicht mehr in dem Rating vertreten sind Kanada und Vietnam. Die Neueinsteiger sind China und Schweden auf den Rängen neun respektive zehn.

Diese Top 10 zeigen, dass es Cyberkriminelle vorziehen, ihrer Tätigkeit in Industrienationen nachzugehen und dort auch das Hosting in Anspruch zu nehmen, wo der Markt der Hosting-Dienstleistungen gut entwickelt ist.

Länder, in denen Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Jahres Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

Top 20 der Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Russland 48,90
2 Kasachstan 46,27
3 Aserbaidschan 43,23
4 Ukraine 40,40
5 Vietnam 39,55
6 Mongolei 38,27
7 Weißrussland 37,91
8 Armenien 36,63
9 Algerien 35,64
10 Katar 35,55
11 Lettland 34,20
12 Nepal 33,94
13 Brasilien 33,66
14 Kirgisien 33,37
15 Moldawien 33,28
16 China 33,12
17 Thailand 32,92
18 Litauen 32,80
19 Vereinigte Arabische Emirate 32,58
20 Portugal 32,31

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Die ersten drei Länder in diesem Rating blieben gegenüber dem Jahr 2014 unverändert. Russland ist nach wie vor Spitzenreiter, allerdings ging der prozentuale Anteil individueller Anwender dort um 4,9 Prozentpunkte zurück.

Nicht mehr in den Top 20 vertreten sind Deutschland, Tadschikistan, Georgien, Saudi-Arabien, Österreich, Sri Lanka und die Türkei. Neu eingestiegen sind Lettland, Nepal, Brasilien, China, Thailand, die Vereinigten Arabischen Emirate und Portugal.

Alle Länder der Welt lassen sich nach dem Grad des Infektionsrisikos beim Surfen im Netz in drei Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko
    Zu dieser Gruppe mit Werten von über 41 Prozent gehören die ersten drei Länder aus den Top 20 – Russland, Kasachstan und Aserbaidschan. Diese Gruppe ist kleiner geworden, im Jahr 2014 umfasste sie noch neun Länder.

  2. Risikogruppe
    In dieser Gruppe mit Werten zwischen 21 und 40,9 Prozent sind 109 Länder vertreten, unter anderen: Frankreich (32,1 %), Deutschland (32,0 %), Indien (31,6 %), Spanien (31,4 %), die Türkei (31,0 %), Griechenland (30,3 %), Kanada (30,2 %), Italien (29,4 %), die Schweiz (28,6 %), Australien (28,0 %), Bulgarien (27,0 %), die USA (26,4 %), Georgien (26,2 %), Israel (25,8 %), Mexiko (24,3 %), Ägypten (23,9 %), Rumänien (23,4 %), Großbritannien (22,4 %), Tschechien (22,0 %), Irland (21,6 %) und Japan (21,1 %).

  3. Gruppe der beim Surfen im Internet sichersten Länder (0 bis 20,9 %)
    Zu dieser Gruppe zählen 52 Länder, darunter auch Kenia (20,8 %), Ungarn (20,7 %), Malta (19,4 %), die Niederlande (18,7 %), Norwegen (18,3 %), Argentinien (18,3 %), Singapur (18,2 %), Schweden (18 %), Südkorea (17,2 %), Finnland (16,5 %) und Dänemark (15,2 %).

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Im Jahr 2015 waren 34,2 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Die Gefahrenstufe ist innerhalb des Jahres durchschnittlich um 4,1 Prozentpunkte gesunken. Dieser Trend des gleichmäßigen Rückgangs begann im Jahr 2014 und setzt sich nun schon das zweite Jahr in Folge fort. Dafür können verschiedene Faktoren verantwortlich sein:

  • Erstens leisten nun auch Browser und Suchmaschinen, deren Entwickler sich um die Sicherheit der Anwender kümmern, ihren Beitrag im Kampf gegen schädliche Webseiten.
  • Zweitens bevorzugen immer mehr Anwender mobile Geräte und Tablets zum Surfen im Netz.
  • Drittens überprüfen viele Exploit-Packs nun, ob auf einem Computer eines unserer Produkte läuft. Finden sie ein Kaspersky-Produkt, so versuchen sie gar nicht erst, den Computer anzugreifen.

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören Objekte, die über die Infektion von Dateien oder mobilen Datenträgern in die Computer eindringen oder die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme im Zuge komplexer Installationen, verschlüsselte Dateien und so weiter). Zudem werden in dieser Statistik Objekte berücksichtigt, die nach dem ersten Systemscan durch Kaspersky Anti-Virus auf den Computern der Nutzer gefunden wurden.

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

Im Jahr 2015 spürte Kaspersky Anti-Virus insgesamt vier Millionen schädliche und potenziell unerwünschte Programme auf. Das sind doppelt so viel wie im vorangegangenen Jahr.

Top 20 der auf den Computern der Anwender entdeckten schädlichen Objekte

Wir haben nachfolgend die 20 Bedrohungen aufgeführt, die im Jahr 2015 am häufigsten auf den Computern der Anwender aufgespürt wurden. Programme der Klassen Adware und Riskware werden in diesem Rating nicht berücksichtigt.

Name* Prozentualer Anteil der angegriffenen Anwender**
1 DangerousObject.Multi.Generic 39,70
2 Trojan.Win32.Generic 27,30
3 Trojan.WinLNK.StartPage.gena 17,19
4 Trojan.Win32.AutoRun.gen 6,29
5 Virus.Win32.Sality.gen 5,53
6 Worm.VBS.Dinihou.r 5,40
7 Trojan.Script.Generic 5,01
8 DangerousPattern.Multi.Generic 4,93
9 Trojan-Downloader.Win32.Generic 4,36
10 Trojan.WinLNK.Agent.ew 3,42
11 Worm.Win32.Debris.a 3,24
12 Trojan.VBS.Agent.ue 2,79
13 Trojan.Win32.Autoit.cfo 2,61
14 Virus.Win32.Nimnul.a 2,37
15 Worm.Script.Generic 2,23
16 Trojan.Win32.Starter.lgb 2,04
17 Worm.Win32.Autoit.aiy 1,97
18 Worm.Win32.Generic 1,94
19 HiddenObject.Multi.Generic 1,66
20 Trojan-Dropper.VBS.Agent.bp 1,55

* Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender der Übermittlung statistischer Daten zugestimmt haben.
** Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus bei Programmen der Malware Alarm geschlagen hat.

Den ersten Platz belegen schädliche Programme des Typs DangerousObject.Multi.Generic (39,70 %), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Der Anteil der Viren im Rating nimmt weiterhin ab: So war Virus.Win32.Sality.gen beispielsweise im letzten Jahr bei 6,69 Prozent der Anwender anzutreffen, im Jahr 2015 dagegen nur noch bei 5,53 Prozent. Der Wert von Virus.Win32.Nimnul.a lag 2014 bei 2,8 Prozent, im Jahr 2015 bei 2,37 Prozent. Bei den Objekten des Typs Trojan-Dropper.VBS.Agent.bp auf Platz 20 handelt es sich um ein VBS-Skript, das den Schädling Virus.Win32.Nimnul aus sich selbst extrahiert und ihn auf der Festplatte speichert.

Neben den Objekten der oben genannten Typen (durch Cloud-Technologien aufgespürte Schädlinge und Viren) sind auch Würmer in den Top 20 vertreten, die sich auf mobilen Speichermedien sowie deren Komponenten verbreiten. Ihre Anwesenheit im Rating lässt sich durch die Art ihrer Verbreitung und die Erstellung einer Vielzahl von Kopien erklären. Ein Wurm kann sich immer weiter ausbreiten, über einen langen Zeitraum hinweg, selbst wenn seine Steuerungsserver nicht mehr aktiv sind.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Um zu bewerten, in welchen Ländern es die Anwender am häufigsten mit Cyberbedrohungen zu tun hatten, haben wir für jedes Land berechnet, wie häufig unsere Antiviren-Lösung im Laufe des Jahres bei den Anwendern Alarm geschlagen hat. Berücksichtigt wurden dabei detektierte Objekte, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Mobiltelefonen oder externe Festplatten. Die folgende Statistik spiegelt das durchschnittliche Infektionsniveau der Computer in den verschiedenen Ländern der Welt wider.

Top 20 der Länder nach Infektionsniveau der Computer

Land* Anteil in Prozent**
1 Vietnam 70,83
2 Bangladesch 69,55
3 Russland 68,81
4 Mongolei 66,30
5 Armenien 65,61
6 Somalia 65,22
7 Georgien 65,20
8 Nepal 65,10
9 Jemen 64,65
10 Kasachstan 63,71
11 Irak 63,37
12 Iran 63,14
13 Laos 62,75
14 Algerien 62,68
15 Kambodscha 61,66
16 Ruanda 61,37
17 Pakistan 61,36
18 Syrien 61,00
19 Palästinensische Gebiete 60,95
20 Ukraine 60,78

Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender der Übermittlung statistischer Daten zugestimmt haben.
* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Den ersten Platz in diesem Rating belegt das dritte Jahr in Folge Vietnam. Die Mongolei und Bangladesch haben im Jahr 2015 die Plätze getauscht: Während die Mongolei vom zweiten auf den vierten Platz abrutschte, stieg Bangladesch von Rang vier auf Rang zwei auf. Russland, das im vergangenen Jahr gar nicht in den Top 20 vertreten war, belegt nach den Ergebnissen für das Jahr 2015 gleich den dritten Platz.

Nicht mehr in den Top 20 vertreten sind Indien, Afghanistan, Ägypten, Saudi Arabien, der Sudan, Sri Lanka, Myanmar und die Türkei. Neueinsteiger sind Russland, Armenien, Somalia, Georgien, Iran, Ruanda, die Palästinensischen Gebiete und die Ukraine.

Durchschnittlich wurde in den Ländern aus den Top 20 bei 67,7 Prozent der KSN-Anwender, die uns Informationen zur Verfügung stellten, mindestens einmal ein schädliches Objekt auf dem Computer gefunden – auf der Festplatte oder auf angeschlossenen mobilen Datenträgern –, gegenüber 58,7 Prozent im Jahr 2014.

Kaspersky Security Bulletin 2015/2016. Statistik für das Jahr 2015

Auch bei den lokalen Bedrohungen lassen sich alle Länder in verschiedene Kategorien einteilen.

  1. Maximales Infektionsniveau (über 60 %)
    Zu dieser Gruppe gehören 22 Länder, unter anderem Kirgisien (60,77 %) und Afghanistan (60,54 %).

  2. Hohes Infektionsniveau (41 bis 60 %)
    98 Länder, darunter Indien (59,7 %), Ägypten (57,3 %), Weißrussland (56,7 %), die Türkei (56,2 %), Brasilien (53,9 %), China (53,4 %), die Vereinigten Arabischen Emirate (52,7 %), Serbien (50,1 %), Bulgarien (47,7 %), Argentinien (47,4 %), Israel (47,3 %), Lettland (45,9 %), Spanien (44,6 %), Polen (44,3 %), Deutschland (44,0 %), Griechenland (42,8 %), Frankreich (42,6 %), Korea (41,7 %) und Österreich (41,7 %).

  3. Mittleres Infektionsniveau (21 bis 40,9 %)
    45 Länder, darunter Rumänien (40,0 %), Italien (39,3 %), Kanada (39,2 %), Australien (38,5 %), Ungarn (38,2 %), die Schweiz (37,2 %), die USA (36,7 %), Großbritannien (34,7 %), Irland (32,7 %), die Niederlande (32,1 %), Tschechien (31,5 %), Singapur (31,4 %), Norwegen (30,5 %), Finnland (27,4 %), Schweden (27,4 %), Dänemark (25,8 %) und Japan (25,6 %).

Top 10 der Länder mit den geringsten Computer-Infektionsraten (lokale Infektionen)

Land Anteil in Prozent*
1 Kuba 20,8
2 Seychellen 25,3
3 Japan 25,6
4 Dänemark 25,8
5 Schweden 27,4
6 Finnland 27,4
7 Andorra 28,7
8 Norwegen 30,5
9 Singapur 31,4
10 Tschechien 31,5

* Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Gegenüber dem Jahr 2014 gab es in dieser Liste einige Veränderungen. Neu hinzugekommen ist Andorra, nicht mehr im Rating vertreten ist Martinique.

Durchschnittlich wurden 26,9 Prozent der Computer in den zehn sichersten Ländern mindestens einmal im Laufe des Jahres angegriffen. Im Vergleich zum Vorjahr ist dieser Wert um 3,9 Prozentpunkte gestiegen.

Fazit

Auf der Grundlage einer Analyse unserer Statistik können wir grob bestimmen, in welche Hauptrichtungen sich die Cyberkriminalität entwickeln wird:

  • Ein Teil der Personen, die im Cybercrime-Milieu aktiv sind, werden versuchen, das Risiko einer strafrechtlichen Verfolgung zu minimieren und von Malware-Angriffen auf die aggressive Verbreitung von Adware umsteigen.
  • Bei der in massenhaften Attacken eingesetzten Schadsoftware wird der Anteil vergleichsweise einfacher Programme steigen. Das versetzt die Cyberkriminellen in die Lage, ihre Malware schnell zu aktualisieren und damit die Effizienz zu steigern.
  • Cyberkriminelle haben Nicht-Windows-Plattformen erschlossen, und zwar Android und Linux: Für diese Plattformen wurden mittlerweile praktisch alle Arten von Schadprogrammen entwickelt und werden auch verwendet.
  • Im Rahmen ihrer Tätigkeit setzen Cyberkriminelle aktiv moderne Anonymisierungs-Technologien ein, wie etwa Tor zum Verbergen der Steuerungsserver und Bitcoins für die Durchführung von Finanz-Transaktionen.

Ein immer größerer Teil der Alarme von Kaspersky Anti-Virus entfällt auf die „Grauzone“: In erster Linie sind das verschiedene Werbeprogramme und ihre Module. In unserem Rating der Web-Bedrohungen für das Jahr 2015 belegen die Vertreter dieser Programm-Art zwölf Positionen in den Top 20. Im Laufe des Jahres wurden auf 26,1 Prozent aller Computer, auf denen Kaspersky Anti-Virus Alarm geschlagen hat, Werbeprogramme und deren Komponenten registriert. Die Zunahme der Werbeprogramme, ihre aggressive Verbreitungsart und ihre Mechanismen zur Abwehr der Erkennung durch Antivirenprogramme setzen den Trend des Jahres 2014 fort. Die Verbreitung solcher Adware bringt nicht wenig Geld, und im Rennen um die höchsten Einnahmen setzen ihre Schöpfer manchmal Methoden und Technologien ein, die für Malware charakteristisch sind.

Im Jahr 2015 nahm die Popularität von Exploits für den Adobe Flash Player unter Virenautoren zu. Unseren Beobachtungen zufolge laden Landing-Pages mit Exploits am häufigsten gerade Exploits für den Adobe Flash Player. Das hat zwei Gründe: Erstens wurde im Laufe des Jahres eine große Zahl von Sicherheitslücken in diesem Produkt gefunden. Zweitens wurden infolge des Hacking-Team-Datenlecks Informationen über unbekannte Sicherheitslücken im Flash Player öffentlich verfügbar, die sich auch Online-Gangster zunutze machten.

Im Lager der Bank-Trojaner gab es eine interessante Veränderung. Die unzähligen Modifikationen des Trojaners ZeuS, die lange Jahre den ersten Platz belegten, wurden nun von dem Schadprogramm Trojan-Banker.Win32.Dyreza verdrängt. Im Laufe des ganzen Jahres 2015 befand sich Upatre an der Spitze des Ratings der Schädlinge, die auf den Diebstahl von Geld bei Online-Banking-Systemen spezialisiert sind. Auf den betroffenen Computer lädt dieser Downloader Bank-Trojaner einer Familie, die unter den Namen Dyre/Dyzap/Dyreza bekannt ist. An allen Bankbedrohungen betrug der Anteil der von Dyreza angegriffenen Anwender über 40 Prozent. Der Bank-Schädling verwendet ein effektives Schema zur Web-Einschleusung mit dem Ziel, Zugriffsdaten für Online-Banking-Systeme zu stehlen.

Wir weisen zudem darauf hin, dass zwei Familien von mobilen Bank-Trojanern in den Top 10 der Bankschädlinge für das Jahr 2015 vertreten sind, und zwar Faketoken und Marcher. Ausgehend von den Trends ist zu vermuten, dass mobile Bank-Trojaner im nächsten Jahr einen deutlich größeren Anteil an unserem Rating haben werden.

Bei den Erpresser-Trojanern gab es im Jahr 2015 eine Reihe von Veränderungen:

  1. Während die Popularität von Schadprogrammen, die die Funktionsfähigkeit des Computers blockieren, nach und nach abnimmt, stieg die Zahl der von Verschlüsselungsprogrammen attackierten Nutzer innerhalb des Jahres um 48,3 Prozent. Das Chiffrieren von Dateien anstelle des simplen Blockierens des Computers ist eine Methode, die es dem Opfer in den meisten Fällen unmöglich macht, den Zugriff auf seine Informationen wiederherzustellen. Besonders aktiv nutzen Cyberkriminelle Verschlüsselungsschädlinge in Attacken auf Unternehmensanwender, die viel eher zum Zahlen des Lösegelds bereit sind als normale Heimanwender. Eine Bestätigung hierfür ist auch das Erscheinen des ersten Verschlüsselungstrojaners unter Linux im Jahr 2015, der sich gegen Web-Server richtet.
  2. Die Verschlüsselungsschädlinge werden dabei immer modularer – neben der reinen Chiffrierungsfunktionalität legten sie sich auch eine Funktionalität zum Diebstahl von Daten von den Computern ihrer Opfer zu.
  3. Während die Online-Verbrecher gerade erst beginnen, ihre Aufmerksamkeit auf Linux zu richten, wurde der erste Erpresser-Trojaner für Android bereits 2014 entdeckt. Im Jahr 2015 nahm die Zahl der Attacken auf Android stetig zu, und auf das gesamte Jahr gesehen wurden 17 Prozent aller Angriffe von Erpresser-Programmen auf Geräten unter dem mobilen Betriebssystem Android blockiert.
  4. Die Bedrohung breitet sich über den gesamten Globus aus: Die Produkte von Kaspersky Lab entdeckten in 200 Ländern und Gebieten Erpresser-Trojaner, also praktisch überall.

Für das Jahr 2016 erwarten wir eine weitere Entwicklung von Verschlüsselungsschädlingen, die sich gegen Nicht-Windows-Plattformen richten: einen Anstieg des Anteils von Android und das Erscheinen von erpresserischen Verschlüsselungsprogrammen für Mac OS. Wenn man bedenkt, dass Android auch aktiv in Gebrauchselektronik verwendet wird, ist es durchaus möglich, dass wir schon bald mit den ersten Angriffen von Verschlüsselungsschädlingen auf „smarte“ Geräte zu rechnen haben.

Related Articles

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.