Entwicklung der IT-Bedrohungen im 2. Quartal 2014

Inhalt

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) blockierten die Produkte von Kaspersky Lab im zweiten Quartal 2014 insgesamt 995.534.410 bösartige Attacken auf den Computern und mobilen Geräten der KSN-Anwender.
  • Die Lösungen von Kaspersky Lab wehrten 354.453.992 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt ausgingen.
  • Kaspersky Anti-Virus spürte 57.133.492 individuelle Schadobjekte auf (unter anderem Skripte, Exploits und ausführbare Dateien).
  • Kaspersky Anti-Virus schlug bei 145.386.473 individuellen URLs Alarm.
  • 44 Prozent der von unseren Produkten blockierten Webattacken wurden unter Verwendung schädlicher Webressourcen durchgeführt, die sich in den USA und in Deutschland befinden.
  • Die Antiviren-Lösungen von Kaspersky Lab verhinderten 528.799.591 Virenattacken auf die Computer der KSN-Anwender. Im Rahmen dieser Vorfälle wurden 114.984.065 individuelle schädliche beziehungsweise potenziell unterwünschte Objekte registriert.
  • Im zweiten Quartal 2014 wurden 927.568 Computer von Kaspersky-Lab-Anwendern von schädlicher Bankensoftware angegriffen.
  • Von den attackierten KSN-Computern erhielten wir 3.455.530 Mitteilungen über Infektionsversuche durch Finanzschädlinge.

Überblick

Zielgerichtete Attacken und Malware-Kampagnen

„Irgendwer hat das Wasserloch vergiftet“

Im April berichteten wir über eine neue Zero-Day-Sicherheitslücke im Adobe Flash Player. Nach Meinung der Experten von Kaspersky Lab wurde sie ausgenutzt, um eine syrische Webseite mit einer Watering-Hole-Attacke zu kompromittieren. Die Seite (http://jpic.gov.sy) wurde im Jahr 2011 vom syrischen Justizministerium ins Leben gerufen, um den Bürgern eine Möglichkeit zu geben, sich über Gesetzesübertretungen zu beschweren. Wir sind davon überzeugt, dass diese Attacke initiiert wurde, um syrische Dissidenten anzugreifen, die sich über die Regierung beschweren.

Wir haben Mitte April zwei neue SWF-Exploits analysiert (beide wurden proaktiv von Kaspersky-Lab-Produkten erkannt), die keine uns bis dato bekannte Sicherheitslücke ausnutzten. Von Adobe wurde später bestätigt, dass es sich bei der Schwachstelle um eine neue Zero-Day-Sicherheitslücke handelt (CVE-2014-0515). Sie befand sich im Adobe-Toolkit Pixel Bender (nicht länger von Adobe unterstützt), das für die Verarbeitung von Videos und Bildern verwendet wird. Während das erste Exploit nach dem Standardschema vorging und praktisch jeden ungeschützten Computer infizieren konnte, funktionierte das zweite nur auf Computern, auf denen die Add-ins Adobe Flash Player 12 ActiveX und Cisco MeetingPlace Express installiert sind. Die Autoren haben darauf gesetzt, dass die Entwickler keine Sicherheitslücke in diesen Komponenten finden, in der Hoffnung, das Exploit würde für längere Zeit aktiv sein. Das lässt darauf schließen, dass es die Angreifer nicht auf eine große Anzahl von Personen abgesehen hatten.

Es scheint wahrscheinlich, dass Browser durch ein auf der kompromittierten Seite platziertes iframe oder Skript auf die Exploits umgeleitet wurden. Als wir über diese Zero-Day-Sicherheitslücke berichteten, zählten wir 30 Fundstellen auf den Computern von sieben verschiedenen Personen, die sich alle in Syrien befanden.

Die Kaspersky-Experten sind überzeugt, dass diese Attacke von hochkarätigen Angreifern sorgfältig geplant wurde. Dafür spricht auch, dass professionell programmierte Zero-Day-Exploits eingesetzt wurden, um damit nur eine einzige Ressource zu kompromittieren.

Technische Details zu diesen Exploits finden Sie hier.

Der italienische (und türkische) Job

Im Juni berichteten wir über unsere Untersuchungen der Attacke auf die Kunden einer großen europäischen Bank, die im Diebstahl von einer halben Million Euro innerhalb von nur einer Woche mündete.

Die ersten Hinweise auf diese Kampagne entdeckte Kaspersky Lab im Januar 2014. Wir stießen auf einen verdächtigen Server, der Protokolle über betrügerische Finanztransaktionen enthielt – Details zu den betroffenen Personen und den gestohlenen Summen eingeschlossen. Die weitere Analyse förderte Informationen zutage, die Aufschluss über die angegriffene Bank und das System von Geldkurieren gaben. Zudem stieß das Kaspersky-Team auf ein JavaScript, das mit dem Command-and-Control-Teil (C2) der Kampagne zusammenhängt. Es wurde schnell klar, dass es sich hierbei um den serverseitigen Teil der Bank-Trojaner-Infrastruktur handelte. Wir nannten das C2 „Luuuk“, nach dem Pfad in der Administrationskonsole, die im Server verwendet wurde – „/server/adm/luuuk“.

Im Zuge dieser Kampagne wurden die Kunden einer einzigen Bank angegriffen. Obwohl wir nicht an die Malware gelangen konnten, die benutzt wurde, um die Computer der User zu infizieren, sind wir der festen Meinung, dass die Cyberverbrecher einen Bank-Trojaner verwendeten, der „Man-in-the-Browser“-Operationen durchführte, um die Bankdaten durch eine schädliche Webeinschleusung zu stehlen. Den Informationen aus einer der Log-Dateien zufolge hat die Malware Benutzernamen, Passwörter und One-Time-Passcodes (OTP) in Echtzeit gestohlen.

Solche Einschleusungen sind in allen Varianten von Zeus gebräuchlich (unter anderem in Citadel, SpyEye und IceIX). Wir konnten den Infektionsweg nicht identifizieren, aber Bank-Trojaner setzen eine Vielzahl von Techniken ein, um Computer zu infizieren, inklusive Spam und Drive-by-Downloads. Nach der Veröffentlichung unseres Berichts haben uns Forscher von Fox-IT InTELL Informationen zukommen lassen, die unter Umständen mit dieser Kampagne in Verbindung stehen. Diese Daten wiesen darauf hin, dass der Luuuk-Server etwas mit dem ZeusP2P (alias Murofet) zu tun haben könnte, wie wir auch ursprünglich angenommen hatten. Allerdings gab es keinen endgültigen Beweis für diese Annahme, da der eingeschleuste Code im Rahmen unserer Analyse nicht auf dem Server gefunden werden konnte.

Die Angreifer benutzten gestohlene Bankdaten, um den Kontostand des Users zu überprüfen und um schädliche Transaktionen automatisch durchzuführen. Dazu operierten sie vermutlich während einer legitimen Banksitzung im Hintergrund. Einen Beleg dafür liefert eines der schädlichen Artefakte (ein VNC-Server). Wie wir herausgefunden haben, ist es an den schädlichen Server gebunden, der von den Angreifern benutzt wird.

Das gestohlene Geld wurde dann automatisch auf vorher eingerichtete Geldesel-Konten überwiesen. Die Klassifizierung der für die Angreifer tätigen Geldkuriere war überaus interessant. Es gab vier verschiedene Gruppen von Geldkurieren, wobei jede Gruppe über die Höhe einer Summe definiert wurde, die die Kuriere in der jeweiligen Gruppe bewegen können. Vermutlich spiegelte sich darin der Grad des Vertrauens zwischen Angreifern und Kurieren wider.

Kaspersky Lab konnte insgesamt 190 Anwender identifizieren, von denen die meisten aus Italien und der Türkei stammten. Jedem der User wurden zwischen 1.700 und 39.000 US-Dollar gestohlen, und die Gesamtsumme betrug 500.000 US-Dollar.

Am 22. Januar 2014 entfernten die Angreifer alle sensitiven Komponenten, zwei Tage nachdem wir mit unseren Untersuchungen begonnen hatten. Aufgrund der Transaktionsaktivität glauben wir, dass es sich dabei eher um eine Änderung in der Infrastruktur handelte als um einen kompletten Abbruch der Operation. Unsere Analyse der Attacke hat ergeben, dass die Cyberkriminellen hinter dieser Kampagne hochkarätige und zudem äußerst aktive Profis sind. Sie gehen außerdem proaktiv vor, wenn es darum geht, ihre Operation zu schützen – sie ändern ihre Taktiken und entfernen ihre Spuren, wenn sie entdeckt werden.

Als wir den C2-Server entdeckt hatten, informierten wir die betroffene Bank sowie die zuständigen Strafverfolgungsbehörden. Kaspersky Lab steht nach wie vor in Kontakt mit diesen offiziellen Stellen und setzt die Ermittlungen in dieser Attacke fort.

„Legale“ Spyware wird mobil

Im Juni veröffentlichte Kaspersky Lab die Ergebnisse seiner jüngsten Untersuchung der „legalen“ Software Remote Control System (RCS), die von dem italienischen Unternehmen HackingTeam entwickelt wurde. Wir beschäftigen uns nicht zum ersten Mal mit der Software dieser Firma, doch seit unserem letzten Artikel über RCS hat es bedeutende Entwicklungen gegeben.

Erstens entdeckten wir ein Feature, mit dem die RCS-Kontrollserver mit einem Fingerabdruck ausgestattet werden können. Wird eine bestimmte Anfrage an einen RCS-Server geschickt, so antwortet er mit der folgenden Fehlermeldung:

Die Kaspersky-Experten konnten diese Methode verwenden, um den gesamten IPv4-Raum zu scannen. Dadurch wurde es uns möglich, alle IP-Adressen der RCS-C2-Server auf der ganzen Welt zu finden. Insgesamt machten wir 326 Server ausfindig, von denen sich die meisten in den USA, Kasachstan und Ecuador befanden. Die entsprechende Liste finden Sie hier. Mehrere IP-Adressen wurden aufgrund ihrer WHOIS-Informationen als regierungszugehörig identifiziert. Natürlich können wir nicht sicher sein, dass die Server, die sich in einem bestimmten Land befinden, auch von den Strafverfolgungsbehörden dieses Landes verwendet werden. Allerdings würde es schon Sinn ergeben: Am Ende würde es grenzübergreifende rechtliche Probleme vermeiden sowie das Risiko minimieren, dass die Server von anderen beschlagnahmt werden.

Zweitens entdeckten wir eine Reihe von mobilen Schadmodulen für Android, iOS, Windows Mobile und BlackBerry, die von HackingTeam stammen. Sie werden alle unter Verwendung desselben Konfigurationstyps kontrolliert – ein zuverlässiges Zeichen dafür, dass sie miteinander in Verbindung stehen und zur selben Produktfamilie gehören. Da Android und iOS besonders populär sind, waren wir besonders an den Modulen für diese Plattformen interessiert.

Auf Windows- oder Mac-OS-Rechnern werden die Module mit Hilfe von Infektoren installiert – speziellen ausführbaren Dateien, die auf bereits infizierten Computern laufen. Das iOS-Modul unterstützt ausschließlich Geräte mit Jailbreak. Dadurch werden seine Ausbreitungsmöglichkeiten eingeschränkt, doch die von RCS verwendete Infektionsmethode bedeutet, dass ein Angreifer ein Jailbreaking-Tool (wie etwa Evasi0n) von einem infizierten Computer aus laufen lassen kann, mit dem das Telefon verbunden ist – solange das Gerät nicht gesperrt ist.

Das iOS-Modul ermöglicht es einem Angreifer, die auf dem Gerät gespeicherten Daten einzusehen (inklusive E-Mails, Kontakte, Anruflisten und Webseiten im Cache), unbemerkt das Mikrophon zu aktivieren und in regelmäßigen Abständen Kameraaufnahmen zu machen. Dadurch erhält das Schadmodul die komplette Kontrolle über das Mobilgerät und kann die gesamte Umgebung überwachen.

Das Android-Modul wird von dem Optimiser/Obfuskator DexGuard geschützt, daher war es schwer zu analysieren. Doch wir konnten trotzdem feststellen, dass es über dieselbe Funktionalität wie das iOS-Modul verfügt und zudem von den folgenden Apps Informationen stehlen kann: „com.tencent.mm“, „com,google,android,gm“, „android,calendar“, „com,facebook“, „jp,naver,line,android“ und „com,google.android,talk“.

Die vollständige Liste der Funktionen finden Sie hier.

Diese neuen Daten unterstreichen einmal mehr die Raffinesse solcher Überwachungstools. Die Haltung von Kaspersky Lab gegenüber solchen Tools ist absolut klar: Wir versuchen jegliche Malware aufzuspüren und unschädlich zu machen, ungeachtet ihres Ursprungs und ihrer Bestimmung. Für uns gibt es keine „richtigen“ oder „falschen“ Schadprogramme, und wir haben bereits in der Vergangenheit öffentlich vor den Risiken so genannter „legaler“ Spyware gewarnt. Es ist von zwingender Wichtigkeit, dass diese Überwachungstools nicht in die falschen Hände geraten. Daher kann die IT-Sicherheitsindustrie auch keine Ausnahmen machen, wenn es um die Detektion von Malware geht.

MiniDuke reloaded

Zu Beginn des Jahres 2014 wurde MiniDuke reaktiviert, eine APT-Kampagne von Anfang 2013. Die ursprüngliche Kampagne sticht aus verschiedenen Gründen hervor. Sie beinhaltete eine maßgeschneiderte Backdoor, die in der „Old School“-Programmiersprache Assembler geschrieben wurde. Die Attacke wurde über eine ungewöhnliche Command-and-Control-Infrastruktur gesteuert: Sie machte sich zahlreiche redundante Pfade zunutze, inklusive Twitter-Accounts. Die Entwickler übermittelten ihre aktualisierten ausführbaren Dateien versteckt in GIF-Dateien.

Zu den Zielen der neuen MiniDuke-Operation (auch bekannt als TinyBaron und CosmicDuke) gehören Regierung, Diplomatie, Energie, Militär und Telekommunikation. Ungewöhnlich ist allerdings, dass die Liste der Opfer auch solche umfasst, die mit dem Schwarzhandel und Wiederverkauf von illegalen Substanzen ihr Geld verdienen, unter anderem mit Steroiden und Hormonen. Der Grund dafür ist unklar. Möglicherweise ist die anpassbare Backdoor als so genannte „legale Spyware“ verfügbar. Aber es kann auch einfach sein, dass sie auf dem Schwarzmarkt zu haben ist und von Konkurrenten aus der Pharmaindustrie, die sich nun gegenseitig ausspionieren, erworben wurde.

Die Kampagne richtet sich gegen Länder rund um den Globus, unter anderem gegen Österreich, Belgien, Frankreich, Deutschland, Ungarn, die Niederlande, Spanien, die Ukraine und die USA.

Einer der Server, die wir analysiert haben, enthielt eine lange Liste von Opfern, die zurück auf den April 2012 datiert. Es gab 265 verschiedene Bezeichnungen auf dem Server, die Usern von 139 individuellen IPs zuzuordnen waren: Die Anwender stammten unter anderem aus Georgien, Russland, den USA, Großbritannien, Kasachstan, Indien, Weißrussland, Zypern, der Ukraine und Litauen.

Die Analyse von Kaspersky Lab ergab, dass die Angreifer ihren Wirkungskreis ausdehnen und nun IP-Bereiche und Server in Aserbaidschan, der Ukraine und Griechenland scannen.

Die Malware imitiert populäre Apps, die im Hintergrund laufen, und täuscht dabei unter anderem Dateiinformationen, Icons und sogar die Dateigröße vor. Die Backdoor selbst ist mit Hilfe von „BotGenStudio“ kompiliert, einem flexiblen Framework, das es den Angreifern ermöglicht, Komponenten zu aktivieren und zu deaktivieren, wenn der Bot installiert ist. Die Komponenten der Malware lassen sich in Hinblick auf ihre Funktionen in drei Kategorien einteilen.

(1) Beständigkeit. Die Malware ist in der Lage, sich mit Hilfe der Windows-Aufgabenplanung zu einer bestimmten Zeit zu starten, oder wenn der Bildschirmschoner aktiviert wird.

(2) Ausspähung. Die Malware stiehlt nicht nur Dateien mit bestimmten Erweiterungen, sondern greift auch Passwörter ab sowie den Verlauf, Netzwerkinformationen, Adressbücher, auf dem Bildschirm angezeigte Informationen (alle fünf Minuten wird ein Screenshot erstellt) und andere sensible Daten.

Jedem infizierten Rechner wird eine individuelle ID zugeordnet, die es ermöglicht, bestimmte Updates zu einem individuellen Anwender zu schleusen. Die Malware wird von einem kundenspezifischen obfuskierten Loader geschützt, mit einer extrem hohen CPU-Auslastung. Dadurch ist sie schwer zu analysieren. Und es zehrt zudem die Ressourcen auf, die die Sicherheitssoftware benötigt, um die Ausführung des Schadprogramms zu emulieren. Die Malware verwendet allerdings nicht nur ihren eigenen Obfuskator, sondern macht zudem ausführlichen Gebrauch von Verschlüsselung und Komprimierung, basierend auf den RC4- und LZRW-Algorithmen. Sie sind geringfügig unterschiedlich in die Standardversionen implementiert, und wir sind der Ansicht, dass das bewusst so gemacht wurde, um die Sicherheitsexperten irrezuleiten.

Zu den technisch komplexeren Teilen der Malware gehört die Datenspeicherung. Die interne Konfiguration der Malware ist verschlüsselt, komprimiert und als komplizierte Registry-artige Struktur angeordnet, mit verschiedenen Record-Typen, unter anderem Strings, Ganzzahlen und interne Verweise.

(3) Datendiebstahl. Die Malware verwendet verschiedene Methoden, um gestohlene Daten zu übermitteln, unter anderem den Upload via FTP und drei Arten von HTTP-basierter Kommunikation. Wenn eine Datei auf einen C2-Server hochgeladen wird, wird sie in kleine Segmente aufgeteilt (mit einer Größe von zirka 3 KB), die komprimiert, verschlüsselt und zum Upload auf den Server in einen Container gepackt werden. Handelt es sich um eine große Datei, so kann sie sich auf mehrere hundert Container verteilen, die alle unabhängig voneinander hochgeladen werden. Es ist wahrscheinlich, dass diese Dateneinheiten dann von den Angreifern geparst, entschlüsselt, dekomprimiert, extrahiert und wieder zusammengesetzt werden. Auch wenn diese Methode sehr aufwändig erscheinen mag, so stellen die zusätzlichen Verarbeitungsebenen doch sicher, dass nur sehr wenige Antiviren-Forscher an die Originaldatei gelangen werden, und sie gewährleisten eine höhere Verlässlichkeit gegenüber Netzwerkfehlern.

Wie bei jedem APT ist eine Zuordnung nahezu unmöglich. Obwohl die Angreifer hie und da englisch verwenden, weist einiges darauf hin, dass das nicht ihre Muttersprache ist. Wir haben Zeichenfolgen in einem Speicherblock gefunden, der an eine bestimmte Malware-Komponente angehängt war. Die Strings lassen vermuten, dass es sich bei den Cyberkriminellen um Russen handeln könnte. Dasselbe gilt auch für die Nutzung der Codepage 1251 in der Webshell, die die Angreifer verwendeten, um die C2-Hosts zu kompromittieren – diese wird normalerweise benutzt, um kyrillische Zeichen zu produzieren. Dieselbe Webshell wurde bei den Aktionen anderer APT beobachtet, und zwar bei Turla, Snake und Uroburos.

Online-Betrüger im WM-Fieber!

Betrüger sind stets auf der Suche nach Gelegenheiten, im Zuge großer sportlicher Ereignisse Geld zu machen. Die Fußball-WM bildete diesbezüglich keine Ausnahme. Im Vorfeld des Turniers untersuchten die Kaspersky-Experten einige Methoden, mit denen die Betrüger versuchten, einen Vorteil aus unvorsichtigen Besuchern der WM in Brasilien zu ziehen.

Ein offensichtlicher Weg für Kriminelle, Geld aus diesem Sportereignis zu schlagen, lag in Phishing-Attacken. Für Phisher ist es gängige Praxis, eine legitime Seite zu kompromittieren und ihre Seite dort zu hosten. Aber die brasilianischen Phisher sind noch einen Schritt weiter gegangen, um Angriffe auszuführen, die für durchschnittliche Nutzer nur sehr schwer auszumachen sind. Sie haben zum einen Domains unter Verwendung der Namen bekannter lokaler Marken registriert, zu denen unter anderem Kreditkartenunternehmen, Banken und Online-Shops zählen. Die Seiten waren zum anderen nicht nur sehr professionell aufgemacht, sondern sie wurden von den Cyberkriminellen um der größeren Authentizität Willen auch mit SSL-Zertifikaten ausgestattet, die sie von Zertifizierungsstellen wie Comodo, EssentialSSL, Starfield, Register.com und anderen gekauft hatten. Eine Seite mit einem „legitimen“ SSL-Zertifikat kann sogar einen Nutzer in die Irre führen, der durchaus auf Sicherheit bedacht ist.

Cyberkriminelle machten sich die Tatsache, dass es problemlos möglich ist, Zertifikate zu kaufen, auch zunutze, um digital signierte Schadprogramme zu verbreiten. Sie begannen mit dem Versand von E-Mails, in denen sie kostenlose WM-Tickets anboten. Die Mitteilungen enthielten einen Link, der zu einem Bank-Trojaner führte:

Entwicklung der IT-Bedrohungen im 2. Quartal 2014

Einige dieser E-Mails enthalten persönliche Details, die aus gehackten Datenbanken stammen, um das betrügerische Angebot so glaubwürdiger erscheinen zu lassen.

Die brasilianischen Cyberverbrecher beschränkten ihre Aktivitäten allerdings nicht auf das Phishen allein. Kaspersky Lab berichtete auch darüber, wie sie Malware benutzten, die auf Point-of-Sale- und PIN-Pad-Geräten installiert ist, um Kreditkartendaten abzugreifen. Diese Geräte sind über USB oder eine serielle Schnittstelle mit einem Computer verbunden, um mit der Electronic-Funds-Transfer-Software (EFT) zu kommunizieren. Die auf den Geräten installierten Trojaner infizieren den Computer und spionieren die Daten aus, die über diese Ports übermittelt werden. Die PIN-Pads sind mit Sicherheitsfeatures ausgestattet, um zu gewährleisten, dass die Sicherheitsschlüssel gelöscht werden, wenn jemand versucht, das Gerät zu manipulieren. Die PIN wird im Moment der Eingabe verschlüsselt, normalerweise unter Verwendung der dreifachen DES-Verschlüsselung. Doch die Track-1-Daten (Kreditkartennummer, Ablaufdatum, Servicecode und CVV) und die öffentlichen Chipdaten werden auf alten, überholten Geräten nicht verschlüsselt – sie werden vielmehr in Klartext via USB oder seriellem Port an den Computer geschickt. So wird Cyberkriminellen alles geboten, was sie brauchen, um eine Karte zu klonen.

Online-Gangster machen sich auch den Wunsch des modernen Menschen zunutze, an jedem Ort und immer online zu sein – um Bilder zu teilen, in Sozialen Netzwerken zu kommunizieren, die neuesten Nachrichten zu lesen oder die besten Möglichkeiten zum Essen, Einkaufen oder Übernachten zu finden. Leider sind die Gebühren für das mobile Datenroaming unter Umständen sehr hoch, daher halten mobile Surfer häufig nach dem nächsten WLAN-Zugriffspunkt Ausschau. Und das ist gefährlich, wie wir in unserem Bericht über WLAN in Brasilien beschrieben haben. Daten, die über offene WLAN-Netzwerke gesendet oder empfangen werden, können abgefangen werden. Auf diese Weise macht man es Cyberkriminellen leicht, Passwörter, PINs und andere sensible Daten zu stehlen. Hinzu kommt, dass Betrüger auch gefälschte Zugriffspunkte installieren, die so konfiguriert sind, dass der gesamte Traffic über einen Host geleitet wird, der zur Kontrolle des Traffics benutzt werden kann. Sie können auch als „Man-in-the-Middle“-Gerät fungieren, das verschlüsselten Traffic abfangen und lesen kann.

Unser Bericht beschäftigte sich zudem mit den Gefahren, die das Aufladen mobiler Geräte über einen öffentlichen USB-Port beinhaltet. Von Cyberkriminellen präparierte Ladestationen können den Akku eines Gerätes zwar wieder aufladen, doch sie sind unter Umständen auch in der Lage, heimlich Daten von einem Gerät zu stehlen – oder sogar Malware zu installieren.

Es gab noch eine andere Art, wie Betrüger den Fußballfans das Geld aus der Tasche ziehen konnten, selbst wenn diese nicht nach Tickets für die WM suchten. Da Fußballfans in Ländern rund um den Globus, die teilweise in ganz anderen Zeitzonen als Brasilien liegen, die Spiele ansehen wollten, sie zu den Anstoßzeiten allerdings nicht unbedingt vor dem Fernseher setzen konnten, suchten viele nach entsprechenden Live-Streams. Leider kann sich die Live-Übertragung im Internet als sehr teuer erweisen oder sie kann sogar eine Infektion des Computers nach sich ziehen. So führten einige der Angebote, auf die man bei der Suche stieß, auf betrügerische oder schädliche Inhalte. Gelangte man auf eine derartige Webseite, so wurde man aufgefordert, ein bestimmtes Plug-in herunterzuladen, um dann die Online-Übertragung anschauen zu können. Das Plug-in erwies sich dann als Adware-Programm, das gar nichts anzeigt, dafür aber die Ressourcen des Computers aufzehrt. Adware wandert auf dem schmalen Grat zwischen cyberkrimineller und legitimer Software. Daher überrascht es auch nicht, dass diese Art von Software unseren Statistiken zufolge andauernd entdeckt wird. Den vollständigen Bericht finden Sie hier.

Zahle Deine Steuern, aber geh den Phishern aus dem Weg!

Phisher versuchen nicht nur, große Sportereignisse auszunutzen. Sie begründen ihre Kampagnen auch auf banaleren Dingen des täglichen Lebens. Im Mai erhielten viele Leute in Kolumbien eine E-Mail, in der sie der Steuerhinterziehung und des Betruges beschuldigt wurden. Um dem Ganzen einen noch bedrohlicheren Ton zu verleihen, behaupteten die Cyberkriminellen, dass es sich hierbei bereits um die dritte Mitteilung dieser Art handelte. Die E-Mail enthielt einen Link, der zu einem infizierten Word-Dokument führte. Da Microsoft Office eingebettete Makros blockiert, lieferten die Angreifer eine Anleitung zur Deaktivierung von Makros gleich mit.

Entwicklung der IT-Bedrohungen im 2. Quartal 2014

Klickte der Empfänger auf das Dokument, wurde von einem gehackten Server in Ecuador eine andere schädliche Datei auf seinen Computer geladen. Diese ist wiederum dazu bestimmt, Passwörter für Online-Games, PayPal, Filesharing-Systeme, Soziale Netzwerke (inklusive Facebook und Twitter), Online-Bankkonten und mehr zu stehlen.

Einschüchterungsversuche im Allgemeinen und gefälschte Mahnbriefe vom Finanzamt im Besonderen sind gebräuchliche Methoden, die Phisher auf der ganzen Welt verwenden.

In April veröffentlichten wir einen ausführlichen Bericht über finanzielle Cyberbedrohungen, die auf den Daten des Kaspersky Security Network basieren. Den vollständigen Bericht über Phishing finden Sie hier.

Malware-Stories: früh geladen – der Einsatz von Bootkits durch Cyberkriminelle

Wenn Malware-Autoren ihren Code entwickeln, besteht eines ihrer wichtigsten Ziele darin, den bösartigen Code so früh wie möglich im Bootprozess zu laden. So erlangt man die höchstmögliche Kontrolle über das System. Bootkits repräsentieren die fortschrittlichste Technologie in diesem Bereich, da sie die Ausführung des Schadcodes ermöglichen, bevor das Betriebssystem selbst geladen wird. Diese Technologie wurde in viele Schadprogramme integriert. Namhafte Beispiele hierfür sind XPAJ und TDSS, aber es gibt noch viele andere, darunter auch zielgerichtete Attacken wie The Mask.

Bootkits haben sich im Laufe der Jahre von Proof-of-Concept-Projekten zu einem massenhaft verbreiteten Phänomen entwickelt, wie wir hier beschreiben. Heutzutage gibt es sogar eine effektive Open-Source-Version eines Bootkits – dank der Veröffentlichung des Quellcodes für den Banken-Trojaner Carberp. Das Cidox-Bootkit wurde benutzt, um Carberp zu schützen, und sein Quellcode wurde zusammen mit dem von Carberp veröffentlicht.

Ganz klar muss die Entwicklung von Bootkits in dem Gesamtkontext des Katz- und Maus-Spiels zwischen Malware-Autoren und IT-Sicherheitsexperten gesehen werden. Die Virenschreiber suchen stets nach neuen Wegen, die Detektion ihrer Produkte zu vermeiden, und wir erforschen unaufhörlich Möglichkeiten, um unsere Kunden noch effektiver zu schützen. Unser Bericht beschäftigt sich auch mit den Sicherheitsvorteilen, die das UEFI (Unified Extensible Firmware Interface) bietet, sowie mit den Methoden, mit denen Malware-Autoren versuchen könnten, es zu unterwandern.

Web-Sicherheit und Datenlecks: Windows XP wird nicht mehr unterstützt, aber trotzdem ist es noch irgendwo da draußen

Der Support für Windows XP endete am 8. April 2014: Das bedeutet, dass es für dieses Betriebssysteme keine neuen Sicherheits-Updates, keine Sicherheits-Hotfixes, keine kostenlosen oder kostenpflichtige Support-Optionen mehr gibt, auch keine technischen Content-Updates online. Traurig, dass es immer noch reichlich Leute gibt, die Windows XP benutzen – unsere Daten für die Zeit ab dem 8. April 2014 weisen darauf hin, dass etwa 18 Prozent der Infektionen auf Rechnern stattfinden, auf denen Windows XP läuft. Da es keine Sicherheits-Updates mehr gibt, bedeutet das, dass eine Menge Leute Tür und Tor für Malware-Attacken öffnen: Jede Sicherheitslücke, die seitdem entdeckt wurde, ist effektiv eine Zero-Day-Sicherheitslücke, das heißt eine, für die keine Chance auf einen Patch besteht.

Dieses Problem wird sich noch verschärfen, wenn die Software-Anbieter die Entwicklung von Updates für Windows XP einstellen. Jede nicht gepatchte Anwendung wird zu einem weiteren potenziellen Angriffspunkt, der die mögliche Angriffsfläche vergrößert. Tatsächlich nimmt dieser Prozess bereits seinen Lauf: Die neueste Java-Version unterstützt Windows XP nicht mehr.

Die Umstellung auf ein neueres Betriebssystem scheint eine recht unkomplizierte Sache zu sein. Doch obwohl Microsoft vielfach auf das Ende des Supports aufmerksam gemacht hat, liegt es auf der Hand, warum die Migration zu einem neuen Betriebssystem für manche Firmen so problematisch sein könnte. Zusätzlich zu den Kosten, die durch die Umstellung entstehen, könnte es auch bedeuten, dass in neue Hardware investiert oder eine maßgeschneiderte Anwendung ausgetauscht werden muss, die eigens für das Unternehmen entwickelt wurde, und zwar eine, die nicht auf einem neueren Betriebssystem läuft. Daher überrascht es nicht, dass einige Organisationen für einen fortgesetzten Support für XP zahlen.

Sind Sie also sicher, wenn Sie nicht sofort umstellen? Kann Ihre Antiviren-Software Sie weiterhin schützen?

Sicherlich wird sie Sie schützen. Allerdings nur in dem Fall, wenn wir unter „Antiviren-Software“ ein flächendeckendes Internet-Security-Produkt verstehen, das proaktive Technologien zum Schutz vor neuen, unbekannten Bedrohungen einsetzt und insbesondere über eine Funktion verfügt, die den Einsatz von Exploits verhindert. Ein konventionelles Antiviren-Produkt, das in erster Linie auf einem Signatur-basierten Scan von bekannter Malware fußt, ist unzureichend. Man sollte sich auch darüber im Klaren sein, das IT-Sicherheitsanbieter im Laufe der Zeit neue Schutztechnologien einführen werden, die auch nicht mehr kompatibel mit Windows XP sein könnten.

Im besten Fall sollte man es als ein Übergangsstadium betrachten, während man seine Migrationsstrategie ausarbeitet. Malware-Autoren werden Windows XP zweifellos weiterhin angreifen, solange es eine nicht unbedeutende Zahl von Nutzern weiterhin auf ihren Computern einsetzt – denn ein ungepatchtes Betriebssystem bietet ihnen sehr viel mehr Möglichkeiten. Jeder Windows-XP-Computer in einem Netzwerk stellt eine Schwachstelle dar, die in einer zielgerichteten Attacke auf das Unternehmen ausgenutzt werden kann. Wird dieser Rechner kompromittiert, so wird er zu einem Sprungbrett in das gesamte Netzwerk.

Die Umstellung auf ein neueres Betriebssystem ist ohne Frage unbequem und mit Kosten verbunden, sowohl für Heimanwender als auch für Unternehmen. Doch die Vermeidung des potenziellen Risikos, das in der Nutzung eines zunehmend unsicheren Betriebssystems liegt, wiegt die Unannehmlichkeiten und Kosten wieder auf.

Mobile Bedrohungen

Das Quartal in Zahlen

Im zweiten Quartal 2014 wurden die folgenden mobilen Bedrohungen entdeckt:

  • 727.790 Installationspakete
  • 65.118 neue mobile Schadprogramme
  • 2.033 mobile Banktrojaner

Die Gesamtzahl der entdeckten mobilen Schadobjekte ist um das 1,7-Fache geringer als im vorangegangenen Quartal. Wir führen das auf den Beginn der Urlaubssaison zurück. So registrierte Kaspersky Lab im Juni weniger Versuche von Trojanern, mobile Geräte zu infizieren.

Mobile Bank-Trojaner

Obwohl die Zahl der Bedrohungen im zweiten Quartal insgesamt rückläufig war, entdeckten wir im Berichtszeitraum 2.033 mobile Banktrojaner – rund 1,7-mal mehr als im vorangegangenen Quartal. Seit Beginn des Jahres 2014 stieg der Bestand der Bank-Trojaner fast um ein Vierfaches, und innerhalb eines Jahres (seit Juni 2013) um ein 14,5-Faches.

Zahl der entdeckten mobilen Bank-Trojaner

Diesem Zuwachs liegen zwei Faktoren zugrunde:

  1. die Gier der Cyberkriminellen nach dem „großen“ Geld
  2. die aktive Gegenwehr seitens der Antiviren-Unternehmen

Auch die Geografie der Infektionen mit Bank-Trojanern hat sich verändert:

Geografie mobiler Bedrohungen im zweiten Quartal 2014

Top 10 der von Bank-Trojanern angegriffenen Länder

  Land Anzahl der Attacken Prozentualer Anteil an den Attacken
1 Russland 13800 91,7%
2 USA 792 5,3%
3 Ukraine 136 0,9%
4 Italien 83 0,6%
5 Weißrussland 68 0,5%
6 Südkorea 30 0,2%
7 Kasachstan 25 0,2%
8 China 19 0,1%
9 Großbritannien 17 0,1%
10 Deutschland 12 0,1%

Den ersten Platz in diesem Rating belegt wie gehabt Russland, aber auf der zweiten Position befinden sich mit bedeutendem Abstand zu den übrigen Ländern nun die USA. Kasachstan, das noch im ersten Quartal den zweiten Platz belegte, besetzt nun Rang sieben.

Neues von den Virenschreibern

Der erste mobile Verschlüsseler

Mitte Mai 2014 erschien in einem Virenschreiber-Forum eine Anzeige über den Verkauf eines einzigartigen trojanischen Verschlüsselungsprogramms für das mobile Betriebssystem Android zum Preis von 5.000 US-Dollar. Am 18. Mai 2014 entdeckten wir den ersten mobilen Verschlüsseler in freier Wildbahn. Diesen Schädling identifizieren die Lösungen von Kaspersky Lab als Trojan-Ransom.AndroidOS.Pletor.a.

Nach dem Start des Trojaners, der den Verschlüsselungsalgorithmus AES verwendet, chiffriert dieser den Inhalt der Speicherkarte des Smartphones – also Mediendateien und Dokumente. Sofort nach Beginn der Verschlüsselung zeigt Pletor auf dem Bildschirm eine Lösegeldforderung an. Zum Transfer des Lösegeldes werden die Systeme Visa QIWI Wallet, MoneXy oder eine gewöhnliche Überweisung an eine Telefonnummer genutzt.

Zum Ende des zweiten Quartals konnten die Kaspersky-Experten über 47 Versionen des Trojaners identifizieren. Sie alle enthalten einen Schlüssel, mit dessen Hilfe man alle Dateien dechiffrieren kann.

Für die Kommunikation mit den Cyberkriminellen verwendet eine Version des Schädlings das Netzwerk Tor, andere setzen dagegen auf HTTP-Verbindungen und SMS. Die Trojaner aus der zweiten Gruppe zeigen dem Nutzer zusammen mit der Geldforderung sein eigenes Video-Abbild an, das in Echtzeit mit Hilfe der Frontkamera des Smartphones produziert wird.

Die Virenschreiber verwenden dieselben Social-Engineering-Tricks wie auch die Entwickler früher Versionen von Verschlüsselungstrojanern unter Windows: Das Telefon des Nutzers wurde blockiert, da sich der Besitzer angeblich verbotenen Porno-Inhalt auf dem Gerät angeschaut hat, und das gesamte Foto- und Videomaterial würde nun „zur Untersuchung weitergegeben“. Zudem drohen die Erpresser im Falle des Nichtzahlens damit, alle Daten an „öffentliche Quellen“ zu senden.

Pletor richtet sich gegen Bürger Russlands und der Ukraine – die Mitteilungen sind in russischer Sprache verfasst, und das Lösegeld wird in Rubel oder Griwna verlangt (die Summe entspricht etwa 300 Euro). Allerdings haben wir Infektionen mit diesem Schädling in 13 verschiedenen Ländern aufgedeckt, die sich größtenteils auf dem Gebiet der ehemaligen Sowjetunion befinden.

Entwicklung der Blockierungsprogramme

Vom technischen Standpunkt aus gesehen markiert die Attacke eine deutliche Tendenz in der Entwicklung der Erpresser- und Blockierungsprogramme. Um ihre Opfer zu erschrecken, setzen Cyberkriminelle hier dieselben Methoden ein wie die Entwickler von Windows-Schädlingen.

Die erste Modifikation des mobilen Schädlings Svpeng, der über die Möglichkeiten eines Erpressungs-Trojaners verfügt, wurde Anfang des Jahres 2014 gefunden. Der Trojaner blockiert die Funktion des Telefons, angeblich weil der Besitzer des Gerätes damit kinderpornografischen Inhalt angesehen hat. Für die Entsperrung des mobilen Gerätes forderten die Cyberkriminellen die Zahlung einer Strafe in Höhe von 500 US-Dollar.

Anfang Juni entdeckte Kaspersky Lab eine neue Modifikation von Svpeng, die sich im Wesentlichen gegen Anwender in den USA richtet. Darüber hinaus griff der Schädling Nutzer aus Großbritannien, der Schweiz, Deutschland, Indien und Russland an.

Diese Version von Svpeng blockiert das mobile Gerät vollständig, so dass der Nutzer noch nicht einmal das Menü zum Abschalten/Neustarten des Geräts aufrufen kann. Das Smartphone lässt sich nur durch anhaltendes Drücken des Einschaltknopfes deaktivieren, allerdings startet sich der Trojaner sofort wieder, wenn das System erneut geladen wird.

Dabei nutzten die Cyberkriminellen einen Social-Engineering-Ansatz, der sich im Laufe der Zeit bewährt hat. Nach dem Start täuscht der Trojaner einen Scan des Gerätes vor und findet dabei angeblich verbotenen Inhalt. Zur Einschüchterung des Anwenders wird ein Fenster mit einer Mitteilung über diesen vermeintlichen „Fund“ angezeigt, die das Wappen des FBI ziert:

Entwicklung der IT-Bedrohungen im 2. Quartal 2014

Der Trojaner blockiert das Mobiltelefon und fordert die Zahlung von 200 US-Dollar für dessen Entsperrung. Für den Transfer des Geldes nutzen die Entwickler des Trojaners MoneyPak-Voucher.

Entwicklung der IT-Bedrohungen im 2. Quartal 2014

In diesem Fenster zeigt Svpeng außerdem ein Foto des Nutzers an, das mit der Frontkamera aufgenommen wurde, was wiederum an den Schädling Trojan-Ransom.AndroidOS.Pletor.a erinnert, von dem weiter oben die Rede war. Mit dem einzigen Unterschied, dass Pletor ein Video überträgt.

Zum Ende des zweiten Quartals hatte das Kaspersky-Team 64 Versionen des neuen Svpeng identifiziert. In jeder Version gibt es Hinweise auf die Klasse Cryptor, obwohl wir die Verwendung dieser Klasse nicht festgestellt haben. Möglicherweise haben die Cyberkriminellen vor, künftig die Daten der Anwender mit Hilfe des Schädlings zu verschlüsseln und Lösegeld für die Dechiffrierung zu fordern.

Nicht nur Android

Die mobile Plattform Android ist wie auch schon früher das Hauptziel der Cyberkriminellen. Auf sie entfallen 99 Prozent der neuen mobilen Malware.

Allerdings sollte man andere mobile Plattformen dabei nicht abschreiben. So erschienen im zweiten Quartal 2014 auch neue schädliche Objekte für die Plattform Apple iOS (doch nur für Geräte mit Jailbreak). Neben Malware nutzten Cyberkriminelle auch die Schutzfunktionen von iOS zu ihren bösartigen Zwecken aus. Angriffe auf die Apple ID ermöglichten es Online-Verbrechern, das Gerät vollständig zu blockieren und von seinem Besitzer Geld für die Wiederherstellung der Funktionsfähigkeit zu fordern.

Eine unangenehme Nachricht war auch die Enthüllung über HackingTeam, die zeigten, dass sie über ein Modul für Angriffe auf iOS-Geräte verfügen, auf denen Jailbreak läuft.

Ebenfalls nicht unbeachtet blieb die Plattform Windows Phone. Hier haben die Cyberkriminellen technisch nichts Neues erfunden, aber sie haben im offiziellen App-Store eine Fälschung ohne jegliche Funktionalität hinterlegt. Auch unsere eigene Marke hat es erwischt: Betrüger verwendeten den Markennamen und das Logo von Kaspersky Lab.

Auf diese Weise wurden gleich zwei Sicherheitslücken im Windows Phone Store aufgedeckt:

  1. keine Überprüfung der Echtheit der Marke
  2. keine Überprüfung der Funktionalität

Gefälschte Anwendungen dieses Herausgebers landeten auch bei Google Play.

Mobile Bedrohungen: Statistik

Im zweiten Quartal 2014 wurden rund 1,7-mal weniger mobile Schadprogramme gefunden als im ersten Quartal: 727.790 Installationspakete, 65.118 neue mobile Schadprogramme und 2.033 mobile Bank-Trojaner. Vermutlich hängt die verminderte Aktivität der Cyberkriminellen mit dem Beginn der Urlaubssaison zusammen.

Verteilung mobiler Schädlinge nach Typen

Verteilung mobiler Schädlinge nach Typen, zweites Quartal 2014

Im Rating der im zweiten Quartal gefundenen schädlichen Objekte für mobile Geräte stehen die potenziell unerwünschten Werbeanwendungen (27 %) an erster Stelle. Auch die SMS-Trojaner (22 %) halten ihre Position. Während sich die Werte dieser zwei Typen von mobilen Bedrohungen praktisch nicht geändert haben, stieg die Kategorie RiskTool im Laufe des Quartals vom fünften auf den dritten Platz auf: Ihr Anteil im Strom der erkannten mobilen Malware wuchs von 8,6 Prozent auf 18 Prozent an. Es handelt sich dabei um legale Anwendungen, die für die Anwender potenziell gefährlich sind. Die nicht korrekte Anwendung durch den Besitzer des Smartphones oder durch einen Cyberkriminellen kann zu finanziellen Verlusten führen.

Top 20 der mobilen Schadprogramme

  Name Prozentualer Anteil der Attacken*
1 Trojan-SMS.AndroidOS.Stealer.a 25,42%
2 RiskTool.AndroidOS.SMSreg.gc 6,37%
3 RiskTool.AndroidOS.SMSreg.hg 4,82%
4 Trojan-SMS.AndroidOS.FakeInst.a 4,57%
5 Trojan-SMS.AndroidOS.Agent.ao 3,39%
6 AdWare.AndroidOS.Viser.a 3,27%
7 Trojan-SMS.AndroidOS.OpFake.a 2,89%
8 Trojan-SMS.AndroidOS.Erop.a 2,76%
9 Trojan-SMS.AndroidOS.FakeInst.ff 2,76%
10 Trojan-SMS.AndroidOS.Agent.en 2,51%
11 Trojan-SMS.AndroidOS.Agent.ev 2,43%
12 RiskTool.AndroidOS.SMSreg.eh 2,41%
13 Trojan-SMS.AndroidOS.Opfake.bw 1,96%
14 Trojan-SMS.AndroidOS.OpFake.bo 1,53%
15 RiskTool.AndroidOS.MimobSMS.a 1,48%
16 Trojan-SMS.AndroidOS.Skanik.a 1,35%
17 Trojan-SMS.AndroidOS.Agent.mw 1,33%
18 RiskTool.AndroidOS.SMSreg.ey 1,31%
19 Trojan-SMS.AndroidOS.Agent.ks 1,24%
20 Trojan-SMS.AndroidOS.Agent.ay 1,21%

In den Top 20 der von Kaspersky Lab detektierten Bedrohungen herrschen wie gehabt die SMS-Trojaner vor – Schadprogramme dieser Art belegten 15 Positionen im Rating.

Im Laufe des gesamten zweiten Quartals 2014 beobachteten wir vor dem Hintergrund einer abnehmenden Zahl von Attacken eine stetige Zunahme von Angriffsversuchen auf Mobilgeräte durch den Trojaner Trojan-SMS.AndroidOS.Stealer.a. Dieser Schädling belegt mit einem Wert von über 25 Prozent an allen Attacken den ersten Platz im Rating. Besonders aktiv waren die Online-Verbrecher im April, als die Infektionsversuche mit Stealer fast doppelt so häufig waren wie im Mai oder März. Und im Juni überstieg die Zahl der Infektionsversuche mit diesem Trojaner den Wert des nachfolgend platzierten Schädlings um das Siebenfache.

Geografie der Bedrohungen

Karte der Infektionsversuche mit mobilen Schädlingen
(Anteil an allen individuellen angegriffenen Anwendern)

Geringfügige Veränderungen gab es in der territorialen Verteilung der Attacken. So belegte Deutschland den zweiten Platz, und Indien, das noch im ersten Quartal eben diese Position innehatte, ist nun gar nicht mehr unter den ersten Zehn vertreten. Kasachstan hielt den dritten Platz. Die Ukraine überließ Polen, das vorher den zehnten Platz belegte, den vierten Rang, und befindet sich nun selbst auf Position fünf.

Top 10 der angegriffenen Länder:

  Land Prozentualer Anteil an den Attacken
1 Russland 46,96%
2 Deutschland 6,08%
3 Kasachstan 5,41%
4 Polen 5,02%
5 Ukraine 3,72%
6 Malaysia 2,89%
7 Vietnam 2,74%
8 Frankreich 2,32%
9 Spanien 2,28%
10 Mexiko 2,02%

Die Nutzer installieren recht viele Apps auf ihren mobilen Geräten. Dabei ist anzumerken, dass der Anteil schädlicher Applikationen an allen Apps, die die Nutzer installieren, in den verschiedenen Ländern unterschiedlich groß ist.

Top 10 der Länder nach Infektionsrisiko

  Land* Anteil an schädlichen Apps
1 Vietnam 2,31%
2 Griechenland 1,89%
3 Polen 1,89%
4 Kasachstan 1,73%
5 Usbekistan 1,51%
6 Armenien 1,24%
7 Serbien 1,15%
8 Marokko 1,09%
9 Tschechien 1,03%
10 Rumänien 1,02%

*Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Downloads relativ gering ist (unter 100.000).

Obwohl Russland nach Anzahl der registrierten Attacken den ersten Platz belegt, besteht in diesem Land nicht die höchste Wahrscheinlichkeit, sein Mobilgerät mit einem mobilen Schädling zu infizieren. Nach diesem Wert ist Vietnam Spitzenreiter, wo schädliche Anwendungen 2,31 Prozent an allen Apps ausmachen, die die User versucht haben zu installieren.

Nachstehend zum Vergleich die Werte des Infektionsrisikos weiterer 15 Länder aus verschiedenen Regionen der Welt:

Land Anteil an schädlichen Apps
China 0,94%
Frankreich 0,85%
Russland 0,74%
Mexiko 0,58%
Spanien 0,55%
Indien 0,41%
Deutschland 0,19%
Großbritannien 0,18%
Argentinien 0,13%
Brasilien 0,12%
Italien 0,11%
USA 0,09%
Peru 0,07%
Hongkong 0,06%
Japan 0,02%

In Frankreich sind 0,85 Prozent der Apps, für die sich die Nutzer interessieren, bösartig. In Russland sind es 0,74 Prozent, in Deutschland 0,19 Prozent, in Großbritannien 0,18 Prozent, in den USA 0,09 Prozent und in Japan ganze 0,02 Prozent.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Finanzielle Cyberbedrohungen

Die wichtigsten Ereignisse des Quartals

Eines der wichtigsten Ereignisse des zweiten Quartals 2014 war die Nachricht aus dem April über eine Sicherheitslücke in OpenSSL. Diese ermöglichte einen nicht autorisierten Zugriff auf geheime Schlüssel, Namen und Passwörter von Anwendern, sowie auf den gesamten Inhalt, der in verschlüsselter Form übermittelt werden sollte.

Die Sicherheitslücke, die auf den Namen Heartbleed getauft wurde, wird in der kryptografischen Bibliothek von OpenSSL ausgenutzt. Die Bibliothek kommt in den unterschiedlichsten Programmen zum Einsatz, unter anderem in der Software von Bankeninfrastrukturen. Das Fehlen eines offiziellen Patches über mehrere Stunden und die lange dauernde Installationsprozedur des Patches führten zum Abfluss von Bezahldaten von Bankkunden und anderen wertvollen Daten in verschiedenen Geschäftsbereichen. Daher ist nach der Veröffentlichung dieser Informationen und dem Abfluss von Daten eine Zunahme von betrügerischen Transaktionen zu erwarten. All das kann man als „Warnsignal“ verstehen, das einmal mehr auf die Notwendigkeit verweist, der Sicherheit von Bezahldaten höchste Priorität einzuräumen – und das gilt sowohl für die Finanzorganisationen als auch für die Kunden.

Im zweiten Quartal 2014 erschien mit „Pandemiya“ ein neuer Bankentrojaner, der zum Diebstahl von Bezahlinformationen für Finanzschädlinge dieser Art typische Techniken einsetzt, beispielsweise Web-Einschleusungen.

Darüber hinaus begann im zweiten Quartal die Sonderoperation zur Zerschlagung des Botnetzes „ZeuS Gameover“. Der Entwickler des Bank-Trojaners ZeuS wurde vom FBI zur internationalen Fahndung ausgeschrieben.

Die Cyberkriminellen machten sich zudem auch solche Aufsehen erregenden Ereignisse wie die Fußball-Weltmeisterschaft 2014 zunutze. Sie fand in Brasilien statt, einem Land, das nach den Ergebnissen unseres Quartalsreports den ersten Platz derjenigen Länder belegt, deren Nutzer am häufigsten von Bank-Schädlingen angegriffen werden. So fanden Antiviren-Experten beispielsweise schädlichen Inhalt, der als Werbung getarnt verbreitet wurde und den Trubel rund um das wichtigste sportliche Ereignis dieses Sommers ausnutzte.

Banken-Schädlinge: Statistik

Im zweiten Quartal 2014 wehrten die Lösungen von Kaspersky Lab auf den Computern von 927.568 KSN-Anwendern Infektionsversuche durch Bank-Malware ab. Dieser Wert ist im Mai 2014 gegenüber dem April um 36,6 Prozentpunkte gestiegen.

Zahl der von Finanz-Malware angegriffenen Computer, zweites Quartal 2014

Im zweiten Quartal 2014 registrierten die Schutzlösungen von Kaspersky Lab 3.455.530 Meldungen über schädliche Aktivitäten von Software, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist.

Geografie der Attacken

Geografie der Attacken von Bankenschädlingen, zweites Quartal 2014
(Zahl der angegriffenen Anwender im Land)

Top 10 der Länder nach Zahl der angegriffenen Anwender:

  Land Zahl der Anwender
1 Brasilien 159 597
2 Russland 50 003
3 Italien 43 938
4 Deutschland 36 102
5 USA 34 539
6 Indien 27 447
7 Großbritannien 25 039
8 Australien 16 307
9 Vietnam 14 589
10 Algerien 9 337

Brasilien führt traditionell nach Zahl der attackierten Anwender. In diesem Land sind Cyberkriminelle, die mit Finanzschädlingen hantieren, schon immer äußerst aktiv. Im zweiten Quartal erhielten sie zusätzliche Möglichkeiten zur Durchführung ihrer Attacken: Zur Fußball-WM, die vom 12. Juni bis 13. Juli 2014 in Brasilien stattfand, reiste eine Vielzahl von Fans an, die Online-Banking nutzen. Die Experten von Kaspersky Lab nahmen die Sicherheit der WLAN-Netze unter die Lupe und stellten Empfehlungen für all diejenigen zusammen, die ihre Bezahldaten in Brasilien nicht aufs Spiel setzen wollten.

Top 10 der Familien von Bank-Schädlingen

Die Top 10 der Familien von Bank-Schädlingen, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet werden, sehen für das zweite Quartal 2014 folgendermaßen aus (nach Anzahl der Meldungen über Infektionsversuche):

  Name* Anzahl der Anwender Anzahl der Meldungen
1 Trojan-Spy.Win32.Zbot 559 988 2 353 816
2 Trojan-Banker.Win32.Lohmys 121 675 378 687
3 Trojan-Banker.Win32.ChePro 97 399 247 467
4 Trojan-Spy.Win32.Spyeyes 35 758 99 303
5 Trojan-Banker.Win32.Agent 31 234 64 496
6 Trojan-Banker.Win32.Banbra 21 604 60 380
7 Trojan-Banker.Win32.Banker 22 497 53 829
8 Trojan-Banker.Win32.Shiotob 13 786 49 274
9 Backdoor.Win32.Clampi 11 763 27 389
10 Backdoor.Win32.Shiz 6 485 17 268

Der am weitesten verbreitete Bank-Trojaner ist nach wie vor ZeuS (Trojan-Spy.Win32.Zbot). Gemäß den Untersuchungen von Kaspersky Lab wird dieser Trojaner in 53 Prozent aller Attacken unter Verwendung von Malware auf Online-Banking-Kunden eingesetzt.

Neun der zehn in der Liste vertretenen Schadprogramm-Familien verwenden die Technik der Web-Einschleusung von willkürlichem HTML-Code in die vom Browser dargestellte Seite und das Abfangen von Bezahlinformationen, die der Nutzer zuvor in originale und gestellte Webformulare eingegeben hat. Darüber hinaus verwenden vier von zehn Bank-Bedrohungen neben den beschriebenen Methoden auch die Technik des Abfangens von Tastatureingaben. Diese Tatsache zeugt davon, dass eine solche Art des Diebstahls von Finanzinformationen bei einem Angriff auf Online-Banking-Kunden nach wie vor effizient ist.

Finanzielle Cyberbedrohungen beschränken sich nicht auf Banken-Malware, die Online-Banking-Kunden angreift.

Verteilung der Angriffe, die auf den Diebstahl von Finanzmitteln der Anwender abzielen, nach Malware-Typen

Neben Bank-Trojanern, die HTML-Seiten im Browser modifizieren, existieren auch alternative Methoden, elektronisches Geld zu stehlen, unter anderem durch den Diebstahl von Bitcoin-Wallets. Dabei schrecken die Angreifer auch nicht davor zurück, die Systemressourcen eines infizierten Rechners zur Generierung der Kryptowährung auszunutzen – der Einsatz von Bitcoin-Minern macht 14 Prozent aller Finanzattacken aus. Eine andere Möglichkeit, an das Geld der Anwender zu gelangen, besteht darin, sich mit Hilfe von Keyloggern Zugriff auf die Anmeldedaten für verschiedene Bezahl- und Online-Banking-Systeme zu verschaffen.

Von Cyberkriminellen ausgenutzte Sicherheitslücken

Das unten dargestellte Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Web als auch bei Angriffen auf lokale Anwendungen verwendet werden – unter anderem auch auf mobilen Geräten.

Verteilung der in Cyberattacken eingesetzten Exploits,
nach Typen der angegriffenen Anwendungen, zweites Quartal 2014

53 Prozent aller von Kaspersky Lab registrierten Versuche, Sicherheitslücken auszunutzen, entfielen auf Schwachstellen im Browser. Nahezu jedes Exploit-Pack enthält ein Exploit für den Internet Explorer.

Auf dem zweiten Platz befinden sich die Java-Exploits. Sicherheitslücken in Java werden mittels Drive-by-Attacken über das Internet ausgenutzt, und neue Java-Exploits sind in einer Vielzahl von Exploit-Packs enthalten. Im Jahr 2013 entfielen 90,5 Prozent aller von uns registrierten Versuche, Sicherheitslücken auszunutzen, auf Sicherheitslücken in Oracle Java. Im Jahr 2014 nahm die Popularität von Java-Exploits ab. Im ersten Quartal dieses Jahres entfielen auf Java-Sicherheitslücken 54 Prozent aller Exploit-Versuche, während es im zweiten Quartal nur noch 29 Prozent waren. Dass der Stern von Exploits dieser Art sinkt, hängt damit zusammen, dass man schon fast ein Jahr nichts mehr über neue Java-Sicherheitslücken gehört hat.

Den dritten Platz belegen Exploits für den Adobe Reader. Solche Sicherheitslücken werden ebenfalls im Rahmen von Drive-by-Attacken über das Internet ausgenutzt, und PDF-Exploits sind in vielen Exploit-Packs vertreten.

Verteilung der auf den Computern der KSN-Teilnehmer installierten Windows-Versionen, zweites Quartal 2014

Von den Anwendern unserer Produkte, die der Teilnahme am KSN zugestimmt haben, verwenden 65,35 Prozent verschiedene Versionen des Betriebssystems Windows 7. 12,50 Prozent benutzen Windows XP.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben, sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Top 20 der schädlichen Objekte im Internet

Im zweiten Quartal 2014 erkannte Kaspersky Anti-Virus 57.133.492 individuelle schädliche Objekte (wie Skripte, Exploits und ausführbare Dateien).

Von allen Schadprogrammen, die an Internet-Attacken beteiligt waren, hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 97 Prozent aller Web-Attacken.

Top 20 der schädlichen Objekte im Internet

  Name* Anteil an allen Attacken in Prozent**
1 Malicious URL 72,94%
2 Trojan.Script.Generic 11,86%
3 Trojan-Downloader.Script.Generic 5,71%
4 Trojan.Script.Iframer 2,08%
5 Adware.Win32.Amonetize.heur 1,00%
6 AdWare.Script.Generic 0,88%
7 AdWare.Win32.Agent.aiyc 0,76%
8 AdWare.Win32.Yotoon.heur 0,25%
9 Trojan.Win32.AntiFW.b 0,23%
10 AdWare.Win32.Agent.allm 0,19%
11 AdWare.Win32.AirAdInstaller.aldw 0,17%
12 Trojan.Win32.Generic 0,15%
13 Trojan-Downloader.Win32.Generic 0,14%
14 Trojan.Win32.Vague.cg 0,11%
15 Trojan.Win32.Invader 0,11%
16 AdWare.Win32.BetterSurf.b 0,10%
17 AdWare.Win32.Lollipop.qp 0,08%
18 Exploit.Script.Blocker 0,08%
19 AdWare.Win32.Lollipop.agzn 0,08%
20 Trojan.JS.Small.aq 0,07%

*Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
**Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Traditionell setzen sich die Top 20 zum größten Teil aus Schadfamilien zusammen, die aus Objekten bestehen, die bei Drive-by-Attacken genutzt werden, sowie aus Werbeprogrammen. Im Vergleich zum vergangenen Quartal stieg die Zahl der Adware-Familien in den Top 20 von neun auf elf.

Auf dem zwanzigsten Platz befinden sich Schadobjekte der Familie Trojan.JS.Small.aq. Dabei handelt es sich um Skripte, die auf bestimmten Webseiten eine schädliche Erweiterung für Browser einfügen, damit diese dann unaufhörlich Werbung anzeigen.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im zweiten Quartal 2014 wehrten die Lösungen von Kaspersky Lab 354.453.992 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 88,3 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden – das sind 4,9 Prozentpunkte mehr als im vorangegangenen Quartal.

Verteilung der Quellen von Webattacken nach Ländern, zweites Quartal 2014

Die Zusammensetzung dieses Ratings hat sich nicht geändert. Im Vergleich zum vorangegangenen Quartal kletterte Deutschland vom vierten auf den ersten Platz, wobei der Anteil dieses Landes um fast zwölf Prozentpunkte zulegte. Russland hingegen stieg vom zweiten auf den vierten Platz ab – sein Wert ging dabei um 2,5 Prozentpunkte zurück. Aufgestiegen von Position zehn auf Position fünf ist Kanada mit einem Plus von 6,29 Prozentpunkten.

Länder, in denen Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, bei wie vielen individuellen Anwendern von Kaspersky-Lab-Produkten Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Russland 46,53%
2 Kasachstan 45,35%
3 Armenien 42,26%
4 Ukraine 41,11%
5 Aserbaidschan 40,94%
6 Vietnam 39,59%
7 Weißrussland 37,71%
8 Moldawien 36,65%
9 Mongolei 33,86%
10 Kirgisien 33,71%
11 Algerien 32,62%
12 Tadschikistan 32,44%
13 Georgien 31,38%
14 Kroatien 29,46%
15 Türkei 29,31%
16 Usbekistan 29,20%
17 Katar 28,76%
18 Tunesien 28,67%
19 Iran 28,35%
20 Spanien 28,05%

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.
*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im zweiten Quartal 2014 büßte Vietnam seine Führungsrolle ein und überließ Russland die Spitzenposition. Neueinsteiger in diesem Rating sind Tunesien auf Platz 18 und Iran auf Position 19. Nicht mehr vertreten im Rating sind Litauen und Griechenland.

Zu den beim Surfen im Internet sichersten Ländern gehören Singapur (10,4 %), Schweden (12,8 %), Japan (13,3 %), Finnland (16,3 %), Südafrika (16,9 %), Ecuador (17,1 %), Norwegen (17,5 %), die Niederlande (17,5 %), Hongkong (17,7 %) und Argentinien (17,9 %).

Durchschnittlich waren im Laufe des Quartals weltweit 29,5 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Lokale Bedrohungen

Ein überaus wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören Objekte, die nicht über das Internet, E-Mails oder Portzugriffe in die Systeme eindringen.

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im zweiten Quartal 2014 blockierten unsere Antiviren-Lösungen 528.799.591 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer. Bei diesen Vorfällen wurden 114.984.065 individuelle schädliche und potenziell unerwünschte Objekte registriert.

Top 20 der auf den Computern entdeckten schädlichen Objekte

  Name* Prozentualer Anteil der angegriffenen KSN-Teilnehmer**
1 DangerousObject.Multi.Generic 17,69%
2 Trojan.Win32.Generic 15,59%
3 AdWare.Win32.Agent.ahbx 14,81%
4 Adware.Win32.Amonetize.heur 13,31%
5 Trojan.Win32.AutoRun.gen 6,13%
6 Worm.VBS.Dinihou.r 5,95%
7 Virus.Win32.Sality.gen 4,94%
8 AdWare.Win32.BetterSurf.b 4,29%
9 AdWare.Win32.Yotoon.heur 4,01%
10 AdWare.Win32.Agent.aknu 3,64%
11 AdWare.Win32.Agent.aljb 3,57%
12 Worm.Win32.Debris.a 3,29%
13 AdWare.Win32.Skyli.a 2,90%
14 Trojan.Win32.Starter.lgb 2,74%
15 AdWare.Win32.Agent.heur 2,64%
16 AdWare.Win32.Agent.aljt 2,30%
17 Trojan.Win32.AntiFW.b 2,27%
18 AdWare.JS.MultiPlug.c 2,21%
19 Worm.Script.Generic 1,99%
20 Virus.Win32.Nimnul.a 1,89%

*Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
**Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell sind in diesem Rating neben Bedrohungen wie Werbeprogramme und Viren auch Würmer vertreten, die sich über mobile Datenträger verbreiten.

Der Anteil der Viren in den Top 20 nimmt gleichmäßig, aber langsam ab. Im zweiten Quartal waren die Viren der Familien Virus.Win32.Sality.gen und Virus.Win32.Nimnul.a mit einem Gesamtwert von 6,83 Prozent vertreten. Zum Vergleich: Im ersten Quartal betrug dieser Wert 8 Prozent.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

  Land Prozentualer Anteil individueller KSN-Teilnehmer*
1 Vietnam 58,42%
2 Mongolei 55,02%
3 Algerien 52,05%
4 Jemen 51,65%
5 Bangladesch 51,12%
6 Pakistan 50,69%
7 Nepal 50,36%
8 Afghanistan 50,06%
9 Irak 49,92%
10 Ägypten 49,59%
11 Tunesien 46,75%
12 Syrien 46,29%
13 Saudi-Arabien 46,01%
14 Äthiopien 45,94%
15 Iran 45,40%
16 Laos 45,20%
17 Türkei 44,98%
18 Indien 44,73%
19 Kambodscha 44,53%
20 Dschibuti 44,52%

Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.
*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Dieses Rating setzt sich nach wie vor komplett aus Ländern Afrikas, des Nahen Ostens und Südostasiens zusammen. Wie bereits im vorangegangenen Quartal belegt Vietnam den Spitzenplatz und die Mongolei folgt auf Position zwei. Nepal stieg vom dritten auf den siebten Rang ab. Neu in dem Rating sind Saudi Arabien, Äthiopien und die Türkei. Im zweiten Quartal nicht mehr vertreten sind Marokko, Myanmar und der Sudan.

Zu den in Bezug auf das Niveau lokaler Infektionen sichersten Ländern gehören: Japan (11 %), Schweden (13,8 %), Dänemark (15,3 %), Finnland (16,4 %), Singapur (16,8 %), die Niederlande (17,1 %), Tschechien (18,3 %), Norwegen (19,1%) und Hongkong (19,2%).

Durchschnittlich wurden im Laufe des 2. Quartals 2014 weltweit auf 32,8 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.