Entwicklung der IT-Bedrohungen im 3. Quartal 2014

Inhalt

Überblick

Zielgerichtete Attacken und Malware-Kampagnen

Auf den Spuren des Yeti

Im Juli 2014 veröffentlichten wir unsere Tiefenanalyse einer zielgerichteten Attacke, die wir auf den Namen „Crouching Yeti“ tauften.

Diese Kampagne, die seit Ende des Jahres 2010 aktiv ist, hat bisher die folgenden Branchen ins Visier genommen: Industrie und Industrieanlagen, Produktion, Pharmazie, Bau, Bildung und Informationstechnologie. Bis jetzt wissen wir von über 2.800 Opfern weltweit und wir konnten 101 verschiedene Organisationen identifizieren, die sich größtenteils in den USA, in Spanien, Japan, Deutschland, Frankreich, Italien, der Türkei, Irland, Polen und China befinden.

Die Liste der Opfer legt den Schluss nahe, dass die Angreifer hinter Crouching Yeti strategische Ziele verfolgen. Doch die Angreifer legten auch ein Interesse an weniger offensichtlichen Institutionen an den Tag.

Die Hacker hinter Crouching Yeti verwenden verschiedene Arten von Malware (zur Infektion von Windows-Systemen), um in Rechner einzubrechen, weiter in die angegriffenen Organisationen einzudringen und vertrauliche Daten zu stehlen – intellektuelles Eigentum und andere strategische Informationen eingeschlossen. Infizierte Computer verbinden sich mit einem großen Netzwerk von gehackten Webseiten, die Malware-Module beherbergen, Informationen über Opfer speichern und Befehle an die infizierten Systeme senden.

Die Angreifer infizieren die betroffenen Rechner auf drei verschiedene Arten. Erstens verwenden sie einen legitimen Software-Installer, der neu gepackt wird, um eine schädliche DLL-Datei zu integrieren. Solche modifizierten, sich selbst extrahierenden Archivdateien können direkt auf einen kompromittierten Server hochgeladen werden oder direkt via E-Mail an eine Person innerhalb der Zielorganisation geschickt werden. Zweitens setzten die Angreifer Spear-Phishing ein, um eine schädliche XDP-Datei (XML Data Package), die mit einem Flash-Exploit (CVE-2011-0611) vermint war, auf den Rechner zu schaffen. Drittens führen sie Wasserloch-Attacken durch. Die gehackten Webseiten benutzen verschiedene Exploits (CVE-2013-2465, CVE-2013-1347 und CVE-2012-1723), um die Besucher auf schädliche JAR- oder HTML-Dateien umzuleiten, die auf anderen, von den Angreifern betriebenen Seiten gehostet werden. Der Begriff „Wasserloch“, oder englisch „watering-hole“, bezieht sich auf eine Webseite, die mit hoher Wahrscheinlichkeit von dem potenziellen Opfer besucht wird. Diese Webseiten werden von den Angreifern im Vorfeld kompromittiert und im Folgenden wird auf dem Computer jedes Besuchers dieser gehackten Seite Schadsoftware installiert.

Ein von den Angreifern verwendetes Schadprogramm, der Havex-Trojaner, enthält spezielle Module zum Sammeln von Daten in spezifischen industriellen IT-Umgebungen. Das erste dieser Module ist das OPC-Scanner-Modul. Dieses Modul wurde entwickelt, um extrem detaillierte Daten über die OPC-Server im lokalen Netzwerk zu sammeln. OPC-Server (Object Linking and Embedding (OLE) for Process Control) werden typischerweise dort eingesetzt, wo zahlreiche industrielle Automationssysteme laufen. Dieses Modul geht einher mit einem Netzwerk-Scan-Tool. Das Modul scannt das lokale Netzwerk, sucht nach allen Computern, die solche Ports abfragen, die mit OPC/SCADA-Software (Supervisory Control and Data Acquisition) in Verbindung stehen. Dann versucht der Schädling, sich mit solchen Hosts zu verbinden, um zu identifizieren, welches potenzielle OPC/SCADA-System dort läuft. Daraufhin übermittelt es alle Daten, die es gefunden hat, an die Command-and-Control-Server (C2), die von den Cyberkriminellen für die Kampagne benutzt werden.

Bei der Analyse des Codes hielten die Kaspersky-Experten nach Hinweisen Ausschau, die Aufschluss über die Identität der Angreifer geben könnten.

Eine Zeitstempel-Analyse von 154 Dateien ergab, dass die meisten Samples zwischen 06:00 und 16:00 Uhr UTC erstellt wurden. Das würde zu jedem beliebigen Land in Europa passen. Wir haben uns auch die von den Angreifern verwendete Sprache angeschaut. Die Schadsoftware enthält Strings in englischer Sprache (die nicht von Muttersprachlern geschrieben wurden). Es gibt auch einige Indizien, die auf mögliche französisch- oder schwedischsprachige Täter hinweisen. Doch im Gegensatz zu einigen anderen Experten, die Crouching Yeti untersucht haben, haben wir nichts gefunden, das mit Sicherheit den Schluss zuließe, dass die Angreifer russischer Herkunft sind. In den insgesamt 200 schädlichen Dateien und dem dazugehörigen operativen Inhalt gibt es keinerlei kyrillischen (beziehungsweise transliterierten) Content – ganz anders als im Falle früherer zielgerichteter Attacken, wo das Kaspersky-Team durchaus etwas dieser Art gefunden hat, etwa bei Red October, MiniDuke, CosmicDuke, the Snake und TeamSpy.

Ein Cyberspionage-Epos

Über ein Jahr lang hat Kaspersky Lab eine raffinierte Cyberspionage-Kampagne untersucht, die wir auf den Namen „Epic Turla“ tauften. Diese Kampagne, die auf das Jahr 2012 datiert, richtet sich gegen Regierungsinstitutionen, Botschaften, das Militär, Forschungs- und Bildungseinrichtungen und Pharmazie-Unternehmen. Die meisten Opfer befinden sich im Mittleren Osten und in Europa, obwohl wir sie auch andernorts gefunden haben, unter anderem in den USA. Insgesamt hat das Kaspersky-Team mehrere hundert IP-Adressen von Opfern aus mehr als 45 Ländern gefunden.

Als wir unseren ersten Bericht über diese Kampagne veröffentlichten, war noch nicht klar, wie die Rechner bei dieser Attacke infiziert werden. In unserem jüngsten Untersuchungsbericht, veröffentlicht im August 2014, zeigten wir den von Epic Turla verwendeten Infektionsmechanismus auf und erläuterten, wie er sich in die Struktur der gesamten Kampagne einfügt.

Zur Infektion der PCs ihrer Opfer setzen die Angreifer Social-Engineering-Tricks ein, insbesondere Spear-Phishing- und Wasserloch-Attacken.

Einige der Spear-Phishing-Mails enthalten Zero-Day-Exploits. Das erste dieser Exploits, das den Adobe Acrobat Reader betrifft (CVE-2013-3346), ermöglicht es Angreifern, beliebigen Code auf dem betroffenen Computer auszuführen. Das zweite, das eine Privilegien-Eskalationsschwachstelle in Windows XP und Windows Server 2003 ausnutzt (CVE-2013-5065), stattet die auf den Computer geladene Epic-Turla-Backdoor mit Administratorenrechten aus. Außerdem bringen die Angreifer ihre Opfer dazu, als SCR-Dateien getarnte Malware-Installer auszuführen, die manchmal als RAR-Archiv gepackt sind. Öffnet das ahnungslose Opfer eine infizierte Datei, wird eine Backdoor auf seinem Computer installiert, die den Angreifern die vollständige Kontrolle verschafft.

Die Cyberkriminellen hinter Epic Turla führen zudem Wasserloch-Attacken durch, die ein Java-Exploit (CVE-2012-1723), Adobe-Flash-Exploits und Internet-Explorer-Exploits installieren. Andere setzen Social Engineering ein, um die Opfer dazu zu bringen, einen gefälschten „Flash Player“ auszuführen, der tatsächlich Malware installiert. In Abhängigkeit von der IP-Adresse des Rechners liefern die Angreifer Java- oder Browser-Exploits, signierte gefälschte Adobe-Flash-Player-Software oder eine gefälschte Version von Microsoft Security Essentials. Die Kaspersky-Experten haben mehr als 100 gehackte Webseiten registriert. Es überrascht nicht, dass die Auswahl der Webseiten die spezifischen Interessen der Angreifer widerspiegelt (so wie auch die Interessen der Opfer). So gehören viele der infizierten spanischen Seiten lokalen Regierungen.

Ist der Computer einmal infiziert, verbindet sich die Epic-Turla-Backdoor (alias „WorldCupSec“, „TadjMakhal“, „Wipbot“ oder „Tadvig“) umgehend mit dem C2-Server und sendet ihm ein Paket mit den Systeminformationen des infizierten Rechners. Basierend auf den an den C2-Server geschickten zusammenfassenden Informationen liefern die Angreifer vorkonfigurierte Batch-Dateien, die eine Reihe von Befehlen enthalten, die auf dem infizierten Computer auszuführen sind. Die Angreifer laden auch maßgeschneiderte Lateral-Movement-Tools hoch (ein spezieller Keylogger und RAR-Archiv eingeschlossen), sowie Standard-Werkzeuge, etwa ein DNS-Anfrage-Tool von Microsoft.

Die Analyse von Kaspersky Lab hat gezeigt, dass die Epic-Turla-Backdoor nur der erste Schritt eines großangelegten Infektionsprozesses ist. Sie wird benutzt, um eine ausgeklügeltere Backdoor mit der Bezeichnung „Cobra/Carbon system“ (von einigen Antivirus-Produkten auch „Pfinet“ genannt) zu installieren. Nach einiger Zeit gingen die Angreifer weiter und nutzten das Epic-Turla-Implantat, um die Carbon-Konfigurationsdatei mit einer anderen Auswahl an C2-Servern zu aktualisieren. Das spezifische Wissen, das für den Betrieb dieser zwei Backdoors erforderlich ist, weist auf eine klare und direkte Verbindung zwischen ihnen hin: Eine davon wird benutzt, um einen Fuß in die Tür zu bekommen und das Opfer zu beurteilen. Stellt sich heraus, dass das Opfer von Interesse für die Angreifer ist, so erhält der kompromittierte Computer ein Upgrade auf das vollständige Carbon-System.

Hier finden Sie einen Überblick über die gesamte Cyberspionage-Kampagne Epic Turla:

Entwicklung der IT-Bedrohungen im 3. Quartal 2014

Solche Attacken bestimmten Angreifern zuzuordnen ist immer recht schwierig. Trotzdem sagen einige Aspekte des Codes etwas über die Angreifer aus. Sie sind ganz sicher keine englischen Muttersprachler, denn wie die folgenden Beispiele zeigen, schreiben sie einzelne Wörter und auch ganze Phrasen falsch:

‘Password it’s wrong!’
‘File is not exists’
‘File is exists for edit’

Es gibt noch weitere Hinweise auf die mögliche Herkunft der Angreifer. So wurden einige der Backdoors beispielsweise auf einem russischsprachigen System entwickelt. Außerdem wird einer der Epic-Turla-Backdoors intern „Zagruzchik.dll“ genannt, das russische Wort für „Bootloader“ oder „Startprogramm“. Und schließlich stellt das Benutzerinterface für die Epic-„Mutterschiffe“ die Sprache auf Codepage 1251, die für die Wiedergabe kyrillischer Zeichen verwendet wird.

NetTraveler: Generalüberholung zum Geburtstag

Über die NetTraveler-Kampagne, die bereits seit zehn Jahren läuft, haben wir schon zu verschiedenen Gelegenheiten berichtet.

Früher in diesem Jahr registrierten wir eine Zunahme der Angriffe auf uigurische und tibetanische Aktivisten, bei deren Rechnern eine aktualisierte Version der NetTraveler-Backdoor verwendet wurde. Die Angreifer setzen Spear-Phishing-Mails ein, um ihre Opfer zu ködern: Die E-Mails enthalten ein Word-Dokument, in das ein Exploit zu der Schwachstelle CVE-2012-0158 integriert ist. Dieses transportiert das Hauptmodul („net.exe“) auf den Computer, welches wiederum eine Reihe anderer Dateien installiert, unter anderem das Haupt-C2-Modul. Dieses Modul wird mit Hilfe einer Windows-Batch-Datei mit dem Namen „dot.bat“ als Dienst registriert („Windowsupdata“). Das Format der Konfigurationsdatei der Malware wurde ebenfalls aktualisiert, und es ist klar, dass die Angreifer Schritte unternommen haben, um die Konfiguration zu testen und zu verbergen (die von ihnen verwendete Verschlüsselung ist allerdings schwach).

Mit der Zeit haben die Angreifer ihren Fokus verlagert. Lange Zeit waren die Hauptziele der zielgerichteten NetTraveler-Attacken in diplomatischen und militärischen Einrichtungen sowie Regierungsorganisationen zu finden. In letzter Zeit haben sich die Cyberspionage-Aktivitäten der Kriminellen hinter dieser Kampagne mehr auf Organisationen aus den folgenden Bereichen verschoben: Weltraumforschung, Nanotechnologie, Energieproduktion, Nuklearenergie, Laser, Medizin und Kommunikation.

Entwicklung der IT-Bedrohungen im 3. Quartal 2014

Charakteristisch für die NetTraveler-ATP bleibt der Fokus auf uigurische und tibetanische Aktivisten.

Das syrische Malware-Kartenhaus

Technologie ist heute ein wesentlicher Bestandteil unseres Lebens. Daher ist es alles andere als überraschend, dass Konflikte rund um den Erdball nun auch eine Cyberdimension erhalten. Dies gilt insbesondere für den Mittleren Osten, wo sich die geopolitischen Konflikte in den letzten Jahren immer weiter zugespitzt haben. Das Kaspersky Labs Global Research and Analysis Team (GReAT) hat die jüngste Zunahme der Malware-Aktivität in Syrien analysiert.

Die Personen hinter diesen Angriffen setzen Social-Engineering-Tricks ein, um ihre Opfer dazu zu bringen, infizierte Dateien zu öffnen. Zu diesem Zweck nutzen sie E-Mails, Skype-Nachrichten, Posts auf Facebook und Videos auf YouTube.

Dabei machen sie sich eine Vielzahl von Umständen zunutze: Das Vertrauen ihrer Opfer in Foren Sozialer Netzwerke, ihre Neugier auf Neuigkeiten über den Syrien-Konflikt, ihre Angst vor der Regierung und ihren Mangel an technischem Verständnis.

Unter den Beispielen für die Köder der Kriminellen befindet sich auch ein verstörendes Video auf YouTube, das die verletzten Opfer eines Bombenangriffs zeigt, und das die Zuschauer zudem auffordert, ein schädliches Programm von einer öffentlichen Filesharing-Webseite herunterzuladen. Das Kaspersky-Team fand zudem eine Auswahl an komprimierten Dateien auf der Seite eines populären Sozialen Netzwerks, das nach dem Entpacken eine Datenbank mit einer Liste von Aktivisten und gesuchten Personen in Syrien offenbarte. Der Link zum Download dieser Datenbank-App fand sich in dem Infoabschnitt eines Videos, das am 9. November 2013 veröffentlicht wurde. Die Angreifer benutzen außerdem gefälschte Sicherheitslösungen, um ihre Opfer auszutricksen, unter anderem ein gefälschtes Antivirus-Programm mit dem Namen „Ammazon Internet Security“ sowie eine „trojanisierte“ Version des legitimen Netzwerk-Monitoring-Tools „Total Network Monitor“. Sie verbreiten nicht nur gefälschte Sicherheitsanwendungen – auch falsche Versionen der Instant Messaging Apps Whatsapp und Viber sind uns untergekommen.

Die Angreifer verwenden eine Reihe von wohl bekannten Tools für den entfernten Zugriff (Remote Administration Tools, RATs). Das sind schädliche Programme, die es einem fernen „Betreiber“ ermöglichen, einen kompromittierten Computer so zu kontrollieren, als hätte er physischen Zugriff darauf. Solche Werkzeuge werden in Cyber-Attacken aller Art und selbst in einigen staatlich gesponserten Angriffen umfassend eingesetzt. Zu den in dieser Kampagne verwendeten RATs gehören „ShadowTech“, „Xtreme“, „NjRAT“, „Bitcoment“, „Dark Comet“ und „Blackshades“. Die Malware wird verwendet, um die betroffenen Computer zu beobachten, Informationen zu sammeln und in einigen Fällen auch, um ihre Operationen auf den Prüfstand zu stellen und gegebenenfalls einzustellen.

Die Opfer dieser Attacken befinden sich nicht nur in Syrien. Derartige Angriffe wurden ebenfalls in der Türkei, in Saudi Arabien, im Libanon, in Palästina, den Vereinigten Arabischen Emiraten, Israel, Marokko, Frankreich und den USA beobachtet.

Wir konnten die C2-Server der Angreifer zu IP-Adressen in Syrien, Russland, dem Libanon, den Vereinigten Staaten von Amerika und Brasilien zurückverfolgen. Insgesamt fanden wir 110 Dateien, 20 Domains und 47 IP-Adressen, die mit den Attacken in Verbindung stehen.

Die Zahl der Angriffe ist im Laufe des letzten Jahres spürbar gestiegen. Außerdem ist klar, dass die Gruppen, die hinter diesen Attacken stehen, äußerst gut organisiert sind. Bisher haben die Angreifer bewährte Malware-Tools benutzt und keine eigenen Werkzeuge entwickelt (obwohl sie ein breites Spektrum von Obfuskationsmethoden einsetzen, um die simple Signatur-basierte Erkennung zu verhindern). Wir sind der Meinung, dass die in dieser Region eingesetzte Schadsoftware sowohl an Quantität wie auch an Qualität zunehmen wird.

Den vollständigen Bericht zu dieser Schadsoftware finden Sie hier.

Malware-Stories

Shylock – ein Pfund Ihres Fleisches

Früher im laufenden Jahr war Kaspersky Lab Teil einer Allianz aus Strafverfolgungs- und Industrieorganisationen, die von der britischen National Crime Agency (NCA) koordiniert wurde und zu dem Zweck gegründet worden war, die Infrastruktur hinter dem Shylock-Trojaner zu zerschlagen. Diese Partnerschaft zeigt, wie globale Zusammenarbeit im Kampf gegen Cyberkriminalität zu positiven Ergebnissen führen kann.

Der Bank-Trojaner Shylock, der seinen Namen erhielt, weil sein Code Auszüge aus Shakespeares „Der Kaufmann von Venedig“ enthält, wurde erstmals im Jahr 2011 entdeckt. Wie andere wohl bekannte Bank-Trojaner auch, zum Beispiel Zeus, SpyEye und Carberp, ist Shylock eine Man-in-the-Browser-Attacke, die darauf spezialisiert ist, die Login-Daten für Online-Banking-Systeme von den Computern der Bankkunden zu stehlen. Der Trojaner benutzt eine vorkonfigurierte Liste der Zielbanken, die sich in verschiedenen Ländern rund um den Globus befinden.

Der Trojaner schleust gefälschte Dateneingabefelder in die Webseiten ein, wenn diese im Browser des Opfers geladen werden. Die betroffenen Personen werden normalerweise dazu gebracht, die Malware durch einen Klick auf einen schädlichen Link auszuführen. Shylock versucht daraufhin, auf Gelder in Geschäfts- oder Privatkonten zuzugreifen und diese dann auf die Konten der Angreifer zu überweisen.

Der Fokus der Cyberkriminellen hat sich mit der Zeit verschoben. Als Shylock auf der Bildfläche erschien, hatte er es in erster Linie auf Opfer in Großbritannien abgesehen, breitete sich dann aber im Laufe des Jahres 2012 auf andere Länder in Europa und in die USA aus. Gegen Ende 2013 waren die Cyberkriminellen dabei, weitere Märkte zu erschließen, wie etwa Brasilien, Russland und Vietnam. Weitere Informationen, unter anderem zu dem Verbreitungsgebiet der Malware, finden Sie hier.

Alle Bank-Trojaner, Shylock eingeschlossen, greifen Bankkunden in der Hoffnung an, sich das am wenigsten geschützte Element jeder Finanztransaktion zunutze zu machen – den Menschen. Daher muss Sicherheit unbedingt zu Hause anfangen – wir alle müssen unsere Computer effizient schützen.

Geld oder Datei(en)!

Die Zahl der Erpresser-Programme (Ransomware) ist in den letzten Jahren gestiegen, und nicht alle richteten sich gegen Windows-Rechner. Einige, darunter auch die Schädlinge, die Android-Geräte angreifen, blockieren einfach den Zugriff auf das Gerät und fordern vom Nutzer ein Lösegeld für die Entsperrung.

Doch viele Ransomware-Programme gehen noch weiter, indem sie die Daten auf dem Computer verschlüsseln. Ein jüngeres Beispiel hierfür ist ZeroLocker.

Anders als die meisten Ransomware-Schädlinge, die eine vordefinierte Liste von Dateitypen chiffrieren, verschlüsselt ZeroLocker nahezu alle Dateien auf dem infizierten Rechner und fügt die Erweiterung „.encrypt“ („verschlüsselt“) an die chiffrierten Dateien an. ZeroLocker verschlüsselt keine Dateien in Verzeichnissen, die die Wörter „Windows“, „WINDOWS“, „Program Files“ („Programmdateien“), „ZeroLocker“ oder „Destroy“ („zerstören“) enthalten, und er verschlüsselt auch keine Dateien, die größer als 20 MB sind.

ZeroLocker generiert einen AES-Schlüssel mit einer Länge von 160 Bit, um alle Dateien zu chiffrieren. Der Schlüsselraum ist durch die Art, wie der Schlüssel erzeugt wird, etwas begrenzt, aber trotzdem groß genug, um die Brute-Force-Methode unmöglich zu machen. Nachdem er die Dateien verschlüsselt hat, führt der Schädling das Tool „cipher.exe“ aus, um alle ungenutzten Daten von dem Laufwerk zu entfernen, wodurch die Dateiwiederherstellung wesentlich erschwert wird. Der Chiffrierungsschlüssel wird zusammen mit einer CRC32-Prüfsumme der MAC-Adresse des Computers und der dazugehörigen Bitcoin-Wallet an den von den Cyberkriminellen benutzten Server geschickt. Es gibt Hinweise darauf, dass die C2-Konfiguration einige Fehler enthält, die eine erfolgreiche Dechiffrierung verhindern könnten – noch ein Grund mehr, kein Lösegeld an die Erpresser zu zahlen.

Der Chiffrierungsschlüssel wird zusammen mit anderen Informationen mittels GET-Anfrage verschickt, und nicht mittels POST. Das führt zu einem Fehler 404 auf dem Server. Das könnte bedeuten, dass der Server die Dateien nicht speichert, so dass das Opfer seine Daten vermutlich auch dann nicht zurückerhält, wenn es das Lösegeld gezahlt hat.

Verschiedene andere URLs, die die Malware zu erreichen versucht, führen ebenfalls zu dem Fehler 404. Das legt den Schluss nahe, dass die Operation noch in den Kinderschuhen steckt. Ob und wann diese Fehler behoben sein werden, werden wir sehen, wenn ZeroLocker flächendeckender zum Einsatz kommt.

Die Cyberkriminellen hinter ZeroLocker verlangen zunächst eine Zahlung von 300 US-Dollar in Bitcoins für die Entschlüsselung der Dateien. Zahlt das Opfer nicht umgehend, so erhöht sich die Gebühr zunächst auf 500 und mit der Zeit dann auf 1.000 US-Dollar.

Die Programmdatei enthält eine hartcodierte Bitcoin-Wallet, aber die Malware versucht, eine neue Wallet-Adresse vom C2-Server abzurufen. Das geschieht möglicherweise deshalb, damit sich nicht so leicht nachvollziehen lässt, wie erfolgreich die Operation ist und wohin das Geld fließt. Keine der Bitcoin-Wallet-Adressen, die wir untersucht haben, stand mit irgendwelchen Transaktionen in Verbindung. Da der C2-Server Informationen zu Bitcoin-Wallets liefert, wäre es möglich, dass die Angreifer eine individuelle Wallet für jedes Opfer nutzen können.

Ein anderes Ransomware-Programm, das Kaspersky Lab kürzlich analysiert hat, ist Onion. Dieses Schadprogramm nutzt ebenfalls eine bereits von anderen neuen Ransomware-Programmen getestete und für gut befundene Methode: Es verschlüsselt die Daten des Opfers und verlangt eine Lösegeldzahlung in Bitcoin.

Entwicklung der IT-Bedrohungen im 3. Quartal 2014

Trotzdem betritt dieser Schädling Neuland. Erstens benutzt Onion das anonyme Netzwerk Tor, um seine C2-Server zu verstecken. Das macht es schwieriger, die Cyberkriminellen hinter der Malware zu identifizieren. In der Vergangenheit hat auch schon andere Malware Tor benutzt, doch dieser Trojaner sticht hervor, da er volle Interaktion mit Tor unterstützt, ohne Input seitens des Opfers. Andere Programme dieser Art kommunizieren mit Tor, indem sie (manchmal durch das Einschleusen von Code in andere Prozesse) die legitime Datei „tor.exe“ starten. Im Gegensatz dazu richtet Onion diesen Kommunikationskanal als Teil des Malware-Codes selbst ein.

Onion verwendet auch einen unorthodoxen kryptographischen Algorithmus, der die Datei-Entschlüsselung unmöglich macht, selbst wenn der Traffic zwischen dem Trojaner und dem C2-Server abgefangen wird. Dieser Trojaner verwendet nicht nur asymmetrische Verschlüsselung, sondern auch ein kryptografisches Protokoll, das unter der Bezeichnung ECDH (Elliptic Curve Diffie-Hellman) bekannt ist. Das macht die Entschlüsselung ohne einen privaten Masterschlüssel unmöglich – der wiederum niemals den von den Cyberkriminellen kontrollierten Server verlässt. Weitere Details finden Sie in unserem Bericht über den Onion-Trojaner.

All das zusammengenommen macht den Onion-Trojaner zu einer technisch fortschrittlichen und zudem äußerst gefährlichen Bedrohung.

Erpressung ergibt nur einen Sinn, wenn die Opfer auch zahlen. Tun Sie es nicht! Machen Sie stattdessen regelmäßige Backups von Ihren Daten. Auf diese Art und Weise verlieren Sie keinerlei Daten, wenn Sie einmal einem Erpresserprogramm zum Opfer fallen sollten (oder Sie aufgrund eines Hardware-Problems nicht mehr auf Ihre Dateien zugreifen können).

Warum ein Sicherheitsspezialist sein eigenes Zuhause hackte

Das Internet durchdringt unser alltägliches Leben immer stärker, und zwar wortwörtlich, da immer mehr Alltagsgeräte mit dem World Wide Web verbunden werden können. Diese Tendenz, bekannt als das „Internet der Dinge“, zieht immer mehr Aufmerksamkeit auf sich, da Hacker und Forscher zum Beispiel die in Autos, Hotels, Heimalarmanlagen und Kühlschränke integrierten Technologien auf den Prüfstand stellen und nach Sicherheitslücken suchen.

Manchmal erscheint das Internet der Dinge weit weg zu sein. Aber es ist meist näher an uns dran als wir denken. Das moderne Heim beherbergt zumeist eine Handvoll Geräte, die mit dem lokalen Netzwerk verbunden sind, wobei es sich nicht traditionell um Computer, Tablets oder Mobiltelefone handelt, sondern um Geräte wie ein Smart-TV, einen Drucker, eine Spielkonsole, ein Netzwerkspeichergerät oder irgendeine Art von Medienplayer oder Satellitenreceiver.

Einer unserer Sicherheitsexperten, David Jacoby, untersuchte sein eigenes Zuhause, um festzustellen, ob es wirklich cybersicher ist. Er nahm verschiedene Geräte unter die Lupe, unter anderem Netzwerkspeichergeräte (NAS), ein Smart-TV, einen Router und einen Satellitenreceiver, um zu sehen, ob sie angreifbar sind. Das Ergebnis war erschreckend. David fand 14 Sicherheitslücken in den Netzwerkspeichergeräten, eine in dem Smart-TV und mehrere potenziell verborgene Funktionen zur entfernten Kontrolle in seinem Router.

Die schwerwiegendsten Sicherheitslücken wurden in den Netzwerkspeichergeräten gefunden. Einige davon könnten es einem Angreifer ermöglichen, aus der Ferne Systembefehle mit den höchsten Administratorenrechten auszuführen. Die untersuchten Geräte enthielten zudem schwache voreingestellte Passwörter, in Klartext gespeicherte Passwörter sowie Konfigurationsdateien mit falschen Berechtigungen. Das voreingestellte Administratorenpasswort für eines der NAS-Geräte bestand aus nur einer Ziffer! Ein anderes Gerät teilte sogar die gesamte Konfigurationsdatei, die die verschlüsselten Passwörter enthielt, mit jedem Teilnehmer im Netzwerk!

David war zudem in der Lage, eine Datei in einen NAS-Speicherbereich hochzuladen, auf den ein gewöhnlicher Nutzer normalerweise keinen Zugriff hat. Wenn ein Angreifer eine schädliche Datei in diesen Bereich laden würde, so könnte das Gerät zu einer Infektionsquelle für andere Geräte werden, die sich mit diesem Netzwerkspeichergerät verbinden – zum Beispiel ein Heim-PC – und könnte sogar als DDoS-Bot (Distributed Denial of Service) in einem Botnet dienen. Obendrein bestünde die einzige Möglichkeit, diese Datei zu löschen, in der Ausnutzung eben jener Sicherheitslücke – was selbst für einen Technikexperten keine leichte Aufgabe ist.

Bei der Untersuchung seines Smart-TV stellte David fest, dass die Kommunikation zwischen dem Fernsehgerät und den Servern des Geräteherstellers nicht verschlüsselt ist – was einer Man-in-the-Middle-Attacke potenziell Tür und Tor öffnet. Das wiederum könnte zur Folge haben, dass ein ahnungsloser Kunde sein Geld an Betrüger überweist, während er versucht, Inhalte über das TV-Gerät zu kaufen. Im Rahmen einer Proof-of-Concept-Übung gelang es David, eines der Icons auf der grafischen Benutzeroberfläche des Smart-TVs durch ein Bildchen zu ersetzen. Normalerweise werden die Widgets und Thumbnails vom Server des Geräteherstellers heruntergeladen, doch da die Verbindung nicht verschlüsselt ist, konnten diese Informationen von Dritten geändert werden. Er entdeckte zudem, dass das Gerät Java-Code ausführen kann, was in Kombination mit der Fähigkeit, den Traffic-Austausch zwischen dem Fernseher und dem Internet abzufangen, zu einer Exploit-gesteuerten schädlichen Attacke führen könnte.

Der DSL-Router, der dazu bestimmt ist, drahtlosen Zugriff auf das Internet für alle anderen Heimgeräte zu gewährleisten, beherbergte einige gefährliche Features, die aber vor seinem Besitzer verborgen blieben. Einige dieser verborgenen Funktionen könnten einem Angreifer möglicherweise Zugriff auf jedes Gerät in einem privaten Netzwerk verschaffen. Außerdem sind Abschnitte auf dem Webinterface des Routers mit Überschriften wie „Web Cameras“, „Telephony Expert Configure“, „Access Control“, „WAN-Sensing“ und „Update“ unsichtbar und können nicht vom Besitzer des Gerätes eingestellt werden. Man kann nur darauf zugreifen, indem man eine recht allgemeine Sicherheitslücke ausnutzt, die das Umschalten zwischen den einzelnen Abschnitten des Interfaces ermöglicht (wobei es sich eigentlich um Webseiten handelt, jede mit einer eigenen alphanumerischen Adresse ausgestattet). Das gelingt, indem man die Ziffern am Ende der Adresse durch die Brute-Force-Methode ermittelt. Ursprünglich wurden diese Funktionen aus Gründen der Benutzerfreundlichkeit implementiert: Die Funktion für den Zugriff aus der Ferne ermöglicht dem Internet-Anbieter, Fehler auf dem Gerät schnell und problemlos zu finden und technische Probleme zu lösen. Doch dieses benutzerfreundliche Feature kann zu einem Sicherheitsrisiko werden, wenn die Kontrolle darüber in die falschen Hände gerät.

Unserer Politik der verantwortungsvollen Offenlegung gemäß hat Kaspersky Lab die Namen der Hersteller, deren Produkte als Teil dieser Analyse untersucht wurden, nicht bekannt gemacht. Alle Anbieter wurden über die Existenz der Sicherheitslücken informiert, und die Experten von Kaspersky Lab arbeiten eng mit den Anbietern zusammen, um jede entdeckte Schwachstelle zu beheben.

Es ist sehr wichtig, dass wir uns alle der potenziellen Sicherheitsrisiken bewusst sind, die mit dem Gebrauch von Netzwerkgeräten einhergehen – das gilt für Heimanwender und Unternehmen gleichermaßen. Wir müssen zudem einsehen, dass unsere Informationen nicht sicher sind, nur weil wir starke Passwörter verwenden und eine Software zum Schutz vor Schadcode laufen lassen. Es gibt so viele Dinge, über die wir keine Kontrolle haben, und wir befinden uns bis zu einem gewissen Grad in den Händen von Software- und Hardware-Anbietern. So sind beispielsweise nicht in alle Geräte automatisierte Update-Checks integriert – manchmal sind die Verbraucher selbst aufgefordert, neue Firmware herunterzuladen und zu installieren. Das ist nicht immer ganz einfach. Schlimmer noch: Es ist gar nicht immer möglich, ein Gerät zu aktualisieren (die meisten im Rahmen dieser Analyse untersuchten Geräte waren schon über ein Jahr lang Auslaufmodelle).

Empfehlungen, wie Sie das Risiko einer Attacke reduzieren können, finden Sie in dieser Zusammenfassung von David Jacobys Artikel.

Websicherheit und Datenlecks: ShellShoc

Im September läuteten in der IT-Sicherheitsbranche alle Alarmglocken, nachdem die Bash“-Sicherheitslücke (auch bekannt als „ShellShock“) entdeckt worden war. Bash, eine Unix-Shell aus dem Jahr 1989, ist die Standard-Shell in Linux und Mac OS X. Der Fehler (CVE-2014-6271) ermöglicht es Angreifern aus der Ferne, eine schädliche Datei an eine Variable anzuhängen, die ausgeführt wird, wenn der Bash-Kommandointerpreter aufgerufen wird. Die extremen Auswirkungen dieser Sicherheitslücke in Kombination mit der unproblematischen Ausnutzung machen sie überaus leistungsstark. Von einigen wird diese Schwachstelle mit der Heartbleed-Sicherheitslücke verglichen. Doch Bash ist viel einfacher auszunutzen als Heartbleed und während Heartbleed es einem Angreifer nur ermöglichte, Daten aus dem Speicher eines angreifbaren Computers zu stehlen, kann Shellshock die Kontrolle über das gesamte System bereitstellen.

Die Angreifer brauchten nicht lange, um die Sicherheitslücke zu testen und ihren Nutzen daraus zu ziehen – bereits kurz nach ihrem Erscheinen haben wir einige frühe Beispiele besprochen. In den meisten Fällen griffen Hacker entfernt Webserver an, die CGI-Skripte (Common Gateway Interface) beherbergen, die in Bash geschrieben wurden oder Werte an Shell-Skripte weitergeben. Wie auch immer – es ist möglich, dass die Sicherheitslücke Auswirkungen auf eine Windows-basierte Infrastruktur hat.

Das Problem beschränkt sich auch nicht allein auf Webserver. Bash ist auch in der Firmware von Geräten verbreitet, die heute Teil unseres alltäglichen Lebens sind. Dazu gehören Router, Haushaltsgeräte und drahtlose Zugriffspunkte. Einige dieser Geräte sind nur schwer oder gar unmöglich zu patchen, wie im oben stehenden Abschnitt beschrieben.

Eine Anleitung zum aktualisieren angreifbarer Systeme finden Sie hier.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) blockierten die Produkte von Kaspersky Lab im dritten Quartal 2014 insgesamt 1.325.106.041 bösartige Attacken auf den Computern und mobilen Geräten der KSN-Anwender.
  • Die Lösungen von Kaspersky Lab wehrten 367.431.148 Attacken von Internet-Ressourcen in verschiedenen Ländern der Welt ab.
  • Kaspersky Anti-Virus spürte 26.641.747 individuelle Schadobjekte auf (wie Skripte, Exploits, ausführbare Dateien und andere).
  • Kaspersky Anti-Virus schlug bei 107.215.793 individuellen URLs Alarm.
  • Ein Drittel (33 %) aller Webattacken, die unsere Produkte blockierten, wurden unter Verwendung von schädlichen Webressourcen durchgeführt, die sich in den USA befinden.
  • Die Antiviren-Lösungen von Kaspersky Lab registrierten 116.710.804 individuelle schädliche beziehungsweise potenziell unerwünschte Objekte.
  • Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdecken im dritten Quartal:
    • 461.757 Installationspakete
    • 74.489 neue mobile Schadprogramme
    • 7.010 mobile Bank-Trojaner

Mobile Bedrohungen

Im dritten Quartal 2014 entdeckten die Produkte von Kaspersky Lab zum Schutz von mobilen Geräten 74.489 neue mobile Schadprogramme – das sind 14,4 Prozent mehr als im zweiten Quartal.

Gleichzeitig ging die Zahl der entdeckten schädlichen Installationspakete zurück.

Zahl entdeckter schädlicher Installationspakete und neuer mobiler Schadprogramme (erstes bis drittes Quartal 2014)

Während im ersten Halbjahr 2014 auf jedes Schadprogramm durchschnittlich etwas mehr als elf bösartige Installationspakete entfielen, so waren es im dritten Quartal nur noch 6,2.

Der Einsatz einer Vielzahl von Installationspaketen für ein mobiles Schadprogramm ist charakteristisch für die Verbreiter von SMS-Trojanern. Für eine Version von Stealer.a verwenden Cyberkriminelle beispielsweise bis zu 70.000 Pakete. Möglicherweise hängt der Rückgang der schädlichen Installationspakete damit zusammen, dass der Anteil der SMS-Trojaner im allgemeinen Strom mobiler Malware rückläufig ist (siehe unten).

Verteilung der mobilen Schädlinge nach Typen

Verteilung der mobilen Schädlinge nach Typen, zweites und drittes Quartal 2014

Im Rating der im dritten Quartal entdeckten schädlichen Objekte für mobile Geräte steht Risktool an erster Stelle, wobei der Wert dieses Schädlingstyps um 8,6 Prozentpunkte (PP) gestiegen ist und damit 26,5 Prozent erreichte. Es handelt sich hierbei um legale Anwendungen, die potenziell gefährlich für die Mobilgeräte der Anwender sind – verwendet ein Smartphone-Besitzer oder Cyberkrimineller sie nicht korrekt, so kann das finanzielle Verluste nach sich ziehen.

Auf Position zwei liegt Adware (19,4 %), also potenziell unerwünschte Werbesoftware. Der Anteil dieser Programme ging um 7,9 PP zurück.

Die SMS-Trojaner landeten auf dem dritten Platz. Ihr Anteil an allen mobilen Bedrohungen nahm gegenüber dem vorangegangenen Quartal ebenfalls ab, und zwar um 7,2 PP.

Erwähnenswert ist, dass vor dem Hintergrund der rückläufigen Anteile von Adware und SMS-Trojanern der prozentuale Anteil der Banken-Trojaner von 2,2 Prozent auf 9,2 Prozent angestiegen ist. Diese Schädlings-Kategorie belegte den vierten Platz im Rating.

Top 20 der mobilen Schadprogramme

  Name Prozentualer Anteil der Attacken*
1 Trojan-SMS.AndroidOS.Stealer.a 15,63%
2 RiskTool.AndroidOS.SMSreg.gc 14,17%
3 AdWare.AndroidOS.Viser.a 10,76%
4 Trojan-SMS.AndroidOS.FakeInst.fb 7,35%
5 RiskTool.AndroidOS.CallPay.a 4,95%
6 Exploit.AndroidOS.Lotoor.be 3,97%
7 DangerousObject.Multi.Generic 3,94%
8 RiskTool.AndroidOS.MimobSMS.a 3,94%
9 Trojan-SMS.AndroidOS.Agent.ao 2,78%
10 AdWare.AndroidOS.Ganlet.a 2,51%
11 Trojan-SMS.AndroidOS.OpFake.a 2,50%
12 RiskTool.AndroidOS.SMSreg.de 2,36%
13 Trojan-SMS.AndroidOS.FakeInst.ff 2,14%
14 Trojan-SMS.AndroidOS.Podec.a 2,05%
15 Trojan-SMS.AndroidOS.Erop.a 1,53%
16 RiskTool.AndroidOS.NeoSMS.a 1,50%
17 Trojan.AndroidOS.Agent.p 1,47%
18 Trojan-SMS.AndroidOS.OpFake.bo 1,29%
19 RiskTool.AndroidOS.SMSreg.hg 1,19%
20 Trojan-Ransom.AndroidOS.Small.e 1,17%

* Prozentualer Anteil der von dem jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern

In den Top 20 der detektierten Bedrohungen verlieren die SMS-Trojaner an Boden: Während sie im zweiten Quartal gleich fünfzehn Positionen des Ratings belegten, so waren es im dritten Quartal nur noch ganze acht. Im vorangegangenen Quartal betrug der Anteil des erstplatzierten im Rating, Trojan-SMS.AndroidOS.Stealer.a, 25,42 Prozent aller Attacken, im dritten entfielen nur noch 15,63 Prozent auf diesen Schädling.

Vertreter der Kategorie RiskTool belegten in den Top 20 sechs Positionen, unter anderem die zweite. Dort positionierte sich RiskTool.AndroidOS.SMSreg.gc, auf dessen Anteil 14,17 Prozent aller Attacken entfielen.

Auf dem siebten Platz im Rating befindet sich DangerousObject.Multi.Generic (3,94 %). In diese Kategorie fallen neue Schadanwendungen, die von den Cloud-Technologien des Kaspersky Security Network erkannt werden. Das ermöglicht es unseren Produkten, schnell auf neue und unbekannte Bedrohungen zu reagieren.

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckten wir 7.010 mobile Bank-Trojaner, das sind 3,4-Mal mehr als im vorangegangenen Quartal.

Anzahl der entdeckten mobilen Bank-Trojaner (erstes bis drittes Quartal 2014)

Die Zahl der angegriffenen Länder steigt ebenfalls: Im zweiten Quartal wurde in 31 Ländern der Welt zumindest einmal eine Attacke durch mobile Bank-Trojaner registriert, im dritten waren es bereits 70 Länder weltweit.

Geografie mobiler Bank-Bedrohungen im dritten Quartal 2014 (Anzahl der angegriffenen Anwender)

Top 10 der von Bank-Trojanern angegriffenen Länder:

  Land Prozentualer Anteil an allen Attacken*
1 Russland 83,85%
2 USA 7,09%
3 Ukraine 1,79%
4 Weißrussland 1,18%
5 Kasachstan 0,92%
6 Südkorea 0,68%
7 Deutschland 0,62%
8 China 0,50%
9 Großbritannien 0,50%
10 Saudi Arabien 0,35%

* Prozentualer Anteil der in dem jeweiligen Land angegriffenen Anwender an allen angegriffenen Nutzern

Nicht in den Top 10 vertreten ist Italien, dafür ist nun Saudi Arabien auf Platz 10 eingezogen.

Traditioneller Spitzenreiter dieses Ratings bleibt Russland, obwohl sein Wert um 7,85 Prozentpunkte zurückging. Gleichzeitig stiegen die Werte anderer Länder aus den Top 10 ein wenig an: Die mobilen Cyberkriminellen weiten ihr Tätigkeitsfeld nach und nach immer weiter aus.

Geografie der mobilen Bedrohungen

Attacken durch mobile Schadprogramme wurden im Laufe des dritten Quartals zumindest einmal in 205 Ländern der Welt registriert.

Karte der Infektionsversuche mit mobilen Schädlingen im dritten Quartal 2014 (prozentualer Anteil an allen angegriffenen Anwendern)

Top 10 der angegriffenen Länder:

  Land Prozentualer Anteil der Attacken*
1 Russland 44,0%
2 Indien 7,6%
3 Deutschland 5,6%
4 Iran 3,4%
5 Vietnam 3,1%
6 Kasachstan 3,1%
7 Ukraine 2,7%
8 Malaysia 1,9%
9 Brasilien 1,7%
10 USA 1,7%

* Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen angegriffenen Anwendern

Spitzenreiter in diesem Rating bleibt Russland (44 %) mit großem Abstand zu den übrigen Ländern. Zurückgekehrt auf Platz zwei ist Indien (7,6 %). Erstmals im Jahr 2014 in dieser Hitliste platziert sind der Iran (3,4 %) und die USA (1,7 %). Nicht mehr unter den ersten Zehn sind hingegen Polen, Frankreich, Spanien und Mexiko.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das unten dargestellte Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Web als auch bei Angriffen auf lokale Anwendungen verwendet werden – unter anderem auch auf mobilen Geräten.

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, drittes Quartal 2014

47 Prozent aller von Kaspersky Lab registrierten Versuche, Sicherheitslücken auszunutzen, entfielen auf Schwachstellen in Browsern, in erster Linie im Internet Explorer – für den Exploits in nahezu jedem Exploit-Pack enthalten sind.

Auf Position zwei befinden sich die Java-Exploits. Sicherheitslücken in Java werden mittels Drive-by-Attacken über das Internet ausgenutzt und Java-Exploits sind Bestandteil einer Vielzahl von Exploit-Packs. Allerdings hat man schon seit einem Jahr nichts mehr über neue Java-Sicherheitslücken gehört. Im dritten Quartal 2014 betrug der Anteil der Java-Exploits 28 Prozent, das ist ein etwas geringerer Wert als im zweiten Quartal (29 %).

Platz drei belegten Exploits für Sicherheitslücken im Adobe Reader (12 %). Solche Sicherheitslücken werden ebenfalls im Zuge von Drive-by-Attacken über das Internet ausgenutzt, und auch PDF-Exploits sind in sehr vielen Exploit-Packs enthalten.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen eigens erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Online-Bedrohungen im Bankensektor

Im dritten Quartal 2014 wehrten die Lösungen von Kaspersky Lab auf den Computern von 696.977 KSN-Anwendern Ausführungsversuche von Software ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist. Im Vergleich zum vorangegangenen Berichtszeitraum (927.568) ging dieser Wert um 24,9 Prozent zurück.

Zahl der von Finanz-Malware angegriffenen Computer, drittes Quartal 2014

Die Zahl der Attacken ging im Laufe des Quartals schrittweise zurück: Während im Juli 244.490 Attacken registriert wurden, so waren es im September nur noch 218.384 Angriffe – das ist ein um 11 Prozent geringerer Wert.

Die Schutzlösungen von Kaspersky Lab registrierten im dritten Quartal 2014 insgesamt 2.466.952 Meldungen über schädliche Aktivitäten von Software, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist.

Geografie der Attacken

Geografie der Attacken von Bankschädlingen, drittes Quartal 2014

Top 10 der Länder nach Zahl der angegriffenen Anwender

  Land Zahl der angegriffenen Anwender
1 Brasilien 90.176
2 Russland 57.729
3 Deutschland 55.225
4 Italien 32.529
5 Indien 24.975
6 USA 22.340
7 Österreich 22.013
8 Vietnam 13.495
9 Großbritannien 11.095
10 China 9.060

Brasilien ist unter den am häufigsten angegriffenen Ländern noch immer Spitzenreiter. Gegenüber dem vorangegangenen Quartal hat sich sein Wert allerdings um mehr als das 1,5-Fache verringert. Den zweiten Platz nimmt nach wie vor Russland ein. Italien rutschte auf Position vier unseres Ratings. Rang drei belegt Deutschland – die Zahl der angegriffenen Anwender stieg hier um das 1,5-Fache.

Top 10 der Bank-Malware-Familien

Top 10 des familles de malwares utilisés dans le cadre d’attaques contre les utilisateurs de services de transactions bancaires par Internet au 3e trimestre 2014 (sur la base du nombre de notifications sur les tentatives d’infection et sur la base du nombre d’utilisateurs attaqués) :

Name Anzahl der Meldungen Anzahl der angegriffenen Anwender
Trojan-Spy.Win32.Zbot 1.381.762 285.559
Trojan-Banker.Win32.ChePro 322.928 92.415
Trojan-Banker.Win32.Shiotob 123.150 24.839
Trojan-Banker.Win32.Agent 49.563 23.943
Trojan-Banker.HTML.PayPal 117.692 21.138
Trojan-Spy.Win32.SpyEyes 73.496 19.113
Trojan-Banker.Win32.Lohmys 47.188 16.619
Trojan-Banker.Win32.Banker 39.892 12.673
Trojan-Banker.Win32.Banbra 20.563 9.646
Backdoor.Win32.Sinowal 18.921 8.189

Der am weitesten verbreitete Bank-Trojaner ist nach wie vor ZeuS (Trojan-Spy.Win32.Zbot), obwohl sich die Zahl der Angriffe unter Verwendung dieses Schädlings ebenso wie die Zahl der angegriffenen Anwender im Vergleich zum zweiten Quartal nahezu halbiert hat.

Im dritten Quartal positionierte sich der Bank-Trojaner Trojan-Banker.Win32.Shiotob auf Platz drei dieses Ratings. Dieser Schädling wird in erster Linie via Spam verbreitet und überwacht den Netztraffic, um dann Bezahldaten abzufangen. Die überwiegende Mehrheit der Schädlinge (neun von zehn) aus den Top 10 verwendet die Technik des Einschleusens von willkürlichem HTML-Code in die im Browser dargestellte Webseite und fängt die vom Anwender in echte und gefälschte Webformulare eingegebenen Bezahldaten ab.

Finanzielle Cyberbedrohungen beschränken sich nicht auf Banken-Malware, die die Kunden von Online-Banking-Systemen angreift.

Verteilung der Angriffe, die auf den Diebstahl von Finanzmitteln der Anwender abzielen, nach Malware-Typen, drittes Quartal 2014

Die zweitpopulärste Finanzbedrohung ist der Diebstahl von Bitcoin-Wallets. Der Wert dieser Bedrohung ist auf der Beliebtheitsskala von acht Prozent im zweiten Quartal auf 15 Prozent im dritten Quartal angestiegen. Eine weitere Bedrohung, die im Zusammenhang mit Kryptowährung steht, ist das Bitcoin-Mining (11 %), das heißt die Ausnutzung des infizierten Computers zum generieren von Bitcoins.

Top 20 der schädlichen Objekte im Internet

Im dritten Quartal 2014 erkannte Kaspersky Anti-Virus 26.641.747 individuelle schädliche Objekte (wie Skripte, Exploits, ausführbare Dateien und weitere).

Von allen Schadprogrammen, die an Internet-Attacken beteiligt waren, hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 96,2 Prozent aller Web-Attacken.

Top 20 der schädlichen Objekte im Internet

  Name* Anteil an allen Attacken in Prozent**
1 Malicious URL 59,83%
2 AdWare.Script.Generic 14,46%
3 Trojan.Script.Generic 13,13%
4 Trojan.Script.Iframer 1,77%
5 AdWare.Win32.Agent.fflm 1,23%
6 Trojan-Downloader.Script.Generic 1,02%
7 AdWare.Win32.Agent.allm 1,02%
8 AdWare.JS.Agent.ao 0,78%
9 AdWare.JS.Agent.an 0,55%
10 AdWare.Win32.Agent.aiyc 0,32%
11 AdWare.Win32.OutBrowse.g 0,32%
12 Trojan.Win32.Generic 0,30%
13 AdWare.Win32.Amonetize.bcw 0,23%
14 AdWare.Win32.Amonetize.cmg 0,18%
15 AdWare.Win32.Yotoon.heur 0,18%
16 Trojan-Downloader.Win32.Generic 0,15%
17 AdWare.Win32.Amonetize.cmd 0,14%
18 Trojan-Dropper.Win32.Agent.lefs 0,12%
19 AdWare.Win32.Linkun.j 0,11%
20 AdWare.Win32.Amonetize.aik 0,09%

*Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
**Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Wie auch schon früher setzen sich die Top 20 zu einem großen Teil aus Schadfamilien zusammen, die durch Objekte repräsentiert werden, die bei Drive-by-Attacken genutzt werden, sowie aus Werbeprogrammen. 59,8 Prozent aller Alarme von Kaspersky Anti-Virus entfielen auf Links aus der Schwarzen Liste.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im dritten Quartal 2014 wehrten die Lösungen von Kaspersky Lab 367.431.148 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 87 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden – das sind 1,3 Prozentpunkte weniger als im vorangegangenen Quartal.

Verteilung der Quellen von Webattacken nach Ländern, drittes Quartal 2014

Im dritten Quartal änderte sich die Zusammensetzung unserer Top 10: Nicht mehr im Rating vertreten sind Kanada (minus 7 Prozentpunkte) und Irland (minus 0,7 Prozentpunkte). China, das seit dem zweiten Quartal 2013 nicht mehr unter den ersten Zehn war, ist mit einem Wert von 1,87 Prozent nun wieder dabei, und zwar auf Rang sieben. Erstmals positionierte sich auch die Schweiz (1,03 %) in unserem Rating.

Die größten Veränderungen bei den Spitzenreitern ergaben sich bei den Werten der USA (plus 11,2 Prozentpunkte), die den ersten Platz der Hitliste belegen, und Deutschlands, das durch einen Rückgang von neun Prozentpunkten vom ersten auf den dritten Platz rutschte.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, bei wie vielen individuellen Anwendern von Kaspersky-Lab-Produkten Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Russland 46,68%
2 Kasachstan 45,92%
3 Aserbaidschan 43,50%
4 Armenien 41,64%
5 Ukraine 40,70%
6 Iran 39,91%
7 Vietnam 38,55%
8 Weißrussland 38,08%
9 Moldawien 36,64%
10 Algerien 36,05%
11 Tadschikistan 36,05%
12 Kirgisien 33,59%
13 Mongolei 33,59%
14 Katar 30,84%
15 Usbekistan 29,22%
16 Georgien 29,17%
17 Türkei 28,91%
18 Vereinigte Arabische Emirate 28,76%
19 Indonesien 28,59%
20 Deutschland 28,36%

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im Rating für das dritte Quartal 2014 sind Kroatien, Tunesien und Spanien nicht mehr vertreten. Neu hinzu gekommen sind dagegen die Vereinigten Arabischen Emirate (28,76 %), Indonesien (28,59 %) und Deutschland (28,36 %), die in dieser Reihenfolge die drei letzten Positionen der Top 20 belegen.

Zu den beim Surfen im Internet sichersten Ländern gehören Schweden (12,4 %), Dänemark (13,2 %), Japan (13,3 %), Südafrika (16,0 %), Finnland (16,1 %) und die Niederlande (16,6 %).

Durchschnittlich waren im Laufe des Quartals weltweit 29,5 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Lokale Bedrohungen

Ein überaus wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören Objekte, die nicht über das Internet, E-Mails oder Portzugriffe in die Systeme eindringen.

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im dritten Quartal 2014 registrierten unsere Antiviren-Lösungen 116.710.804 individuelle schädliche und potenziell unerwünschte Objekte.

Top 20 der auf den Computern entdeckten schädlichen Objekte:

  Name* Prozentualer Anteil der individuellen angegriffenen KSN-Teilnehmer**
1 Trojan.Win32.Generic 18,95%
2 DangerousObject.Multi.Generic 18,39%
3 AdWare.MSIL.Kranet.heur 11,61%
4 AdWare.Win32.Agent.ahbx 5,77%
5 Trojan.Win32.AutoRun.gen 4,81%
6 AdWare.Win32.Kranet.heur 4,68%
7 AdWare.NSIS.Zaitu.heur 4,51%
8 Worm.VBS.Dinihou.r 4,51%
9 Virus.Win32.Sality.gen 4,08%
10 AdWare.Win32.Yotoon.abs 4,03%
11 AdWare.Win32.IBryte.dolh 3,14%
12 AdWare.Win32.Agent.aljt 3,12%
13 AdWare.Win32.Agent.allm 3,11%
14 AdWare.Win32.Yotoon.heur 3,10%
15 Adware.Win32.Amonetize.heur 2,86%
16 AdWare.Win32.Agent.heur 2,80%
17 WebToolbar.JS.Condonit.a 2,59%
18 Worm.Win32.Debris.a 2,56%
19 AdWare.Win32.Kranet.c 2,55%
20 Trojan.Script.Generic 2,51%

*Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
**Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell werden die meisten Plätze dieses Ratings von Adware belegt. In diesem Fall waren es 13 Positionen der Top 20.

Würmer, die sich auf mobilen Speichermedien verbreiten, besetzten zwei Plätze in der Hitliste, und zwar die Ränge acht und 18.

Der einzige im Rating verbliebene Virus – Virus.Win32.Sality.gen – belegt in den Top 20 für das dritte Quartal den neunten Platz.

Erwähnenswert ist, dass im dritten Quartal die Zahl der von Kaspersky Anti-Virus entdeckten Werbeprogramme bedeutend gestiegen ist, ebenso wie die Zahl der dazugehörigen Komponenten, die an der aktiven Verbreitung der Adware und der Abwehr der Detektion durch Antiviren-Lösungen beteiligt sind.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Vietnam 61,89%
2 Bangladesch 55,01%
3 Mongolei 54,13%
4 Nepal 53,08%
5 Algerien 51,71%
6 Kambodscha 51,26%
7 Afghanistan 50,59%
8 Laos 50,55%
9 Jemen 50,38%
10 Pakistan 50,35%
11 Ägypten 49,65%
12 Indien 49,44%
13 Irak 49,33%
14 Iran 48,85%
15 Äthiopien 47,87%
16 Myanmar 46,71%
17 Sri Lanka 46,67%
18 Syrien 46,24%
19 Katar 46,03%
20 Tunesien 45,36%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.

*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Dieses Rating setzt sich nach wie vor komplett aus Ländern Afrikas, des Nahen Ostens und Südostasiens zusammen. Wie bereits im vorangegangenen Quartal belegt Vietnam (61,89 %) den Spitzenplatz.

Die Mongolei (54,13 %) rutschte auf den dritten Platz und räumte die Position zwei für Bangladesch (55,01 %).

Erstmals in den Top 20 vertreten ist Katar (46,03 %). Wieder ins Rating zurückgekehrt sind Myanmar (46,71 %) und Sri Lanka (46,67 %). Nicht mehr unter den ersten Zwanzig sind Saudi Arabien, die Türkei und Dschibuti.

In Russland wurden im dritten Quartal auf den Computern von 44,4 Prozent der Anwender lokale Bedrohungen entdeckt.

Zu den in Bezug auf das Niveau lokaler Infektionen sichersten Ländern gehören: Japan (15 %), Schweden (16,4 %), Dänemark (16,5 %), Finnland (18 %) und Singapur (19,7 %).

Durchschnittlich wurden im Laufe des dritten Quartals 2014 weltweit auf 37,2 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert, das sind 4,4 Prozentpunkte mehr als im vorangegangenen Quartal.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.