Entwicklung der IT-Bedrohungen im ersten Quartal 2012

Inhalt

Das Quartal in Zahlen

  • Im ersten Quartal 2012 entdeckten und entschärften die Produkte von Kaspersky Lab fast eine Milliarde schädliche Objekte. Das ist ein Anstieg von 28 Prozentpunkten gegenüber dem vorangegangenen Quartal.
  • Bei 50 Prozent aller Attacken handelt es sich um Versuche von Schadcode, über das Internet in Computer einzudringen. Das ist eine Zunahme von 10 Prozentpunkten gegenüber dem letzten Quartal.
  • Schadprogramme wurden von 95.080.549 URLs aus verbreitet, das sind 61 Prozentpunkte mehr als im vierten Quartal 2011.

Allgemeine Lage

Botnetze: Neustart

Heutzutage gehören Botnetze zu den wichtigsten Technologien, die Cyberkriminelle für sich nutzen. Im Laufe der letzten Jahre wurden Botnetze konsequent weiterentwickelt: Es tauchten dezentralisierte Botnetze auf sowie Botnetze, die über soziale Netzwerke gesteuert werden. Drive-by-Downloads wurden zum wichtigsten Infektionsweg. Das Jahr 2011 war diesbezüglich sehr ruhig: Die Cyberkriminellen ließen sich nichts grundlegend Neues einfallen. Doch Anfang 2012 änderte sich die Lage erneut.

Im ersten Quartal 2012 verwendeten Cyberkriminelle zum Aufbau eines Botnetzes erstmals einen „körperlosen“ Bot. Wir entdeckten ein mobiles Botnetz, das bezüglich der Anzahl von infizierten Geräten typischen Windows-Botnetzen in nichts nachstand, sowie ein aus 700.000 Apple-Computern bestehendes Zombie-Netz unter MacOS X.

Tarnkappen-Bot

Im ersten Quartal 2012 stießen wir auf einen neuen Ansatz zum Aufbau von Botnetzen. In diesem Fall verwendete der Botmaster einen „körperlosen“ Bot. Dieser Schädling gehört zu einer äußerst seltenen Spezies von Schadprogrammen, die nur im Arbeitsspeicher des Computers existieren.

Das Problem offenbarte sich mit dem Auftreten von Anomalien auf den infizierten Maschinen: Nachdem Anwender populäre russische Webseiten besucht hatten, begannen ihre Computer Netzanfragen an Drittressourcen zu senden, woraufhin in einigen Fällen verschlüsselte, jedoch nicht ausführbare Dateien auf den Festplatten auftauchten. Durch eine eingehende Analyse konnten wir die ganze Infektionskette sowie das Aufbauschema des Botnetzes aufdecken, was keineswegs simpel war.

Im ersten Schritt wurden die Computer über Drive-by-Attacken unter Verwendung eines Java-Exploits zur Sicherheitslücke CVE-2011-3544 infiziert. Der Link, der die Webbrowser auf die Webseite mit dem Exploit umleitete, wurde in einen Werbeblock des populären russischen Banner-Netzes AdFox integriert, der auch auf Nachrichtenseiten erschien.

Nach erfolgreicher Ausnutzung der Sicherheitslücke schleuste das Exploit keine Schaddatei auf die Festplatte ein, sondern eine dynamische Bibliothek in den Speicher des Java-Prozesses. Nach Injektion und Start sammelte der Schädling unter dem Java-Deckmantel Informationen darüber, welche Webseiten der Anwender besucht hat. Befanden sich darunter Webseiten, die mit Banken in Verbindung stehen, so wurde auf dem Computer der Trojaner Lurk installiert, der auf den Diebstahl von Online-Banking-Daten spezialisiert ist.

Durch das professionelle Vorgehen der Experten von Kaspersky Lab, der Spezialisten von AdFox und anderer Forscher, die anonym bleiben möchten, konnte die Infektion schnell gestoppt werden.

Obwohl der schädliche Prozess nur bis zum Neustart des Betriebssystems im Arbeitsspeicher des Computers existierte, muss man bedenken, dass die Infektion über populäre Webseiten erfolgte. Die Cyberkriminellen konnten täglich neue Computer infizieren und auf diese Weise die Bot-Population in ihrem Netz aufrechterhalten. Dabei blieben nach dem Neustart des Systems praktisch keinerlei Spuren einer Infektion des Computers zurück und nichts wies darauf hin, dass dort Informationen gestohlen worden waren.

Bei diesem Vorfall kamen zwei bekannte Technologien zum Einsatz: Die Ausnutzung von Sicherheitslücken und die Einschleusung in einen legalen Prozess ohne Speicherung der Datei auf der Festplatte. Diese gefährliche Kombination war nun in einem einzigen Schadprogramm vereint. Bei Verwendung eines „körperlosen“ Bots ist es recht schwierig, die Computer auszumachen, die zu dem Botnetz gehören, da keine ausführbaren Dateien auf der Festplatte erscheinen und jede Aktion der Cyberkriminellen im Namen des legalen Java-Prozesses durchgeführt wird. Einen echten Schutz vor derartigen Bedrohungen bietet die Installation von Patches, die entsprechende Sicherheitslücken schließen. Allerdings installiert nicht jeder Anwender alle Updates rechtzeitig, daher könnte es sein, dass wir es auch künftig mit ähnlichen Konzepten zu tun bekommen werden, allerdings nicht in massenhafter Anwendung, denn diese Technologie ist recht kompliziert.

Mobiles Botnetz

In unserem Bericht für das dritte Quartal 2011 wiesen wir darauf hin, dass die Virenschreiber, die Schadprogramme für mobile Geräte entwickeln, eindeutig Android als Plattform für Schädlinge bevorzugen. Im ersten Quartal 2012 entdeckten wir über fünftausend (5.444) Schadprogramme für diese Plattform. Innerhalb des letzten Halbjahres hat sich die Zahl aller entdeckten Android-Schädlinge verneunfacht.


Zahl der entdeckten Malware-Modifikationen für Android

Das größte Interesse an der Entwicklung unter Android legen Virenautoren aus China und Russland an den Tag. Chinesische Virenschreiber bauten ein Botnetz auf, in dem die Zahl der aktiven Geräte zwischen 10.000 und 30.000 lag und die Gesamtzahl der infizierten Smartphones sogar bei mehreren Hunderttausend.

Das Zombie-Netz wurde auf der Grundlage des Backdoors RootSmart aufgebaut, der eine erweiterte Funktionalität zur entfernten Steuerung des Smartphones oder Tablet-PCs unter Android besitzt. Für die Verbreitung von RootSmart setzten die Virenschreiber eine erprobte Methode ein: Sie packten den Schädling in ein legales Programm und hinterlegten es auf der Webseite eines zwar nicht offiziellen, in China aber dennoch sehr populären App-Stores für Android. Die Leute, die sich dieses Programm zur Konfiguration ihres Smartphones herunterluden, erhielten zusätzlich die Backdoor RootSmart, die ihr Gerät an ein Botnetz anschloss.

Die Ausmaße der Infektion mit RootSmart ermöglichten es den Cyberkriminellen, das von ihnen ausgebaute Netz aus infizierten Smartphones effektiv zu Geld zu machen. Zu diesem Zweck griffen sie auf eines der beliebtesten Mittel aller Cyberverbrecher zurück, die mobile Schädlinge einsetzen – den Versand kostenpflichtiger SMS-Mitteilungen an Premium-Nummern. Wozu benötigten sie aber die volle Kontrolle über das Gerät, wenn doch die Hauptfunktionalität des Bots in der Versendung kostenpflichtiger SMS lag? Die Antwort ist denkbar einfach: Die volle Kontrolle gibt ihnen die Möglichkeit, die Existenz des Schadprogramms auf dem Gerät für lange Zeit zu verbergen und so auch für lange Zeit Geld vom Konto seines Besitzers abzuziehen.

Aus der Geschichte mit dem ersten großen, aus mobilen Geräten bestehenden Botnetz lassen sich zwei wichtige Schlussfolgerungen ziehen:

Da für mobile Geräte eher selten neue Betriebssystem-Versionen erscheinen, können Cyberkriminelle Exploits über mehrere Monate verwenden, die zudem auf den meisten Geräten funktionieren.

Und da die Installation von Antiviren-Software auf mobilen Geräten noch immer nicht zur allgemeinen Praxis geworden ist, nutzen viele Anwender Geräte, von denen sie noch nicht einmal ahnen, dass sie schon seit langem infiziert sind. Unterdessen steht Botmastern dieses Gerät zu ihrer freien Verfügung bereit.

Solange sich die Situation nicht von Grund auf ändert, ist die Wahrscheinlichkeit sehr hoch, dass wir noch in diesem Jahr von mobilen Botnetzen hören werden, die weitaus größer sind als RootSmart.

Mac-Botnetz

Ein weiteres Botnetz, das im ersten Quartal die Aufmerksamkeit der Experten auf sich gezogen hat, ist ein Zombie-Netzwerk, das aus Computern unter MacOS X besteht.

Das trojanische Programm, das diesem Botnetz zugrunde liegt, führt Kaspersky Lab unter der Bezeichnung Trojan-Downloader.OSX.Flashfake. Dieser Schädling taucht nicht zum ersten Mal in unseren Analysen auf, denn wir berichteten bereits im letzten wie auch schon in diesem Jahr darüber.

Die ersten Flashfake-Versionen erschienen im März 2011. Die Autoren dieses Schadprogramms entwickelten ihr Machwerk immer weiter, um die Anwesenheit des Schädlings besser zu verbergen. So wurde zum Beispiel das Verbot eingeführt, den Trojaner auf Computern mit Schutzprogrammen zu installieren und die Bots deaktivierten die Aktualisierung des in MacOS X integrierten Schutzsystems Xprotect. Wir bemerkten außerdem Experimente mit der Steuerung der Botnetze: Beispielsweise verwendeten einige Versionen von Flashfake Twitter-Accounts der Cyberkriminellen als Steuerungsserver.

Die Hauptaufgabe des Bots besteht darin, für den Anwender unbemerkt weitere Module zu laden und zu starten. So verdienten die Online-Gangster zum Beispiel am Austausch von Suchergebnissen: Eines der zusätzlichen Module tauscht die Links aus, die Suchmaschinen auf verschiedene populäre Anfragen hin ausgeben. Dabei können die Kriminellen offensichtlich auch andere Module entwickeln und zu ihren Zwecken verwenden, zum Beispiel zum Datendiebstahl von den infizierten Computern.

Im März 2012 infiziert Flashback rund 700.000 Computer weltweit.


Weltweit mit Trojan-Downloader.OSX.FlashFake infizierte Computer.
Daten: Kaspersky Lab, erstes Quartal 2012

Zur Verbreitung des Schädlings verwendeten die Cyberkriminellen ein Java-Exploit. Wir weisen darauf hin, dass Oracle Java auf Computern unter MacOS X nicht automatisch aktualisieren kann. Die Anwender sind darauf angewiesen zu warten, bis Apple – unter Umständen erst nach Monaten – ein Update herausbringt. Der Zeitraum, in dem Cyberkriminelle die Möglichkeit haben, erfolgreich ein Exploit zur Infektion von Mac-Rechnern zu nutzen, ist also wesentlich länger als im Fall von Windows. So gab Apple den Patch, der die zur Verbreitung von Flashback genutzte Sicherheitslücke schließt, erst Anfang April heraus, obwohl Oracle bereits im Februar einen eigenen Patch veröffentlicht hatte.

Künftig wird die Zahl der Attacken auf MacOS-X-Rechner unter Verwendung von Zero-Day-Exploits weiter steigen. Die meisten bei Cyberkriminellen beliebten angreifbaren Anwendungen sind plattformübergreifend, sie funktionieren sowohl in einer Windows-Umgebung als auch unter MacOS X. Das vereinfacht die Entwicklung von Exploits für MacOS X.

Das wachsende Interesse an der Apfel-Plattform seitens der Cyberkriminalität untermauert auch unsere Statistik der neu entdeckten Schadprogramm-Versionen für MacOS X:


Anzahl neuer Antiviren-Samples für MacOS X in den Datenbanken von Kaspersky Lab

Der Hauptgrund für die Zunahme der Schädlingszahl für MacOS X ist die wachsende Popularität dieser Plattform unter den Anwendern. Wenngleich die Zahl der Schadprogramme für MacOS X auch deutlich geringer ist als die Zahl der Schädlinge für Windows, sind die Online-Kriminellen ganz offensichtlich ernsthaft an der Mac-Plattform interessiert. Daher sollten die Nutzer auch unter keinen Umständen die wichtigsten Sicherheitsregeln außer Acht lassen.

Mit den massenhaften Infektionen endet die Geschichte der Mac-Schädlinge in diesem Quartal allerdings nicht. Wir haben Beweise dafür gefunden, dass Schadprogramme für diese Plattform auch bei einer anderen aktuellen Angriffsart zum Einsatz kommen, und zwar bei zielgerichteten Attacken.

Zielgerichtete Attacken

Leider steigt die Zahl der Opfer von zielgerichteten Attacken, obwohl sich die Unternehmen ernsthaft um dieses Problem kümmerten, was die Cyberkriminellen dazu zwingt, neue Angriffsmethoden zu entwickeln.

„Hello“.

MacOS X + APT (Advanced Persistent Threat)

Viele Anwender, die mit MacOS X arbeiten, halten sich für vollkommen geschützt vor Computerschädlingen – hat Apple doch lange Zeit versichert, dass die Sicherheit des Systems viel größer sei als die von PCs. Allerdings zeigen die Ergebnisse der laufenden Untersuchungen, dass diese Beteuerung nicht mit der Realität übereinstimmt. Dabei gibt es nicht wenige Mac-User sowohl im unternehmerischen Bereich als auch in staatlichen Organisationen. Sie arbeiten täglich mit einer Menge wichtiger Dokumente, doch in den meisten Fällen ist auf ihren Computern noch nicht einmal eine Antiviren-Software installiert.

Diese Anwender sollten die zielgerichteten Attacken auf Organisationen, in denen sowohl mit Windows-Computern als auch mit Macs gearbeitet wird, durchaus beunruhigen. Um Zugriff zu geheimen Dokumenten zu erhalten, verwendeten die Cyberkriminellen gleich zwei Trojaner: einen für den Mac und einen für Windows. In Abhängigkeit davon, welches Betriebssystem auf der jeweils attackierten Maschine lief, wurde der entsprechende Schädling darauf geladen. Die Befehle für die Mac- wie auch für die Windows-Schädlinge kamen aus ein und demselben Steuerungszentrum.

Für das erste Eindringen ins System wurde ein Exploit zur Sicherheitslücke CVE-2011-3544 in der Java-Maschine verwendet, das sowohl in einer Windows-Umgebung als auch unter MacOS X funktioniert. Nach einer erfolgreichen Attacke luden die Macs den Schädling Backdoor.OSX.Lasyr herunter. Mit Hilfe dieser Backdoor erhalten Cyberkriminelle die volle Kontrolle über den infizierten Computer und folglich auch Zugriff auf alle darauf gespeicherten Informationen. Die Backdoor wurde Mitte März 2012 entdeckt.

Doch das ist nicht die einzige zielgerichtete Attacke unter Einsatz eines Mac-Schädlings im ersten Quartal 2012. Im zweiten entdeckten Fall wurde nur eine Backdoor für MacOS Х verbreitet, nämlich Backdoor.OSX.MaControl. Für die Infizierung des Computers wurde ebenfalls ein Exploit verwendet, und zwar zu dem auf allen Plattformen populären Office-Paket von Microsoft. Um das Exploit unter die Leute zu bringen, wurde ein klassisches „Transportmittel“ gewählt : E-Mails. Für die Infektion des Computers mit der Backdoor mussten die Mitarbeiter des Unternehmens lediglich die an die Mail angehängte Word-Datei öffnen.

Der Geschwindigkeit nach zu urteilen, mit der neue Schadprogramme für MacOS X erscheinen, die bei zielgerichteten Attacken eingesetzt werden, kann deren Entwicklung kein allzu komplexes Problem für Cyberkriminelle darstellen. Die Sorglosigkeit vieler Mac-Anwender in Kombination mit der Abwesenheit von Sicherheitslösungen auf ihren Computern macht den Mac zum schwächsten Glied im Sicherheitssystem eines Netzwerks.

Die Rückkehr von Duqu

Nach viermonatiger Pause kehrten die Autoren von Duqu wieder an ihre Arbeit zurück: Im März wurde ein neuer Treiber „in freier Wildbahn“ entdeckt, der praktisch genauso funktionierte wie der schon früher in Duqu verwendete Treiber. Der frühere Treiber wurde am 3. November 2010 und am 17. Oktober 2011 erstellt, der neue hingegen am 23. Februar 2012.

Bezüglich seiner Funktionalität ist der neue Duqu-Treiber identisch mit den bereits bekannten Versionen. Die Unterschiede im Code sind unbedeutend, die Veränderungen liegen vielmehr in der Art und Weise, wie sich der Schädling vor seiner Entdeckung schützt. Das Hauptmodul von Duqu, das mit diesem Treiber zusammenhängt, wurde nicht gefunden.

Unsere Vermutungen erwiesen sich als richtig: Wenn in ein Projekt derart viele Mittel investiert wurden wie in die Entwicklung von Duqu und Stuxnet, wird die Operation nicht einfach abgebrochen und gestoppt. Stattdessen taten die Cyberkriminellen das, was sie immer tun – sie veränderten den Code dahingehend, dass die Entdeckung verhindert wird und setzten ihre Attacken fort.

Mit Hilfe vieler Programmierer und Experten gelang es uns, festzustellen mit welcher Sprache das Framework von Duqu entwickelt worden war – es handelte sich dabei um OO C. Bemerkenswert ist, dass ein solcher Ansatz typisch für Programmierer der alten Schule ist, die an seriösen, friedlichen Programmen arbeiten und der bisher praktisch niemals in modernen Schadprogrammen zum Einsatz kam. Das zeigt einmal mehr, dass Duqu und Stuxnet in ihrer Art einzigartige Schadprogramme sind, die sich von allen anderen deutlich unterscheiden.

Bei weltweit weniger als fünfzig Opfern bleibt Duqu der rätselhafteste Trojaner, der jemals entdeckt wurde. Seine Ausrichtung auf den Iran deutet darauf hin, dass seine „Herren“ einen klaren Plan von pausenlosen Attacken haben. Die Komplexität und der vielschichtige Schutz des Trojaners zeigen, wie wichtig es für dieses Projekt ist, dass es unbemerkt bleibt. Es ist anzunehmen, dass die Plattform „Tilded“ in Zukunft weiterentwickelt wird und die Technologien zur Verbergung und Tarnung des Codes fortschrittlicher werden.

Kampf gegen Cyberkriminalität

Das erste Quartal 2012 wird uns nicht nur wegen neuer Schadprogramme und großangelegter Hacks in Erinnerung bleiben (über Attacken auf Unternehmensnetzwerke und große Organisationen berichteten wir hier und hier), sondern auch auf Grund der erfolgreichen Aktionen von Antiviren-Unternehmen und Strafverfolgungsbehörden: das Abfangen der Steuerung des Botnetzes Hlux (Kelihos), die Schließung der Kontrollzentren verschiedener ZeuS-Botnetze sowie die Inhaftierung russischer Cyberkrimineller.

Hlux.b – Zerschlagung 2.0

Ende März 2012 führte Kaspersky Lab in Kooperation mit Experten des CrowdStrike Intelligence Teams, Dell SecureWorks und dem Honeynet Project eine Operation zum Abfangen der Steuerung des dezentralisierten (peer-to-peer) Botnetzes Hlux durch, das auf Hlux.b basierte, der zweiten Version des Bots. Zum Zeitpunkt seiner Zerschlagung bestand das Botnetz aus mehr als 110.000 Bots.


Weltweit mit dem Bot Hlux.b infizierte Computer. Erstes Quartal 2012

Hlux.b, die zweite Version des Bots, wurde im Herbst 2011 entdeckt, einige Wochen nachdem die Steuerung des ersten Hlux-Botnetzes abgefangen worden war. Im Frühjahr 2012 erschien wesentlich schneller ein neuer Bot: Hlux.с, die dritte Version des Schädlings, wurde bereits wenige Tage nach dem Abfangen der Steuerung des zweiten Botnetzes entdeckt. Mit jedem neuen Bot wurde jeweils das Format verändert, mit dem die Bots untereinander kommunizieren.

Hlux ist für seine Betreiber mehr als einträglich. Seine Betreiber begehen praktisch alle nur erdenklichen Arten von Cyberkriminalität: Mit Hilfe der zu ladenden Module kann der Bot Spam versenden, sich an DDoS-Attacken beteiligen und wichtige Informationen von Computern stehlen. Die Betreiber des Zombie-Netzwerkes möchten auf die damit verbundenen Vorteile nicht verzichten. Daher lässt sich gegen das Erscheinen neuer Versionen des Bots auch leider nichts ausrichten, solange die Verbrecher nicht dingfest gemacht werden, die hinter der Entwicklung und Verbreitung des Schädlings stecken.

Wie effektiv ist das Abfangen der Steuerung eines Botnetzes? Aus unserer Sicht sollte diese Methode angewendet werden. Zum einen haben wir bereits installierte Bots unschädlich gemacht und dadurch die Zahl der aktiven infizierten Computer reduziert. Zum anderen erschweren wir den Cyberkriminellen das Leben, die nun Änderungen im Code vornehmen und erneut Schädlinge verbreiten müssen. Solange keine ernsthaften Veränderungen in der Architektur des Botnetzes und dem Code des Bots vorgenommen werden, ist eine weitere Abfang-Aktion möglich.

Inhaftierung von Cyberkriminellen in Russland

Im Laufe der letzten drei Jahre ist die Zahl der Trojaner, die sich gegen Online-Banking-Systeme Russland richten, stetig gestiegen.


Entdeckte Schadprogramme, die auf den Diebstahl von Online-Banking-Daten spezialisiert sind

In Europa und Brasilien richten sich Bank-Trojaner in erster Linie gegen Heimanwender. Russische Cyberkriminelle hingegen entwickeln Schadprogramme, die auf den Diebstahl von Geldern russischer Organisationen ausgerichtet sind, und zwar mit Hilfe von Manipulationen der Bank-Client-Systeme auf den Rechnern der Buchhalter. Einer der bekanntesten Vertreter dieser Trojaner-Spezies ist Trojan-Spy.Win32.Carberp.

Am 20. März informierte die Unterabteilung „K“ des russischen Innenministeriums über die Verhaftung von Mitgliedern einer großen Gruppe, die auf der Grundlage des gekauften Codes des Trojaners Carberp ein Botnetz aufgebaut hatte, sowie über die Festnahme von so genannten Money Mules („Geldeseln“) – Leuten also, die das von Cyberkriminellen gestohlene Geld abheben und für sie transportieren. Den Verhafteten wird der Diebstahl von über 2 Millionen US-Dollar vorgeworfen. Eine so große Summe ist mit der Unmenge an infizierten Computern zu erklären. Carberp wird mit Hilfe von Drive-by-Attacken verbreitet. Die Links auf die mit Exploits verminten schädlichen Ressourcen platzierten die Cyberkriminellen auf den Webseiten bekannter russischer Organisationen, Massenmedien und staatlicher Stellen.

Es kommt nicht allzu häufig vor, dass Mitglieder großer Organisationen von Cyberkriminellen in Russland verhaftet werden, und so gibt dieser Fall natürlich Anlass zur Freude. Solche Verhaftungen zwingen andere Cyberverbrecher in den meisten Fällen dazu, ihre Aktivität für eine gewisse Zeit herunterzufahren. Die Autoren von Carberp befinden sich allerdings nach wie vor auf freiem Fuß. Sie setzen den Verkauf ihres Trojaners in Untergrund-Foren fort und verbreiten ihn weiterhin über gehackte Webseiten. Doch wir geben die Hoffnung nicht auf, dass die für die Entwicklung von Carberp verantwortlichen Virenautoren irgendwann gefasst werden.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Kaspersky-Lösungen gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky Lab-Produkten aus 213 Ländern der Welt teil.

Bedrohungen im Internet

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Web-Antivirus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte, legitime Ressourcen.

Im Internet aufgespürte Objekte

Im ersten Quartal 2012 wehrte das Modul Web-Antivirus 481.411.722 Attacken von Internet-Ressourcen ab, die sich in verschiedenen Ländern der Welt befinden. Bei diesen Vorfällen wurden insgesamt 95.331 Modifikationen von schädlichen und potenziell unerwünschten Programmen registriert.

Top 20 der Internet-Schädlinge

Position Name Prozentualer Anteil an allen Attacken **
1 Malicious URL 84,3%
2 Trojan.Script.Iframer 4,8%
3 Trojan.Script.Generic 2,2%
4 Trojan-Downloader.Script.Generic 0,5%
5 Trojan.Win32.Generic 0,4%
6 Trojan.JS.Popupper.aw 0,2%
7 Trojan-Spy.JS.Agent.c 0,2%
8 Trojan-Downloader.JS.Agent.gmf 0,2%
9 Trojan-Downloader.Win32.Agent.gyai 0,2%
10 AdWare.Win32.Screensaver.e 0,1%
11 Trojan-Downloader.JS.Agent.gmr 0,1%
12 Trojan-Downloader.JS.JScript.ag 0,1%
13 Trojan-Downloader.MSIL.Small.eq 0,1%
14 Hoax.Win32.ArchSMS.gen 0,1%
15 Trojan-Downloader.JS.Agent.gnk 0,1%
16 Exploit.Script.Generic 0,1%
17 Packed.Win32.PasswordProtectedEXE.gen 0,1%
18 AdWare.Win32.Screensaver.i 0,1%
19 Trojan.JS.Redirector.ue 0,1%
20 AdWare.Win32.Shopper.lq 0,1%

* Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf.
** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Auf Position 1 unseres Ratings befinden sich verschiedene schädliche URLs (früher als Blocked bezeichnet), die auf unserer Schwarzen Liste stehen. Ihr Anteil stieg im Vergleich zum vorhergehenden Quartal um 2 Prozentpunkte und machte damit 84 Prozent aller entdeckten Schädlinge aus. Auf der Schwarzen Liste landen in erster Linie verschiedene Webseiten, auf die Webbrowser umgeleitet werden. Meist geraten die Nutzer über gehackte legitime Ressourcen mit integrierten schädlichen Skripten auf die schädlichen Webseiten (Drive-by-Attacke). Außerdem klicken die Anwender selbst auf gefährliche Links, beispielsweise bei der Suche nach urheberrechtlich geschütztem Material. In jedem Fall ist der Garant für einen erfolgreichen Angriff über das Internet heute der Einsatz von Exploits, die Sicherheitslücken in nicht aktualisierter Software ausnutzen: Ein bedeutender Teil solcher schädlicher URLs entfällt auf Webseiten, die mit Exploit-Packs in Zusammenhang stehen.

12 Vertreter aus den Top 20 nutzen Software-Fehler aus und werden für die Übertragung von Schadprogrammen auf Computer genutzt.

Im ersten Quartal 2012 landeten nur drei Werbeprogramme (AdWare) in unserem Rating. Die Aufgabe dieser Programme ist simpel: Nach der Installation auf dem Computer – in der Regel als Erweiterung für den Browser getarnt – zeigen sie dem Nutzer Werbebotschaften. Der mengenmäßige Rückgang von AdWare in unserer Hitliste (im letzten Quartal machten diese Programme ein Viertel unserer Top 20 aus) belegt, dass sich die Cybergangster erneut auf für den Anwender gefährlichere und für sie selbst einträglichere Kategorien von Schadprogrammen verlegt haben.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Da die meisten Attacken über das Internet mit Hilfe von Exploits laufen, die Fehler in der Software ausnutzen, um den Schutz des Computers zu durchbrechen und so die Möglichkeit erhalten, willkürlichen Code ohne Wissen des Anwenders auszuführen, drängt sich die Frage auf: Auf welche Programme sind die Exploits am häufigsten ausgerichtet? Die User sollten in erster Linie gerade diese Programme regelmäßig aktualisieren oder noch besser ein automatisches Update dafür einrichten.


Verteilung der Exploits nach angegriffenen Anwendungen, erstes Quartal 2012

Wie das Diagramm zeigt, entfallen 66 Prozent aller Exploits auf zwei Programme: Adobe Reader und Java.

Auf die Sicherheitslücke CVE-2011-3544 in Java entfallen fast ein Viertel aller Angriffe. Diese Schwachstelle entwickelte sich im Verlauf des gesamten Quartals zu einem Renner unter Cyberkriminellen: Sie wurde zur Verbreitung des Bots Hlux, des Banktrojaners Carberp und auch des „körperlosen“ Bots verwendet.

Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im ersten Quartal 2012 konzentrierten sich 84 Prozent aller Web-Ressourcen, die zur Verbreitung von Schadprogrammen genutzt werden, auf zehn Länder der Welt, das sind 7 Prozentpunkte mehr als im letzten Quartal.


Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind. Erstes Quartal 2012

Als Neueinsteiger hat Kanada (0,9 %) Rumänien aus dem Rating verdrängt. Das Führungstrio bildeten die USA, Holland und Russland. In den letzten drei Monaten ist der Anteil der Hostings in Großbritannien (plus 4,6 Prozentpunkte) deutlich angestiegen, wodurch dieses Land in der Hitliste vom achten auf den sechsten Platz kletterte. Der Anteil der restlichen Länder blieb praktisch gleich – alle Veränderungen bewegten sich in den Grenzen von einem Prozentpunkt.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in den verschiedenen Ländern ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Quartals bei den Anwendern Alarm geschlagen hat.


20 Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind*

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Über die Hälfte dieses Ratings besteht aus Ländern aus dem postsowjetischen Raum.

Alle Länder lassen sich in verschiedene Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören die ersten 15 Länder dieser Top 20, darunter Russland (58 %), die Ukraine (45,7 %), Armenien (52,1 %), Weißrussland (49 %), Kasachstan (51,5 %) und Indien (43,4 %).
  2. Risikogruppe. In der Gruppe mit Werten zwischen 21 und 40 Prozent sind 95 Länder vertreten, darunter Italien (38,9 %), die Türkei (36,8 %), die USA (31,9 %), Brasilien (29,3 %), Spanien (34,4 %) und Frankreich (28,4 %).
  3. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im ersten Quartal 2012 insgesamt 25 Länder mit Werten zwischen 11,9 und 20 Prozent.

Am seltensten wurden die Computer in den folgenden Ländern beim Surfen im Internet angegriffen: Japan (14,3 %), Dänemark (15,2 %), Taiwan (15,2 %), Luxemburg (17,4 %), Slowakei (19,6 %) und Neuseeland (20 %).


Weltweites Risiko für Computer, sich über das Internet zu infizieren. Erstes Quartal 2012

Durchschnittlich waren 28,8 Prozent der Computer aller KSN-Nutzer im ersten Quartal mindestens einmal einem Angriff beim Surfen im Web ausgesetzt, das heißt praktisch jeder dritte Computer auf der Welt. Damit hat sich der durchschnittliche Anteil der angegriffenen Rechner im Vergleich zum vorhergehenden Quartal um 3,2 Prozentpunkte verringert.

Lokale Bedrohungen

In diesem Abschnitt werden statistische Daten analysiert, die auf der Arbeit des Echtzeit-Scanners basieren, sowie Statistiken für den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

Auf Computern entdeckte schädliche Objekte

Im ersten Quartal 2012 blockierten unsere Antiviren-Lösungen 966.981.163 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer.

Beim Versuch, sich auf den Computern der KSN-Teilnehmer auszuführen (Echtzeit-Scanner), wurden insgesamt 481.592 verschiedene Modifikationen schädlicher und potenziell unerwünschter Programme registriert.

Top 20 der auf den Computern entdeckten schädlichen Objekte

Position Name Prozentualer Anteil an allen Objekten*
1 DangerousObject.Multi.Generic 35,56%
2 Trojan.Win32.Generic 31,49%
3 Trojan.Win32.Starter.yy 13,92%
4 Virus.Win32.Sality.bh 12,61%
5 Net-Worm.Win32.Kido.ih 10,79%
6 Virus.Win32.Sality.aa 9,32%
7 Trojan.Win32.AutoRun.gen 8,71%
8 Net-Worm.Win32.Kido.ir 8,63%
9 Hoax.Win32.ArchSMS.gen 8,60%
10 HiddenObject.Multi.Generic 6,58%
11 AdWare.Win32.InstallCore.gen 6,41%
12 Virus.Win32.Generic 6,18%
13 Virus.Win32.Nimnul.a 5,83%
14 Worm.Win32.Generic 5,52%
15 Trojan.WinLNK.Runner.bl 4,56%
16 Trojan.Script.Iframer 3,72%
17 Trojan-Dropper.VBS.Agent.bp 3,61%
18 Virus.Win32.Sality.ag 3,51%
19 Trojan.Script.Generic 3,38%
20 Packed.Win32.Krap.ar 3,26%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
* Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Anti-Virus Alarm geschlagen hat.

Den ersten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien erkannt werden (35,56 %). Diese Technologien greifen dann, wenn in den Antiviren-Datenbanken bisher keine Signaturen vorhanden sind und keine Heuristiken zur Detektion von Schadprogrammen zur Verfügung stehen, in der Cloud des Unternehmens aber bereits Informationen über das Objekt vorhanden sind. In diesem Fall wird das Objekt als DangerousObject.Multi.Generic bezeichnet.

Auf Position zwei befindet sich mit Trojan.Win32.Generic (31,49 %) ein Ereignis, das die heuristische Analysefunktion im Rahmen der proaktiven Erkennung bei einer Vielzahl von Schadprogrammen anzeigt.

Position fünfzehn belegt das Schadprogramm Trojan.WinLNK.Runner.bl, das zum automatischen Start und zur Verbreitung eine Sicherheitslücke in Windows-Verknüpfungen ausnutzt. Programme dieses Typs tauchten erstmals nach der Entdeckung von Stuxnet auf und sie sind bis heute unter Virenschreibern äußerst populär.

Im Laufe des gesamten letzten Jahres belegte Kido stabil den dritten Platz des Ratings. Im ersten Quartal dieses Jahres kam es zu einer interessanten Veränderung: Erstmals seit vier Jahren rutschte Net-Worm.Win32.Kido gleich zwei Positionen in der Hitliste ab, so dass er von Virus.Win32.Sality und Trojan.Win32.Starter.yy eingeholt wurde. Die Hauptverbreitungsmethode von Kido über die Sicherheitslücke MS08-067 verliert aufgrund der weltweiten Aktualisierung vieler Computer an Effektivität. Dateien infizierende Schädlinge (Viren) bleiben dagegen auch effizient, selbst wenn das Betriebssystem aktualisiert wird, daher können sie ihre Position im Rating auch länger halten.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt sind

Die hier aufgeführten Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in verschiedenen Ländern der Erde wider.


Infektionsniveau der Computer in verschiedenen Ländern

Von unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Anwender von Kaspersky-Produkten relativ gering ist (weniger als 10.000).
Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Anwendern von Kaspersky-Produkten in dem Land.

Bei durchschnittlich 42,2 Prozent aller KSN-Rechner weltweit wurde mindestens einmal eine schädliche Datei auf dem Computer oder einem Wechseldatenträger gefunden, der an den Computer angeschlossen war.

Nach wie vor ist Bangladesch der unangefochtene Spitzenreiter dieses Ratings: Der Wert dieses Landes steigt weiter und erreichte 96,8 Prozent. Hier wurden von unseren Produkten praktisch auf jedem Rechner, auf dem sie installiert sind, schädliche Programme entdeckt und blockiert.

Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in verschiedene Gruppen einteilen. Im Gegensatz zum Rating der Länder, die Web-Bedrohungen ausgesetzt sind, ist diese Aufstellung recht stabil:

  1. Maximales Infektionsniveau (über 60 %): 23 Länder aus der asiatischen Region (Indien, Vietnam, Mongolei und andere), dem Nahen Osten (Iran, Irak) und aus Afrika (Sudan, Angola, Nigeria, Kamerun).
  2. Hohes Infektionsniveau (41-60 %): 49 Länder der Welt, darunter Ägypten, Kasachstan, Russland, Ecuador und Brasilien.
  3. Mittleres Infektionsniveau (21-40 %): 41 Länder, darunter die Türkei, Mexiko, Israel, Lettland, Portugal, Italien, die USA, Australien und Frankreich.
  4. Geringstes Infektionsniveau: 18 Länder, darunter Kanada, Neuseeland, Puerto Rico, 13 europäische Länder (unter anderem Norwegen, Finnland, Holland, Irland, Deutschland, Estland) sowie mit Japan und Hongkong zwei asiatische Länder.


Risiko einer lokalen Infektion in verschiedenen Ländern

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind:

Position Land Prozentualer Anteil einzelner Anwender
1 Dänemark 10,1 %
2 Schweiz 14,3 %
3 Japan 14,4 %
4 Schweden 15,3 %
5 Deutschland 15,7 %
6 Österreich 16,2 %
7 Neuseeland 16,4 %
8 Luxemburg 16,6 %
9 Finnland 16,9 %
10 Hongkong 17,6 %

Sicherheitslücken

Im ersten Quartal 2012 wurden auf den Computern der KSN-Nutzer 34.825.675 verwundbare Anwendungen und Dateien entdeckt. Durchschnittlich entdeckten wir auf jedem verwundbaren Computer 9 verschiedene Sicherheitslücken.

Top 10 der Sicherheitslücken

Secunia ID Name, Link mit der Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Prozentualer Anteil der Computer, bei denen die Sicherheitslücke entdeckt wurde * Letzte Änderung Einstufung
1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

Zugriff auf vertrauliche Daten

Datenmanipulation

DoS-Attacke

29,07% 10.04.2012 Hochkritisch
2 SA 46113 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

XSS

Umgehen der Systemsicherheit

22,13% 22.09.2011 Hochkritisch
3 SA 48281 Adobe Flash Player Two Vulnerabilities Systemzugriff

Zugriff auf vertrauliche Daten

20,81% 10.04.2012 Hochkritisch
4 SA 46512 Oracle Java SE Multiple Vulnerabilities DoS-Attacke

Systemzugriff

Zugriff auf vertrauliche Daten

Abfangen der Sitzungen oder der Verbindungskanäle

Datenmanipulation

Austausch des Benutzers

19,31% 27.10.2011 Hochkritisch
5 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

DoS-Attacke

XSS

15,26% 13.07.2011 Hochkritisch
6 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

14,50% 11.01.2012 Extrem kritisch
7 SA 46618 Apple QuickTime Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

Zugriff auf vertrauliche Daten

XSS

12,15% 06.01.2012 Hochkritisch
8 SA 46882 Winamp AVI / IT File Processing Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

10,89% 29.12.2011 Hochkritisch
9 SA 41917 Adobe Flash Player Multiple Vulnerabilities „Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

Zugriff auf vertrauliche Daten

Umgehen der Systemsicherheit

10,22% 28.10.2010 Extrem kritisch
10 SA 47932
Adobe Shockwave Player Multiple Vulnerabilities
„Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

9,93% 15.02.2012 Hochkritisch

* Von 100 Prozent der Anwender, auf deren Computern mindestens eine Sicherheitslücke entdeckt wurde.

Auf einem Drittel der angreifbaren Computer wurde eine Sicherheitslücke in Java gefunden. Wenn man bedenkt, dass die Infektionen, die am meisten Aufsehen erregten, darunter der Aufbau des Mac-Botnetzes und die Verbreitung des „körperlosen“ Bots, über Java-Sicherheitslücken zustande kamen, sei den Anwendern dringend angeraten, diese Komponente zu aktualisieren. Wird Java auf einem Computer nicht genutzt, sollte es gelöscht werden.

In unserem Rating sind insgesamt zwei Java-Sicherheitslücken vertreten. Fünf Positionen der Top 10 werden von Produkten der Firma Adobe besetzt: Flash, Shockwave sowie der Reader. Wir weisen darauf hin, dass in den letzten Jahren Dutzende von Exploits für diese Programme entwickelt wurden und ein großer Teil von ihnen noch immer öffentlich zugänglich ist. Daher ist es sehr wichtig, dass die Nutzer dafür sorgen, dass diese Programme auf ihren Systemen immer auf dem neuesten Stand sind.


Hersteller verwundbarer Produkte aus den Top 10 der Sicherheitslücken

Jede der Sicherheitslücken aus den Top 10 kann sich verhängnisvoll auf die Sicherheit des Computers auswirken, da sie Cyberkriminellen die Möglichkeit gibt, mit Hilfe von Exploits die volle Kontrolle über das System zu erlangen. Dabei ermöglichen vier Sicherheitslücken aus diesem Rating den Zugriff auf sensible Informationen auf dem Computer. Zwei Schwachstellen erlauben die Umgehung der Systemsicherheit und die Durchführung von DoS-Attacken auf Rechnern mit der entsprechenden verwundbaren Anwendung. Drei Sicherheitslücken ermöglichen die Durchführung von XSS-Attacken. Darüber hinaus sind in den Top 10 Sicherheitslücken vertreten, die es Cybergangstern erlauben, Daten zu manipulieren, wichtige Information über das System zu erlangen und den Benutzer zu wechseln. In diesem Fall kann sich ein Krimineller als Inhaber eines der Accounts des betroffenen Computers ausgeben.


Verteilung der Sicherheitslücken aus den Top 10 nach Auswirkungen auf das System

Fazit

Das erste Quartal 2012 war von qualitativen Veränderungen im Bereich Botnetze geprägt. Botmaster, denen die Windows-Welt zu eng geworden ist, erobern nun aktiv das mobile Segment und Mac-Computer. Leider ist nur den wenigsten Nutzern bewusst, dass ihr Smartphone ein vollwertiger Computer mit wertvollen Informationen ist, die auch Cyberkriminelle interessieren könnten. Bei MacOS X ist die Lage komplizierter: Anfangs haben die Entwickler dieses Betriebssystems lange versichert, dass keine Schadprogramme für diese Plattform existieren, später beteuerten Sie, dass Macs sicherer seien als PCs.

Für Online-Gangster sind mobile Geräte und Mac-Computer äußerst attraktiv. Hier ist die Konkurrenz noch gering und zudem arbeitet ein großer Teil der mobilen Geräte und der Mac-Computer ohne Schutz-Programme. Im ersten Quartal wurden mehr als 5.000 Schädlinge für Android entdeckt, ein Drittel mehr als im letzten Quartal, und mehr als 70 Schädlinge für MacOS X, doppelt so viele wie im 4. Quartal 2011. Im kommenden Jahr wird die Zahl der Bedrohungen in diesen beiden Segmenten weiterhin schnell steigen.

Vom technischen Standpunkt aus gesehen, gehört die Attacke eines „körperlosen“ Bots zu den wichtigsten Ereignissen des Quartals. Ein solcher Schädling führt alle Funktionen im Arbeitsspeicher des Computers aus und erstellt keine Dateien auf der Festplatte. Dieser Ansatz erschwert die Entdeckung des Schadprogramms. Obwohl der Bot nur bis zum Neustart auf dem Computer existierte, war aufgrund der Durchführung der Attacke über ein Banner-Netz, das von populären legitimen Ressourcen verwendet wird, eine hohe Wahrscheinlichkeit immer wieder neuer Infektionen des Computers gewährleistet – und somit auch eine große Anzahl aktiver Bots. Durch das schnelle Vorgehen von Kaspersky Lab gemeinsam mit dem Unternehmen, dem das Banner-Netzwerk gehört, wurde diese Attacke unterbunden. Ein solcher Angriffstyp wäre ohne Verwendung von Exploits undenkbar. Daher ist eine stets aktualisierte Software zusammen mit einem installierten Antiviren-Programm der beste Schutz.

Vor diesem Hintergrund bleibt die Frage nach dem Schutz der mobilen Plattform iOS offen. Die Politik von Apple erschwert das Platzieren von Schadcode im App-Shop. Zudem haben die Entwickler keine Möglichkeit, einen wirksamen Schutz vor potenziellen Attacken zu programmieren. Wenn sich auch bei den mobilen Geräten das auf Windows erprobte Szenario von Drive-by-Attacken mit anschließendem Einsatz von Exploits herauskristallisieren sollte, die zur Ausführung von willkürlichem Code im System führen, so sind die iOS-Nutzer der Malware, die auf ihren Geräten aktiv ist, praktisch schutzlos ausgeliefert. Alle technischen Voraussetzungen für die Entwicklung eines solchen Szenarios sind jetzt gegeben.

In unserem Fazit für das Jahr 2011 prognostizierten wir, dass Cyberkriminelle nach neuen Methoden zur Durchführung von zielgerichteten Attacken suchen würden. Leider mussten wir darauf nicht lange warten: Im ersten Quartal 2012 wurden Schädlinge für MacOS X entdeckt, die bei zielgerichteten Angriffen eingesetzt werden. Dabei verwendeten die Online-Kriminellen im ersten Stadium ein Exploit für die Java-Maschine, die auf praktisch jeder Plattform installiert werden kann. Die entdeckten Schädlinge erwiesen sich als Backdoors – Programme, die den Cyberverbrechern uneingeschränkten Zugriff bieten. Mac-User in Unternehmen, die davon ausgehen, ihre Computer seien „über jeden Zweifel erhaben“, in Kombination mit dem Mangel an Schutzlösungen auf ihren Maschinen, stellen mit ihren Rechnern eine Gefahr für das gesamte Unternehmensnetzwerk dar. Zudem ist die Wahrscheinlichkeit sehr hoch, dass wir es in diesem Jahr mit Fällen von zielgerichteten Attacken über Ma OS X auf Unternehmensnetzwerke zu tun bekommen.

Die erfolgreichen Aktionen der Strafverfolgungsbehörden in Zusammenarbeit mit IT-Unternehmen tragen bereits Früchte. Im ersten Quartal wurden die Steuerungszentralen mehrerer ZeuS-Botnetze in den USA offline genommen und die Steuerung des Botnetzes Hlux.b konnte abgefangen werden. In Frankreich wurden die Autoren des mobilen Schädlings Foncy inhaftiert, in Russland verschiedene Cyberkriminellen-Gruppen, die mit dem Bank-Trojaner Carberp operierten, in Rumänien der bekannte Hacker TinHole und einige andere Hacker von Anonymous.

All diese Aktionen sollten einen ernüchternden Effekt auf Cyberkriminelle haben. Es bleibt zu hoffen, dass sich die Zahl der Attacken auf Heimanwender in nächster Zukunft langsam verringert.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.