Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Inhalt

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) blockierten die Produkte von Kaspersky Lab im ersten Quartal 2015 insgesamt 2.205.858.791 bösartige Attacken auf den Computern und mobilen Geräten der KSN-Anwender.
  • Die Lösungen von Kaspersky Lab wehrten 469.220.213 Attacken von Internet-Ressourcen in verschiedenen Ländern der Welt ab.
  • Kaspersky Anti-Virus spürte 28.483.783 individuelle Schadobjekte auf (wie Skripte, Exploits, ausführbare Dateien und andere).
  • Kaspersky Anti-Virus schlug bei 93.473.068 individuellen URLs Alarm.
  • Vierzig Prozent aller Webattacken, die unsere Produkte blockierten, wurden unter Verwendung von schädlichen Webressourcen durchgeführt, die sich in Russland befinden.
  • Die Antiviren-Lösungen von Kaspersky Lab registrierten 253.560.227 individuelle schädliche beziehungsweise potentiell unerwünschte Objekte.
  • Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdecken im dritten Quartal:
    • 147.835 Installationspakete
    • 103.072 neue mobile Schadprogramme
    • 1.527 mobile Banktrojaner.

Überblick

Equation APT – Attacken von höchster technischer Raffinesse

Die Nachrichten, die im ersten Quartal ein großes Aufsehen erregt haben, sind wohl die Neuigkeiten über die mächtige Cyberspionage-Gruppe Equation. Sie interagiert bereits seit vielen Jahren mit anderen einflussreichen Gruppierungen, wie z.B. Stuxnet und Flame. Die Attacken von Equation sind möglicherweise die technisch anspruchsvollsten Angriffe aller Zeiten, denn eins der Module ermöglicht die Modifizierung der Firmware von Festplatten. Seit dem Jahre 2001 gelang es der Equation Group, die Computer tausender Opfer im Iran, in Russland, Syrien, Afghanistan, in den USA und anderen Ländern zu infizieren. Die Opfer sind tätig in den Bereichen Telekommunikation, Luft- und Raumfahrt, Energiewirtschaft, Diplomatie und Regierung und anderen.

Diese Gruppe verwendet eine Vielzahl von unterschiedlichsten Schadprogrammen, von denen einige sogar noch komplexer und raffinierter sind als die legendäre Plattform „Regin„. Zu den bekannten Verbreitungs- und Infektionsmethoden gehören der Einsatz des USB-Wurms Fanny (in seinem Arsenal befanden sich zwei Zero-Day-Schwachstellen, die später in Stuxnet benutzt wurden), die Verwendung von schädlichen Installatoren auf CDs sowie der Einsatz von Web-Exploits.

Carbanak – die wohl profitabelste Cyberkampagne

Im Frühjahr 2014 war Kaspersky Lab an einer kriminalistischen Ermittlung beteiligt: Die Geldautomaten einer Bank gaben Geld aus, und zwar ohne physische Interaktion des Empfängers mit dem Geldautomaten. So begannen die Geschichte der Ermittlungen im Fall Carbanak und die Analyse des gleichnamigen Schadprogramms.

Carbanak ist eine Backdoor, die ursprünglich auf der Grundlage des Carberp-Codes geschrieben wurde. Der Schädling ist spezialisiert auf Spionage, das Sammeln von Daten und auf die Bereitstellung von entferntem Zugriff auf einen Computer. Nachdem die Cyberkriminellen Zugriff auf irgendeinen Rechner erhalten hatten, suchten sie das Netz nach Möglichkeiten zur weiteren Verbreitung und Infektion kritisch wichtiger Systeme ab, wie etwa Prozesssysteme, Buchhaltungssysteme und Geldautomaten.

Es konnten drei Methoden identifiziert werden, mittels derer Mittel von Finanzorganisationen gestohlen werden:

  1. über Geldautomaten,
  2. mittels Geldüberweisung auf die Konten der Cyberkriminellen über das SWIFT-Netz,
  3. durch in den Datenbanken vorgenommene Veränderungen, die die Erstellung gefälschter Konten zum Ziel haben, die dann wiederum von so genannten Geldeseln wieder in bare Münze umgewandelt wurden.

Die Infektion erfolgte nach typischer APT-Manier, über zielgerichtete Phishing-Attacken, im Laufe derer Mails verschickt wurden, die ein Dokument mit Exploit enthielten. Die Mails waren so aufgemacht, dass sie kein Misstrauen erweckten, und in manchen Fällen kamen sie von Adressen von Mitarbeitern des angegriffenen Unternehmens.

Nach Einschätzungen von Kaspersky Lab waren 100 Finanzorganisationen, zum größten Teil aus Osteuropa, von der Aktivität der Gruppe betroffen und die Gesamtverluste könnten sich der 1-Milliarden-Dollar-Grenze annähern, was Carbanak zur erfolgreichsten, uns bekannten Cybercrime-Kampagne überhaupt macht.

Desert Falcon – Angriffe auf den Nahen Osten

Im Laufe von Ermittlungen eines Vorfalls im Nahen Osten stießen die Experten von Kaspersky Lab auf die Aktivität einer bis dahin unbekannten Gruppe, die zielgerichtete Attacken durchführt. Die Gruppe erhielt den Namen Wüstenfalke, Desert Falcon. Sie ist die erste arabische Gruppierung, die vollwertige Cyberspionage-Operationen durchführt, die allem Anschein nach von der politischen Situation in der Region diktiert werden.

Die ersten Anzeichen einer Aktivität von Desert Falcon lassen sich in das Jahr 2011 zurückverfolgen, die ersten bekannten Infektionen datieren auf das Jahr 2013, der Höhepunkt der Aktivität dieser Gruppe fällt auf Ende 2014, Anfang 2015. Die Mitglieder der Gruppe sind definitiv keine Anfänger, da sie die Schadprogramme für Windows und für Android von Null auf selbst entwickelten. Zudem waren die Attacken sehr kunstvoll organisiert und arrangiert, wobei Phishing-Mails, gefälschte Websites und gefälschte Accounts in sozialen Netzwerken zum Einsatz kamen.

Die Opfer der Gruppe befinden sich in erster Linie in Palästina, Ägypten, Israel und Jordanien. Unter den Opfern sind politische Aktivisten und Führungspersönlichkeiten, Militär- und Regierungsbehörden, Massenmedien, Finanzinstitutionen und andere Organisationen. Zum gegenwärtigen Zeitpunkt beträgt die Zahl der Opfer 3.000, und den Angreifern gelang es bisher, mehr als eine Million Dateien und Dokumente zu stehlen.

Neben den raffinierten und sorgfältig geplanten zielgerichteten Mail-Versendungen, mittels derer die Opfer infiziert werden sollen, ist noch eine weitere Methode von Desert Falcon bemerkenswert: Der Einsatz von Social Engineering bei Facebook. Die Angreifer richteten eigens Accounts ein, um in Korrespondenz mit dem Opfer zu treten, sein Vertrauen zu erschleichen und ihm daraufhin im Chat ein als Bild getarntes Schadprogramm zuzuschicken. Um mehrere Computer gleichzeitig zu infizieren, wurden Postings mit schädlichen Links benutzt, die im Namen von kompromittierten oder von gefälschten Accounts politischer Persönlichkeiten eingestellt wurden.

Animal Farm APT

Im März 2014 veröffentlichte die französische Zeitung Le Monde einen Bericht über ein Cyberspionage-Tool, das das CSEC, das kanadische Communications Security Establishment, aufgespürt hatte. Das beschriebene Instrumentarium wurde in der Operation Snowglobe eingesetzt, die sich gegen französischsprachige kanadische Massenmedien, Griechenland, Frankreich, Norwegen und einige afrikanische Länder richtete. Ausgehend von den Ergebnissen der durchgeführten Analyse, vermutete das CSEC, dass diese Operation von französischen Geheimdiensten initiiert worden sein könnte.

Anfang 2015 veröffentlichten die Forscher eine Auswahl einiger Schadprogramme (1, 2, 3), die viel mit den Programmen der Operation Snowglobe gemein hatten. Insbesondere wurden Samples identifiziert, die den Namen Babar enthielten – den Namen des Programms also, auf das das CSEC hingewiesen hat.

Die Experten von Kaspersky Lab gaben der Gruppe, die hinter dieser Kampagne steht, den Namen Animal Farm, nachdem sie die Schadprogramme dieser Kampagne analysiert und eine Verbindung zwischen ihnen hergestellt hatten. Es stellte sich heraus, dass zwei der drei Zero-Day-Sicherheitslücken, die Kaspersky Lab im Jahr 2014 entdeckt hatte, und die in Cyberattacken ausgenutzt wurden, auch zum Arsenal dieser Gruppe gehörte. So führte beispielsweise ein Angriff von einer gehackten Site des syrischen Justizministeriums unter Verwendung eines Exploits zur Sicherheitslücke CVE-2014-0515 zum Download eines der Tools von Animal Farm mit dem Namen Casper.

Eine Besonderheit dieser Kampagne ist besonders erwähnenswert: Eins der Schadprogramme dieser Gruppe, NBOT, ist für die Durchführung von DDoS-Attacken vorgesehen, was eine recht ungewöhnliche Funktionalität für typische APT-Gruppen ist. Außerdem trägt eins der schädlichen „Tiere“ den seltsamen Namen Tafacalou – möglicherweise ist das ein Wort aus der okzitanischen Sprache, die unter anderem in Frankreich gesprochen wird.

Upatre – aktive Verbreitung des Bankers Dyre/Dyreza

Im ersten Quartal belegte Platz eins unter den Bank-Trojanern der Schädling Upatre – ein Loader der Finanzmalware Dyre, auch bekannt als Dyreza. Dieser Bank-Trojaner erschien bereits im Jahr 2014 und richtete sich gegen die Kunden verschiedener Finanzorganisationen. Er verwendet eine Technik zur Umgehung der geschützten SSL-Verbindung zum Diebstahl von Bezahlinformationen. Zudem verfügt der Schädling über die Funktion einer Fernwartungssoftware (Remote Administration Tools, RAT), damit ein Angreifer manuell eine Transaktion im Namen des Online-Banking-Nutzers durchführen kann.

Der Downloader Upatre wird den Nutzern via Spam-Mails zugestellt, von denen viele aussehen wie legitime Mitteilungen von Finanzeinrichtungen. Die Liste der von dem Bank-Trojaner Dyre – der wiederum von Upatre geladen wird – angegriffenen Banken umfasst die Bank of America, Natwest, Citibank, RBS und die Ulsterbank. Die Forscher weisen darauf hin, dass Dyre derzeit in Großbritannien am aktivsten ist.

PoSeidon – Angriffe auf PoS-Terminals

Es wurde ein neues Exemplar des Bank-Trojaners gefunden, der PoS-Terminals angreift. PoSeidon scannt den Inhalt des Arbeitsspeichers von PoS-Geräten auf das Vorhandensein von Bezahlinformationen, die in offener Form gespeichert sind, und sendet sie an die Cyberkriminellen.

Die Forscher von Cisco Security Solutions isolierten drei Komponenten des Schadprogramms, die mit großer Wahrscheinlichkeit zu PoSeidon gehören: Es handelt sich dabei um einen Keylogger, einen Downloader und im Grunde genommen um den Scanner des Arbeitsspeichers selbst, der auch über die Funktionalität verfügt, die Tastaturbetätigungen zu löschen. Der Keylogger ist zum Diebstahl von Account-Daten der Fernzugriffs-Software LogMeIn vorgesehen. Im Voraus löscht er die verschlüsselten Passwörter und Profile von LogMeIn, um den Nutzer dazu zu zwingen, alles erneut einzugeben. Die Forscher vermuten, dass der Keylogger dazu bestimmt ist, die ursprünglichen Daten für den Fernzugriff zu stehlen, die für die Kompromittierung des PoS-Systems und die weiter Installation von PoSeidon benötigt werden.

Nachdem die Angreifer sich Zugriff auf einen PoS-Terminal verschafft haben, installieren sie auf dem Terminal einen Downloader, der von ihren Steuerungsservern den Scanner FindStr lädt. Dieser ist dafür vorgesehen, im Arbeitsspeicher des PoS-Geräts nach bestimmten Zeilen zu suchen, die der Kartennummer entsprechen. Eine interessante Besonderheit ist, dass nur nach Kartennummern gesucht wird, die mit bestimmten Ziffern beginnen.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Mobile Bedrohungen

Alle mobilen Schädlinge werden zunehmend darauf spezialisiert, ihren Betreibern direkt Geld in die Kassen zu spülen. Virenschreiber entwickeln ihre Machwerke so, dass sie auf verschiedene Weise Geld und Bankdaten der Nutzer erbeuten.

Immer mehr SMS-Trojaner werden mit einer Funktionalität ausgestattet, die Attacken auf die Bankkonten der Opfer ermöglicht. So ist der Schädling Trojan-SMS.AndroidOS.OpFake.cc nun in der Lage, mindestens 29 Bank- und Finanz-Apps anzugreifen.

SMS-Trojaner nutzen zudem immer häufiger Erpresser-Funktionen. Trojan-SMS.AndroidOS.FakeInst.ep macht sich, um an die Kreditkartendaten seiner Opfer zu gelangen, beispielsweise die Methoden von Erpresserprogrammen zu eigen: Die von dem Schädling geöffneten Fenster lassen sich nur dann wieder schließen, wenn diese Daten eingegeben werden.

Dem Anwender wird eine Mitteilung im Namen von Google mit der Aufforderung angezeigt, seine Google Wallet zu öffnen und eine „Personifizierung“ mittels Eingabe seiner Kreditkartendaten durchzuführen (interessant ist insbesondere, dass als Begründung für diese Maßnahme unter anderem der Kampf gegen die Cyberkriminalität angegeben wird). Solange das Opfer seine Daten nicht eingibt, lässt sich das Fenster nicht vom Bildschirm entfernen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Ebenso wie SMS-Trojaner werden auch Spionagetrojaner modifiziert und verfügen dann über die Möglichkeit, die Bankkonten ihrer Opfer anzugreifen. Trojan-Spy.AndroidOS.SmsThief.ay kann jetzt beispielsweise fünf verschiedene Bank- und Finanz-Anwendungen angreifen.

So werden mobile Schädlinge, mit Hilfe derer Cyberkriminelle den Nutzern Geld stehlen wollen, immer häufiger zu multifunktionalen Werkzeugen. Jetzt sind nicht mehr nur spezialisierte Bank-Trojaner in der Lage, Geld von Bankkonten zu rauben, sondern auch einige SMS-Trojaner und sogar Spionage-Trojaner. Möglicherweise wurden unter anderem auch deshalb im ersten Quartal 2015 relativ wenige eigentliche mobile Bank-Trojaner gefunden.

Auf die mobilen Schadprogramme, die darauf ausgerichtet sind, den Anwendern Geld zu stehlen oder Geld zu erpressen (SMS-Trojaner, Bank-Trojaner und Erpresser-Trojaner), entfielen im ersten Quartal 2015 insgesamt 23,2 Prozent der neuen mobilen Bedrohungen. Alle drei Malware-Typen sind außerordentlich gefährlich, und die Gier der Virenautoren nach dem Geld ihrer Opfer treibt ihre Entwicklung voran.

Neuheiten des Quartals

  1. Weiterentwickelt hat sich der Trojaner Trojan-Banker.AndroidOS.Binka.d. Jetzt verfügt er auch über die Funktion, seine Opfer „abzuhören“. Geräusche werden vom Mikrofon aufgezeichnet und in einer Datei gespeichert, die an den Server der Cyberkriminellen übermittelt wird.
  2. Patching-Technik und Einschleusung des Schädlingscodes gehören nun zu den wichtigsten Verbreitungsmethoden von Trojanern. So wurde beispielsweise Trojan-SMS.AndroidOS.Chyapo.a in die Anwendung Unity Launcher Free eingeschleust. Den Unterschied zwischen sauberer und schädlicher Anwendung konnte man nur an der erscheinenden Aufforderung zum Zugriff auf die Verarbeitung eingehender SMS erkennen. Eine weitere interessante Besonderheit dieses Trojaners ist sein Steuerungszentrum, das auf sites.google.com gehostet wird.
  3. Die Autoren des SMS-Trojaners Podec haben sich einen neuen Verbreitungsmechanismus angeeignet, und zwar über das russischsprachige soziale Netzwerk VKontakte. Die Schaddatei wurde auf die Server des populären Netzes geladen, die für die Speicherung der Anwenderinhalte benutzt werden. Das hatte zur Folge, dass dieser Trojaner sich unter den ersten Drei nach Zahl der angegriffenen Anwender positionierte.
  4. In die Schädlinge integrierte Abwehr von Schutzlösungen ist keine neue Technologie, doch sie steigt auf der Beliebtheitsskala. Der Banktrojaner Trojan-Banker.AndroidOS.Svpeng.f, der im ersten Quartal entdeckt wurde, versucht die Anwendungen der AV-Anbieter Avast, Eset und DrWeb zu löschen.

Statistik der mobilen Bedrohungen

Im ersten Quartal 2015 entdeckten die Produkte von Kaspersky Lab zum Schutz mobiler Geräte 103.072 neue mobile Schadprogramme, das sind 3,3 Mal mehr als im vierten Quartal 2014.

Dabei betrug die Zahl der entdeckten schädlichen Installationspakete 147.835, das sind 2,3 Mal mehr als im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Anzahl der entdeckten schädlichen Installationspakete
und neuen mobilen Schadprogramme (Q3 2014 – Q1 2015 )

In letzter Zeit beobachten wir einen Rückgang im Verhältnis der Zahl neuer Schadprogramme und schädlicher Installationspakete. Im dritten Quartal 2014 entfielen auf jedes Schadprogramm durchschnittlich 6,2 schädliche Installationspakete, im vierten waren es ungefähr zwei. Im ersten Quartal 2015 ging dieser Wert auf 1,4 zurück.

Verteilung der mobilen Schädlinge nach Typen

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Verteilung neuer mobiler Schädlinge nach Typen,
erstes Quartal 2015

Das Rating der im ersten Quartal entdeckten schädlichen Objekte für mobile Geräte führen potenziell gefährliche Anwendungen des Typs RiskTool (35,7 Prozent) an. Es handelt sich dabei um legale Apps, die für die Nutzer potenziell gefährlich sind: Werden sie vom Smartphone-Besitzer oder von einem Verbrecher nicht ordnungsgemäß eingesetzt, so kann das zu finanziellen Verlusten für den Nutzer führen.

Auf dem zweiten Platz befinden sich die SMS-Trojaner mit einem Wert von 21 Prozent. Wir erinnern daran, dass der Anteil der SMS-Trojaner an allen neuen mobilen Bedrohungen im dritten Quartal 2014 von 22Prozent auf 14 Prozent zurückging. Doch schon zum Ende des Jahres 2014 stellten sie ihre Position wieder her. Nach Zuwachsgeschwindigkeit belegt diese Art mobiler Bedrohungen den dritten Platz: Die Gesamtzahl der SMS-Trojaner in unserer Sammlung stieg innerhalb der ersten drei Monate des Jahres 2015 um 18,7 Prozent.

Den dritten Platz im Rating belegen potenziell unerwünschte Werbe-Apps (15,2 Prozent). Der Anteil dieser Programme im Strom neuer mobiler Bedrohungen geht stetig zurück.

Der Anteil der Banktrojaner unter der im ersten Quartal gefundenen mobilen Malware nahm deutlich ab und betrug insgesamt 1,1 Prozent. Im Laufe des Quartals stieg die Zahl neuer mobiler Banktrojaner in unserer Kollektion auf 6,5 Prozent.

Bemerkenswert ist auch, dass Trojan-Ransom, der erst vor kurzem ins Arsenal der Cyberkriminellen Einzug hielt, den höchsten Wert bei der Zuwachsgeschwindigkeit unter allen mobilen Bedrohungen demonstriert. Im ersten Quartal wurden 1.113 gefunden, woraufhin die Zahl mobiler Erpresserprogramme um 65 Prozent gestiegen ist. Das ist eine gefährliche Tendenz, da Programme dieses Typs auf das Erpressen von Geld spezialisiert sind und dem Nutzer bei einer Infektion die Entstellung seiner persönlichen Daten und die Blockierung der Geräte droht.

Ein weiterer Typ mobiler Bedrohungen mit hoher Zuwachsgeschwindigkeit sind Spionage-Programme (Trojan-Spy). Innerhalb des ersten Quartals 2015 stieg ihr Anteil in unserer Kollektion um 35 Prozent.

TOP 20 der mobilen Schadprogramme
  Name Prozentualer Anteil der Attacken *
1 DangerousObject.Multi.Generic 10,90 Prozent
2 AdWare.AndroidOS.Viser.a 9,20 Prozent
3 Trojan-SMS.AndroidOS.Podec.a 7,92 Prozent
4 RiskTool.AndroidOS.MimobSMS.a 7,82 Prozent
5 Trojan-SMS.AndroidOS.OpFake.a 6,44 Prozent
6 Trojan.AndroidOS.Mobtes.b 6,09 Prozent
7 Adware.AndroidOS.MobiDash.a 5,96 Prozent
8 Exploit.AndroidOS.Lotoor.be 4,84 Prozent
9 RiskTool.AndroidOS.SMSreg.gc 4,42 Prozent
10 AdWare.AndroidOS.Xynyin.a 3,31 Prozent
11 AdWare.AndroidOS.Ganlet.a 2,63 Prozent
12 Exploit.AndroidOS.Lotoor.a 2,19 Prozent
13 AdWare.AndroidOS.Dowgin.l 2,16 Prozent
14 Trojan-SMS.AndroidOS.Stealer.a 2,08 Prozent
15 AdWare.AndroidOS.Kirko.a 2,04 Prozent
16 Trojan.AndroidOS.Rootnik.a 1,82 Prozent
17 Trojan.AndroidOS.Pawen.a 1,81 Prozent
18 Trojan-SMS.AndroidOS.Gudex.f 1,75 Prozent
19 RiskTool.AndroidOS.SMSreg.dd 1,69 Prozent
20 AdWare.AndroidOS.Kemoge.a 1,52 Prozent

* Prozentualer Anteil der von dem jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern

Auf dem ersten Platz befindet sich DangerousObject.Multi.Generic (10,90 Prozent). In diese Kategorie fallen neue Schadanwendungen, die von den Cloud-Technologien des Kaspersky Security Network erkannt werden. Das ermöglicht es unseren Produkten, schnell auf neue und unbekannte Bedrohungen zu reagieren.

Potenziell unerwünschte Werbeprogramme belegen sieben Positionen im Rating, darunter auch den zweiten Platz, auf dem das Werbemodul AdWare.AndroidOS.Viser.a (9,2 Prozent) landete.

Die SMS-Trojaner verlieren in den TOP 20 der detektierten Bedrohungen weiterhin an Boden: Im vierten Quartal 2014 belegten sie neun Positionen des Ratings, und im ersten Quartal 2015 nur ganze vier.

Gleichzeitig positionierte sich Trojan-SMS.AndroidOS.Podec.a (7,92 Prozent) schon das zweite Quartal in Folge in den TOP 3 der mobilen Bedrohungen, was auf seine aktive Verbreitung zurückzuführen ist. Wie wir bereits oben beschrieben haben, luden Cyberkriminelle diesen Schädling in den Dateispeicher des größten russischen sozialen Netzwerks VKontakte. Unter anderem ist dieser Trojaner unter Experten für die Verwendung des aktuell leistungsstärksten kommerziellen Obfuskators bekannt.

Vertreter von RiskTool belegten in den TOP 20 drei Positionen. Auf dem vierten Platz im Rating positionierte sich RiskTool.AndroidOS.MimobSMS.a, auf den 7,82 Prozent aller angegriffenen Anwender entfielen.

Mobile Bank-Trojaner

Innerhalb des Berichtzeitraums entdeckten wir 1.527 mobile Bank-Trojaner, das sind 4,4 Mal weniger als im vorangegangenen Quartal.

q1_2015_mw_4

Anzahl der entdeckten mobilen Bank-Trojaner (erstes Quartal 2014 – erstes Quartal 2015)

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Geografie mobiler Bank-Bedrohungen im ersten Quartal 2015
(Anzahl der angegriffenen Anwender)

96 Prozent aller Attacken mobiler Bank-Trojaner richteten sich gegen 10 Länder.

Top 10 der von Bank-Trojanern angegriffenen Länder:

  Land Prozentualer Anteil an allen Attacken *
1 Russland 86,66 Prozent
2 Ukraine 2,27 Prozent
3 USA 2,21 Prozent
4 Kasachstan 1,87 Prozent
5 Deutschland 0,97 Prozent
6 Südkorea 0,70 Prozent
7 Weißrussland 0,64 Prozent
8 Großbritannien 0,37 Prozent
9 Usbekistan 0,34 Prozent
10 Indien 0,21 Prozent

* Prozentualer Anteil der in dem jeweiligen Land angegriffenen Anwender an allen angegriffenen Nutzern

Traditioneller Spitzenreiter in diesem Rating ist auch im ersten Quartal Russland. Auf Platz zwei befindet sich im ersten Quartal die Ukraine, die die USA und Kasachstan auf den dritten und vierten Platz respektive verdrängte. Weißrussland rutschte von dem fünften auf den siebten Platz ab.

Geografie der mobilen Bedrohungen

Attacken durch mobile Schadprogramme wurden im Laufe des ersten Quartals 2015 mindestens einmal in 213 Ländern der Welt registriert.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Karte der Infektionsversuche mit mobilen Schädlingen im ersten Quartal 2015
(prozentualer Anteil an allen angegriffenen Anwendern)

TOP 10 der von mobilen Schadprogrammen angegriffenen Länder:

  Land Prozentualer Anteil der Attacken *
1 Russland 41,92 Prozent
2 Indien 7,55 Prozent
3 Deutschland 4,37 Prozent
4 Brasilien 3,20 Prozent
5 Iran 3,12 Prozent
6 Kasachstan 2,88 Prozent
7 USA 2,84 Prozent
8 Ukraine 2,53 Prozent
9 Malaysia 2,05 Prozent
10 Vietnam 1,87 Prozent

* Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen angegriffenen Anwendern

Spitzenreiter in diesem Rating bleibt Russland (42 Prozent) mit großem Abstand zu den übrigen Ländern. Auf dem zweiten Platz befindet sich Indien (7,5 Prozent).

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das unten dargestellte Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Web als auch bei Angriffen auf lokale Anwendungen verwendet werden – unter anderem auch auf mobilen Geräten.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, erstes Quartal 2015

Die erste Position in unserem Rating für das erste Quartal 2015 nimmt die Kategorie „Browser“ (64 Prozent) ein, die auch Exploits für den Internet Explorer einschließt. Im Jahr 2014 belegte diese Kategorie die Führungsposition nach der Summe der Werte für die letzten drei Quartale.

Im ersten Quartal beobachteten wir einen deutlichen Rückgang der Zahl von Exploits unter Oracle Java (-7 PP im Vergleich zum vierten Quartal 2014). Das lässt sich dadurch erklären, dass Exploits für diese Anwendungen fast vollständig aus allen Exploits-Packs entfernt wurden.

Erwähnenswert ist auch, dass die Zahl der Exploits für MS Office (+2 Prozentpunkte gegenüber dem vierten Quartal 2014) und Adobe Flash Player (+1 Prozentpunkte) im ersten Quartal gestiegen ist.

Die Zunahme schädlicher Flash-Objekte ist in erster Linie durch die große Zahl der im ersten Quartal 2015 gefundenen Sicherheitslücken bedingt. Derzeit sind in nahezu allen Exploit-Packs Exploits für Sicherheitslücken im Adobe Flash Player enthalten.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen eigens erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Online-Bedrohungen im Bankensektor

Im ersten Quartal 2015 wehrten die Lösungen von Kaspersky Lab auf den Computern von 929.082 KSN-Anwendern Ausführungsversuche von Software ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist. Im Vergleich zum vorangegangenen Quartal (565.515) stieg dieser Wert um 64,3 Prozent.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Zahl der von Finanz-Malware angegriffenen Computer (Q1 2015)

Wir beobachten eine Zunahme von Angriffen durch schädliche Finanzsoftware. Besonders im März 2015 ist die Zahl dieser Attacken stark gestiegen.

Die Schutzlösungen von Kaspersky Lab registrierten im ersten Quartal 2015 insgesamt 5.106.804 Meldungen über Infektionsversuche durch Schadprogramme, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert sind.

Geografie der Attacken

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Geografie der Attacken von Bankschädlingen (Q1 2015)

Top 10 der Länder nach Zahl der angegriffenen Anwender

  Land Zahl der angegriffenen Anwender
1 Brasilien 91 893
2 Russland 85 828
3 USA 66 699
4 Deutschland 51 670
5 Großbritannien 25 269
6 Indien 22 085
7 Türkei 21 397
8 Australien 18 997
9 Italien 17 663
10 Spanien 17 416

Brasilien ist unter den am häufigsten angegriffenen Ländern noch immer Spitzenreiter. Gegenüber dem vorangegangenen Quartal (79.845) stieg der Wert des Landes um 15Prozent.

Top 10 der Bank-Malware-Familien

Die TOP 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das erste Quartal 2015 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

Name Anzahl der Meldungen Anzahl der angegriffenen Anwender
Trojan-Downloader.Win32.Upatre 3 127 365 349 574
Trojan-Spy.Win32.Zbot 865 873 182 966
Trojan-Banker.Win32.ChePro 355 735 91 809
Trojan-Banker.Win32.Banbra 35 182 16 363
Trojan.Win32.Tinba 94 972 15 719
Trojan-Banker.Win32.Agent 44 640 12 893
Trojan-Banker.Win32.Shiotob 60 868 12 283
Trojan-Banker.Win32.Banker 39 728 12 110
Trojan-Spy.Win32.SpyEyes 57 418 9 168
Backdoor.Win32.Papras 56 273 3 062

Die überragende Mehrheit der Schädlinge aus den TOP 10 schleust willkürlichen HTML-Code in die vom Browser dargestellte Webseite ein und fängt Bezahldaten ab, die der Anwender in originale und eingefügte Webformulare eingibt.

Der Bank-Trojaner ZeuS (Trojan-Spy.Win32.Zbot) – nach den Ergebnissen für das Jahr 2014 an erster Stelle – räumte die Spitzenposition zu Gunsten von Trojan-Downloader.Win32.Upatre. Die Schädlinge dieser Familie sind recht simpel, mit einer Größe von nicht mehr als 3,5 KB und sie laden üblicherweise Bank-Trojaner aus einer Familie, die als Dyre/Dyzap/Dyreza bekannt ist. Die Liste der von diesem Banker angegriffenen Finanzinstitutionen hängt von der Konfigurationsdatei ab, die vom Steuerungszentrum geladen wird.

Ebenfalls in den TOP 3 der Bank-Trojaner vertreten ist Trojan-Banker.Win32.ChePro. Dieser Schädling wird mit Hilfe von Spam-Versendungen verbreitet, die thematisch auf das Online-Banking Bezug nehmen (so kann der Betreff einer Mail beispielsweise lauten: „Umsätze aus dem Online-Banking“). An die Mail angehängt ist ein Word-Dokument mit eingefügtem Bild. Mit einem Klick auf das Bild erfolgt ein Aufruf zum Start des Schadcodes.

Finanzbedrohungen

Die Finanzbedrohungen sind nicht auf Bankenschädlinge begrenzt, die die Nutzer von Online-Banking-Systemen angreifen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2015

Zahl der Angriffe durch Finanz-Malware

Die Finanzbedrohung, die nach Verbreitung an zweiter Stelle steht, ist der Raub von Bitcoin-Wallets. Eine weitere mit Kryptowährung zusammenhängende Bedrohung ist das Bitcoin-Mining, d.h. die Nutzung des Opfercomputers zur Generierung von Bitcoins.

Top 20 der schädlichen Objekte im Internet

Im ersten Quartal 2015 erkannte Kaspersky Anti-Virus 28.483.783 individuelle schädliche Objekte (wie Skripte, Exploits, ausführbare Dateien und weitere).

Von allen Schadprogrammen, die an Internet-Attacken auf die Computer der Anwender beteiligt waren, hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 95,9 Prozent aller Web-Attacken.

TOP 20 der schädlichen Objekte im Internet

  Name* Anteil an allen Attacken in Prozent **
1 Malicious URL 37,55 Prozent
2 AdWare.JS.Agent.bg 36,06 Prozent
3 AdWare.Script.Generic 6,58 Prozent
4 Trojan.Script.Iframer 4,49 Prozent
5 AdWare.NSIS.AnProt.b 3,83 Prozent
6 Trojan.Script.Generic 2,91 Prozent
7 AdWare.JS.Agent.an 1,06 Prozent
8 AdWare.Win32.Yotoon.bfm 0,81 Prozent
9 Trojan.JS.Redirector.ads 0,47 Prozent
10 Exploit.Script.Blocker 0,33 Prozent
11 AdWare.Win32.Eorezo.eod 0,31 Prozent
12 Trojan.Win32.Generic 0,24 Prozent
13 Trojan-Downloader.Win32.Generic 0,22 Prozent
14 AdWare.Win32.ConvertAd.vo 0,17 Prozent
15 Trojan-Downloader.Script.Generic 0,16 Prozent
16 AdWare.NSIS.Agent.bx 0,16 Prozent
17 AdWare.NSIS.Agent.cv 0,13 Prozent
18 AdWare.AndroidOS.Xynyin.a 0,13 Prozent
19 AdWare.Win32.Yotoon.heur 0,12 Prozent
20 AdWare.Win32.SoftPulse.xvm 0,12 Prozent

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
**Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Die TOP 20 setzen sich zum größten Teil aus Schadfamilien zusammen, die durch Objekte repräsentiert werden, die bei Drive-by-Attacken genutzt werden, sowie aus Werbeprogrammen. 37,55 Prozent aller Alarme von Kaspersky Anti-Virus entfielen auf Links aus der Schwarzen Liste.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im ersten Quartal 2015 wehrten die Lösungen von Kaspersky Lab 469.220.213 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 90 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden

q1_2015_mw_11

Verteilung der Quellen von Webattacken nach Ländern, erstes Quartal 2015

Die Zusammensetzung unserer Top 10 ist schon seit recht langer Zeit praktisch unverändert, allerdings gab es im ersten Quartal dieses Jahres einen neuen Spitzenreiter. Jetzt belegt mit einem Wert von fast 40Prozent Russland den ersten Platz, das von Position vier aufgestiegen ist. Der Spitzenreiter des vergangenen Quartals, die USA, belegen nun mit einem Wert von 18Prozent den zweiten Platz.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, bei wie vielen individuellen Anwendern von Kaspersky-Lab-Produkten Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Prozentualer Anteil individueller KSN-Teilnehmer **
1 Kasachstan 42,37 Prozent
2 Russland 41,48 Prozent
3 Aserbaidschan 38,43 Prozent
4 Ukraine 37,03 Prozent
5 Kroatien 37,00 Prozent
6 Armenien 35,74 Prozent
7 Mongolei 33,54 Prozent
8 Moldawien 33,47 Prozent
9 Weißrussland 33,36 Prozent
10 Kirgisien 32,20 Prozent
11 Algerien 32,12 Prozent
12 Katar 31,15 Prozent
13 Georgien 30,69 Prozent
14 Vereinigte Arabische Emirate 29,36 Prozent
15 Lettland 28,69 Prozent
16 Tadschikistan 28,36 Prozent
17 Bosnien und Herzegowina 28,00 Prozent
18 Griechenland 27,55 Prozent
19 Tunesien 27,54 Prozent
20 Bulgarien 27,44 Prozent

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.
* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal 2015 belegte Kasachstan den ersten Platz im Rating und verdränget damit Russland auf Position zwei. Im Gegensatz zum vorangegangenen Quartal sind Vietnam und Portugal nicht mehr in den Top 20 vertreten. Neueinsteiger im Rating sind Bosnien und Herzegowina (28,00 Prozent) und Griechenland (27,55 Prozent), die die Ränge 17 und 18 belegten.

Zu den beim Surfen im Internet sichersten Ländern gehören Japan (12,4 Prozent), Dänemark (12,7 Prozent), Singapur (14,3 Prozent), Finnland (14,9 Prozent), Südafrika (14,8 Prozent) und die Niederlande (15,2 Prozent).

q1_2015_mw_12

Durchschnittlich waren im Laufe des Quartals weltweit 26,3 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Lokale Bedrohungen

Ein überaus wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören Objekte, die nicht über das Internet, E-Mails oder Portzugriffe in die Systeme eindringen.

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im ersten Quartal 2015 registrierten unsere Antiviren-Lösungen 253.560.227 individuelle schädliche und potenziell unerwünschte Objekte

Top 20 der auf den Computern entdeckten schädlichen Objekte

  Name* Prozentualer Anteil der individuellen angegriffenen KSN-Teilnehmer **
1 DangerousObject.Multi.Generic 22,56 Prozent
2 Trojan.WinLNK.StartPage.gena 17,05 Prozent
3 Trojan.Win32.Generic 15,06 Prozent
4 AdWare.Script.Generic 6,12 Prozent
5 WebToolbar.Win32.Agent.azm 4,49 Prozent
6 WebToolbar.JS.Condonit.a 4,20 Prozent
7 AdWare.Win32.Agent.heur 4,15 Prozent
8 RiskTool.Win32.BackupMyPC.a 3,83 Prozent
9 Downloader.Win32.Agent.bxib 3,74 Prozent
10 Trojan.Win32.AutoRun.gen 3,70 Prozent
11 Trojan.VBS.Agent.ue 3,64 Prozent
12 Downloader.Win32.MediaGet.elo 3,42 Prozent
13 AdWare.Win32.SearchProtect.ky 3,34 Prozent
14 Worm.VBS.Dinihou.r 3,31 Prozent
15 Virus.Win32.Sality.gen 3,18 Prozent
16 AdWare.Win32.DealPly.brj 2,86 Prozent
17 Trojan.Script.Generic 2,74 Prozent
18 AdWare.Win32.NewNext.a 2,70 Prozent
19 WebToolbar.JS.CroRi.b 2,66 Prozent
20 AdWare.MSIL.Kranet.heur 2,49 Prozent

*Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
**Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell werden die meisten Plätze dieses Ratings von Adware und ihren Komponenten (wie beispielsweise Trojan.VBS.Agent.ue) sowie Würmern belegt, die sich auf mobilen Datenträgern verbreiten. In diesem Fall waren es 13 Positionen im Rating.

Erstmals im den Top 20 vertreten, und zwar gleich auf dem zweiten Platz, ist Trojan.WinLNK.StartPage.gena. Zu dieser Kategorie gehören LNK-Dateien, in die ein Link zum Start des Browsers mit Hinweis auf die zu öffnende Seite geschrieben ist. Diese Seiten haben in der Regel Namen, die den Namen von Suchsystemen sehr ähnlich sind, doch in Wahrheit leiten sie den Nutzer auf Websites mit zweifelhaften Inhalten weiter. Einige dieser Ziel-Websites können eine Gefahr darstellen und werden auch vom Web-Antivirus erkannt. Besonders viele dieser LNK-Dateien wurden im Januar detektiert.

Der einzige Virus im Rating ist Virus.Win32.Sality.gen, der immer mehr an Boden verliert. Der Anteil der mit diesem Virus infizierten Computer geht schon seit langer Zeit stetig zurück. Im Rating für das erste Quartal 2015 belegte Sality mit einem Wert von 3,18 Prozent den 15. Platz.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, bei wie viel Prozent der Nutzer von Kaspersky Lab-Produkten Kaspersky Antivirus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

TOP 20 der Ländern nach Infektionsniveau der Computer

  Land* Prozentualer Anteil individueller KSN-Teilnehmer**
1 Vietnam 60,68 Prozent
2 Bangladesch 60,20 Prozent
3 Mongolei 57,28 Prozent
4 Jemen 55,91 Prozent
5 Somalia 55,64 Prozent
6 Nepal 55,01 Prozent
7 Afghanistan 54,91 Prozent
8 Algerien 54,83 Prozent
9 Irak 54,38 Prozent
10 Kambodscha 52,70 Prozent
11 Laos 52,54 Prozent
12 Armenien 52,44 Prozent
13 Pakistan 51,95 Prozent
14 Kasachstan 51,54 Prozent
15 Ruanda 51,36 Prozent
16 Äthiopien 50,93 Prozent
17 Ägypten 50,60 Prozent
18 Syrien 50,11 Prozent
19 Indien 50,00 Prozent
20 Tadschikistan 49,80 Prozent

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.
*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Über einen langen Zeitraum haben Länder aus Afrika, dem Nahen Osten und Südostasien alle Positionen in diesem Rating belegt. Doch in diesem Quartal durchbrechen Armenien (12. Platz), Kasachstan (14. Platz) und Tadschikistan (20. Platz) diese Regelmäßigkeit.

Vietnam (60,68 Prozent) steht seit nunmehr fast zwei Jahren an der Spitze dieses Ratings, und Bangladesch (60,2 Prozent) und die Mongolei (57,3 Prozent) halten ihre Positionen das dritte Quartal in Folge.

In Russland wurden im ersten Quartal 2015 auf den Computern von 49,6 Prozent der Anwender lokale Bedrohungen gefunden.

q1_2015_mw_13

Zu den in Bezug auf das Niveau lokaler Infektionen sichersten Ländern gehören: Japan (14,7 Prozent), Dänemark (20,1 Prozent), Schweden (21,4 Prozent), Hongkong (21,5 Prozent), Finnland (21,6 Prozent).

Durchschnittlich wurden im Laufe des ersten Quartals 2015 weltweit auf 39,8 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert, das sind um 2 Prozentpunkte mehr als im vierten Quartal 2014.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.