Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Inhalt

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) wehrten die Produkte von Kaspersky Lab 228.420.754 Attacken von Internet-Ressourcen ab, die sich in 195 Ländern der Welt befinden.
  • Kaspersky Anti-Virus schlug bei 74.001.808 individuellen URLs Alarm.
  • Kaspersky Anti-Virus spürte 18.610.281 individuelle Schadobjekte auf (wie Skripte, Exploits, ausführbare Dateien und andere).
  • Infektionsversuche durch Malware, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist, wurden auf den Computern von 459.970 Nutzern von Kaspersky-Produkten abgewehrt.
  • Angriffe durch Ransomware wurden auf den Computern von 372.602 individuellen Anwendern abgewehrt.
  • Die Antiviren-Lösungen von Kaspersky Lab registrierten 174.547.611 individuelle schädliche beziehungsweise potenziell unerwünschte Objekte.
  • Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdeckten im ersten Quartal 2016
    • 2.045.323 schädliche Installationspakete
    • 4.146 mobile Banktrojaner
    • 2.896 mobile Erpresser-Trojaner

Überblick

Das Jahr 2016 hat gerade erst angefangen, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, dass es noch vor ein paar Jahren für ganze zwölf Monate ausgereicht hätte. Während alle bestehenden Trends unverändert bleiben, haben sich die Tendenzen deutlich verstärkt, die mit der traditionellen Cyberkriminalität in Zusammenhang stehen, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen.

So war Ransomware auch das Hauptthema des Quartals, das sogar die zielgerichteten Attacken in die zweite Reihe verwies. Leider wird sich die Situation auch weiterhin in diese Richtung entwickeln, und die Erpresser haben die besten Chancen, zum „Problem des Jahres“ gekürt zu werden.

Zielgerichtete Attacken

BlackEnergy2/3

Der Vorfall, der am meisten Aufsehen erregte, war die Cyberattacke BlackEnergy auf Energieversorgungsbetriebe in der Ukraine. Obwohl sich dieser Vorfall Ende des vergangenen Jahres ereignete, ergab sich erst im Laufe der folgenden Analyse ein vollständiges Bild des Geschehenen. Zudem versuchten die Angreifer auch im Jahr 2016, neue Attacken zu organisieren.

Die Attacke wurde durch ihre Folgen zu etwas Einmaligem: Den Hackern gelang es, die Stromverteilungssysteme in der Westukraine abzuschalten. Sie starteten das Programm Wiper in den angegriffenen Systemen, um den Inhalt der infizierten Computer zu löschen und eine Telefon-DDoS-Attacke auf den technischen Support der angegriffenen Unternehmen durchzuführen.

Über diese Attacke wurde recht viel geschrieben. Auch die Experten von Kaspersky Lab beleuchteten verschiedene Aspekte der Aktivität der Gruppe, die hinter diesem Vorfall steckt. Eine dieser Analysen behandelt das Tool, das benutzt wurde, um in die Systeme einzudringen – eine schädliche DOC-Datei.

Wer Genaueres über diese Attacke erfahren möchte, dem empfehlen wir den Bericht des amerikanischen SANS-Institute, der in Zusammenarbeit mit dem ICS-CERT erstellt wurde.

Poseidon

Im Februar deckten die Experten von Kaspersky Lab Einzelheiten über die Arbeit der portugiesischen Cybercrime-Gruppe auf, die „Poseideon“, ein Toolset für zielgerichtete Attacken, ins Leben gerufen hat.

Auch wenn der Bericht erst im Jahr 2016 vorgestellt wurde, ist die Cyberverbrecherbande schon seit langem aktiv. Schädliche Kampagnen, bei denen Poseidon-Mitglieder ganz offensichtlich ihre Finger im Spiel hatten, wurden bereits 2005 entdeckt, und das erste Sample des Schädlings datiert auf das Jahr 2001. Das Toolset von Poseidon richtet sich ausschließlich gegen Computer unter Windows: von Windows 95, mit dem sie ihre „Karriere“ begannen, bis hin zu Windows 8.1 und Windows Server 2012, für die die jüngsten der entdeckten Samples entwickelt wurden.

Das Angriffsszenario wird sorgfältig den Eigenheiten des Ziels angepasst. Auch wenn die Erstinfektion immer nach ein und demselben Schema abläuft, werden bei den folgenden Etappen der Kampagne die Besonderheiten berücksichtigt, die für jedes neue Opfer charakteristisch sind. Aus genau diesem Grunde haben die Spezialisten des Global Research & Analysis Team von Kaspersky Lab (GReAT) Poseidon auch als eine „Boutique für kundenspezifisch zugeschnittene Malware“ beschrieben.

Nachdem sie sich Zugriff auf ein Unternehmensnetzwerk verschafft haben, bewegen sich die Verbrecher durch dieses Netzwerk und sammeln möglichst viele verschiedene Daten, um ihre Privilegien zu erhöhen, eine Karte des Netzwerks zu erstellen und den Computer ausfindig zu machen, den sie benötigen. Das Hauptziel eines Angriffs ist normalerweise der Controller der lokalen Windows-Domain, denn nachdem sie diesen abgefangen haben, sind die Cyberkriminellen in der Lage, Objekte intellektuellen Eigentums sowie Daten, die Betriebsgeheimnisse darstellen, und andere wertvolle Informationen zu stehlen.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Die Informationen, die Poseidon für seine Herren gesammelt hatte, wurden in den meisten Fällen zu Erpressungszwecken eingesetzt. Mit ihrer Hilfe versuchten die Bandenmitglieder ihre Opfer dazu zu zwingen, einen Vertrag über Dienstleistungen zur Gewährleistung der Informationssicherheit zu unterzeichnen. Ganz unabhängig davon, ob aus dem Geschäft etwas wurde, verblieb Poseidon im Netz.

Hacking Team

Eine andere „Boutique“ zur Erstellung von Cyberspionage-Tools, das italienische Unternehmen Hacking Team (HAT), wurde im vergangen Jahr selbst Opfer einer Cyberattacke, in deren Verlauf eine gigantische Datenbank mit der E-Mail-Korrespondenz der Mitarbeiter gestohlen wurde sowie ein Teil des Quellcodes des Projektes.

Viele waren nun der Ansicht, dass es nach diesem Ereignis, das viele Probleme in der Arbeit des Unternehmens aufgedeckt hatte, für Hacking Team sehr schwierig werden würde, die Geschäfte erfolgreich weiterzuführen. Doch schon Anfang 2016 wurden die ersten neuen Module der Backdoors von Hacking Team für Mac OS X entdeckt. Das lässt darauf schließen, dass die Gruppe nicht vorhat, ihre Arbeit einzustellen und ihre Entwicklungen im Bereich weniger weit verbreiteter Betriebssysteme fortführen wird. Folglich werden ihre „Machwerke“ auch weiterhin ein Problem für die Anwender darstellen, die für die Auftraggeber der Produkte von HAT von Interesse sind.

Eine weitere Geschichte im Zusammenhang mit Hacking Team ist unsere Jagd nach einer Zero-Day-Sicherheitslücke in Silverlight. Informationen darüber, dass eine solche Sicherheitslücke möglicherweise existiert, wurden in Dokumenten des italienischen Unternehmens gefunden. Sich auf eine nur sehr geringe Menge von Quelldaten stützend und mit den Tools Yara und VirusTotal ausgestattet warfen unsere Experten die Angel aus und warteten. Und tatsächlich spürten sie eine Zero-Day-Sicherheitslücke auf.

Operation „Blockbuster“

Kaspersky Lab war einer der Teilnehmer der Operation „Blockbuster“ – einer gemeinsamen Studie einiger großer Unternehmen auf dem Gebiet der Cybersicherheit. Untersuchungsgegenstand war die Tätigkeit der Lazarus Group, die vermutlich südkoreanischer Herkunft ist und unter anderem in die skandalträchtige Attacke auf Sony Pictures im Jahr 2014 verwickelt war.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Die Existenz der Lazarus Group lässt sich bis ins Jahr 2009 zurückverfolgen. Wirklich aktiv wurden sie allerdings erst im Jahr 2011. Diese Gruppe ist verantwortlich für so bekannte Attacken wie Troy, Dark Seoul (Wiper) und WildPositron. Im Laufe der Untersuchung wurden mehr als 40 verschiedene Arten von Schadprogrammen gefunden, die von der Gruppe über die Jahre für ihre Attacken entwickelt wurden. Mit Hilfe dieser Schädlinge griffen die Cyberverbrecher insbesondere Unternehmen, Finanzorganisationen sowie Radio- und Fernsehsender an. Nachweislich setzten sie auch Exploits ein und nutzten Zero-Day-Sicherheitslücken aus.

Krankenhäuser unter Beschuss

Zu der Kategorie Zielgerichtete Attacken zählen wir auch die Studie von Sergey Lozhkin, die zeigt, wie Hacker mit Hilfe von allgemein zugänglichen Tools und Online-Diensten in das interne Netz von Kliniken eindringen und sich so vollständigen Zugriff auf Patientendaten verschaffen können.

Leider werden ausgerechnet medizinische Einrichtungen immer häufiger zu Zielen solcher Attacken. Im ersten Quartal 2016 gab es mehrere Fälle, in denen die Netzwerke von Krankenhäusern mit verschiedenen trojanischen Erpresser-Programmen infiziert wurden. Diese verschlüsselten die Daten und von den betroffenen Organisationen wurde ein Lösegeld für die Wiederherstellung der Daten gefordert.

Die zeitlich jüngste Attacke war der Angriff auf das im US-Bundesstaat Maryland ansässige Netzwerk von MedStar, von dem zehn Kliniken betroffen waren. Doch nach offiziellen Angaben von MedStar konnten die Daten gerettet werden, ohne dass ein Lösegeld an die Erpresser gezahlt wurde. Ein anderes Krankenhaus in Kalifornien hingegen musste 17.000 US-Dollar zahlen.

Cyberkriminalität

Adwind

Auf dem Security Analyst Summit 2016 (SAS 2016) stellten unsere Experten aus dem Global Research & Analysis Team (GReAT) Details ihrer Ermittlungsarbeit zu der Aktivität des Fernsteuerungs-Trojaners Adwind RAT (Remote Access Tool) vor. Nachdem sie die Aktivität des Schädlings studiert hatten, kamen die Forscher zu dem Schluss, dass bereits die Entstehungsgeschichte des Trojaners ungewöhnlich ist.

Der Trojaner wurde schrittweise im Laufe mehrerer Jahre entwickelt. Die ersten Samples tauchten im Jahr 2012 auf. Zu unterschiedlichen Zeiten trug der Trojaner unterschiedliche Namen: 2012 verkauften die Verbrecher ihr Machwerk unter dem Namen Frutas, im Jahr 2013 als Adwind. 2014 verwandelte sich der Trojaner in Unrecom und AlienSpy, und im Jahr 2015 erhielt er den Namen JSocket.

Die Spezialisten von GReAT sind der Meinung, dass Adwind und alle seine Inkarnationen aus der Feder ein und desselben fleißigen Virenautors stammen, der seit nunmehr vier Jahren immer neue Funktionen und Module hinzufügt.

Zunächst war die Adwind-Plattform nur in spanischer Sprache verfügbar. Später wurde sie mit einem englischsprachigen Interface ausgestattet, was es Cyberkriminellen auf der ganzen Welt ermöglichte, Adwind zu verwenden. Die Hauptnutzer des Trojaners sind Betrüger, die Cyberverbrechen auf hohem Niveau begehen, unredliche Konkurrenten aus irgendeinem Geschäftszweig sowie Internet-Söldner, die sich dafür bezahlen lassen, Individuen und Organisationen online auszuspionieren. Darüber hinaus kann die Software Adwind von jeder beliebigen Person benutzt werden, die ihren Bekannten hinterherschnüffeln will.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Auch bezüglich der geografischen Verteilung der Opfer gab es in den letzten vier Jahren immer wieder Veränderungen. Im Jahr 2013 waren in erster Linie die Länder unter Beschuss, in denen Spanisch und Arabisch gesprochen wird. Im darauffolgenden Jahr hatten es die Verbrecher auf die Türkei und Indien abgesehen, ebenso wie auf Nutzer in den Vereinigten Arabischen Emiraten und Vietnam. Im Jahr 2015 befand sich Russland an der Spitze des Ratings der Länder mit der höchsten Opferdichte, doch die Vereinigten Arabischen Emirate, die Türkei, die USA und Deutschland waren dem Spitzenreiter dicht auf den Fersen.

Glücklicherweise können wir sagen, dass unsere Forschungen nicht umsonst waren – einige Tage nach Veröffentlichung unserer Untersuchungsergebnisse hatte die Webseite JSocket ihren Dienst eingestellt und der Autor von Adwind schraubte seine gesamte Tätigkeit herunter. Seither sind keine neuen Varianten des Trojaners mehr aufgetaucht. Möglicherweise bekommen wir es bald mit der nächsten Reinkarnation dieses Trojaners zu tun. Möglicherweise wurde unter diese Geschichte aber auch ein endgültiger Schlussstrich gezogen.

Bankenbedrohungen

Auf dem Security Analyst Summit (SAS 2016) gab Kaspersky Lab die Entdeckung zweier neuer Gruppierungen bekannt, die mit APT-Überfällen in Verbindung stehen: Metel und GCMAN, sowie die Wiederbelebung der Tätigkeit der Carbanak-Gruppe – mit nunmehr neuen Zielen.

Im Jahr 2015 ermittelten Mitarbeiter von Kaspersky Lab bei Vorfällen in 29 Organisationen in Russland, die von diesen drei Gruppen attackiert wurden.

In Russland gibt es aktuell noch mehr aktive Verbrechergruppen, die Banken angreifen, aber Metel, GCMAN und Carbanak sind die aktivsten unter ihnen, und sie waren an denjenigen Diebstählen beteiligt – sowohl von Kundenkonten als auch von den Finanzorganisationen selbst –, die für das größte Aufsehen sorgten.

Von besonderem Interesse ist die Tätigkeit von Carbanak 2.0. Im Dezember 2015 konnten wir nachweisen, dass die Gruppe nach wie vor aktiv ist. Kaspersky Lab hatte in zwei Fällen Hinweise auf Carbanak entdeckt, und zwar beim Einbruch in die Computersysteme eines Telekommunikationsunternehmens und einer Finanzorganisation. Eine interessante Besonderheit der Gruppe Carbanak 2.0 ist ihr verändertes Opferprofil. Die Gruppe konzentriert sich nun nicht mehr auf Banken, sondern sie hat es jetzt vielmehr auf die Budget- und Buchhaltungsabteilungen jeder Organisation abgesehen, die in ihrem Fokus steht. Dabei setzte die Bande Mittel und Techniken ein, die für ATP-Attacken charakteristisch sind.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

In einem bemerkenswerten Fall nutzte die Gruppe Carbanak 2.0 den Zugriff auf eine Finanzorganisation, bei der Informationen über Aktienhalter verwahrt wurden, um die Daten des Besitzers eines großen Unternehmens zu ändern. Die echten Informationen über den Unternehmer wurden gegen die Daten eines „Geldesels“ ausgetauscht.

Bangladesch

Von den weltweiten Ereignissen, die mit Angriffen auf Banken zusammenhängen, sticht besonders die Geschichte hervor, die sich mit der Zentralbank von Bangladesch ereignete. Bemerkenswert ist dabei nicht nur das Ziel des Angriffs, die Zentralbank, sondern auch die Summe, die es den Cyberkriminellen gelang zu stehlen, sowie auch die Summe, die sie versuchten zu stehlen, es jedoch nicht schafften.

Die Ermittlungen in diesem Fall dauern noch an, doch mit den veröffentlichten Informationen lässt sich ein Bild des Geschehens zeichnen. Bereits Anfang Februar verschafften sich Hacker Zugriff auf die Workstations einiger Zentralbank-Mitarbeiter. Daraufhin verschickten sie in deren Namen Anweisungen zur Überweisung von Geldern, die in verschiedenen Banken verwahrt wurden, unter anderem in der Federal Reserve Bank in New York. Mit vollen Zugriffsrechten und sich als echte Mitarbeiter ausgebend gelang es ihnen, rund 80 Millionen US-Dollar zu stehlen. Das Geld wurde auf Konten in Finnland transferiert und daraufhin durch eine „Waschstraße“ geschickt, unter Beteiligung ortsansässiger Casinos und Forex-Broker.

Weitere 20 Millionen US-Dollar sollten nach Sri Lanka transferiert werden, doch hier machten die Hacker einen Fehler bei der Bezeichnung der Empfänger-Organisation, was das Misstrauen der Deutschen Bank weckte, die Partner-Bank ist. Im Rahmen der Ermittlungen wurde festgestellt, dass die Zahlungsanweisung von Hackern initiiert worden war und dass noch ungefähr 900 Millionen US-Dollar in der Warteschleife zur Überweisung steckten.

Bemerkenswert ist auch, dass der Finanzminister von Bangladesch erst einen Monat später von den Ereignissen erfuhr, und zwar aus den Medien, die über diese Geschichte berichteten. Der Leiter der Zentralbank wurde in den Ruhestand geschickt, die Ermittler versuchten, die Schuldigen ausfindig zu machen und die Bank trifft Maßnahmen, um wenigstens einen Teil des gestohlenen Geldes zurückzuholen.

Ransomware

Wie bereits eingangs erwähnt, sind Verschlüsselungstrojaner das Hauptthema des Quartals und könnten sich zum Hauptproblem des gesamten Jahres entwickeln.

Zur Verschlechterung der Lage trägt auch bei, dass eine Reihe von Verschlüsselungsschädlingen allen interessierten Personen in Form von Quellcode zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar gewöhnliche Script-Kiddies ihre eigene Trojaner-Version zusammenbasteln können. In Kombination mit der aktiven Verwendung von Bitcoin zur Lösegeldzahlung erleichtert ihnen das die Organisation von Attacken erheblich und erhöht die Wahrscheinlichkeit, dass sie straffrei ausgehen.

Zudem hat sich mittlerweile auch schon der Terminus RaaS – Ransomware-as-a-Service – etabliert. Er beschreibt das Schema, nach dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen gewissen Prozentsatz des eingenommenen Geldes abzugeben. Die Kunden solcher Dienste sind hauptsächlich Webmaster verschiedener Porno-Webseiten. Es gibt auch Dienstleistungen, die umgekehrt funktionieren: Ihre Anbieter stellen ein komplettes Toolset zur Arbeit mit einem Verschlüsselungstrojaner zur Verfügung und behalten einen Teil der Einnahmen als Kommission für sich ein.

Nach Berichten verschiedener Unternehmen wurden im ersten Quartal Fälle registriert, in denen Ransomware von verschiedenen bekannten APT-Gruppen eingesetzt wurde, in erster Linie von chinesischen. Wir haben zudem verschiedene Beispiele gefunden, in denen keine chinesischen Gruppen am Werk waren. Wenn sich diese Ansätze zu einem Trend auswachsen, steigt das Bedrohungsniveau auf die nächsthöhere Stufe, denn der Schaden, den Verschlüsselungsschädlinge anrichten, unterscheidet sich nur wenig von den Auswirkungen, die die Aktivität von Trojanern des Typs Wiper hat. In dem einen wie in dem anderen Fall kann das Opfer nicht mehr auf seine Daten zugreifen.

Außerdem weiten Kryptotrojaner jetzt ihren Infektionsbereich aus. Im ersten Quartal 2016 waren Webserver Angriffsobjekte von CTB-Locker.

Früher hob sich CTB-Locker alias Onion dadurch von anderer Ransomware ab, dass er das anonyme Netzwerk Tor nutzte, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, da es in der Regel nur gelingt, statische Server abzuschalten. Die Nutzung von Tor trug dazu bei, zu verhindern, dass der Schädling entdeckt und blockiert wird. Noch etwas anderes schützte die Betreiber von CTB-Locker: Die Lösegeldzahlung wurde ausschließlich in Bitcoin angenommen, der dezentralisierten anonymen Kryptowährung.

Die neue Version des Schädlings verschlüsselt Webserver und verlangt als Lösegeld weniger als einen halben Bitcoin (etwa 150 US-Dollar). Wird das Geld nicht fristgerecht gezahlt, so verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Bei Zahlung des Lösegeldes wird ein Schlüssel zur Dechiffrierung der Dateien auf dem Webserver generiert.

Die größte Epidemie eines Verschlüsselungsschädlings im ersten Quartal war allerdings die Locky-Seuche (von den Kaspersky-Lösungen als Trojan-Ransom.Win32.Locky erkannt).

Der Schädling wird bis heute ungebremst aktiv verbreitet. Die Produkte von Kaspersky Lab registrierten in 114 Ländern der Welt Versuche, Rechner mit diesem Trojaner zu infizieren.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Um den Schädling in Umlauf zu bringen, initiieren die Cyberverbrecher massenhafte Spam-Versendungen mit angehängten schädlichen Ladeprogrammen. Zuerst war an die schädlichen Spam-Mails Eine DOC-Datei mit Makro angehängt, das den Trojaner Locky von einem entfernten Server lud und ihn startete.

Derzeit wird der Versand von schädlichem Spam fortgesetzt, doch im Anhang befinden sich nun keine DOC-Dateien mehr, sondern ZIP-Archive, die ein oder mehrere obfuskierte Skripte in JavaScript enthalten. Der Text der E-Mail ist meist auf Englisch, doch es gibt auch zweisprachige Varianten.

Die bedeutendste technische Neuheit in moderner Ransomware besteht in der Funktion, nicht nur die Dateien als solche, sondern die gesamte Festplatte zu verschlüsseln. Genauer gesagt, die Master File Table. Dieser Trick wurde von einem Trojaner namens „Petya“ angewandt (was übrigens nicht zwingend bedeutet, dass er von russischsprachigen Virenschreibern entwickelt wurde).

Hat er die Verschlüsselung der Master File Table abgeschlossen, zeigt „Petya“ sein wahres Gesicht, das aussieht wie ein Totenschädel aus ASCII-Zeichen. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Der Schädling fordert ein Lösegeld von dem Opfer – in diesem Fall in Höhe von 0,9 Bitcoin (ungefähr 380 US-Dollar).

q1_2016_mw_de_6

Auf dieser Etappe ist das Einzige, was „Petya“ von anderer Erpressersoftware unterscheidet, die Tatsache, dass er ohne Verbindung zum Netz arbeitet. Das ist allerdings auch nicht verwunderlich, da er höchst selbst das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, „geschluckt“ hat. Daher muss sich der Nutzer einen anderen Computer suchen, um das Lösegeld bezahlen und seine Daten wiederherstellen zu können.

Im März entdeckten die Kaspersky-Experten den jüngsten Verschlüsselungsschädling für die Plattform Mac OS X – Trojan-Ransom.OSX.KeRanger. Angreifer infizierten zwei Installer des BitTorrent-Clients des Open-Source-Projekts Transmission, die auf ihrer offiziellen Webseite zum Download bereit standen. Höchstwahrscheinlich wurde die Seite des Projekts gehackt und die zum Download bereitgestellten Dateien durch neu kompilierte Schädlingsversionen ausgetauscht. Der Verschlüsselungstrojaner KeRanger wurde mit einem gültigen Apple-Zertifikat signiert und konnte daher den Gatekeeper umgehen, die Sicherheitsfunktion des Betriebssystems.

Verschlüsselungstrojaner: Statistik

Die Verschlüsselungsschädlinge gehören zu der Klasse Trojan-Ransom, das heißt zu den Erpressertrojanern. Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten, wobei 25 Prozent der detektierten Trojan-Ransom-Schädlinge auf Browser-Erpresser entfallen, die in erster Linie in Russland und den GUS-Staaten detektiert werden. In diesem Abschnitt werden die Browser-Erpresser nicht berücksichtigt, sondern ausschließlich die schädlichen Verschlüsselungsprogramme im Detail behandelt.

Zahl neuer Verschlüsselungstrojaner

Das folgende Diagramm zeigt die Zunahme der Zahl neuer Versionen von Verschlüsselungstrojanern im Laufe der letzten zwei Quartale:

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zahl neuer Modifikationen von Verschlüsselungsschädlingen, viertes Quartal 2015 und erstes Quartal 2016

Zum gegenwärtigen Zeitpunkt befinden sich in der Kollektion von Kaspersky Lab etwa 15.000 Modifikationen von trojanischen Verschlüsselungsprogrammen. Dabei entdeckten wir allein im ersten Quartal 2016 insgesamt 2.900 neue Modifikationen und neun neue Familien von Verschlüsselungsschädlingen.

Zahl der von Verschlüsselungstrojanern angegriffenen Anwender

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zahl individueller von Verschlüsselungstrojanern angegriffener Nutzer, erstes Quartal 2016

Im ersten Quartal 2016 attackierten Verschlüsselungsschädlinge 345 900 individuelle Anwender. Die Zahl der angegriffenen Nutzer stieg im Vergleich zum vorangegangenen Quartal um 30 Prozentpunkte. Etwa 17 Prozent der Angriffe von Verschlüsselungstrojanern richteten sich gegen den Unternehmenssektor.

Man sollte unbedingt bedenken, dass die tatsächliche Anzahl der Vorfälle höher ist: Die vorliegende Statistik spiegelt lediglich die Resultate der Signatur-basierten oder heuristischen Erkennung wider, doch die Produkte von Kaspersky Lab detektieren Verschlüsselungstrojaner in den meisten Fällen mit Hilfe von verhaltensbasierten Methoden unter der verallgemeinernden Bezeichnung „Generic“, wobei keine Unterscheidung von Malware-Typen möglich ist.

Top 10 der von Verschlüsselungstrojanern angegriffenen Länder

Land* Prozentualer Anteil der von
Verschlüsselungstrojanern angegriffenen Anwender**
1 Italien 3,06
2 Niederlande 1,81
3 Belgien 1,58
4 Luxemburg 1,36
5 Bulgarien 1,31
6 Kroatien 1,16
7 Ruanda 1,15
8 Libanon 1,13
9 Japan 1,11
10 Malediven 1,11

*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil der individuellen Nutzer, deren Computer von Verschlüsselungstrojanern angegriffen wurden, an allen individuellen Nutzern von Kaspersky-Produkten in diesem Land.

Die ersten sechs Positionen in diesen Тop 10 belegen europäische Länder. Auf Platz eins landete im ersten Quartal 2016 Italien (3,06 %); in diesem Land ist die Verschlüsseler-Familie Teslacrypt (Trojan-Ransom.Win32.Bitman) am weitesten verbreitet. Auf Italien folgen die Niederlande (1,81 %) und Belgien (1,58 %).

Top 10 der am weitesten verbreiteten Familien von Verschlüsselungstrojanern

Name Detektiert als* Prozentualer Anteil der angegriffenen Anwender**
1 Teslacrypt Trojan-Ransom.Win32.Bitman/Trojan-Ransom.JS.Cryptoload 58,43
2 CTB-Locker Trojan-Ransom.Win32.Onion/Trojan-Ransom.NSIS.Onion 23,49
3 Cryptowall / Cryptodef Trojan-Ransom.Win32.Cryptodef 3,41
4 Cryakl Trojan-Ransom.Win32.Cryakl 3,22
5 Scatter Trojan-Ransom.BAT.Scatter/Trojan-Downloader.JS.Scatter/Trojan-Dropper.JS.Scatter/Trojan-Ransom.Win32.Scatter 2,47
6 Rakhni Trojan-Ransom.Win32.Rakhni/Trojan-Downloader.Win32.Rakhni 1,86
7 Locky Trojan-Ransom.Win32.Locky 1,30
8 Shade Trojan-Ransom.Win32.Shade 1,21
9 iTorLock / Troli Trojan-Ransom.MSIL.Lortok 0,84
10 Mor / Gulcrypt Trojan-Ransom.Win32.Mor 0,78

*Die Statistik basiert auf Daten der Produkte von Kaspersky Lab, deren Anwender der Übermittlung statistischer Informationen zugestimmt haben.
**Prozentualer Anteil der von einer bestimmten Trojan-Ransom-Familie angegriffenen Nutzer an allen von einem Schädling der Klasse Trojan-Ransom angegriffenen Nutzern.

Den Spitzenplatz belegte im ersten Quartal 2016 mit großem Abstand die Familie Teslacrypt, die in zwei Ausformungen vertreten ist: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Letztgenannte Objekte sind charakteristisch für Skripte, die in ZIP-Archiven im Rahmen von Spam-Versendungen verschickt werden. In der Vergangenheit luden solche Skripte Schadprogramme wie zum Beispiel Fareit und den Verschlüsselungsschädling Cryptowall, doch in letzter Zeit sind die Cyberverbrecher auf TeslaCrypt umgestiegen. Hinzuzufügen ist, dass im ersten Quartal 2016 auf diese Weise neue Versionen dieses Verschlüsselungsschädlings verbreitet wurden, die einen verbesserten Chiffrierungsalgorithmus verwenden: Die Autoren sind von AES auf den „zuverlässigeren“ Algorithmus RSA-4096 umgestiegen.

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Wie bereits oben erwähnt, wurde im ersten Quartal CTB-Locker für Server entdeckt. Diese Variante hat erfolgreich Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, auch bekannt als Cryptowall. Verbreitet werden ihre Vertreter so wie Teslacrypt über Spam-Versendungen.

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zu Beginn dieses Jahres beobachtete Kaspersky Lab eine neue Verbreitungswelle dieses Schädlings mittels Spam-Versendungen. Die E-Mails enthielten einen Link auf ein JS-Skript JavascripT, das so getarnt war, dass der Nutzer es herunterlud und lokal startete. Interessant ist, dass das Skript beim Start nicht nur Scatter auf der Festplatte speichert, sondern auch zwei andere Schädlinge – Nitol (ein DDoS-Bot) und Pony (ein Trojaner, der Informationen stiehlt, in der Regel Passwörter).

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, stach im ersten Quartal durch eine weite geografische Verbreitung hervor, hauptsächlich in den Ländern Europas. Die im Tor-Netzwerk untergebrachte Webseite der Cybergangster, auf der ihre Forderungen stehen, unterstützt zwei Dutzend Sprachen – Russisch und sonstige Sprachen aus der GUS sind allerdings nicht darunter. Das könnte bedeuten, dass die Verbrecher davon Abstand nehmen, Opfer in den entsprechenden Ländern anzugreifen, was auch die KSN-Statistik bestätigt.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Mobile Bedrohungen

Die Cybergangster verfeinern ihre neuen Techniken zum Betrug der Anwender immer weiter. In diesem Quartal entdeckten wir zwei mobile Trojaner, die sich gegen die Standard-Schutzmechanismen von Betriebssystemen zur Wehr setzen. Eine der Modifikationen von Trojan-Banker.AndroidOS.Asacub überdeckt das Standard-Systemfenster mit der Anfrage nach Administratorenrechten für das Gerät mit seinem eigenen Fenster inklusive Buttons. Auf diese Weise verbirgt der Trojaner den Erhalt von zusätzlichen Rechten im System vor dem Nutzer und veranlasst ihn mittels Betrug, diese Rechte zu bestätigen. Der zweite Trojaner, der ähnliche Mechanismen einsetzt, ist Trojan-SMS.AndroidOS.Tiny.aw. In den jüngsten Android-Versionen fragt das System den Nutzer beim SMS-Versand an eine Premium-Nummer um Erlaubnis. Der SMS-Trojaner Tiny zeigt über diesem Dialogfenster sein eigenes Fenster, wobei er die Buttons auf dem Originalfenster nicht verdeckt.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Fenster mit der Anfrage des Trojaners Trojan-SMS.AndroidOS.Tiny.aw, das die Systemwarnung über den Versand einer SMS verdeckt (Übersetzung: Anfrage wegen des Erhalts der Spiel-Datenbank absenden?)

Die Anfrage vom Trojaner ist so aufgebaut, dass der Nutzer den Versand der Premium-SMS höchstwahrscheinlich bestätigt und nicht die leiseste Ahnung hat, was danach passiert.

Im Quartalsbericht für das dritte Quartal 2015 berichteten wir über den Bank-Trojaner Trojan-Banker.AndroidOS.Marcher. In diesem Quartal fanden wir eine neue Modifikation von Marcher, die rund 40 Bank-Apps angreift, die größtenteils zu europäischen Banken gehören. Im Gegensatz zu den meisten anderen mobilen Trojanern verwendet Marcher keine eigenen Fenster, um die Bank-Apps zu überdecken, sondern Phishing-Webseiten.

Im ersten Quartal beobachteten wir eine Zunahme der Aktivität des mobilen Erpresser-Trojaners Trojan-Ransom.AndroidOS.Fusob.pac, der das Mobilgerät des Anwenders blockiert und ein Lösegeld für die Entschlüsselung fordert. Im ersten Quartal wurde Fusob zum beliebtesten mobilen Trojaner dieser Art. Auf ihn entfielen mehr als 64 Prozent der von mobilen Erpresserprogrammen angegriffenen Nutzer. Dabei nahm die Gesamtzahl der von mobiler Ransomware angegriffenen Nutzer gegenüber dem vorangegangenen Quartal um mehr als das 1,8-Fache ab.

Zahl neuer mobiler Bedrohungen

Im ersten Quartal 2016 entdeckte Kaspersky Lab 2.045.323 schädliche Installationspakete, rund 11-mal mehr als im vorangegangenen Quartal und etwa 1,2-mal mehr als im vorletzten.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zahl der entdeckten schädlichen Installationspakete (zweites Quartal 2015 bis erstes Quartal 2016)

Verteilung der entdeckten mobilen Schädlinge nach Typen

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Verteilung neuer mobiler Schädlinge nach Typen, erstes Quartal 2016 und viertes Quartal 2015

Im Rating der im ersten Quartal 2016 entdeckten Objekte für mobile Geräte stehen die unerwünschten Werbeprogramme (Adware) an erster Stelle. Der Anteil von Adware stieg gegenüber dem vierten Quartal 2015 um 13 Prozentpunkte und erreichte einen Wert von 42,7 Prozent. Das ist allerdings weniger als der im dritten Quartal 2015 erzielte Wert (52,5 %).

Den zweiten Platz belegt Trojan-SMS, wobei wir schon das zweite Quartal in Folge eine Zunahme des Anteils der detektierten Objekte dieses Typs beobachten. Im vierten Quartal 2015 nahm der Anteil von Trojan-SMS im allgemeinen Strom der mobilen Bedrohungen stark zu und stieg von 6,2 Prozent auf 19,8 Prozent. Im ersten Quartal 2016 kamen noch einmal 0,7 Prozentpunkte hinzu und sein Wert beträgt damit nun 20,5 Prozent.

Auf die SMS-Trojaner folgt die Kategorie Trojan-Spy mit einem Wert von zehn Prozent. Programme dieses Typs stehlen persönliche Daten der Nutzer, unter anderem eingehende SMS (mTAN) von Banken.

Bei RiskTool handelt es sich um legale Anwendungen, die potenziell gefährlich für den Nutzer sind. Fast zwei Jahre lang belegten sie den ersten oder zweiten Platz im Rating. Beginnend mit dem vierten Quartal 2015 rutschten sie allerdings auf Position fünf ab. Im letzten Viertel des Jahres 2015 betrug ihr Anteil 5,6 Prozent, im ersten Quartal 2016 waren es 7,4 Prozent.

Der Anteil von Trojan-Banker nimmt weiterhin zu. Im ersten Quartal 2016 betrug er 1,2 Prozent.

Top 20 der mobilen Schadprogramme

Im unten stehenden Rating der mobilen Schadprogramme werden potenziell gefährliche und unerwünschte Programme wie RiskTool und Adware nicht berücksichtigt.

Name Prozentualer Anteil der angegriffenen Anwender*
1 DangerousObject.Multi.Generic 73,7
2 Backdoor.AndroidOS.Ztorg.c 11,3
3 Trojan.AndroidOS.Iop.c 8,9
4 Trojan.AndroidOS.Ztorg.a 8,7
5 Trojan-Ransom.AndroidOS.Fusob.pac 6,2
6 Trojan-Dropper.AndroidOS.Agent.ar 4,6
7 Trojan-Clicker.AndroidOS.Gopl.a 4,5
8 Backdoor.AndroidOS.Ztorg.b 4,3
9 Trojan.AndroidOS.Iop.m 3,7
10 Trojan.AndroidOS.Agent.ej 3,7
11 Trojan.AndroidOS.Iop.q 3,5
12 Trojan.AndroidOS.Ztorg.i 3,3
13 Trojan.AndroidOS.Muetan.b 3,1
14 Trojan.AndroidOS.Agent.gm 3,1
15 Trojan-SMS.AndroidOS.Podec.a 3,1
16 Trojan-Downloader.AndroidOS.Leech.a 3,0
17 Trojan-Dropper.AndroidOS.Guerrilla.b 2,8
18 Exploit.AndroidOS.Lotoor.be 2,8
19 Backdoor.AndroidOS.Ztorg.a 2,8
20 Backdoor.AndroidOS.Triada.d 2,4

*Prozentualer Anteil der vom jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern von Kaspersky Mobile Security.

Den ersten Platz belegen schädliche Programme des Typs DangerousObject.Multi.Generic (73,7 %), die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Immer mehr Positionen in den Top 20 werden von Trojanern belegt, die Werbung als wichtigste Methode einsetzen, um mobile Bedrohungen in bare Münze umzuwandeln. Ihr Ziel ist es, dem Nutzer so viel Werbung wie möglich auf verschiedenen Wegen zuzustellen, unter anderem durch die Installation neuer Werbeprogramme. Diese Trojaner können Superuser-Rechte benutzen, um sich in einem Systemverzeichnis zu verstecken. Sie dort zu löschen wird dann sehr schwierig. Im ersten Quartal 2016 waren 16 solcher Programme in den Top 20 vertreten: je drei Programme der Familien Backdoor.AndroidOS.Ztorg und Trojan.AndroidOS.Iop, je zwei Programme der Familie Trojan.AndroidOS.Ztorg, sowie Trojan-Dropper.AndroidOS.Agent.ar, Trojan-Clicker.AndroidOS.Gopl.a, Trojan.AndroidOS.Agent.ej, Trojan.AndroidOS.Muetan.b, Trojan.AndroidOS.Agent.gm, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Guerrilla.b und Backdoor.AndroidOS.Triada.d.

Backdoor.AndroidOS.Triada ist zum ersten Mal in den Top 20 der mobilen Schadprogramme vertreten. Die Hauptfunktionalität dieses Trojaners besteht in der Umleitung von SMS-Transaktionen, mit der Anwender Zusatzinhalte für legale Apps bezahlen. Die Folge ist, dass das Geld des Nutzers nach dem Bezahlen an die Cyberkriminellen geht. Triada ist der komplexeste uns bekannte mobile Schädling. Eine hervorstechende Besonderheit der schädlichen Anwendung ist die Ausnutzung des Zygote-Prozesses, um seinen Code in den Kontext aller Apps auf dem Gerät einzuschleusen. Auf einem infizierten Gerät dringt Triada in praktisch alle laufenden Prozesse ein und existiert nur noch im Arbeitsspeicher weiter. Zudem werden alle separat laufenden Prozesse des Trojaners vor dem Nutzer und anderen Anwendungen versteckt.

Auf dem fünften Platz positionierte sich der Erpresser Trojan-Ransom.AndroidOS.Fusob.pac (6,2 %). Dieser Trojaner fordert von seinen Opfern 200 US-Dollar Lösegeld für die Entsperrung des Gerätes. Ein bedeutender Teil der betroffenen Anwender befindet sich in Nordamerika (USA und Kanada), aber es gibt auch Opfer in Europa (zum größten Teil in Deutschland, Italien, Großbritannien, Spanien und der Schweiz).

Trojan-SMS.AndroidOS.Podec.a (3 %) befindet sich schon seit mehr als einem Jahr unter den ersten 20 schädlichen mobilen Bedrohungen, doch in letzter Zeit verliert dieser Schädling an Boden. Während er früher immer unter den ersten fünf mobilen Bedrohungen war, fand er sich im ersten Quartal 2016 in der zweiten Hälfte des Ratings wieder. Die Zahl der von diesem Trojaner angegriffenen Nutzer ging im Vergleich zum vierten Quartal 2015 um das 1,7-Fache zurück. In letzter Zeit hat sich die Funktionalität dieses Trojaners praktisch nicht geändert. Das meiste Geld wird durch die Registrierung der Nutzer bei kostenpflichtigen Online-Diensten verdient.

Ebenfalls im Rating vertreten ist Exploit.AndroidOS.Lotoor.be – ein Exploit, das zum Erlangen von lokalen Rechten eines Superusers verwendet wird.

Geografie der mobilen Bedrohungen

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Karte der Infektionsversuche mit mobilen Schädlingen im ersten Quartal 2016 (Anteil der angegriffenen Anwender im jeweiligen Land)

Top 10 der Länder nach Anteil der von mobilen Schädlingen angegriffenen Anwender

Land* Anteil der angegriffenen Anwender**
1 China 38,2
2 Bangladesch 27,6
3 Usbekistan 21,3
4 Algerien 17,6
5 Nigeria 17,4
6 Indien 17,0
7 Philippinen 15,7
8 Indonesien 15,6
9 Ukraine 15,0
10 Malaysia 14,0

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
**Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen Nutzern von Kaspersky Mobile Security im Land.

Spitzenreiter dieses Ratings ist China – hier wurden praktisch 40 Prozent der Nutzer mit mobilen Schädlingen konfrontiert. Bereits nach den Ergebnissen des Jahres 2015 landete dieses Land auf dem ersten Platz des Ratings.

In allen Ländern aus den Top 10 sind mit Ausnahme von China im Großen und Ganzen ein und dieselben mobilen detektierten Objekte populär. Dazu gehören die Werbetrojaner, die in den Top 20 der mobilen Schadprogramme vertreten sind, sowie Programme des Typs AdWare. In China sind Werbetrojaner ebenfalls populär, allerdings auch andere Familien, in erster Linie Backdoor.AndroidOS.GinMaster und Backdoor.AndroidOS.Fakengry. Darüber hinaus sind in diesem Land Programme der Familie RiskTool.AndroidOS.SMSreg sehr beliebt. Unachtsamer Gebrauch dieser Programme kann dazu führen, dass Geld vom mobilen Konto des Nutzers abgehoben wird.

Die nach diesem Wert sichersten Länder sind Taiwan (2,9 %), Australien (2,7 %) und Japan (0,9 %).

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckte das Kaspersky-Team 4.146 mobile Bank-Trojaner, das sind rund 1,7-mal mehr als im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Anzahl der von Kaspersky Lab gefundenen mobilen Bank-Trojaner (zweites Quartal 2015 bis erstes Quartal 2016)

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Geografie der mobilen Bank-Bedrohungen im ersten Quartal 2016 (Anzahl der angegriffenen Anwender)

Die Zahl der angegriffenen Anwender hängt von der Gesamtzahl der Anwender im Land ab. Um das Risiko einer Infektion mit mobilen Bank-Trojanern in verschiedenen Ländern der Welt einschätzen und vergleichen zu können, hat das Team von Kaspersky Lab das Länderrating nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender erstellt.

Top 10 der Länder nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender

Land* Prozentualer Anteil
der von Bank-Schädlingen
angegriffenen Anwender**
1 China 0,45
2 Australien 0,30
3 Russland 0,24
4 Usbekistan 0,20
5 Ukraine 0,08
6 Frankreich 0,06
7 Weißrussland 0,05
8 Türkei 0,05
9 Japan 0,03
10 Kasachstan 0,03

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
**Prozentualer Anteil der individuellen Anwender im Land, die Attacken von mobilen Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky Mobile Security im Land.

In diesem Quartal belegt China den ersten Platz, wo ein großer Teil der Attacken mit mobilen Bank-Trojanern auf Trojaner der Familie Trojab-Banker.AndroidOS.Faketoken und Trojan-Banker.AndroidOS.Svpeng entfällt. Australien besetzt den zweiten Platz im Rating, wobei sich dort die Familie der populärsten Trojaner geändert hat: Früher waren das die Vertreter der Familie Trojan-Banker.AndroidOS.Acecard, doch im ersten Quartal 2016 zogen die Vertreter der Familie Trojan-Banker.AndroidOS.Marcher an ihnen vorbei.

Top 10 der Länder nach Anteil der von mobilen Bank-Trojanern angegriffenen Anwender an allen angegriffenen Anwendern

Ein Indikator für die Popularität von mobilen Bank-Trojanern unter Cyberkriminellen in jedem Land könnte auch das Verhältnis zwischen der Anzahl der Anwender, deren mobile Geräte mindestens einmal im Laufe des Quartals von mobilen Trojanern angegriffen wurden, und allen Anwendern in diesem Land sein, bei denen Kaspersky Mobile Security mindestens einmal im Quartal Alarm geschlagen hat. Dieses Rating unterscheidet sich von dem oben dargestellten:

Land* Prozentualer Anteil
der von mobilen Banktrojanern
angegriffenen Anwender an allen
angegriffenen Anwendern**
1 Australien 13,4
2 Russland 5,1
3 Großbritannien 1,6
4 Türkei 1,4
5 Österreich 1,3
6 Frankreich 1,3
7 Polen 1,2
8 China 1,1
9 Hongkong 1
10 Schweiz 0,9

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender im Land, die von mobilen Bank-Trojanern angegriffen wurden, an allen individuellen Anwendern in dem Land, die von mobilen Schädlingen angegriffen wurden.

Australien war zwar unter den Top 3 der Länder mit dem geringsten Anteil an Nutzern, die von mobilen Schädlingen angegriffen wurden. In oben stehendem Rating belegt Australien allerdings den ersten Platz: In diesem Land wurden 13 Prozent aller Anwender, die von mobilen Schädlingen angegriffen wurden, unter anderem auch von mobilen Bank-Schädlingen attackiert. Und China, das Land, das im vorherigen Rating den ersten Platz belegte, steht hier auf der letzten Position der Top 10. Das bedeutet, dass mobile Bank-Trojaner in China weniger populär sind als andere Arten von mobilen Schadprogrammen.

Mobile Ransomware

Im ersten Quartal 2016 entdeckte das Team von Kaspersky Lab 2.896 mobile Erpresser-Trojaner, etwa 1,4-mal so viel wie im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zahl der von Kaspersky Lab entdeckten Erpresser-Trojaner (zweites Quartal 2015 bis erstes Quartal 2016)

Top 10 der Länder nach Anteil der von mobiler Ransomware angegriffenen Anwender

Land* Prozentualer Anteil der von mobiler
Ransomware angegriffenen Anwender**
1 Kasachstan 0,92
2 Deutschland 0,83
3 Usbekistan 0,80
4 Kanada 0,71
5 Italien 0,67
6 Niederlande 0,66
7 Großbritannien 0,59
8 Schweiz 0,58
9 USA 0,55
10 Spanien 0,36

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
**Prozentualer Anteil der individuellen Anwender im jeweiligen Land, die von mobilen Erpresser-Programmen angegriffen wurden, an allen Nutzern von Kaspersky Mobile Security im Land.

Mit Ausnahme von Kasachstan und Usbekistan ist die Familie Fusob In allen Ländern aus den Top 10 am beliebtesten, insbesondere die Modifikation Trojan-Ransom.AndroidOS.Fusob.pac (der Schädling, der den fünften Platz im Rating der mobilen Bedrohungen belegt).

In Kasachstan und Usbekistan, auf Platz eins respektive drei, stellen Erpresser-Trojaner aus der Familie Small die größte Bedrohung für die Anwender dar. Es handelt sich dabei um ein relativ einfaches trojanisches Erpresserprogramm, das alle anderen Fenster auf dem Gerät mit seinem eigenen Fenster überdeckt und so die Funktion des Geräts blockiert. Für die Entsperrung verlangen die Cyberkriminellen in der Regel eine Summe von 10 US-Dollar aufwärts.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Im ersten Quartal 2016 waren nach wie vor Exploits für den Adobe Flash Player populär. In den ersten drei Monaten des Jahres registrierten wir die Ausnutzung zweier neuer Sicherheitslücken in dieser Software:

  • CVE-2015-8651
  • CVE-2016-1001

Das erste Exploit-Pack, das diese Schwachstellen unterstützte, war Angler.

Ein bemerkenswertes Ereignis des ersten Quartals war der Einsatz eines Exploits für Silverlight – CVE-2016-0034. Zum Zeitpunkt der Veröffentlichung unseres Quartalsberichts wird diese Sicherheitslücke von den Exploit-Packs Angler und RIG ausgenutzt.

Traditionell enthalten einige bekannte Packs auch ein Exploit für eine Sicherheitslücke im Internet Explorer (CVE-2015-2419).

Das Gesamtbild zum Einsatz von Exploits im ersten Quartal sieht folgendermaßen aus:

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, erstes Quartal 2016

Wie zu erwarten war, können wir einen Rückgang des Anteils der Exploits für Java (minus drei Prozentpunkte) sowie eine zunehmende Verwendung von Flash-Exploits (plus ein Prozentpunkt) feststellen. Hervorzuheben ist die deutliche Zunahme des Anteils von Exploits für Microsoft Office (plus zehn Prozentpunkte) – in dieser Gruppe sind in erster Linie Exploits für Sicherheitslücken in Microsoft Word vertreten. Ihre spürbare Zunahme hängt mit den massenhaften Spam-Versendungen zusammen, die diese Malware enthielten.

Insgesamt hat sich im ersten Quartal 2016 ein Trend fortgesetzt, den wir schon seit einigen Jahren beobachten: Einer großen Nachfrage unter Cyberkriminellen erfreuen sich besonders Exploits für den Adobe Flash Player und den Internet Explorer. Auf unserer Grafik gehört letztgenannter in die Kategorie „Browser“, zu der auch die Detektionen von Landing-Pages zählen, die die Exploits „austeilen“.

Schadprogramme im Internet (Attacken über Webressourcen)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen eigens erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Im ersten Quartal 2016 spürte Kaspersky Anti-Virus 18.610.281 individuelle Schadobjekte auf (Skripte, Exploits, ausführbare Dateien und andere) und schlug bei 74.001.808 individuellen URLs Alarm.

Online-Bedrohungen im Banken-Sektor

Im ersten Quartal 2016 wehrten die Lösungen von Kaspersky Lab auf den Computern von 459.970 KSN-Anwendern Ausführungsversuche von Software ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist. Wir beobachten eine rückläufige Aktivität seitens der Finanz-Malware: Im Vergleich zum vorangegangenen Quartal (597.415 Versuche) nahm dieser Wert um 23 Prozent ab. Im ersten Quartal 2015 waren es 699.652 KSN-Anwender – innerhalb eines Jahres ging die Zahl der Opfer um 34,26 Prozent zurück.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zahl der von Finanzmalware angegriffenen Computer, erstes Quartal 2016

Geografie der Attacken

Um den Grad des Risikos einer Infektion mit Bank-Trojanern, dem Computer in den verschiedenen Ländern der Welt ausgesetzt sind, beurteilen und vergleichen zu können, haben wir für jedes Land den Anteil der Nutzer von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert wurden, an allen Nutzern unserer Produkte im Land berechnet.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Geografie der Attacken von Bankschädlingen im ersten Quartal 2016 (Prozentsatz der angegriffenen Anwender)

Top 10 der Länder nach prozentualem Anteil der angegriffenen Anwender

Land* Prozentualer Anteil
der angegriffenen Anwender**
1 Brasilien 3,86
2 Österreich 2,09
3 Tunesien 1,86
4 Singapur 1,83
5 Russland 1,58
6 Venezuela 1,58
7 Marokko 1,43
8 Bulgarien 1,39
9 Hongkong 1,37
10 Vereinigte Arabische Emirate 1,30

Die vorliegende Statistik basiert auf den Detektionen von Kaspersky Anti-Virus, die von Nutzern der Produkte von Kaspersky Lab zur Verfügung gestellt wurden, die ihre Zustimmung zur Übermittlung statistischer Daten gegeben haben.
*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
* Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal 2016 war Brasilien erneut Spitzenreiter nach Anteil der Nutzer von Kaspersky-Lab-Produkten, die von Bank-Trojanern angegriffen wurden. Einer der Gründe für die Zunahme von Finanzbedrohungen in diesem Land ist das Erscheinen von plattformübergreifenden Bankenschädlingen. In den meisten Ländern unserer Top 10 ist der Stand der technischen Entwicklung hoch und/oder das Bankensystem gut entwickelt, was die Aufmerksamkeit Cyberkrimineller auf diese Länder lenkt.

In Russland hatten es 1,58 Prozent der Nutzer im Laufe des Quartals mindestens einmal mit Bank-Trojanern zu tun (dieser Wert ist gegenüber dem vorangegangenen Quartal um einen Prozentpunkt gestiegen), in den USA waren es 0,26 Prozent, in Spanien 0,84 Prozent, in Italien 0,79 Prozent, in Deutschland 0,52 Prozent, in Großbritannien 0,48 Prozent und in Frankreich waren es 0,36 Prozent.

Top 10 der Bank-Malware-Familien

Die Top 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das erste Quartal 2016 folgendermaßen aus (nach Anzahl der angegriffenen Anwender):

Name Zahl der angegriffenen Anwender
1 Trojan-Spy.Win32.Zbot 419.940
2 Trojan-Downloader.Win32.Upatre 177.665
3 Trojan-Banker.Java.Agent 68.467
4 Trojan-Banker.Win32.Gozi 53.978
5 Trojan-Banker.Win32.BestaFera 25.923
6 Trojan.Win32.Tinba 24.964
7 Trojan-Banker.Win32.Banbra 22.942
8 Trojan-Banker.AndroidOS.Agent 19.782
9 Trojan-Banker.AndroidOS.Abacus 13.446
10 Trojan-Banker.Win32.ChePro 9.209

Trojan-Spy.Win32.Zbot hält die Führungsposition in diesem Rating, mit deutlichem Abstand auf die folgenden Ränge. Es ist kein Zufall, dass diese Familie ständig im oberen Bereich der Top 10 vertreten ist. Trojaner der Familie Zbot gehörten zu den ersten Schädlingen, die Webeinschleusungen einsetzten, um Bezahldaten der Nutzer von Online-Banking-Systemen zu kompromittieren und den Inhalt von Bank-Webseiten zu modifizieren. Diese Schädlinge verwenden mehrere Verschlüsselungsebenen für ihre Konfigurationsdateien, wobei die dechiffrierte Konfigurationsdatei selbst nicht als Ganzes gespeichert, sondern häppchenweise geladen wird.

Die Schädlinge der Familie Trojan-Downloader.Win32.Upatre belegten im ersten Quartal 2016 den zweiten Platz im Rating. Die Trojaner sind nicht größer als 3,5 KB und ihre Funktion beschränkt sich auf das Laden der Payload auf den infizierten Computer. Meist handelt es sich dabei um Bank-Trojaner der bekannten Familie Dyre/Dyzap/Dyreza. Die Hauptaufgabe der Bank-Trojaner aus dieser Familie besteht im Diebstahl von Bezahldaten der Anwender. Zu diesem Zweck fängt Dyre die Daten einer Banksitzung zwischen dem Browser des Opfers und der Online-Banking-Applikation ab. Er führt mit anderen Worten also einen „Man-in-the-Browser“-Angriff (MITB) durch.

Die überragende Mehrheit der Schädlinge aus den Top 10 schleust übrigens willkürlichen HTML-Code in die vom Browser dargestellte Webseite ein und fängt Bezahldaten ab, die der Anwender in originale und eingefügte Webformulare eingibt.

Unter den ersten Drei des Ratings landete im ersten Quartal 2016 eine in Java geschriebene plattformübergreifende Bank-Malware. Die plattformübergreifenden Java-Trojaner werden jetzt aktiv von brasilianischen Cyberkriminellen verwendet. Darüber hinaus entdeckte das Team von Kaspersky Lab eine neue Malware, die ebenfalls in Java geschrieben wurde und unter anderem zum Diebstahl von Finanzinformationen eingesetzt wird. Die Rede ist hier von Adwind RAT. Da Adwind komplett in Java programmiert wurde, ist diese Schadsoftware auch in der Lage, alle verbreiteten Plattformen anzugreifen: Windows, Mac OS, Linux und Android. Mit diesem Schadprogramm können Internetverbrecher Daten sammeln und aus dem System abziehen, und sie sind in der Lage, ein infiziertes Gerät aus der Ferne zu steuern. Nach aktuellem Stand kann der Schädling auch Screenshots erstellen, Tastatureingaben aufzeichnen, Passwörter und im Browser sowie in Webformularen gespeicherte Daten stehlen, mit der Webkamera fotografieren und Videos aufnehmen, Audioaufzeichnungen mit Hilfe des eingebauten Mikrofons erstellen, allgemeine Daten über den Nutzer und das System sammeln sowie VPN-Zertifikate und Schlüssel zu Kryptowährungs-Wallets stehlen. Und schließlich ist er auch noch in der Lage, den SMS-Verkehr zu steuern.

Auf der vierten Position des Ratings befinden sich Banktrojaner der Familie Trojan-Banker.Win32.Gozi, die in laufende Prozesse populärer Webbrowser eindringen, um Bezahlinformationen zu stehlen. Einige Exemplare dieses Trojaners können auch den MBR (Master Boot Record) infizieren und sind dann nicht mehr aus dem Betriebssystem zu entfernen, selbst wenn dieses neu installiert wurde.

Einer der interessantesten Vertreter von Finanzinformationen stehlender Malware, der nicht in unseren Top 10 erscheint, ist Gootkit. Interessant ist er in erster Linie deswegen, weil dieser Schädling unter Verwendung der Softwareplattform NodeJS geschrieben wurde. Gootkit verfügt über eine modulare Architektur. Der Code-Interpreter des Schädlings befindet sich in seinem Körper. Das hat zur Folge, dass seine Größe beachtlich ist (etwa 5 MB). Für den Diebstahl von Bezahldaten fängt Gootkit http-Traffic ab und nimmt Einschleusungen in den Browser vor. Zu den Standardfunktionen des Trojaners gehören auch die Ausführung von willkürlichen Befehlen, die Selbstaktualisierung und das Erstellen von Screenshots. Weit verbreitet ist dieser Bank-Trojaner allerdings nicht.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im ersten Quartal 2016 wehrten die Lösungen von Kaspersky Lab 228.420.754 Attacken ab, die von Internet-Ressourcen in 195 Ländern der Welt durchgeführt wurden. Insgesamt 76 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden.

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Verteilung der Quellen von Webattacken nach Ländern, erstes Quartal 2016

Im Vergleich zum vorangegangenen Quartal haben die USA (21,44 %) und die Niederlande (24,60 %) die vordersten Plätze getauscht. Die auf den Positionen drei und vier folgenden Länder Russland (7,45 %) und Deutschland (6 %) haben es ihnen gleich getan. Im ersten Quartal nicht mehr im Rating vertreten ist Vietnam. Neueinsteiger Bulgarien positionierte sich mit einem Wert von 1,75 Prozent auf dem achten Platz.

Länder, in denen die Computer dem größten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie hoch der prozentuale Anteil der individuellen Anwender von Kaspersky-Lab-Produkten war, bei denen Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

Land* Anteil der individuellen Anwender**
1 Russland 36,28
2 Kasachstan 33,19
3 China 32,87
4 Aserbaidschan 30,28
5 Ukraine 29,96
6 Weißrussland 29,16
7 Slowenien 26,88
8 Armenien 26,27
9 Vietnam 25,14
10 Moldawien 24,68
11 Kirgisien 24,46
12 Spanien 24,00
13 Indien 23,98
14 Brasilien 23,68
15 Italien 22,98
16 Algerien 22,88
17 Litauen 22,58
18 Kroatien 22,04
19 Türkei 21,46
20 Frankreich 21,46

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Der Spitzenreiter des Ratings blieb gegenüber dem vorangegangenen Quartal unverändert und heißt nach wie vor Russland (36,3 %). Im Gegensatz zum vierten Quartal sind die folgenden Länder nicht mehr in den Top 20 vertreten: Chile, die Mongolei, Bulgarien und Nepal. Neu hinzugekommen sind Slowenien (26,9 %), Indien (24 %) und Italien (23 %).

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Zu den beim Surfen im Internet sichersten Ländern gehören Deutschland (17,7 %), Kanada (16,2 %), Belgien (14,5 %), die Schweiz (14 %), die USA (12,8 %), Großbritannien (12,7 %), Singapur (11,9 %), Norwegen (11,3 %), Honduras (10,7 %), die Niederlande (9,6 %) und Kuba (4,5 %).

Durchschnittlich waren im Laufe des Quartals weltweit 21,2 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt. Dieser Wert ist um 1,5 Prozentpunkte niedriger als der entsprechende Wert für das vierte Quartal 2015.

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören sowohl Objekte, die mittels Infektion von Dateien oder über mobile Datenträger in die Systeme eindringen, als auch Objekte, die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme, die zu komplexen Installern gehören oder verschlüsselte Dateien).

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im ersten Quartal 2016 registrierten unsere Antiviren-Lösungen 174.547.611 individuelle schädliche und potenziell unerwünschte Objekte.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, wie hoch der prozentuale Anteil der Nutzer von Kaspersky-Lab-Produkten ist, bei denen Kaspersky Anti-Virus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

Top 20 der Länder nach Infektionsniveau der Computer

Land* Prozentualer Anteil individueller
KSN-Teilnehmer**
1 Somalia 66,88
2 Jemen 66,82
3 Armenien 65,17
4 Kirgisien 64,45
5 Russland 64,18
6 Tadschikistan 64,06
7 Bangladesch 63,60
8 Vietnam 61,31
9 Afghanistan 60,72
10 Kasachstan 60,62
11 Nepal 59,60
12 Usbekistan 59,42
13 Äthiopien 59,23
14 Ukraine 58,90
15 Weißrussland 58,51
16 Laos 58,46
17 Ruanda 58,10
18 Irak 57,16
19 Algerien 57,15
20 Moldawien 56,93

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Mobiltelefonen oder externe Festplatten.

*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal 2016 gab es einen neuen Spitzenreiter in diesem Rating, und zwar Somalia mit einem Wert von 66,9 Prozent. Bangladesh, der Erstplatzierte der vergangenen Quartale, befindet sich nun auf dem siebten Platz (63,6 %). Neueinsteiger gegenüber dem letzten Quartal sind: Usbekistan auf dem zwölften Platz (59,4 %), die Ukraine auf dem 14. Platz (58,9 %), Weißrussland auf dem 15. Platz (58,5 %), der Irak auf dem 18. Platz (57,2 %) und Moldawien auf dem 20. Platz (57,0 %).

Entwicklung der IT-Bedrohungen im ersten Quartal 2016

Die Länder mit dem geringsten Infektionsniveau sind Tschechien (27,2 %), Dänemark (23,2 %) und Japan (21,0 %).

Durchschnittlich wurden im Laufe des ersten Quartals weltweit auf 44,5 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert, das sind 0,8 Prozentpunkte mehr als im vierten Quartal 2015

Ähnliche Beiträge

Es gibt 1 Kommentar
  1. Peter

    Erstaunlic. Erstaunlich, dass trotzdem der überwiegende Großteil der betroffenen Systeme Windoes Rechner sind, wird Windows auf der gesamten Seite nur 6x genannt – davon die Hälfte als Auflistung. Auf wen nimmt Kaspersky Rücksicht? Warum fehlt eine Übersicht der betroffenen Betriebssysteme?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.