Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Inhalt

Zielgerichtete Attacken und Malware-Kampagnen

Cha-ching! Den Rahm abschöpfen

Früher in diesem Jahr stießen die Experten von Kaspersky Lab im Rahmen einer Incident-Response-Ermittlung auf eine neue Version des Bankomaten-Schädlings Skimer. Diese Schadsoftware, die im Jahr 2009 erstmals auf der Bildfläche erschienen war, wurde neu aufgelegt, umgestaltet und an die Taktiken der Cybergangster, die sie benutzen, angepasst. Der neue Geldautomat-Schädling hat bereits Bankautomaten rund um den Globus angegriffen, unter anderem in den Vereinigten Arabischen Emiraten, in Frankreich, den USA, Russland, Macau, China, den Philippinen, Spanien, Deutschland, Georgien, Polen, Brasilien und in der Tschechischen Republik.

Anders als bei der bewährten Bankomaten-Methode wird in diesem Fall kein gefälschter Kartenleser am Gerät montiert. Die Verbrecher übernehmen die Kontrolle über den gesamten Geldautomaten. Zunächst installieren sie die Skimer-Malware auf dem Geldautomaten, indem sie physisch auf ihn zugreifen oder indem sie das interne Netzwerk der Bank kompromittieren. Das Schadprogramm infiziert den Kernel des Bankautomaten, den Teil des Gerätes, der für die Interaktion mit der weiter gefassten Bank-Infrastruktur, für die Kartenverarbeitung und für die Bargeld-Ausgabe verantwortlich ist. Im Gegensatz zu einem traditionellen Karten-Skimmer gibt es keine äußeren Hinweise darauf, dass der Geldautomat infiziert ist. Außerdem haben die Angreifer freie Hand beim Abschöpfen der Daten von Karten, die an dem Automaten benutzt werden (die Kontonummer und PIN der Kunden eingeschlossen), und sie haben die Möglichkeit, direkt Bargeld zu stehlen.

Die Angreifer erwecken den Automaten zum Leben, indem sie eine Karte einführen, die bestimmte Einträge auf dem Magnetstreifen enthält. Nachdem die auf dem Gerät installierte Malware die Karte gelesen hat, ist Skimer in der Lage, einen hart codierten Befehl auszuführen oder Befehle über ein spezielles Menü zu empfangen, das von der Karte aktiviert wurde. Die Benutzeroberfläche von Skimer erscheint erst auf dem Display, nachdem die Karte ausgeworfen wurde und auch nur dann, wenn innerhalb von 60 Sekunden der korrekte Sitzungsschlüssel eingegeben wird. Das Menü bietet 21 verschiedene Optionen, unter anderem Bargeld-Ausgabe, Abgreifen von Details zu der Karte, die in den Automaten eingesteckt wurde, Selbstlöschung und Aktualisierung. Die Cyberkriminellen können die Kartendetails auf dem Chip ihrer Karte speichern oder die zusammengetragenen Daten ausdrucken.

[youtube https://www.youtube.com/watch?v=hOcFy02c7x0&w=560&h=315]

Die Angreifer achten penibel darauf, keine Aufmerksamkeit auf sich und ihren Schädling zu lenken. Statt direkt Geld vom Automaten abzuheben – was umgehend auffallen würde – warten sie ab (manchmal mehrere Monate), bevor sie in Aktion treten. In den meisten Fällen sammeln sie Daten von den ausgelesenen Karten, um diese zu klonen. Sie benutzen die geklonten Karten dann später an anderen, nicht infizierten Geldautomaten und heben gelegentlich Geld von den Konten der Opfer ab, ohne dass ein Zusammenhang mit dem kompromittierten Bankautomaten hergestellt werden kann.

Um die Banken dabei zu unterstützen, sich selbst zu schützen, empfiehlt Kaspersky Lab: regelmäßige AV-Scans, die Nutzung von Whitelisting-Technologien, eine gute Gerätemanagement-Policy, vollständige Festplattenverschlüsselung sowie einen Schutz des Geldautomaten-BIOS mit einem Passwort, das ausschließlich das Booten von der Festplatte erlaubt. Außerdem raten wir dazu, das Geldautomaten-Netzwerk von der restlichen Bankeninfrastruktur zu isolieren. Der Magnetstreifen der Karte, die die Cyberkriminellen zur Aktivierung der Malware benutzen, enthält neun hartcodierte Ziffern. Banken könnten proaktiv in ihren Rechensystemen nach diesen Kartennummern suchen. Daher haben wir diese Informationen zusammen mit anderen Indicators of Compromise (IoCs) veröffentlicht.

Im April hat eine unserer Expertinnen eine Tiefenanalyse über das Knacken von Geldautomaten veröffentlicht und erläutert, was getan werden müsste, um die Geräte sicher zu machen.

Neue Angriffe, altes Exploit

In den letzten Monaten haben die Kaspersky-Experten eine Welle von Cyberspionageattacken verfolgt, die von unterschiedlichen APT-Gruppen quer durch den asiatisch-pazifischen Raum und den Fernen Osten durchgeführt wurden. Sie alle haben ein Merkmal gemein: Sie nutzen die Sicherheitslücke CVE-2015-2545 aus. Diese Schwachstelle ermöglicht einem Angreifer die Ausführung von willkürlichem Code unter Verwendung einer speziell erstellten EPS-Grafikdatei. Sie verwendet PostScript und kann die Adressverwürfelung (ASLR) und Data Execution Prevention (DEP) umgehen – in Windows integrierte Schutzmethoden. Es war bereits bekannt, dass die Cybercrime-Gruppen Platinum, APT16, EvilPost und SPIVY dieses Exploit benutzen. Vor kurzem wurde es außerdem von der Danti-Gruppe verwendet.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Danti, erstmals im Februar 2016 identifiziert und noch immer aktiv, ist hochgradig auf diplomatische Einrichtungen fixiert. Die Gruppe greift in erster Linie indische Regierungsorganisationen an. Daten aus dem Kaspersky Security Network (KSN) deuten aber darauf hin, dass sie auch Ziele in Kasachstan, Kirgisien, Usbekistan, Myanmar, Nepal und auf den Philippinen infiziert hat.

Das Exploit wird mittels Spear-Phishing-Mails verbreitet, die angeblich von hochrangigen indischen Regierungsvertretern stammen. Klickt der Empfänger auf die angehängte DOCX-Datei, so wird die Danti-Backdoor auf seinem Rechner installiert, die es den Angreifern dann ermöglicht, sensitive Daten zu stehlen.

Die Herkunft der Danti-Gruppe ist unklar, aber wir vermuten, dass sie Verbindungen zu den Gruppen NetTraveler und DragonOK hat. Es wird angenommen, dass chinesischsprachige Hacker hinter diesen Attacken stecken.

Kaspersky Lab hatte es mit einer weiteren Kampagne zu tun, die sich die Sicherheitslücke CVE-2015-2545 zunutze macht. Wir haben sie SVCMONDR genannt – nach dem Trojaner, der heruntergeladen wird, sobald die Angreifer im Computer ihres Opfers Fuß gefasst haben. Dieser Trojaner unterscheidet sich von dem, den die Danti-Gruppe verwendet, aber es gibt einige allgemeine Merkmale, die er mit Danti und APT16 teilt – letztgenannte ist eine Cyberspionage-Gruppe, die vermutlich chinesischer Herkunft ist.

Der auffallendste Aspekt dieser Attacken ist die Tatsache, dass sie erfolgreich eine Sicherheitslücke ausnutzen, die Microsoft im September 2015 gepatcht hat. Im November sagten wir voraus, dass APT-Kampagnen künftig weniger Mühe darauf verwenden werden, raffinierte Tools zu entwickeln und dafür aktiver gebrauchsfertige Malware einsetzen werden, um ihre Ziele zu erreichen. SVCMONDR ist ein Paradebeispiel dafür: Hier wird eine bekannte Sicherheitslücke ausgenutzt statt ein Zero-Day-Exploit zu entwickeln. Das beweist einmal mehr, dass Unternehmen ihrem Patch-Management mehr Aufmerksamkeit widmen müssen, um ihre IT-Infrastruktur zu sichern.

Neuer Angriff, neues Exploit

Selbstverständlich wird es immer APT-Gruppen geben, die ihren Nutzen aus Zero-Day-Exploits zu ziehen versuchen. Im Juni berichteten wir über eine Cyberspionage-Kampagne mit dem Codenamen Operation Daybreak, für die eine Gruppe namens ScarCruft verantwortlich war und die ein bis dahin unbekanntes Exploit für Adobe Flash Player (CVE-2016-1010) einsetzte. Diese Gruppe ist relativ neu und hat es bisher geschafft, unter dem Radar abzutauchen. Wir glauben, dass die Gruppe früher möglicherweise eine andere Zero-Day-Schwachstelle (CVE-2016-0147) ausgenutzt hat, die im April gepatcht wurde.

Die Gruppe hat eine Reihe von Organisationen in Russland, Nepal, Südkorea, China, Indien, Kuwait und Rumänien attackiert. Darunter befinden sich auch eine asiatische Strafverfolgungsbehörde, eines der weltgrößten Handelsunternehmen, eine Firma aus dem Bereich mobile Werbung und App-Monetarisierung in den USA, Einzelpersonen, die mit dem Weltleichtathletikverband IAAF in Verbindung stehen, sowie ein Restaurant in einem der exklusivsten Einkaufszentren von Dubai. Die Angriffe begannen im März 2016. Da einige erst vor kurzer Zeit stattfanden, gehen wir davon aus, dass die Gruppe noch immer aktiv ist.

Die genaue Methode, die verwendet wird, um die Ziele zu infizieren, ist nicht bekannt, aber wir sind der Meinung, dass die Angreifer Spear-Phishing-Mails versenden, die auf eine gehackte Webseite mit dem Exploit verweisen. Die Webseite führt einige Überprüfungen am Browser durch, bevor sie ihn auf einen Server der Hacker in Polen umleitet. Der Angriff wird mit drei Flash-Objekten durchgeführt. Dasjenige, das die Sicherheitslücke im Adobe Flash Player auslöst, befindet sich in der zweiten SWF-Datei, die dem Opfer zugestellt wird. Am Ende der Ausnutzungskette versendet der Server eine gewöhnliche PDF-Datei mit dem Namen „china.pdf“ an das Opfer. Diese Datei ist in koreanischer Sprache abgefasst.

Die Angreifer setzen eine Reihe von interessanten Methoden ein, um die Detektion zu umgehen. Unter anderem nutzen sie einen Bug in der Windows-Komponente Dynamic Data Exchange (DDE) aus, um die Sicherheitslösungen zu umgehen – eine bisher noch nicht beobachtete Methode. Microsoft wurde über diese Lücke informiert.

Flash-Player-Exploits werden immer seltener, da sie in den meisten Fällen mit einem Exploit zur Umgehung der Sandbox gekoppelt werden müssen, was die Umsetzung wesentlich anspruchsvoller für die Cyberkriminellen macht. Und obwohl Adobe plant, den Support von Flash bald einzustellen, entwickelt das Unternehmen noch immer neue Mechanismen, um die Ausnutzung des Flash Player deutlich zu erschweren. Gruppen mit so umfangreichen Ressourcen wie ScarCruft werden allerdings weiterhin nach Zero-Day-Schwachstellen suchen und sie auch finden, um prominente Opfer anzugreifen.

Da es keine 100%ige Sicherheit gibt, liegt der Schlüssel darin, die Abwehrmechanismen so weit zu verbessern, dass es für einen Angreifer zu teuer wird, sie zu durchbrechen und er aufgibt oder sich ein anderes Ziel sucht. Die beste Verteidigung gegen zielgerichtete Attacken ist ein vielschichtiger Ansatz, der traditionelle Antiviren-Technologien mit Patch-Management, Host-basierten Intrusion-Prevention-Systemen und einer Whitelisting-Strategie, die auf standardmäßigem Verbieten basiert (default deny), miteinander vereint. Einer Studie des Australian Signals Directorate zufolge hätten 85 Prozent der analysierten zielgerichteten Attacken durch die Bereitstellung vier simpler Mitigationsstrategien verhindert werden können: Einsatz von Weißen Listen für Anwendungen, aktualisieren von Anwendungen, aktualisieren des Betriebssystems und einschränken von administrativen Rechten.

Die Produkte von Kaspersky Lab detektieren das Flash-Exploit als „HEUR:Exploit.SWF.Agent.gen“. Unsere Komponente Automatic Exploit Prevention (AEP) blockiert die Attacke zudem proaktiv. Die Payloads werden als „HEUR:Trojan.Win32.ScarCruft.gen“ detektiert.

xDedic: APT-as-a-Service

Kaspersky Lab hat kürzlich Untersuchungen zu einer aktiven cyberkriminellen Handelsplattform namens xDedic angestellt, ein Online-Schwarzmarkt für die Zugangsdaten von gehackten Servern rund um den Globus, die alle über das Remote Desktop Protocol (RDP) verfügbar sind. Ursprünglich dachten wir, dass dieser Markt bis zu 70.000 Server umfasst, aber neue Daten deuten darauf hin, dass der xDedic-Markt weitaus größer ist und die Zugangsdaten für 176.000 Server enthält. Zu xDedic gehört auch eine Suchmaschine, mit deren Hilfe potenzielle Käufer so gut wie alles finden können, Regierungs- und Unternehmensnetzwerke eingeschlossen, und zwar für nicht mehr als acht US-Dollar pro Server. Für diesen niedrigen Preis erhalten die „Kunden“ Zugriff auf die Daten, die auf diesen Servern gespeichert sind, und können sie zudem als Ausgangspunkt für weitere zielgerichtete Attacken benutzen.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Die Besitzer der Domain „xdedic[.]biz“ behaupten, keine Verbindung zu den Verkäufern der gehackten Server zu haben – sie verkauften lediglich eine sichere Handelsplattform für andere. Das xDedic-Forum hat eine separate Subdomain, “ partner[.]xdedic[.]biz“, für die „Partner“ der Webseite, das heißt für diejenigen, die die gehackten Server verkaufen. Die xDedic-Besitzer haben ein Tool entwickelt, das automatisch Informationen über das System sammelt, unter anderem über verfügbare Webseiten, installierte Software und vieles mehr. Sie bieten ihren Partnern auch andere Tools an, etwa einen Patch für RDP-Server, damit mehrere Logins für denselben Nutzer und Proxy-Installer unterstützt werden.

Untergrund-Marktplätze sind nichts Neues. Neu ist der Grad der Spezialisierung. Und während das Model der xDedic-Besitzer nichts ist, was einfach nachgeahmt werden kann, gehen wir davon aus, dass das Erscheinen anderer spezialisierter Märkte in der Zukunft zu erwarten ist.

Mit Hilfe der Daten vom KSN konnten wir verschiedene Dateien identifizieren, die vom xDedic-Partnerportal heruntergeladen worden waren. Die Produkte von Kaspersky Lab detektieren diese Dateien als schädlich. Wir haben zudem die URLs der Kontrollserver, die zum Sammeln von Informationen über das infizierte System verwendet werden, auf unsere Schwarze Liste gesetzt. Unser detaillierter Bericht über xDedic enthält weitere Informationen über die Hosts sowie die Netzwerk-basierten IoCs.

Auf Beutezug im russischen Internet

Manchmal stoßen unsere Forscher auf Malware, die durch die Geografie ihrer Attacken hervorsticht. In den nicht öffentlichen Foren, die von russischen Cyberkriminellen frequentiert werden, findet sich beispielsweise manchmal der Ratschlag „Arbeite nicht im RuNet“, den erfahrene Gauner der jungen Generation mit auf den Weg geben. Übersetzt bedeutet das: „Stiehl kein Geld von Bürgern der Russischen Föderation, infiziere nicht ihre Rechner und nutze keine Landsleute zum Geldwaschen aus!“. Dafür gibt es zwei gute Gründe. Erstens ist das Online-Banking in der Russischen Föderation nicht so weit verbreitet wie in westlichen Ländern. Zweitens werden sich Opfer außerhalb Russlands kaum hilfesuchend an die russische Polizei wenden, selbst wenn sie wissen, dass russische Cyberkriminelle hinter der Malware stecken, die ihre Rechner infiziert hat.

Doch jede Regel hat auch ihre Ausnahme. In diesem Fall ist es der Bank-Trojaner Lurk, der mehrere Jahre lang eingesetzt wurde, um Opfern in Russland Geld zu stehlen. Die Hintermänner von Lurk sind an IT-Organisationen im Telekommunikationsbereich, an Massenmedien und Nachrichtenaggregatoren sowie an Bank- und Finanzorganisationen interessiert. Die Erstgenannten geben den Betreibern von Lurk die Möglichkeit, Traffic auf die Server der Angreifer zu leiten. Die Nachrichten-Seiten ermöglichen es ihnen, eine große Zahl von Opfern in ihrer „Zielgruppe“ zu infizieren, also im Finanzsektor. Zu den Zielen des Trojaners scheinen Russlands vier größte Banken zu gehören.

Das Mittel der Wahl zur Verbreitung des Trojaners Lurk ist Drive-by-Download unter Verwendung des Exploit-Packs Angler: Die Angreifer platzieren einen Link auf einer kompromittierten Webseite, der zu einer Landing-Page mit dem Exploit führt. Typischerweise werden Exploits (auch Zero-Day-Exploits) zuerst in Angler umgesetzt, bevor sie in anderen Exploit-Packs auftauchen, was dieses Pack besonders gefährlich macht. Die Angreifer verbreiten den Schadcode auch über legitime Webseiten, die schädliche Dateien nur an Besucher aus der RU-Zone abgeben. Alle anderen erhalten saubere Dateien. Die Angreifer nutzen einen infizierten Computer in einem Unternehmensnetzwerk, um die Malware in der gesamten Organisation zu verbreiten. Sie verwenden dabei das legitime Tool PsExec, um die Malware an andere Computer zu liefern und setzen dann den speziellen Dropper mini ein, um das Hauptmodul des Trojaners auf den anderen Computern auszuführen.

Der Trojaner Lurk verfügt über einige interessante Besonderheiten. Ein hervorstechendes Merkmal, das wir kurz nach seinem ersten Auftreten besprochen haben, ist die Tatsache, dass es sich hier um „Datei-lose“ Malware handelt. Das heißt, sie existiert nur im RAM und schreibt ihren Code nicht auf die Festplatte.

Auffallend an dem Trojaner ist auch, dass er hochgradig zielgerichtet ist. Die Autoren geben ihr Bestes, um so viele sie interessierende Opfer wie möglich zu infizieren, ohne dabei die Aufmerksamkeit der Analysten und Forscher zu erregen. Die uns bekannten Vorfälle lassen den Schluss zu, dass Lurk äußerst erfolgreich ist bei dem, was er tut: Bei Kaspersky Lab gehen regelmäßig Mitteilungen über Diebstähle aus Online-Banking Systemen ein. Die auf diese Vorfälle folgenden forensischen Ermittlungen fördern dann Spuren von Lurk auf den betroffenen Rechnern zutage.

Malware-Stories

Cyberkriminelle fit für Rio

Betrüger versuchen stets große Sportereignisse zu ihren Zwecken auszunutzen. Daher ist es keine Überraschung, dass wir eine Zunahme cyberkrimineller Aktivität beobachten konnten, die mit den bevorstehenden Olympischen Spielen in Brasilien in Verbindung steht.

Die Spam-Menge hat zugenommen. Spammer versuchen, mit dem Wunsch der Sportfans, die Spiele live zu sehen, Kasse zu machen. Dazu informieren sie die Empfänger ihrer E-Mails darüber, dass sie bei einer (gefälschten) Auslosung gewonnen haben (die angeblich vom Internationalen Olympischen Komitee und der brasilianischen Regierung organisiert wurde). Um ihre Tickets in Empfang nehmen zu können, müssten die Sportfans nicht mehr tun, als auf die E-Mail zu antworten und einige persönliche Daten hinterlassen.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Einige Mitteilungen verweisen auf gefälschte Webseiten wie die unten stehende, auf der ein direkter Ticketverkauf versprochen wird, ohne dazu an den offiziellen Auslosungen teilnehmen zu müssen:

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Diese gefälschten Ticket-Seiten sind sehr überzeugend aufgemacht. Einige Betrüger gehen noch einen Schritt weiter und erwerben legitime SSL-Zertifikate, um eine sichere Verbindung zwischen dem Browser des Opfers und der Webseite zu gewährleisten. Zudem zeigen sie dabei „https“ in der Adressleiste des Browsers an, um das Opfer in falscher Sicherheit zu wiegen. Die Spammer teilen ihren Opfern mit, dass sie ihre Tickets zwei oder drei Wochen vor Beginn der Spiele erhalten, so dass sie keinen Verdacht schöpfen, bis es zu spät ist und ihre Kreditkartendetails von Cyberkriminellen ausgenutzt werden. Kaspersky Lab detektiert und blockiert fortwährend neue schädliche Domains, von denen viele „rio“ oder „rio2016“ im Titel enthalten.

Um Tickets über offizielle Kanäle zu kaufen, ist es jetzt zu spät, daher ist es das Beste, die Spiele im Fernsehen oder online zu verfolgen. Wir raten jedem, auf der Hut vor schädlichen Streaming-Webseiten zu sein – ein vermutlich letzter verzweifelter Versuch der Gauner, die Leute um ihr Geld zu bringen.

Cyberkriminelle machen sich auch unser Bedürfnis zunutze, ständig in Kontakt zu bleiben, wo auch immer wir sind, unsere Fotos zu teilen, unsere Profile in Sozialen Netzwerken zu aktualisieren, die neuesten Nachrichten zu lesen oder das beste Restaurant, Hotel oder Shoppingcenter in der Gegend ausfindig zu machen. Leider sind die Roaming-Gebühren sehr hoch, und die Leute halten ständig Ausschau nach dem nächsten WLAN-Zugriffspunkt. Das ist gefährlich, denn die über ein offenes WLAN gesendeten und empfangenen Daten können abgefangen werden. Das heißt, auch Passwörter und andere sensible Daten können problemlos gestohlen werden. Hinzu kommt, dass Cyberkriminelle auch gefälschte Zugriffspunkte installieren. Diese verwenden einen Host, über den der Traffic geleitet und kontrolliert wird. Der Host kann auch als „Man-in-the-Middle“-Gerät eingesetzt werden, um verschlüsselten Datenverkehr abzufangen und zu lesen.

Um das Ausmaß des Problems einschätzen zu können, haben die Kaspersky-Experten drei Hauptareale der Olympischen Spiele direkt vor Ort auf ihre Sicherheit überprüft: das Gebäude des Brazilian Olympic Committee, den Olympischen Park sowie die Stadien Maracanã, Maracanãzinho und Engenhão. Des Weiten haben wir passiv die verfügbaren Netzwerke überwacht, die Besucher während ihres Aufenthalts aller Wahrscheinlichkeit nach dort ausprobieren und benutzen werden. Wir konnten etwa 4.500 individuelle Zugriffspunkte ausmachen, von denen sich die meisten für das Multimedia-Streaming eignen. Doch etwa ein Viertel von ihnen ist mit schwachen Verschlüsselungsprotokollen konfiguriert, und das bedeutet, dass Angreifer sie benutzen können, um vertrauensselige Besucher, die sich mit diesen Netzwerken verbinden, auszuspionieren.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Um ihre persönliche Daten nicht für jedermann zugänglich zu machen, empfehlen wir allen Reisenden (und nicht nur denjenigen, die Rio besuchen möchten!), eine VPN-Verbindung zu benutzen, damit die Daten von ihrem Gerät über einen verschlüsselten Datenkanal ins Internet reisen. Seien Sie dennoch wachsam! Einige VPN-Verbindungen sind gegenüber DNS-Leak-Attacken angreifbar. Selbst wenn Sie Ihre sensiblen Daten via VPN senden, werden Ihre DNS-Anfragen im Klartext an die DNS-Server übermittelt, die von der Hardware des Zugriffspunktes vorgegeben sind. In diesem Fall kann ein Angreifer zumindest herausfinden, auf welchen Webseiten man surft, und er kann – wenn er Zugriff auf den Zugriffspunkt für das kompromittierte WLAN hat – schädliche DNS-Server definieren. Das wiederum bedeutet, dass er Ihren Browser von einer legitimen Webseite (die Ihrer Bank beispielsweise) auf eine schädliche Webseite umleiten kann. Wenn Ihr VPN-Provider keine eigenen DNS-Server unterstützt, sollten Sie einen anderen VPN-Provider in Betracht ziehen oder einen DNSCrypt-Service in Anspruch nehmen.

Wenn wir auf Reisen sind und in Kontakt bleiben wollen, gibt es eine Sache, die wir dringend brauchen: Strom. Wir müssen dafür sorgen, dass unsere mobilen Geräte ausreichend aufgeladen sind. Heute findet man Ladestationen in Einkaufszentren, auf Flughäfen und sogar in Taxis. Die meisten bieten Stecker für alle gängigen Telefon-Modelle an sowie einen USB-Port für das eigene Ladekabel. Einige stellen auch Steckdosen zur Verfügung, an die man sein eigenes Ladegerät anschließen kann.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Bedenken Sie aber, dass man nie weiß, was am anderen Ende eines USB-Anschlusses hängt. Wenn ein Angreifer die Ladestation kompromittiert, kann er Befehle ausführen, um Informationen über das Gerät zu erhalten, etwa das Modell, die IMEI und die Telefonnummer. Mit diesen Informationen ist es möglich, einen Angriff für das spezielle Telefonmodell durchzuführen und das Gerät dann erfolgreich zu infizieren. Weitere Informationen über die Daten, die bei Verbindung Ihres Geräts via USB übertragen werden, und wie ein Angreifer sie nutzen kann, um ein mobiles Gerät zu kompromittieren, finden Sie hier.

Das bedeutet nicht, dass man seine Geräte gar nicht mehr aufladen sollte, wenn man nicht zu Hause ist, aber man sollte einige einfache Regeln beachten, um sich selbst zu schützen. Es ist immer das Beste, sein eigenes Ladegerät statt ein Ladekabel an öffentlichen Ladestationen zu benutzen, und man sollte auch kein Ladegerät aus unbekannter Quelle kaufen. Außerdem sollte man eine Steckdose anstelle einer USB-Buchse verwenden.

Cyberkriminelle setzen auch weiterhin auf altbewährte Methoden, um Geld zu ergaunern, wie etwa auf den Einsatz von Bankautomaten-Skimmern – oder auch Lesegeräten –, um Kreditkartendaten zu stehlen. Bei den einfachsten Skimmern werden einfach ein Leser für die Karte und eine Kamera installiert, um die PIN des Opfers aufzuzeichnen. Davor schützt man sich am besten, indem man die Tastatur bei der Eingabe der PIN abdeckt. Doch manchmal ersetzen Cyberkriminelle den gesamten Bankautomaten, inklusive Eingabefeld und Bildschirm. In diesem Fall wird die eingegebene PIN auf dem gefälschten Geldautomaten-System gespeichert. Daher ist es sehr wichtig, den Geldautomaten kurz zu überprüfen, bevor man seine Karte einführt. Vergewissern Sie sich, dass das grüne Lämpchen auf dem Kartenleser leuchtet, denn normalerweise wird der Leser durch eine Version ohne beziehungsweise mit abgeschalteter Lampe ersetzt. Überprüfen Sie auch, ob irgendetwas mit dem Geldautomaten nicht stimmt, ob ein Teil fehlt oder nur mangelhaft repariert wurde.

Das Klonen von Kreditkarten ist ein weiteres Problem, mit dem die Besucher der Olympischen Spiele 2016 konfrontiert werden. Während Chip-basierte Karten Cyberkriminellen das Leben schwerer machen, ist es ihnen möglich, Fehler in der EMV-Transaktionsimplementierung auszunutzen. Es ist schwierig, sich vor dieser Angriffsart zu schützen, da der Point-of-Sale normalerweise modifiziert wurde, um die Informationen zu speichern, die dann später von den Betrügern eingesammelt werden. Manchmal benötigen diese gar keinen physischen Zugriff, um die gestohlenen Informationen einzusammeln, da sie via Bluetooth übertragen werden. Doch es gibt einige Maßnahmen, die Sie ergreifen können, um das Risiko zu senken, dieser Art von Attacken zum Opfer zu fallen. Nehmen Sie den SMS-Benachrichtigungsservice Ihrer Bank für jede Kartentransaktion in Anspruch, wenn dieser angeboten wird. Geben Sie Ihre Karte nie dem Händler. Wenn er aus irgendeinem Grund nicht in der Lage ist, das Lesegerät zu Ihnen zu bringen, so sollten Sie zu dem Gerät gehen; sieht das Lesegerät verdächtig aus, zahlen Sie lieber auf eine andere Weise. Bevor Sie Ihre PIN eingeben, überzeugen Sie sich davon, dass Sie sich auf dem korrekten Bezahlbildschirm befinden und Ihre PIN nicht auf dem Bildschirm angezeigt wird.

Ransomware: Backup oder Lösegeld?

Gegen Ende vergangenen Jahres sagten wir voraus, dass Ransomware Bank-Trojanern den Rang ablaufen würde, denn Angreifer kommen mit Ransomware direkt an Bargeld und die Kosten pro Opfer sind gering. Daher ist es kein Wunder, dass Ransomware-Attacken zunehmen. Die Produkte von Kaspersky Lab blockierten zwischen April 2015 und April 2016 insgesamt 2.315.931 Angriffe von Erpresserschädlingen, das ist ein Zuwachs von 17,7 Prozent gegenüber dem Vorjahr. Die Zahl der Verschlüsselungsschädlinge (im Unterschied zu der Bildschirm blockierenden Ransomware) stieg von 131.111 im Zeitraum von 2014 bis 2015 auf 718.536 in der Zeit von 2015 bis 2016. Letztes Jahr war Verschlüsselungsmalware für 31,6 Prozent aller Ransomware-Attacken verantwortlich. Weitere Informationen zu diesem Thema, unter anderem einen Überblick über die Entwicklung von Ransomware, finden Sie in unserem KSN Report: PC-Ransomware in den Jahren 2014-2016.

Die meisten Ransomware-Attacken richten sich gegen Heimanwender. 6,8 Prozent der Attacken in der Zeit von 2014 bis 2015 und 13,13 Prozent in der Zeit von 2015 bis 2016 hatten Unternehmensanwender zum Ziel.

Bei der Krypto-Ransomware sieht es allerdings anders aus: Innerhalb des 24-monatigen Untersuchungszeitraums richteten sich etwa 20 Prozent der Verschlüsselungsattacken gegen den Unternehmenssektor.

Kaum ein Monat vergeht, ohne dass in den Medien über Ransomware-Attacken berichtet wird, in jüngster Vergangenheit unter anderem über die Ransomware-Angriffe auf ein Krankenhaus und ein Online-Kasino. Auch wenn das öffentliche Bewusstsein für dieses Problem wächst, ist klar, dass sowohl Nutzer als auch Organisationen nicht genug dafür tun, um die Bedrohung zu bekämpfen. Cybergangster schlagen daraus ihr Kapital, was sich ganz deutlich in der steigenden Angriffsmenge widerspiegelt.

Es ist wichtig, sich gegenüber Ransomware nicht angreifbar zu machen. Einige wichtige Maßnahmen, die Sie zum Schutz vor Erpressersoftware ergreifen können, haben wir hier und hier aufgeführt. Doch da es keine 100%ige Sicherheit gibt, ist es wichtig, das Risiko zu reduzieren. Insbesondere ist es sehr wichtig, ein Backup zu erstellen, um nicht in eine Situation zu geraten, in der die einzigen Alternativen darin bestehen, den Erpressern das Lösegeld zu zahlen oder seine Daten zu verlieren. Es ist nie empfehlenswert, Lösegeld zu zahlen. Dadurch wird nicht nur das „Geschäftsmodell“ der Verbrecher bestätigt, sondern es gibt auch keine Garantie dafür, dass die Daten entschlüsselt werden, wenn das Geld gezahlt wurde – wie eine Organisation kürzlich zu ihrem Leidwesen feststellen musste. Sollten Sie in eine Lage geraten, in der ihre Dateien verschlüsselt wurden und sie kein Backup haben, so fragen Sie, ob Ihr Anti-Malware-Anbieter in dieser Situation helfen kann. Kaspersky Lab ist zum Beispiel in der Lage, bei der Wiederherstellung von durch Ransomware verschlüsselten Daten zu helfen.

Mobile Bedrohungen

Eine der wichtigsten Methoden zur Monetarisierung mobiler Schadobjekte ist und bleibt das Anzeigen von Werbung. Daher heißt der beliebteste mobile Trojaner des zweiten Quartals 2016 auch Trojan.AndroidOS.Iop.c. Mit diesem Schädling hatten es über zehn Prozent aller Nutzer von Kaspersky-Lab-Produkten zu tun, bei denen im Laufe des Quartals mobile Schadprogramme detektiert wurden. Dieser Trojaner zeigt Werbung an und installiert Anwendungen auf dem Gerät – in der Regel heimlich und unter Verwendung von Superuserrechten. Das hat zur Folge, dass das Gerät innerhalb kürzester Zeit praktisch nicht mehr zu gebrauchen ist, da es vor unerwünschter Werbung und neuen Apps quasi überquillt. Da sich der Trojaner die Rechte eines Superusers aneignen kann, ist es überaus schwierig, die von ihm installierten Programme zu löschen.

In unserem Bericht für das erste Quartal 2016 beschrieben wir die Familie mobiler Bank-Trojaner Trojan-Banker.AndroidOS.Asacub. Programme dieser Familie setzen eine recht ungewöhnliche Technik ein, um einige Systemeinschränkungen zu umgehen – sie überdecken das Standard-Systemfenster mit der Anfrage nach Administratorenrechten für das Gerät mit ihrem eigenen Fenster inklusive Buttons. Auf diese Weise verbirgt der Trojaner den Erhalt von zusätzlichen Rechten im System vor dem Nutzer und veranlasst ihn mittels Betrug, diese Rechte zu bestätigen. In diesem Quartal hat sich Asacub eine weitere Technik angeeignet. Der Trojaner hat die Funktionalität eines SMS-Managers erhalten und schlägt dem Nutzer vor, die Standard SMS-App zu ändern.

Entwicklung der IT-Bedrohungen im zweiten Quartal 2016: Überblick

Dialogfenster mit der Anfrage des Trojaners Trojan-Banker.AndroidOS.Asacub.i nach Erhalt von Rechten der Standard-SMS-Anwendung

Auf diese Weise kann der Trojaner die Systemeinschränkung umgehen, die erstmals in Android 4.4 implementiert wurde, und eingehende SMS löschen oder verbergen.

Über die Familie Trojan-PSW.AndroidOS.MyVk, deren Vertreter Zugangspasswörter für das russische Soziale Netzwerk VKontakte stehlen, haben wir bereits im Oktober 2015 berichtet. Um die Sicherheitsmechanismen in Google Play zu umgehen, haben die Cyberkriminellen, die Trojaner dieser Familie verbreiten, in diesem Quartal zunächst eine Anwendung veröffentlicht, die eine nützliche Funktionalität und keinen Schadcode enthält. Daraufhin haben sie diese App mindestens einmal aktualisiert und eine neue Version – wiederum ohne Schadcode – herausgegeben. Erst mehr als einen Monat nach der Erstveröffentlichung fügten die Cybergangster dem nächsten Update Schadcode hinzu. Das hatte zur Folge, dass sich tausende Nutzer den Schädling Trojan-PSW.AndroidOS.MyVk.i auf ihre Geräte luden.

Datenlecks

Persönliche Informationen sind ein wertvolles Gut, daher ist es nicht verwunderlich, dass Cyberkriminelle Online-Anbieter und Internet-Provider angreifen und nach Möglichkeiten suchen, mit einer einzigen Attacke en gros Daten zu stehlen. Wir haben uns schon an die Nachrichten über Sicherheitslecks und Datenklau in den Medien gewöhnt. Dieses Quartal bildet dabei keine Ausnahme. Es gab Berichte über Angriffe auf beautifulpeople.com, das Hackerforum nulled.io (was beweist, dass nicht nur legitime Systeme angegriffen werden), auf kiddicare, Tumblr und andere.

Einige dieser Angriffe hatten den Diebstahl großer Datenmengen zur Folge, was die Tatsache unterstreicht, dass viele Unternehmen keine adäquaten Schritte unternehmen, um sich selbst zu schützen. Es geht dabei nicht allein darum, das Unternehmen nach außen hin zu verteidigen. So etwas wie 100%ige Sicherheit gibt es nicht, daher kann man auch nicht garantieren, dass ein System vollkommen „einbruchssicher“ ist. Aber jedes Unternehmen, dem persönliche Daten anvertraut wurden, hat eine Fürsorgepflicht und muss diese effizient schützen. Dazu gehört auch, die Passwörter ihrer Kunden mit Hash and Salt zu schützen und andere sensible Daten zu verschlüsseln.

Anwender können den Schaden, der durch ein Sicherheitsleck bei einem Online-Anbieter entstehen, auf ein Minimum reduzieren, indem sie einmalige und komplexe Passwörter wählen: Ein ideales Passwort ist mindestens 15 Zeichen lang und besteht aus einer Mischung aus Buchstaben, Zahlen und Symbolen von der gesamten Tastatur. Alternativ können Nutzer auch eine Passwortmanager-App verwenden, die alle Passwörter automatisch für sie verwaltet. Leider verwenden die Nutzer nur allzu oft leicht zu erratende Passwörter und benutzen zudem ein und dasselbe Passwort für zahlreiche Online-Accounts. Ist dann das Passwort einmal gehackt, sind alle Konten angreifbar. Dieses Problem wurde im Mai 2016 öffentlich diskutiert, als ein als „Peace“ bekannter Hacker versuchte, 117 Millionen LinkedIn-Zugangsdaten zu verkaufen, die einige Jahre zuvor gestohlen worden waren. Über eine Million der gestohlenen Passwörter lauteten „123456“!

Viele Online-Anbieter bieten eine Zwei-Faktoren-Authentifizierung an, das heißt sie verlangen von den Kunden, dass sie einen von einem Hardware-Token generierten Code eingeben oder einen, der auf ihr mobiles Gerät gesendet wurde, um sich auf einer Seite einloggen zu können. Oder zumindest, um Veränderungen an den Kontoeinstellungen vorzunehmen. Durch die Zwei-Faktoren-Authentifizierung wird die Sicherheit eindeutig verbessert – wenn die Nutzer sie denn in Anspruch nehmen.

Einige Unternehmen hoffen, vollständig auf Passwörter verzichten zu können. Apple ermöglicht die Autorisierung per Fingerabdruck für iTunes-Käufe und Bezahlvorgänge mit Apple Pay. Samsung hat bekannt gegeben, die Authentifizierung mittels Fingerabdruck, Stimme und Iriserkennung für Samsung Pay einzuführen. Amazon hat die Technologie „selfie-pay“ angekündigt. MasterCard und HSBC berichten über die Einführung von Gesichts- und Stimmerkennung zur Autorisierung von Transaktionen. Der wichtigste Vorteil liegt selbstverständlich darin, dass etwas ersetzt wird, was die Kunden sich merken müssen (ein Passwort), durch etwas, was sie haben – ohne die Möglichkeit, den Prozess abzukürzen (wie sie es tun, wenn sie ein schwaches Passwort wählen).

Biometrie erscheint vielen als die Authentifizierungsmethode der Zukunft. Doch sie ist kein Sicherheits-Patentrezept. Biometrie kann ausgetrickst werden, wie wir schon mehrfach diskutiert haben (hier, hier und hier), und biometrische Daten können gestohlen werden. Unerlässlich ist eine Multi-Faktoren-Authentifikation, eine Kombination aus drei Komponenten: etwas, was man weiß, etwas, was man hat und etwas, was man ist.

Statistik

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.