Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Inhalt

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) wehrten die Produkte von Kaspersky Lab 235.415.870 Attacken von Internet-Ressourcen in verschiedenen Ländern der Welt ab.
  • Kaspersky Anti-Virus schlug bei 75.408.543 individuellen URLs Alarm.
  • Kaspersky Anti-Virus spürte 38.233.047 individuelle Schadobjekte auf (wie Skripte, Exploits, ausführbare Dateien und andere).
  • Die Kaspersky-Lab-Produkte verschickten 5.686.755 Benachrichtigungen über Infektionsversuche durch Malware, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist.
  • Die Antiviren-Lösungen von Kaspersky Lab registrierten 145.137.553 individuelle schädliche beziehungsweise potenziell unerwünschte Objekte.
  • Die Kaspersky-Lab-Produkte zum Schutz mobiler Geräte entdecken im dritten Quartal:
    • 1.583.094 schädliche Installationspakete
    • 323.374 neue mobile Schadprogramme
    • 2.516 mobile Banktrojaner

Überblick

Zielgerichtete Attacken

Turlas „Auge am Himmelszelt“

Die Experten von Kaspersky Lab haben im Laufe des letzten Jahres mehrfach über Turla berichtet (unseren Erstbericht, die Follow-Up-Analyse und die Kampagnen-Übersicht finden Sie auf www.securelist.com beziehungsweise www.viruslist.de). Die Gruppe hinter dieser Cyberspionage-Kampagne ist seit mehr als acht Jahren aktiv und hat hunderte Computer in mehr als 45 Ländern der Welt infiziert. Zu den angegriffenen Organisationen gehören Regierungsbehörden, Botschaften, militärische Einrichtungen, Bildungsinstitutionen, Forschungs- und Pharmazieunternehmen.

Die Turla-Gruppe erstellt ein Profil ihrer Opfer und führt im Frühstadium Wasserloch-Attacken durch. Doch wie in unserem jüngsten Report beschrieben, macht sich die Gruppe für nachfolgende Operationen satellitengestützte Kommunikation zunutze, um ihren C2-Traffic (Command-and-Control) zu verwalten.

Die meisten Menschen denken bei satellitengestützter Kommunikation an TV-Übertragung, doch sie wird auch genutzt, um einen Internet-Zugang bereitzustellen. Typischerweise geschieht das in entlegenen Gegenden, wo andere Arten des Internet-Zugangs langsam, instabil oder nicht verfügbar sind. Eine der am weitesten verbreiteten und preiswertesten Formen von satellitengestützter Internetverbindung ist die sogenannte Downstream-Only-Verbindung.

Die von Turla verwendete Methode zum Abfangen der Downstream-Verbindungen erfordert kein gültiges Abonnement für einen satellitengestützten Internetzugang. Der wichtigste Vorteil besteht darin, dass die Verbindung anonym ist, und es damit sehr schwierig wird, die Angreifer zu identifizieren. Die Satellitenreceiver können sich überall in dem vom Satelliten abgedeckten Gebiet befinden (normalerweise ein großes Gebiet), und der tatsächliche Standort und die Hardware der C2-Server können nicht einfach identifiziert und physisch beschlagnahmt werden. Die Methode ist auch günstiger als eine satellitengestützte Verbindung zu erwerben, und einfacher als den Traffic zwischen dem Opfer und dem Satellitenbetreiber abzufangen und die Pakete auf dem Weg einzuschleusen.

Um satellitengestützte Internetverbindungen anzugreifen, zeigen sowohl die Satellitenschüssel der legitimen Nutzer dieser Verbindung als auch die Satellitenantennen der Angreifer auf den speziellen Satelliten, der den Traffic sendet. Die Angreifer nutzen die Tatsache aus, dass die Pakete unverschlüsselt sind. Wurde eine IP-Adresse identifiziert, die durch die Downstream-Verbindung des Satelliten geleitet wird, beginnen die Angreifer, die Pakete abzuhören, die vom Internet an diese spezielle IP gesendet werden. Wurde ein Paket identifiziert, identifizieren sie die Quelle und schicken ein gefälschtes Antwortpaket zurück zur Quelle, wobei sie eine konventionelle Internetverbindung nutzen. Zur gleichen Zeit ignoriert der legitime Nutzer der Verbindung das Paket, da es an einen normalerweise ungenutzten Port geht (beispielsweise 80 oder 10080). Eine grafische Übersicht, die zeigt, wie Turla die Satellitenverbindungen ausnutzt, finden Sie hier.

Die Turla-Gruppe nutzt bevorzugt Provider von Satelliten-Internetverbindungen mit Sitz im Mittleren Osten und Afrika, unter anderem im Kongo, Libanon, Libyen, Niger, Nigeria, Somalia und den Vereinigten Arabischen Emiraten. Satellitenübertragungen von diesen Ländern decken normalerweise keine europäischen und nordamerikanischen Gebiete ab, was es Sicherheitsforschern sehr schwer macht, solche Attacken zu untersuchen.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Die Nutzung von satellitengestützten Internetverbindungen ist eine interessante Entwicklung. Das Kapern von Downstream-Bandbreite ist günstig (ungefähr 1.000 US-Dollar Erstinvestition und zirka 1.000 US-Dollar Unterhaltungskosten pro Jahr), einfach umzusetzen und es bietet ein hohes Maß an Anonymität. Andererseits ist es nicht immer so zuverlässig wie traditionellere Methoden, zum Beispiel das Bullet-Proof-Hosting, multiple Proxy-Levels oder gehackte Webseiten – Methoden übrigens, die Turla ebenfalls ausnahmslos einsetzt. Dadurch ist es eher unwahrscheinlich, dass diese Methode verwendet wird, um umfangreiche Botnetze zu unterstützen. Doch sollte sich diese Methode unter APT-Gruppen oder Cyberkriminellen ausbreiten, so wird das ein ernsthaftes Problem für die IT-Sicherheit und die Strafverfolgungsbehörden darstellen.

Darkhotel verlängert seine Gästeliste

Im November 2014 berichteten wir über die Darkhotel-APT. Diese Attacken waren gekennzeichnet durch den Missbrauch gestohlener Zertifikate und die Bereitstellung von HTA-Dateien. Dabei setzten die Akteure ein breites Spektrum von Methoden ein und drangen in Wi-Fi-Netze von Hotels ein, um Backdoors auf den Ziel computern zu platzieren.

Kürzlich veröffentlichten wir ein Update zu der Darkhotel-Kampagne. Während die Angreifer hinter dieser APT weiterhin auch die oben aufgezählten Methoden einsetzen, haben sie ihr Arsenal zusätzlich erweitert. Sie konzentrieren sich nun verstärkt darauf, die auserwählten Opfer durch Spear-Phishing zu ködern. Neben den HTA-Dateien stellen die Angreifer nun auch infizierte RAR-Dateien bereit, wobei sie einen RTLO-Mechanismus verwenden, um die echte Erweiterung der Datei zu verschleiern. Die Angreifer setzen zudem Flash-Exploits ein, unter anderem ein Zero-Day-Exploit von Hacking Team.

Im Jahr 2015 erhöhte die Darkhotel-Gruppe ihre geografische Reichweite und greift nun auch Opfer in Nordkorea, Russland, Südkorea, Japan, Bangladesch, Thailand, Indien, Mosambik und Deutschland an.

Blue Termite

Im August berichteten die Kaspersky-Experten über die Blue Termite-APT, eine zielgerichtete Attacke, die darauf spezialisiert ist, Informationen von Organisationen in Japan zu stehlen. Dazu gehören Regierungsbehörden, lokale Verwaltungsämter, öffentliche Interessengruppen, Universitäten, Banken, Finanzdienstleister sowie Unternehmen aus den Bereichen Energie, Kommunikation, Schwerindustrie, Chemie, Automobilindustrie, Elektronik, neue Medien, Informationsdienste, Gesundheitswesen, Immobilien, Lebensmittel, Halbleiter, Robotertechnik, Bauwesen, Versicherungen, Transport und andere. Zu den prominentesten Zielen gehörte die Japanische Pensionskasse.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Die Malware wird auf das jeweilige Opfer zugeschnitten. Die Blue Termite-Backdoor speichert Daten über sich selbst, unter anderen C2, API-Name, Anti-Analyse-Strings, Mutex-Werte sowie die MD5-Kontrollsummen der Backdoor-Befehle und die internen Proxy-Informationen. Die Daten werden in verschlüsselter Form gespeichert, wodurch die Analyse der Malware erschwert wird – für jedes einzelne Sample wird ein eigener Schlüssel benötigt.

Die Hauptinfektionsmethode läuft wie bei so vielen zielgerichteten Angriffsattacken über Spear-Phishing-Mails. Doch wir haben auch andere Infektionsmethoden erkannt, unter anderen Drive-by-Downloads unter Ausnutzung eines Flash-Exploits (CVE-2015-5119) – eines der Exploits, das infolge des Hacking-Team-Leaks bekannt geworden war. Mehrere japanische Webseiten wurden auf diese Weise kompromittiert. Wir registrierten auch einige Wasserloch-Attacken, darunter eine auf einer Webseite, die einem prominenten Mitglied der japanischen Regierung gehört.

Malware-Stories

Endstation für CoinVault?

Am 14. September 2015 verhaftete die holländische Polizei zwei Männer, die verdächtigt werden, an Attacken der Ransomware CoinVault beteiligt zu sein. Der Festnahme vorangegangen waren gemeinsame Ermittlungen von Kaspersky Lab, Panda Security und dem NHTCU (Niederländische National High Tech Crime Unit), die einmal mehr den großen Gewinn unterstreichen, den die Zusammenarbeit zwischen der Polizei und Sicherheitsforschern mit sich bringt. Diese Malware-Kampagne begann im Mai 2014 und setzte sich bis zum laufenden Jahr fort, wobei Opfer in mehr als 20 Ländern im Visier der Akteure standen. Die meisten Opfer wurden allerdings in den Niederlanden, in Deutschland, den Vereinigten Staaten, Frankreich und Großbritannien registriert. Die Angreifer verschlüsselten erfolgreich Dateien auf über 1.500 Computern unter Windows und verlangten Zahlungen in Bitcoin, damit die Daten auf den betroffenen Rechnern wieder dechiffriert werden.

Die für diese Erpressersoftware-Kampagne verantwortlichen Cyberkriminellen modifizierten ihre Machwerke mehrfach, um immer wieder neue Opfer angreifen zu können. Wir haben unsere erste Analyse zu CoinVault im November 2014 veröffentlicht, kurz nachdem das erste Sample dieses Schadprogramms auf der Bildfläche erschienen war. Die Kampagne stoppte dann bis April 2015, als wir ein neues Sample fanden. Im selben Monat brachten Kaspersky Lab und das Niederländische NHTCU eine Webseite auf den Weg, die als Repositorium für Dechiffrierungsschlüssel dienen soll. Außerdem stellten die Kaspersky-Experten auch ein Entschlüsselungstool online bereit, um den Opfern zu helfen, ihre Daten wiederherzustellen, ohne Lösegeld bezahlen zu müssen.

Nachdem Kaspersky Lab die Webseite veröffentlicht hatte, wurden wir von den Kollegen von Panda Security kontaktiert, die auf Informationen über weitere Malware-Samples gestoßen waren. Wir konnten bestätigen, dass diese Samples mit CoinVault in Verbindung stehen. Diese Information gaben wir an das Niederländische NHTCU weiter.

Unsere Analyse über die Drehungen und Wendungen, die die CoinVault-Autoren vollziehen, finden Sie hier.

Ransomware ist zum festen Inventar in der Bedrohungslandschaft geworden. Während dieser Fall zeigt, dass die Zusammenarbeit zwischen Forschern und Strafverfolgungsbehörden zu positiven Ergebnissen führen kann, ist es für Nutzer und Unternehmen gleichermaßen wichtig, Maßnahmen zu ergreifen, um die Risiken zu minimieren, die diese Art von Malware mit sich bringt. Ransomware-Kampagnen ergeben nur dann einen Sinn, wenn die Opfer zahlen. Neben einem Anti-Malware-Schutz ist es wichtig, regelmäßig Backups zu erstellen, um Datenverlust und damit auch die Notwendigkeit zu vermeiden, Lösegeldzahlungen zu leisten.

Eine Schlange in Apples umzäuntem Garten

Das Auftauchen schädlicher Apps im Apple App Store vor kurzer Zeit hat deutlich gemacht, dass iOS – anders als viele Leute glauben – nicht immun gegen Malware ist.

Die Schadsoftware mit dem Namen „XcodeGhost“ infizierte Dutzende von Apps, unter anderen WeChat, die App zum Musik-Download von NetEase, den Visitenkartenscanner CamCard und die Taxiruf-App Didi Kuaidi. Die chinesischen Versionen von Angry Birds 2 waren ebenfalls infiziert.

Die Angreifer haben nicht den App Store gehackt, sondern eine schädliche Version der Apple-Software Xcode platziert. Xcode ist ein kostenloses Set von Tools, das Programmierer für die Entwicklung von iOS-Apps benutzen. Es wird offiziell von Apple vertrieben, aber auch inoffiziell von Dritt-Parteien: Irgendjemand in China hatte eine Version von Xcode in Umlauf gebracht, die XcodeGhost enthielt. Einige chinesische Entwickler laden Software-Entwicklungstools wie dieses lieber von lokalen Servern, denn das geht wesentlich schneller.

Alle Apps, die mit dieser modifizierten Xcode-Version erstellt werden, sind infiziert. Die infizierten Apps stehlen Daten von ihren Opfern und senden sie an die Angreifer. Ursprünglich wurde angenommen, dass 39 infizierte Apps den Scan-Prozess von Apple umgehen konnten und erfolgreich in den App Store hochgeladen wurden. Infizierte Apps wurden von Apple entfernt. Doch die kompromittierte Xcode-Version war etwa sechs Monate verfügbar, was bedeutet, dass die Zahl der infizierten Apps weitaus höher sein könnte – nicht zuletzt, weil der Quellcode für XcodeGhost auf Github veröffentlicht wurde.

Die XcodeGhost-Analyse der Forscher von Palo Alto Networks finden Sie hier.

Der Vorfall unterstreicht die Gefahr, die von Programmen ausgeht, deren Quellcode infiziert ist, wenn Entwicklertools kompromittiert werden.

Die Gaza Cybergang

Ende September berichteten wir über die Aktivitäten einer anderen regionalen APT, der Gaza Cybergang. Hierbei handelt es sich um eine politisch motivierte arabische Gruppe, die in der MENA-Region (Mittlerer Osten und Nordafrika) aktiv ist, mit einem Focus auf Ägypten, den Vereinigten Arabischen Emiraten und dem Jemen. Die Gruppe zeigt Interesse an Regierungsbehörden, in erster Linie an Botschaften, in denen die IT-Sicherheit möglicherweise noch nicht so fest verankert ist und IT-Operationen nicht so zuverlässig ablaufen. Die Gaza Cybergang ist seit dem Jahr 2012 aktiv, trat im zweiten Quartal 2015 aber besonders hervor.

Die Gang schickt aktiv Malware an IT-Mitarbeiter und Mitglieder des Incident Response Teams (IR) in den Zielorganisationen: Die Dateinamen, die sie verwenden, beziehen sich auf IT-Funktionen und IR-Tools, die bei der Aufklärung von Cyberattacken benutzt werden. Der Grund für dieses Vorgehen liegt auf der Hand: IT-Mitarbeiter haben normalerweise höhere Zugriffsrechte als andere Angestellte, da es ihr Job ist, die Unternehmensinfrastruktur zu verwalten. IR-Angehörige haben zumeist auch Zugriff auf sensitive Daten in Bezug auf laufende Cyber-Ermittlungen, sowie erweiterte Zugriffsrechte, die es ihnen ermöglichen, nach verdächtiger Aktivität im gesamten Netzwerk Ausschau zu halten. Das bedeutet, die Angreifer erhalten nicht nur Zugriff auf die Zielorganisation, sondern dehnen ihre Reichweite auch auf das gesamte Netzwerk aus.

Die von der Gruppe benutzten Haupt-Infektionsmodule sind die weitläufig verwendeten Fernzugriff-Trojaner (RATs – Remote Access Trojaner) XtremeRAT und PoisonIvy. Ihre Aktivitäten hängen eng mit Social-Engineering-Methoden zusammen. Sie verwenden Dateinamen, die sich auf IT- und IR-Funktionen und -Inhalte beziehen, und Domainnamen, die für ihre Opfer vermutlich von Interesse sind (beispielsweise „.gov.uae.kim“).

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Mobile Bedrohungen

Die wichtigste Methode, mobile Bedrohungen in bare Münze umzuwandeln, ist und bleibt das Anzeigen von Werbung. Die Zahl der Programme, die aufdringlich Werbung auf mobilen Geräten anzeigen (AdWare), steigt weiterhin an – im dritten Quartal machten sie mehr als die Hälfte aller entdeckten mobilen Objekte aus.

Gleichzeitig beobachten wir eine Zunahme von Programmen, die Werbung als wichtigstes Mittel einsetzen, um an reales Geld zu kommen und dabei auf Methoden der Virenschreiber zurückgreifen. Häufig rooten sie das Gerät des Opfers und nutzen die Rechte eines Superusers, wodurch es sehr schwer wird, gegen sie vorzugehen – wenn nicht gar unmöglich. Im dritten Quartal 2015 entfiel auf solche Trojaner mehr als die Hälfte der 20 populärsten mobilen Schadprogramme.

Auch SMS-Trojaner sind nach wie vor beliebt, wenn es darum geht, Malware in bare Münze umzuwandeln, ganz besonders in Russland. Zur Erinnerung: Solche Programme verschicken von einem infizierten Gerät ohne Wissen des Anwenders kostenpflichtige Kurznachrichten. Obwohl ihr Anteil an allen mobilen Bedrohungen weiterhin abnimmt, belegt Trojan-SMS unter den schädlichen mobilen Programmen nach wie vor die Führungsposition nach Anzahl der innerhalb des Quartals neu entdeckten Samples.

Doch unter dem Strich generieren die Cyberkriminellen nicht nur durch das Zeigen von Werbung und das Versenden kostenpflichtiger SMS Einnahmen. Sie zeigen auch ein reges Interesse an den Bankkonten der Nutzer. Im dritten Quartal war der Anteil mobiler Banker und Spionage-Programme, die persönliche Anwenderinformationen stehlen, an allen neuen mobilen Bedrohungen um 0,7 Prozentpunkte höher als der Anteil der SMS-Trojaner.

Anzahl neuer mobiler Bedrohungen

Im dritten Quartal 2015 entdeckten die Produkte von Kaspersky Lab zum Schutz mobiler Geräte 323.374 neue mobile Schadprogramme, das sind 1,1 Mal mehr als im zweiten Quartal 2015 und 3,1 Mal mehr als im ersten Quartal 2015.

Dabei betrug die Zahl der entdeckten schädlichen Installationspakete 1.583.094, das sind 1,5 Mal mehr als im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Anzahl der entdeckten schädlichen Installationspakete und neuen mobilen Schadprogramme (erstes Quartal 2015 – drittes Quartal 2015)

Verteilung der mobilen Schädlinge nach Typen

2_DE

Verteilung neuer mobiler Schädlinge nach Typen, zweites und drittes Quartal 2015

Im Rating der im dritten Quartal 2015 entdeckten schädlichen Objekte für mobile Geräte setzten sich die potenziell unerwünschten Werbeprogramme (Adware) an die Spitze. Im vorangegangenen Quartal befanden sie sich bereits mit einem Anteil von 19 Prozent auf dem zweiten Platz, doch im dritten Quartal nahm ihr Anteil deutlich zu, und zwar bis auf 52,2 Prozent.

Auf dem zweiten Platz positionierten sich Objekte des Typs RiskTool – legale Anwendungen, die für die Anwender potenziell gefährlich sind. In den Händen Cyberkrimineller oder auch bei nicht korrektem Gebrauch durch den Smartphone-Besitzer können sie finanzielle Verluste verursachen. Der Anteil von Risktool sank gegenüber dem vorangegangenen Quartal um 16,6 Prozentpunkte, wodurch diese Kategorie die Führungsposition einbüßte.

Der Anteil von Trojan-SMS an der Gesamtheit der mobilen Bedrohungen ging um 1,9 Prozentpunkte zurück und betrug 6,2 Prozent. Unter den schädlichen mobilen Programmen sind sie allerdings noch immer führend.

Trojan-Spy folgt den SMS-Trojanern auf dem Fuße, mit einem Wert von 5,4 Prozent. Solche Programme stehlen persönliche Anwenderdaten, darunter eingehende SMS mit mTAN von Banken.

Unter den mobilen Schadprogrammen verzeichneten im dritten Quartal die Objekte der Kategorie Trojan-Banker den schnellsten Zuwachs, deren Anteil sich mit 0,8 Prozent gegenüber 0,6 Prozent im zweiten Quartal mehr als verdoppelt hat. Im zweiten Quartal wurden 630 solcher Programme entdeckt, in diesem mehr als 2.500, das heißt vier Mal so viele.

Top 20 der mobilen Schadprogramme

Im unten stehenden Rating der mobilen Schadprogramme werden potenziell gefährliche und unerwünschte Programme wie RiskTool und Adware nicht berücksichtigt.

  Name Prozentualer Anteil der angegriffenen Anwender*
1 DangerousObject.Multi.Generic 46,6
2 Trojan.AndroidOS.Rootnik.d 9,9
3 Trojan-SMS.AndroidOS.Podec.a 7,4
4 Trojan-Downloader.AndroidOS.Leech.a 6,0
5 Trojan.AndroidOS.Ztorg.a 5,5
6 Exploit.AndroidOS.Lotoor.be 4,9
7 Trojan-Dropper.AndroidOS.Gorpo.a 3,3
8 Trojan-SMS.AndroidOS.Opfake.a 3,0
9 Trojan.AndroidOS.Guerrilla.a 2,9
10 Trojan-SMS.AndroidOS.FakeInst.fz 2,6
11 Trojan-Ransom.AndroidOS.Small.o 2,3
12 Trojan-Spy.AndroidOS.Agent.el 2,1
13 Trojan.AndroidOS.Ventica.a 1,9
14 Trojan.AndroidOS.Ztorg.b 1,9
15 Trojan.AndroidOS.Ztorg.pac 1,8
16 Trojan.AndroidOS.Fadeb.a 1,6
17 Trojan-SMS.AndroidOS.Smaps.a 1,5
18 Trojan.AndroidOS.Iop.a 1,5
19 Trojan.AndroidOS.Guerrilla.b 1,5
20 Trojan-SMS.AndroidOS.FakeInst.fi 1,4

* Prozentualer Anteil der vom jeweiligen Schädling angegriffenen Anwender an allen angegriffenen Anwendern.

Auf dem ersten Platz im Rating befindet sich DangerousObject.Multi.Generic mit 46,6 Prozent. In diese Kategorie fallen neue Schadanwendungen, die von den Cloud-Technologien des Kaspersky Security Network erkannt werden. Das ermöglicht es unseren Produkten, schnell auf neue und unbekannte Bedrohungen zu reagieren. Bemerkenswert ist, dass sich der Anteil von DangerousObject.Multi.Generic am allgemeinen mobilen Malwarestrom praktisch verdreifacht hat: von 17,5 Prozent im vorangegangenen Quartal auf 46,6 Prozent im dritten Quartal 2015.

Im Vergleich zum vorausgegangenen Quartal ist die Zahl der Trojaner, die Werbung als wichtigstes Mittel zur Bargeldbeschaffung einsetzen, in den Top 20 deutlich gestiegen. Während im zweiten Quartal sechs solcher Programme unter den ersten zwanzig waren, so waren es im dritten elf: drei Programme der Familie Trojan.AndroidOS.Ztorg, zwei Programme der Familie Trojan.AndroidOS.Guerrilla sowie Trojan.AndroidOS.Rootnik.d, Trojan-Downloader.AndroidOS.Leech.a, Trojan-Dropper.AndroidOS.Gorpo.a, Trojan-Spy.AndroidOS.Agent.el, Trojan.AndroidOS.Ventica.a und Trojan.AndroidOS.Fadeb.a.

Im Gegensatz zu den gewöhnlichen Werbemodulen verfügen diese Programme über keinerlei nützliche Funktionalität. Ihr Ziel besteht darin, dem Nutzer mit unterschiedlichen Mitteln so viel Werbung wie möglich zuzustellen, unter anderem auch mittels Installation neuer Werbeprogramme. Diese Trojaner können Root-Rechte nutzen, um sich im Systemverzeichnis zu verbergen, aus dem sie nur äußerst schwer wieder zu löschen sind.

Hervorzuheben ist in diesem Zusammenhang Trojan-Spy.AndroidOS.Agent.el – er ist sogar in der offiziellen Firmware einiger Hersteller anzutreffen.

Trojan-SMS.AndroidOS.Podec.a (7,4 %) belegt schon das vierte Quartal in Folge einen Platz in den Top 3 der mobilen Bedrohungen, was dadurch zu erklären ist, dass er aktiv verbreitet wird. Anzumerken ist, dass die Funktionalität in den letzten Versionen dieses Trojaners geändert wurde – der Versand von SMS ist nun nicht mehr möglich. Jetzt konzentriert sich dieser Trojaner vollständig auf bezahlpflichtige Abos, wofür er CAPTCHA-Erkennung einsetzt.

Auf Platz 17 positionierte sich der Trojaner Trojan-SMS.AndroidOS.Smaps.a. Einige seiner Versionen sind in der Lage, auf Befehl des Servers über die App Viber Spam zu versenden – wenn diese App beim Opfer installiert ist. Zu diesem Zweck benötigt der Trojaner keine speziellen Genehmigungen oder Aktivität seitens des Anwenders.

Geografie der mobilen Bedrohungen

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Karte der Infektionsversuche mit mobilen Schädlingen im dritten Quartal 2015 (Anteil der angegriffenen Anwender im jeweiligen Land)

Top 10 der Länder nach Anteil der von mobilen Schädlingen angegriffenen Anwender:

  Land* Anteil der angegriffenen Anwender**
1 Bangladesch 22,57
2 China 21,45
3 Nigeria 16,01
4 Tansania 15,77
5 Iran 13,88
6 Malaysia 13,65
7 Algerien 12,73
8 Nepal 12,09
9 Kenia 11,17
10 Indonesien 10,82

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der im jeweiligen Land angegriffenen Anwender an allen Nutzern von Kaspersky Mobile Security im Land.

Die nach diesem Wert sichersten Länder sind:

  Land Prozentualer Anteil der angegriffenen Anwender
1 Japan 1,13
2 Kanada 2,87
3 Dänemark 3,20
4 Schweden 3,45
5 Australien 3,48

Obwohl Australien unter den Top 5 der Länder ist, in denen die Wahrscheinlichkeit am geringsten ist, von einem mobilen Schädling befallen zu werden, ist die Situation in diesem Land bei Weitem nicht so sicher wie man es gern hätte: Im dritten Quartal wurden die australischen Anwender häufiger als alle anderen von mobilen Bank-Trojanern angegriffen (siehe unten).

Mobile Bank-Trojaner

Innerhalb des Berichtszeitraums entdeckte das Kaspersky-Team 2.516 mobile Bank-Trojaner, das sind vier Mal mehr als im vorangegangenen Quartal.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Anzahl der mobilen Bank-Trojaner in der Kollektion von Kaspersky Lab (viertes Quartal 2014 – drittes Quartal 2015)

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Geografie der mobilen Bank-Bedrohungen im dritten Quartal 2015 (Anzahl der angegriffenen Anwender)

Die Zahl der angegriffenen Anwender hängt von der Gesamtzahl der Anwender im Land ab. Um das Risiko einer Infektion mit mobilen Bank-Trojanern in verschiedenen Ländern der Welt einschätzen und vergleichen zu können, hat das Team von Kaspersky Lab das Länderrating nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender erstellt.

Top 10 der Länder nach dem prozentualen Anteil der von mobilen Bank-Trojanern angegriffenen Anwender

  Land* Prozentualer Anteil der von Bank-Schädlingen angegriffenen Anwender**
1 Australien 0,85
2 Südkorea 0,40
3 Russland 0,32
4 Zypern 0,32
5 Tschechien 0,31
6 Österreich 0,27
7 Kirgisien 0,26
8 Bulgarien 0,24
9 Rumänien 0,23
10 Usbekistan 0,23

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil der Anwender im Land, die Attacken von mobilen Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky Mobile Security im Land.

Australien, das im letzten Quartal noch den achten Platz belegte, hat sich im dritten Quartal zum Spitzenreiter aufgeschwungen. Der Anteil der von mobilen Bank-Schädlingen angegriffenen Anwender ist in Australien um das Sechsfache gestiegen (von 0,14 % auf 0,85 %). Dieser deutliche Zuwachs hängt mit dem aktiven Einsatz von Trojan-Banker.AndroidOS.Agent.ad durch Cyberkriminelle zusammen. Dieser Trojaner stiehlt Anmeldedaten und Passwörter für Online-Banking-Systeme großer australischer Banken. Zudem versucht er, Daten über die Kreditkarten der Nutzer zu ergattern (Name des Inhabers, Kartennummer, CVV, Gültigkeitsdauer).

Gleichzeitig hat sich der prozentuale Wert Koreas, das im zweiten Quartal noch den ersten Platz belegte, fast um das Sechsfache verringert (von 2,37 % auf 0,4 %), so dass dieses Land auf den zweiten Rang in der Hitliste abgerutscht ist.

Top 10 der Länder nach Anteil der von mobilen Bank-Trojanern angegriffenen Anwender an allen angegriffenen Anwendern

Ein Indikator für die Popularität von mobilen Bank-Trojanern unter Cyberkriminellen in jedem Land könnte auch das Verhältnis zwischen der Anzahl der Anwender, deren mobile Geräte mindestens einmal im Laufe des Quartals von mobilen Trojanern angegriffen wurden, und allen Anwendern in diesem Land sein, bei denen Kaspersky Mobile Security mindestens einmal im Quartal Alarm geschlagen hat. Dieses Rating unterscheidet sich von dem oben dargestellten:

  Land* Prozentualer Anteil der von mobilen Banktrojanern angegriffenen Anwender an allen angegriffenen Anwendern **
1 Australien 24,31
2 Österreich 7,02
3 Montenegro 5,92
4 Südkorea 5,69
5 Frankreich 5,66
6 Zypern 5,56
7 Russland 5,09
8 Tschechien 4,98
9 Schweden 4,81
10 Finnland 4,56

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky Mobile Security unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender im Land, die von mobilen Bank-Trojanern angegriffen wurden, an allen individuellen Anwendern in dem Land, die von mobilen Schädlingen angegriffen wurden.

In Australien, das den ersten Platz in diesem Rating belegt, wurde etwas weniger als ein Viertel aller Anwender, die von mobilen Schädlingen angegriffen wurden, auch von mobilen Bank-Trojanern attackiert.

In Russland hat sich der Anteil der Angriffe durch Bankschädlinge an allen Attacken von mobilen Schädlingen praktisch halbiert – von 10,35 Prozent auf 5,09 Prozent. Diese Entwicklung ist auf die deutlich verringerte Aktivität der Banktrojaner-Familie Trojan-Banker.AndroidOS.Marcher zurückzuführen, die zu den in diesem Land am weitesten verbreiteten mobilen Familien von Finanzschädlingen gehörte. Im dritten Quartal wurden zehn Mal weniger Angriffe unter Einsatz dieses Schädlings registriert als im vorangegangenen Quartal.

Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

Das unten dargestellte Rating der angreifbaren Anwendungen basiert auf Daten über die von unseren Produkten blockierten Exploits, die von Cyberkriminellen sowohl in Attacken über das Web als auch bei Angriffen auf lokale Anwendungen verwendet werden – unter anderem auch auf mobilen Geräten.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Verteilung der in Cyberattacken eingesetzten Exploits nach Typen der angegriffenen Anwendungen, drittes Quartal 2015

Gegenüber dem zweiten Quartal 2015 konnten wir die folgenden Veränderungen beobachten:

  1. Zunahme der Exploits für Adobe Flash Player um zwei Prozentpunkte.
  2. Rückgang der Exploits für Adobe Reader um fünf Prozentpunkte.

In diesem Quartal, so wie auch im Laufe des gesamten Jahres, wurden Exploits für Adobe Flash Player stark nachgefragt. Ihr Anteil betrug insgesamt fünf Prozent, doch „in freier Wildbahn“ sind es mehr und zum gegenwärtigen Zeitpunkt nutzen praktisch alle aktuellen Exploit-Packs Sicherheitslücken in dieser Software aus. Wie auch im vorangegangenen Quartal ging der Anteil der Java-Exploits (11 %) auch im dritten Quartal weiterhin zurück. Aktuell beobachten wir nicht, dass Exploits für diese Software irgendwelchen Exploit-Packs hinzugefügt werden.

Im dritten Quartal enthielten die bekanntesten Exploit-Packs Exploits für die folgenden Sicherheitslücken:

  1. CVE-2015-5560 (Adobe Flash; dieses Exploit wurde in einem Bericht von Kaspersky Lab beschrieben)
  2. CVE-2015-2419 (Internet Explorer)
  3. CVE-2015-1671 (Silverlight)

Im vorangegangenen Quartal registrierten die Kaspersky-Experten eine deutliche Zunahme von Spam-Versendungen, die schädliche PDF-Dokumente enthalten. In diesem Quartal ging die Zahl solcher Versendungen spürbar zurück, daher verringerte sich auch der Anteil von Exploits für Adobe Reader.

Insgesamt setzte sich im dritten Quartal 2015 ein Trend fort, den wir bereits im Laufe des gesamten Jahres 2015 beobachten konnten – die größte Nachfrage unter Cyberkriminellen besteht nach Exploits für Adobe Flash Player und Internet Explorer. Letztere gehören in unserer Grafik zu der Kategorie „Browser“, in die auch die Detektionen von Landing-Pages fallen, von denen aus die Exploits in Umlauf gebracht werden.

Schadprogramme im Internet (Attacken über Webressourcen)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen oder infizierten Webseite geladen wird. Schädliche Webseiten werden von Cyberkriminellen eigens erstellt. Infiziert sein können Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Online-Bedrohungen im Bankensektor

Die vorliegende Statistik basiert auf Daten, die von den Kaspersky-Lab-Produkten gesammelt wurden. Die Daten stammen von Anwendern, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

Im dritten Quartal 2015 wehrten die Lösungen von Kaspersky Lab auf den Computern von 625.669 KSN-Anwendern Ausführungsversuche von Software ab, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert ist. Im Vergleich zum vorangegangenen Quartal (755.642 Versuche) nahm dieser Wert um 17,2 Prozentpunkte ab. Vor einem Jahr, im dritten Quartal 2014, waren es 591.688 KSN-Anwender.

Die Schutzlösungen von Kaspersky Lab registrierten insgesamt 5.686.755 Meldungen über Infektionsversuche durch Schadprogramme, die auf den Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten spezialisiert sind.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Zahl der von Finanzmalware angegriffenen Computer, drittes Quartal 2015

Geografie der Attacken

Um den Grad des Risikos einer Infektion mit Bank-Trojanern, dem Computer in den verschiedenen Ländern der Welt ausgesetzt sind, beurteilen und vergleichen zu können, haben wir für jedes Land den Anteil der Nutzer von Kaspersky-Lab-Produkten, die im Berichtszeitraum mit dieser Bedrohung konfrontiert wurden, an allen Nutzern unserer Produkte im Land berechnet.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Geografie der Attacken von Bank-Schädlingen im dritten Quartal 2015 (Prozentsatz der angegriffenen Anwender)

Top-10 nach prozentualem Anteil der angegriffenen Anwender

  Land* Prozentualer Anteil der angegriffenen Anwender**
1 Österreich 4,98
2 Singapur 4,23
3 Türkei 3,04
4 Namibia 2,91
5 Neuseeland 2,86
6 Hongkong 2,81
7 Australien 2,78
8 Libanon 2,60
9 Vereinigte Arabische Emirate 2,54
10 Schweiz 2,46

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil individueller Anwender von Kaspersky-Lab-Produkten, die Angriffen von Bank-Trojanern ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im dritten Quartal 2015 stand Österreich an der Spitze des Ratings nach prozentualem Anteil der Nutzer von Kaspersky-Produkten, die von Bank-Trojanern angegriffen wurden. Der Erstplatzierte aus dem vorangegangenen Quartal (Singapur) befindet sich nun auf Position zwei. In den meisten Ländern aus den Top 10 nutzt eine recht große Zahl von Usern das Online-Banking, was sie für Cyberkriminelle überaus interessant macht.

In Russland hatten es 0,71 Prozent der Nutzer im Laufe des Quartals mindestens einmal mit Bank-Trojanern zu tun; dieser Wert weicht nur unwesentlich von dem aus dem zweiten Quartal 2015 ab (0,75 %). In den USA ging dieser Wert im dritten Quartal um 0,3 Prozentpunkte zurück. Ein leichter Rückgang des Anteils der von Bankschädlingen angegriffenen Anwender war auch in westeuropäischen Ländern zu verzeichnen: in Spanien (1,95 %) – ein Rückgang von 0,07 Prozentpunkten, in Großbritannien (1,24 %) – um 0,34 Prozentpunkte, in Italien (1,16 %) – um 0,41 Prozentpunkte, und in Deutschland (1,03 %) mit einem Rückgang um 0,13 Prozentpunkten.

Top 10 der Bank-Malware-Familien

Die Top 10 der Schadprogramm-Familien, die in Attacken auf Nutzer von Online-Banking-Systemen verwendet wurden, sehen für das dritte Quartal 2015 folgendermaßen aus:

  Name* Anteil der Attacken**
1 Trojan-Downloader.Win32.Upatre 63,13
2 Trojan-Spy.Win32.Zbot 17,86
3 Trojan-Banker.JS.Agent 1,70
4 Trojan-Banker.Win32.ChePro 1,97
5 Backdoor.Win32.Caphaw 1,14
6 Trojan-Banker.Win32.Banbra 1,93
7 Trojan-Banker.AndroidOS.Faketoken 0,90
8 Trojan-Banker.AndroidOS.Agent 0,57
9 Trojan-Banker.Win32.Tinba 1,93
10 Trojan-Banker.AndroidOS.Marcher 0,55

* Von Kaspersky-Lab-Produkten detektierte Objekte. Die Informationen wurden von den Nutzern von Kaspersky Lab-Produkten zur Verfügung gestellt, die Ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.
** Prozentualer Anteil an allen Attacken von Finanzschädlingen, die auf den Computern individueller Nutzer registriert wurden.

Die überragende Mehrheit der Schädlinge aus den Top 10 schleust willkürlichen HTML-Code in die vom Browser dargestellte Webseite ein und fängt Bezahldaten ab, die der Anwender in originale und eingefügte Webformulare eingibt.

Die Schädlinge der Familie Trojan-Downloader.Win32.Upatre führen das Rating nach wie vor an. Sie sind nicht größer als 3,5 KB und ihre Funktion beschränkt sich auf das Laden der Payload auf den infizierten Computer. Meist handelt es sich dabei um Bank-Trojaner der bekannten Familie Dyre/Dyzap/Dyreza. Ein Vertreter dieser Familie wurde erstmals im 2014 entdeckt und seine Hauptaufgabe besteht im Diebstahl von Bezahldaten der Anwender. Zu diesem Zweck fängt Dyre die Daten einer Banksitzung zwischen dem Browser des Opfers und der Online-Banking-Webapplikation ab. Allerdings wurde der Downloader Trojan-Downloader.Win32.Upatre im Sommer 2015 auch auf kompromittierten Heimroutern gefunden, was zeigt, wie vielseitig dieser Trojaner von Cyberverbrechern eingesetzt wird.

Bereits zum Inventar dieses Ratings gehört Trojan-Spy.Win32.Zbot auf Platz zwei. Dass er ununterbrochen in den obersten Rängen der Hitliste vertreten ist, ist kein Zufall. Trojaner der Familie Zbot gehören zu den ersten, die Web-Einschleusungen zur Kompromittierung der Bezahldaten von Online-Banking-Nutzern einsetzten und den Inhalt der Bank-Webseite modifizierten. Sie verschlüsseln ihre Konfigurationsdateien mit mehreren Schichten und verwahren die entschlüsselte Konfigurationsdatei dabei nicht als Ganzes im Speicher, sondern laden sie häppchenweise. Das verschafft den Trojanern der Familie Trojan-Spy.Win32.Zbot einen technologischen Vorteil gegenüber ihrer Konkurrenz.

In diesem Quartal befindet sich die Familie Trojan-Banker.JS.Agent auf dem dritten Platz – schädlicher JS-Code, der das Ergebnis einer Einschleusungsprozedur in eine Online-Banking-Seite ist. Die Aufgabe dieses Codes besteht im Abfangen der Bezahldaten, die der Anwender in Formulare auf der Online-Banking-Seite eingibt.

Bemerkenswert ist, dass in diesem Ranking drei Familien von mobilen Bank-Trojanern vertreten sind: Trojan-Banker.AndroidOS.Faketoken, Trojan-Banker.AndroidOS.Marcher (über den wir im vergangenen Quartal berichteten) und der Neueinsteiger Trojan-Banker.AndroidOS.Agent. Die Programme dieser Familie stehlen Bezahldaten von mobilen Android-Geräten.

Top 10 der von Bank-Trojanern angegriffenen Betriebssysteme

Im dritten Quartal waren die Nutzer von Betriebssystemen der Windows-Familie am stärksten Angriffen von Bank-Trojanern ausgesetzt (was auch nicht erstaunlich ist, wenn man die Masse der Geräte bedenkt, die unter diesen Betriebssystemen laufen). Dabei hatten es die Nutzer der 64-Bit-Version von Windows 7 am häufigsten mit Finanzschädlingen zu tun – im dritten Quartal entfielen auf sie 42,2 Prozent aller Attacken von Bank-Trojanern. Außerdem befand sich auch das mobile Betriebssystem Android unter den ersten zehn am häufigsten angegriffenen Betriebssystemen.

Betriebssystem Prozentualer Anteil an den Attacken*
Windows 7 x64 Edition 42,2
Windows 7 11,6
Windows 7 Home x64 Edition 5,5
Windows XP Professional 7,0
Windows 8.1 Home x64 Edition 3,7
Windows 8.1 x64 Edition 2,3
Windows 7 Home 1,3
Windows 10 x64 Edition 1,2
Android 4.4.2 0,6
Windows NT 6.3 x64 Edition 0,7

* Prozentualer Anteil an allen Angriffen von Finanzschädlingen, die auf den Computern individueller Anwender registriert wurden, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

Obwohl die Familie der Mac-OS-X-Betriebssysteme nicht in den Top 10 vertreten ist, möchten wir darauf hinweisen, dass die Nutzer dieses Betriebssystems sich nicht in absoluter Sicherheit wiegen sollten: Im dritten Quartal wurden Computer unter Mac OS X insgesamt 12.492 Mal angegriffen.

Top 20 der schädlichen Objekte im Internet

Im dritten Quartal 2015 erkannte Kaspersky Anti-Virus 38.233.047 individuelle schädliche Objekte (wie Skripte, Exploits und ausführbare Dateien), und es wurden 75.408.543 individuelle URLs registriert, auf denen Kaspersky Anti-Virus Alarm schlug.

Von allen schädlichen und potenziell unerwünschten Programmen hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 95 Prozent aller Attacken im Internet.

Top 20 der schädlichen Objekte im Internet

  Name* Anteil an allen Attacken in Prozent**
1 Malicious URL 53,63
2 AdWare.JS.Agent.bg 16,71
3 AdWare.Script.Generic 7,14
4 Trojan.Script.Generic 6,30
5 Trojan.Script.Iframer 3,15
6 Trojan.Win32.Generic 1,52
7 AdWare.Win32.SoftPulse.heur 1,31
8 AdWare.JS.Agent.bt 1,09
9 AdWare.Win32.OutBrowse.heur 0,84
10 Trojan-Downloader.Win32.Generic 0,63
11 AdWare.NSIS.Vopak.heur 0,46
12 Exploit.Script.Blocker 0,46
13 Trojan-Downloader.JS.Iframe.diq 0,30
14 AdWare.Win32.Amonetize.aqxd 0,30
15 Trojan-Downloader.Win32.Genome.tqbx 0,24
16 AdWare.Win32.Eorezo.abyb 0,23
17 Hoax.HTML.ExtInstall.a 0,19
18 Trojan-Clicker.HTML.Iframe.ev 0,17
19 AdWare.Win32.Amonetize.bgnd 0,15
20 Trojan.Win32.Invader 0,14

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
** Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Die Top 20 setzen sich größtenteils aus Schadfamilien zusammen, deren Vertreter bei Drive-by-Attacken benutzt werden, sowie aus Werbeprogrammen, die in diesem Quartal neun von zwanzig Positionen belegen.

Erwähnenswert sind die als Hoax.HTML.ExtInstall.a zusammengefassten Objekte. Unter dieser Bezeichnung werden Webseiten detektiert, die den Browser des Anwenders blockieren und ihm die Installation einer Erweiterung für Chrome aufzwingen. Bei dem Versuch, die Seite zu schließen, wird häufig die Audiodatei voice.mp3 mit folgendem Text abgespielt – „um die Seite zu schließen, klicken Sie auf den Button „hinzufügen““.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Webseite, die die Installation einer Chrome-Erweiterung erzwingt

Die aufgedrängte Erweiterung fügt den Nutzern keinen Schaden zu, allerdings handelt es sich um eine äußerst lästige App, die der Anwender praktisch nicht mehr los wird. Gerade deshalb detektieren die Produkte von Kaspersky Lab die entsprechende Webseite mit einem Pop-Up-Fenster. Ein Partnerprogramm nutzt diese Methode zur Verbreitung von Erweiterungen.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im dritten Quartal 2015 wehrten die Lösungen von Kaspersky Lab 235.415.870 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 80 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden.

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Verteilung der Quellen von Webattacken nach Ländern, drittes Quartal 2015

Im Vergleich zum vorangegangenen Quartal stehen nun die USA mit 26,9 Prozent an der Spitze des Rankings. Damit tauschten die USA und Russland (18,8 %) die Plätze. Nicht mehr in den Top 10 vertreten sind die Jungferninseln und Singapur. Die Neueinsteiger im dritten Quartal sind Schweden (1,43 %) und Kanada (1,42 %).

Länder, in denen die Computer dem größten Risiko einer Infektion über das Internet ausgesetzt waren

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie hoch der prozentuale Anteil der individuellen Anwender von Kaspersky-Lab-Produkten war, bei denen Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Anteil der Attacken**
1 Russland 38,20
2 Nepal 36,16
3 Kasachstan 33,79
4 Ukraine 33,55
5 Syrien 32,10
6 Aserbaidschan 32,01
7 Weißrussland 30,68
8 Vietnam 30,26
9 China 27,82
10 Thailand 27,68
11 Armenien 27,65
12 Brasilien 26,47
13 Algerien 26,16
14 Türkei 25,13
15 Mongolei 25,10
16 Kirgisien 23,96
17 Mazedonien 23,84
18 Litauen 23,59
19 Bangladesch 23,56
20 Moldawien 23,36

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

* Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Der Spitzenreiter des Ratings blieb unverändert und lautet nach wie vor Russland (38,2 %). Im Gegensatz zum zweiten Quartal sind nun Georgien, Kroatien, Katar, Bosnien und Herzegowina sowie Griechenland nicht mehr in den Top 20 vertreten. Neueinsteiger sind Nepal, das sich direkt auf dem zweiten Platz positionierte (36,16 %), gefolgt von Brasilien auf dem zwölften Platz (26,47 %), der Türkei auf Rang 14 (25,13 %), Litauen (23,59 %) auf dem 18. Platz und Bangladesch (23,56 %) auf Position 19.

Zu den beim Surfen im Internet sichersten Ländern gehören die Schweiz (17 %), Tschechien (16 %), die USA (16,3 %), Singapur (15 %), Ungarn (13,8 %), Norwegen (13 %), Irland (12,2 %) und Schweden (10,8 %).

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Durchschnittlich waren im Laufe des Quartals weltweit 23,4 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt. Dieser Wert ist um 0,5 Prozentpunkte niedriger als der entsprechende Wert für das zweite Quartal.

Lokale Bedrohungen

Ein sehr wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören sowohl Objekte, die mittels Infektion von Dateien oder über mobile Datenträger in die Systeme eindringen, als auch Objekte, die ursprünglich nicht in offener Form auf den Computer gelangt sind (beispielsweise Programme, die zu komplexen Installern gehören oder verschlüsselte Dateien).

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im dritten Quartal 2015 registrierten unsere Antiviren-Lösungen 145.137.553 individuelle schädliche und potenziell unerwünschte Objekte.

Top 20 der auf den Computern entdeckten schädlichen Objekte

  Name* Prozentualer Anteil der individuellen angegriffenen KSN-Teilnehmer**
1 DangerousObject.Multi.Generic 19,76
2 Trojan.Win32.Generic 14,51
3 Trojan.WinLNK.StartPage.gena 5,56
4 WebToolbar.JS.Condonit.a 4,98
5 AdWare.Script.Generic 4,97
6 WebToolbar.Win32.Agent.azm 4,48
7 RiskTool.Win32.GlobalUpdate.dx 3,63
8 WebToolbar.JS.AgentBar.e 3,63
9 WebToolbar.JS.CroRi.b 3,32
10 Downloader.Win32.Agent.bxib 3,20
11 AdWare.Win32.OutBrowse.heur 3,13
12 Adware.NSIS.ConvertAd.heur 3,08
13 AdWare.Win32.Generic 3,06
14 Downloader.Win32.MediaGet.elo 2,98
15 Trojan.Win32.AutoRun.gen 2,92
16 AdWare.Win32.BrowseFox.e 2,91
17 WebToolbar.Win32.MyWebSearch.si 2,82
18 AdWare.Win32.MultiPlug.heur 2,66
19 Virus.Win32.Sality.gen 2,61
20 RiskTool.Win32.BackupMyPC.a 2,57

* Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
** Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell werden die meisten Plätze dieses Ratings von Adware und ihren Komponenten sowie Würmern belegt, die sich auf mobilen Datenträgern verbreiten.

Der einzige Virus im Rating, Virus.Win32.Sality.gen, verliert weiterhin an Boden. Der Anteil der mit diesem Virus infizierten Computer geht schon seit langer Zeit stetig zurück. Im Rating für das dritte Quartal belegt Sality mit einem Wert von 2,61 Prozent den 19. Platz, das sind 0,25 Prozentpunkte weniger als im vorangegangenen Quartal.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

Für jedes dieser Länder haben wir berechnet, wie hoch der prozentuale Anteil der Nutzer von Kaspersky-Lab-Produkten ist, bei denen Kaspersky Anti-Virus im Berichtszeitraum Alarm geschlagen hat. Diese Statistik spiegelt das Infektionsniveau von PCs in den verschiedenen Ländern der Welt wider.

Top 20 der Länder nach Infektionsniveau der Computer

  Land* Prozentualer Anteil individueller KSN-Teilnehmer **
1 Bangladesch 64,44
2 Vietnam 60,20
3 Nepal 60,19
4 Georgien 59,48
5 Somalia 59,33
6 Laos 58,33
7 Russland 57,79
8 Armenien 57,56
9 Afghanistan 56,42
10 Äthiopien 56,34
11 Ruanda 56,21
12 Syrien 55,82
13 Mosambik 55,79
14 Jemen 55,17
15 Kambodscha 55,12
16 Algerien 55,03
17 Irak 55,01
18 Kasachstan 54,83
19 Mongolei 54,65
20 Ukraine 54,19

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.

*Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
**Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Neueinsteiger in diesem Rating sind Mosambik mit 55,8 Prozent auf Platz 13, und der Jemen auf Platz 14 mit 55,2 Prozent.

Die in Bezug auf lokale Infektionen sichersten Länder sind Schweden (21,4 %), Dänemark (19,8 %) und Japan (18,0 %).

Entwicklung der IT-Bedrohungen im dritten Quartal 2015

Durchschnittlich wurden im Laufe des dritten Quartals 2015 weltweit auf 42,2 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert, das sind 2,2 Prozentpunkte mehr als im zweiten Quartal 2015.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.