Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Inhalt
  1. Die Top Security Stories
  2. Statistik für das Jahr 2015
  3. Entwicklung der IT-Bedrohungen im Unternehmensbereich
  4. Prognose 2016

Ende 2014 veröffentlichte Kaspersky Lab seine Vorhersagen bezüglich der Entwicklung im Bereich Cyber-(Un)-Sicherheit für das Jahr 2015. Vier von neun unserer Prognosen betrafen direkt Bedrohungen für die Geschäftswelt. Und unsere Vorhersagen erwiesen sich als richtig – drei von vier Punkten haben sich bereits bewahrheitet:

  • Cyberkriminelle entdecken APTs – ja
  • APT-Gruppen spalten sich auf und streuen ihre Angriffe – ja
  • Eskalation der Angriffe auf Geldautomaten und PoS-Terminals – ja
  • Attacken auf virtuelle Zahlungssysteme – nein

Schauen wir uns einmal anhand der wichtigsten Ereignisse des Jahres 2015 an, welche neuen Trends wir in Verbindung mit IT-Sicherheit im Unternehmensbereich beobachten konnten.

Das Jahr in Zahlen

  • Im Jahr 2015 wurde auf 58 Prozent der Unternehmenscomputer mindestens einmal eine Malware-Attacke abgewehrt, das sind drei Prozentpunkte mehr als im vorangegangenen Jahr.
  • 29 Prozent der Computer, also fast jeder dritte Rechner in einer Unternehmensumgebung, wurden mindestens einmal über das Internet attackiert.
  • Bei Angriffen auf Unternehmen werden drei Mal häufiger Exploits zu Office-Anwendungen eingesetzt als bei Attacken auf Heimanwender.
  • Kaspersky Anti-Virus schlug auf 41 Prozent der Computer von Unternehmensanwendern Alarm (detektiert wurden Objekte auf den Computern oder daran angeschlossenen Wechselmedien wie USB-Sticks, Speicherkarten, Mobiltelefone, externe Festplatten oder Netzwerkfestplatten).

Zielgerichtete Attacken auf Unternehmen: APT und Kriminelle

Das Jahr 2015 war geprägt von einer Reihe von Angriffen des Typs APT auf Unternehmen. Die Cyberwaffen und Methoden, die die Cyberkriminellen einsetzten, waren denen sehr ähnlich, auf die wir bei der Analyse von APT-Attacken stießen. Doch hinter den Angriffen standen keine staatlichen Strukturen, sondern Cyberkriminelle. Obwohl die Cyberverbrecher für sie untypische Methoden einsetzten, blieb der Sinn hinter den Angriffen unverändert – das Erzielen von finanziellen Vorteilen.

Ein anschauliches Beispiel für zielgerichtete Angriffe des Typs APT auf Finanzorganisationen ist die Operation Carbanak. Es handelte sich dabei um einen echten Banküberfall in digitaler Form: Cyberkriminelle drangen in das Netz der betroffenen Bank ein und suchten nach kritisch wichtigen Systemen, mit Hilfe derer sie Geldmittel aus der angegriffenen Finanzorganisation herausschleusen konnten. Nachdem sie eine Bank um eine bedeutende Summe erleichtert hatten (zwischen 2,5 und 10 Millionen US-Dollar), machten sich die Bankräuber auf die Suche nach dem nächsten Opfer.

Die meisten Opfer dieser Schadkampagne sind in Osteuropa ansässig. Weltweit wurden mehr als 100 Opfer dieses Angriffs gezählt, und die Gesamtverluste der betroffenen Organisationen (in erster Linie Banken) könnten bis zu einer Milliarde US-Dollar betragen.

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Man darf nicht vergessen, dass Informationen ebenfalls einen großen Wert darstellen können, insbesondere wenn sie bei Geschäftsabschlüssen oder beim Handel an verschiedenen Waren-, Wertpapier- oder Devisenbörsen benutzt werden, unter anderem auch beim Handel mit Kryptowährungen. Ein Beispiel für eine zielgerichtete Attacke, die auf das Abgreifen derartiger Informationen ausgerichtet sein könnte, ist Wild Neutron (auch bekannt als Jripbot und Morpho). Diese Kampagne erregte erstmals im Jahr 2013 allgemeine Aufmerksamkeit, als der Bedrohungsakteur erfolgreich so bekannte Unternehmen wie Apple, Facebook, Twitter und Microsoft angriff. Nachdem über diese Vorfälle ausführlich in den Massenmedien berichtet worden war, stellten die Organisatoren der Cyberspionage-Operation ihre Aktivität ein. Doch etwa ein Jahr später registrierte Kaspersky Lab ein Wiederaufleben der Aktivität von Wild Neutron.

Unsere Untersuchungen ergaben, dass im Laufe der Cyberspionage-Kampagne Computer von Nutzern in elf Ländern infiziert wurden, und zwar in Russland, Frankreich, in der Schweiz, in Deutschland, Österreich, Slowenien, Palästina, den Vereinigten Arabischen Emiraten, in Kasachstan, Algerien und den USA. Zu den Zielen gehörten Anwaltskanzleien, Investmentfirmen, Bitcoin-Unternehmen, große Unternehmensgruppen, die meist auf dem Markt der Fusionen und Firmenübernahmen (M&A) tätig sind, IT-Unternehmen, Firmen aus dem Gesundheitswesen, Immobilienfirmen sowie individuelle Anwender.

Im Rahmen der Wild Neutron-Kampagne wurde ein gestohlenes, Code signierendes Zertifikat der Firma Acer verwendet.

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Signatur der Firma Acer im Wild-Neutron-Installer

Der Trend zur Streuung von APT-Attacken wird sehr anschaulich durch die veränderten Angriffsziele der Cybercrime-Gruppe Winnti illustriert. Lange Zeit wurde angenommen, dass dieser vermeintlich chinesische Bedrohungsakteur in erster Linie Spielehersteller angreift. Doch beginnend mit dem Frühjahr 2015 erhielten wir Informationen, die darauf hinwiesen, dass die Cyberkriminellen, nachdem sie ihre Tools und Methoden überarbeitet hatten, nun versuchten, Gewinne durch Attacken auf andere Ziele zu erhalten. Ihr Interesse galt nicht mehr allein der Unterhaltungsindustrie: Der Akteur hatte es jetzt auch auf Unternehmen aus den Bereichen Pharmazie und Telekommunikation abgesehen. Bei einer Analyse der neuen Winnti-Angriffswelle stellte sich wie im Fall von Wild Neutron heraus, dass das Winnti-Rootkit mit einem gestohlenen Zertifikat signiert war, das einer Unterabteilung eines riesigen japanischen Konzerns gehörte.

Das Jahr 2015 zeichnete sich bezüglich der Attacken und der Angreifer gegenüber dem Vorjahr auch jeweils durch eine größere geografische Ausdehnung aus. Während einer laufenden Ermittlung eines Vorfalls im Mittleren Osten stießen die Experten von Kaspersky Lab auf die Aktivität einer bis dahin unbekannten Gruppe, die zielgerichtete Attacken durchführte. Die Gruppe wurde auf den Namen Desert Falcons getauft, und sie ist die erste arabische Gruppe, die vollwertige Cyberspionage-Operationen durchführt. Zum Zeitpunkt der Entdeckung betrug die Zahl der Opfer etwa 300, darunter auch Finanzorganisationen.

Die Gruppe Blue Termite hingegen griff Unternehmen in Japan an:

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Informationen über zielgerichtete Attacken auf Unternehmen finden Sie in den folgenden Berichten von Kaspersky Lab: Carbanak, Wild Neutron, Winnti, DarkHotel 2015, Desert Falcons, Blue Termite und Grabit. Abonnenten des Kaspersky Intelligence Service stehen alle Untersuchungsergebnisse im Detail zur Verfügung (intelreports@kaspersky.com).

Die Analyse der aufgeführten Attacken erlaubt es uns, gewisse Rückschlüsse auf die Entwicklungstendenzen zielgerichteter Attacken auf Unternehmen zu ziehen:

  • Im Visier der Cybergangster stehen Organisationen, die Geld verwahren und verwalten: Banken, Fonds und Unternehmen, die in unterschiedlichen Formen mit der Börse in Verbindung stehen, unter anderem mit Börsen, an denen Kryptowährungen gehandelt werden.
  • Die Angriffe werden sorgfältig geplant und vorbereitet. Die Cyberkriminellen studieren die Interessen ihrer potenziellen Opfer (das heißt der Mitarbeiter der angegriffenen Unternehmen) und finden heraus, welche Webseiten sie aller Wahrscheinlichkeit nach regelmäßig besuchen. Sie ermitteln die Kontakte der Opfer und sie finden heraus, mit welchen Lieferanten und Dienstleistern das Unternehmen zusammenarbeitet.
  • Die in der Vorbereitungsphase zusammengetragenen Daten werden aktiv eingesetzt. Die Angreifer hacken die vorher ausgespähten legitimen Webseiten und die Accounts der Anwender, die sie aus den Geschäftskontakten der Mitarbeiter des angegriffenen Unternehmens beziehen. Diese Webseiten/Accounts werden im Laufe weniger Stunden ausgenutzt, denn von dort aus wird der Schadcode verbreitet, woraufhin die Infektion abgeschlossen ist. Solch ein Schema gibt Online-Verbrechern die Möglichkeit, eine gehackte Ressource über mehrere Monate wiederholt zu benutzen.
  • Die aktive Verwendung signierter Dateien und legaler Software zum Sammeln von Informationen aus dem angegriffenen Netz.
  • Streuung der Attacken, Angriffe auf kleine und mittelständische Unternehmen.
  • Geografische Ausdehnung der gegen Unternehmen gerichteten Attacken: umfangreicher Angriff in Japan, APT-Gruppen aus der arabischen Welt.

Wenngleich die Zahl der APT-Attacken, hinter denen Cyberkriminelle stecken, verhältnismäßig gering ist, hat die Entwicklungstendenz dieser Bedrohungen zweifellos Einfluss auf die Ansätze und Methoden, die in Angriffen „gewöhnlicher“ Cyberkrimineller auf Unternehmen zum Einsatz kommen.

Statistik

Unsere allgemeine Statistik zu Unternehmensanwendern (Geografie der Attacken, Rating der detektierten Objekte) stimmt im Prinzip mit der Statistik zu den Heimanwendern überein. Das ist auch nicht überraschend, denn Unternehmensanwender existieren nicht in einer isolierten Umgebung, und ihre Computer werden zu Angriffsobjekten von Cyberkriminellen, die Schadprogramme verbreiten, ohne dass auf bestimmte Charakteristika der Angegriffenen geachtet würde. Solche Attacken/Schädlinge bilden die Mehrheit, und die Daten zu Attacken, die sich gezielt gegen Unternehmensanwender richten, beeinflussen die allgemeine Statistik nur wenig.

Im Jahr 2015 wurde mindestens eine Malware-Attacke auf 58 Prozent der in einer Unternehmensumgebung genutzten Computer abgewehrt, das sind drei Prozentpunkte mehr als im vergangenen Jahr.

Web-Bedrohungen (Attacken über das Internet)

Im Jahr 2015 waren 29 Prozent aller Computer in einer Geschäftsumgebung mindestens einer Attacke über das Internet ausgesetzt.

Top 10 der Schadprogramme, Angriffe über das Internet

In diesem Rating sind nur Schadprogramme vertreten. Wir haben Werbeprogramme hier ausgeschlossen, die zwar lästig sind und dem Nutzer Unannehmlichkeiten bereiten, dem Computer jedoch keinen Schaden zufügen.

Name* Prozentualer Anteil der angegriffenen Computer**
1 Malicious URL 57%
2 Trojan.Script.Generic 24,7%
3 Trojan.Script.Iframer 16,0%
4 Exploit.Script.Blocker 4,1%
5 Trojan-Downloader.Win32.Generic 2,5%
6 Trojan.Win32.Generic 2,3%
7 Trojan-Downloader.JS.Iframe.diq 2,0%
8 Exploit.Script.Generic 1,2%
9 Packed.Multi.MultiPacked.gen 1,0%
10 Trojan-Downloader.Script.Generic 0,9%

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
** Anteil der Computer, die von dem jeweiligen Schädling angegriffen wurden, an allen angegriffenen Computern.

Praktisch die gesamte Top 10 setzt sich aus Objekten zusammen, die bei Drive-by-Attacken eingesetzt werden, das heißt verschiedene Trojan-Downloader und Exploits.

Geografie der Attacken

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Geografie der Attacken über Web-Ressourcen im Jahr 2015 (prozentualer Anteil der angegriffenen Unternehmensanwender im Land)

Lokale Bedrohungen

Kaspersky Anti-Virus schlug auf 41 Prozent der Computer von Unternehmensnutzern Alarm (es wurden Objekte auf den Computern oder daran angeschlossenen mobilen Datenträgern entdeckt, etwa auf USB-Sticks, Speicherkarten, Mobiltelefonen, externen Festplatten und Netzwerkfestplatten).

Top 10 der Schadprogramme, lokale Bedrohungen

In diesem Rating sind ebenfalls nur Schadprogramme vertreten. Wir haben auch hier Werbeprogramme ausgeschlossen, die zwar lästig sind und dem Nutzer Unannehmlichkeiten bereiten, dem Computer jedoch keinen Schaden zufügen.

Name* Prozentualer Anteil der angegriffenen Computer**
1 DangerousObject.Multi.Generic 23,1%
2 Trojan.Win32.Generic 18,8%
3 Trojan.WinLNK.StartPage.gena 7,2%
4 Trojan.Win32.AutoRun.gen 4,8%
5 Worm.VBS.Dinihou.r 4,6%
6 Net-Worm.Win32.Kido.ih 4,0%
7 Virus.Win32.Sality.gen 4,0%
8 Trojan.Script.Generic 2,9%
9 DangerousPattern.Multi.Generic 2,7%
10 Worm.Win32.Debris.a 2,6%

* Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
** Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Auf Platz eins befinden sich verschiedene Schadprogramme des Typs DangerousObject.Multi.Generic, die mit Hilfe von Cloud-Technologien aufgespürt werden. Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Bei Unternehmen, die über keinerlei Rechte verfügen, irgendwelche Statistiken in die Cloud zu senden, deaktiviert Kaspersky Lab die Cloud-Technologien nicht, sondern setzt das Kaspersky Private Security Network ein. Auf diese Weise erhalten die Computer im Netz ebenfalls den Schutz aus der Cloud.

Bei den übrigen Vertretern im Rating handelt es sich in erster Linie um sich selbst verbreitende Programme und ihre Komponenten.

Geografie der lokalen Bedrohungen

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Geografie der entdeckten lokalen Bedrohungen im Jahr 2015 (prozentualer Anteil der angegriffenen Unternehmensanwender im Land)

Besonderheiten bei Angriffen auf Unternehmen

Die allgemeine Statistik zu Unternehmensanwendern spiegelt nicht die Spezifika von Angriffen auf Unternehmen wider, denn sie wird von mehreren Faktoren beeinflusst, wie zum Beispiel der Infektionswahrscheinlichkeit von Computern in einem bestimmten Land oder der Beliebtheit des einen oder anderen Schädlings unter Cyberkriminellen.

Eine detaillierte Analyse offenbart jedoch die Besonderheiten der Attacken auf Unternehmensanwender:

  • Exploits zu Office-Anwendungen werden drei Mal häufiger als bei Angriffen auf Heimanwender eingesetzt
  • Verwendet werden schädliche Dateien, die mit einem gültigen digitalen Zertifikat signiert sind
  • Im Laufe der Attacken kommen allgemein verfügbare, legale Programme zum Einsatz, was es den Angreifern ermöglicht, länger unbemerkt zu bleiben

Zudem registrierten wir eine stetige Zunahme der Zahl von Unternehmenscomputern, die von schädlichen Verschlüsselungsprogrammen angegriffen werden.

Die Rede ist hier bei weitem nicht immer von Angriffen des Typs APT: „Allerwelts-Cyberkriminelle“ konzentrieren sich auf Unternehmensanwender – und manchmal auch auf einzelne Unternehmen.

Exploits in Attacken auf Unternehmen

Das Rating der angreifbaren Anwendungen basiert auf Daten über von unseren Produkten blockierte Exploits, die von Cyberkriminellen bei Attacken über das Internet oder über E-Mail eingesetzt werden, oder auch bei der Kompromittierung lokaler Anwendungen, darunter auch solche auf mobilen Geräten.

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Verteilung der im Jahr 2015 von Cyberkriminellen bei Attacken auf Unternehmensanwendern eingesetzten Exploits nach Typen der angegriffenen Anwendungen

business_ksb_2015_de_7

Verteilung der im Jahr 2015 von Cyberkriminellen bei Attacken auf Heimanwender eingesetzten Exploits nach Typen der angegriffenen Anwendungen

Bei der Gegenüberstellung der Exploits, die Online-Verbrecher für Attacken auf Heimanwender einerseits und auf Unternehmensanwender andererseits nutzen, springt vor allem die deutlich intensivere Nutzung von Exploits zu Office-Anwendungen bei Angriffen auf Unternehmen ins Auge. Liegt deren Anteil bei Angriffen auf Heimanwender nur bei vier Prozent, so beträgt der Prozentsatz der Exploits, die Sicherheitslücken in Office-Programmen ausnutzen, bei Angriffen auf Unternehmensnutzer zwölf Prozent aller innerhalb eines Jahres entdeckten Exploits.

Wie bei den Attacken auf Heimanwender steht auch bei den Unternehmensnutzern die Kategorie „Browser“ auf Platz eins der Liste der am häufigsten von Exploits angegriffenen Anwendungen. Bei dieser Statistik ist aber unbedingt die Tatsache zu berücksichtigen, dass Kaspersky Lab Exploits auf verschiedenen Stufen detektiert. Zu der Kategorie „Browser“ gehören auch Landing-Pages, die die Exploits „ausliefern“. Unseren Beobachtungen zufolge sind das in den meisten Fällen Exploits für den Adobe Flash Player.

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Verteilung der von Cyberkriminellen bei Attacken eingesetzten Exploits nach Typ der angegriffenen Anwendungen, 2014 und 2015

Im Vergleich zum Jahr 2014 ging der Anteil der Java- und PDF-Exploits deutlich zurück, und zwar um 14 respektive acht Prozentpunkte. Java-Exploits erfreuen sich nun geringerer Beliebtheit, obwohl im Laufe des Jahres einige Zero-Day-Sicherheitslücken gefunden wurden. Gleichzeitig gestiegen ist der Anteil der Angriffe unter Ausnutzung von Sicherheitslücken in Office-Anwendungen (plus 8 Prozentpunkte), Browsern (plus 9 Prozentpunkte), im Adobe Flash Player (plus 9 Prozentpunkte) und auch in Android (plus 3 Prozentpunkte).

Wie Analysen von Sicherheitsvorfällen zeigen, verwenden Cyberkriminelle sogar in zielgerichteten Attacken auf Unternehmen häufiger Exploits zu bereits bekannten Sicherheitslücken, was damit zusammenhängt, dass Patches in Unternehmensumgebungen meist nur mit großen Verzögerungen installiert werden. Die Zunahme des Anteils von Exploits, die sich gegen verwundbare Android-Apps richten, auf sieben Prozent zeugt von einem gesteigerten Interesse Cyberkrimineller an Unternehmensdaten auf den mobilen Geräten der Mitarbeiter.

Verschlüsselungsprogramme

Verschlüsselungstrojaner wurden lange Zeit für eine Bedrohung gehalten, die nur Heimanwender betrifft. Jetzt aber richten Cyberkriminelle, die mit Daten verschlüsselnden Schädlingen ihr Geld verdienen, unseren Informationen zufolge ihre Aufmerksamkeit immer häufiger auf Unternehmen.

Im Jahr 2015 entdeckten die Lösungen von Kaspersky Lab Verschlüsselungsschädlinge auf mehr als 50.000 Rechnern in Unternehmensnetzwerken, das sind doppelt so viele wie im vorangegangenen Jahr. Dabei ist unbedingt zu berücksichtigen, dass die reale Zahl von Vorfällen um ein Vielfaches höher ist: Diese Statistik bezieht nur die Resultate der Signatur-basierten und der heuristischen Erkennung mit ein, doch die Produkte von Kaspersky Lab erkennen Verschlüsselungstrojaner in den meisten Fällen mit Hilfe von verhaltensbasierten Methoden.

Kaspersky Security Bulletin 2015/2016. Entwicklung der IT-Bedrohungen im Unternehmensbereich

Anzahl der individuellen Unternehmensanwender, deren Rechner in den Jahren 2014 und 2015 von Verschlüsselungstrojanern attackiert wurden

Dass Cyberkriminelle, die mit Verschlüsselungsprogrammen operieren, nun ein spürbar gesteigertes Interesse an Attacken auf Unternehmen haben, hat vor allem zwei Gründe. Erstens ist das Lösegeld, das ein Unternehmen zu zahlen bereit ist, sicherlich deutlich höher als das, was ein Heimanwender zahlen kann. Und zweitens ist die Chance, dass das geforderte Lösegeld überhaupt gezahlt wird, im Falle einer angegriffenen Organisation sicherlich bedeutend höher, denn Unternehmen sind mitunter schlichtweg handlungsunfähig, wenn die Informationen auf einigen kritisch wichtigen Computern oder Servern verschlüsselt und nicht verfügbar sind.

Eines der interessantesten Ereignisse des Jahres 2015 war in diesem Kontext sicherlich das Erscheinen des ersten Verschlüsslungsprogramms für Linux (die Produkte von Kaspersky Lab detektieren es als Trojan-Ransom.Linux.Cryptor), das auf Webseiten spezialisiert ist, in erster Linie Webseiten von Online-Shops. Unter Ausnutzung einer Sicherheitslücke in den Web-Anwendungen verschafften sich Cyberkriminelle Zugriff auf die Webseiten und luden dort ein Schadprogramm hinauf, das die Daten auf dem Server verschlüsselte. In den meisten Fällen führte das zum Zusammenbruch der Seite. Für die Dechiffrierung forderten die Online-Gangster ein Lösegeld in Höhe von einem Bitcoin. Die Menge der infizierten Webseiten wird auf 2.000 geschätzt. Bedenkt man die Häufigkeit von *nix-Servern in Business-Umgebungen, so ist die Vermutung nur naheliegend, dass sich die Angriffe von Verschlüsselungsschädlingen, die sich gegen Nicht-Windows-Plattformen richten, im nächsten Jahr fortsetzen werden.

Top 10 der Familien von Verschlüsselungstrojanern

Familie Prozentualer Anteil der angegriffenen Computer*
1 Scatter 21
2 Onion 16
3 Cryakl 15
4 Snocry 11
5 Cryptodef 8
6 Rakhni 7
7 Crypmod 6
8 Shade 5
9 Mor 3
10 Crypren 2

* Prozentualer Anteil der Computer, die von Schädlingen der entsprechenden Familie angegriffen wurden, an allen angegriffenen Computern.

Auf dem ersten Platz positionierten sich die Trojaner der Familie Scatter, die Dateien auf der Festplatte verschlüsseln und die chiffrierten Dateien mit der Erweiterung „.vault“ zurücklassen. Bei den Programmen der Familie Scatter handelt es sich um modulare Schädlinge. Innerhalb kurzer Zeit hat sich diese Familie enorm weiterentwickelt Sie bekam neben der Möglichkeit, Dateien zu verschlüsseln, auch die Funktionalität eines E-Mail-Wurms und Trojan-PSW. Auf dem zweiten Platz im Rating der am weitesten verbreiteten Verschlüsselungsschädlinge befinden sich Programme der Familie Onion, die dafür bekannt sind, dass sich ihre Steuerungsserver im Netzwerk Tor befinden. Platz drei belegen die in Delphi geschriebenen verschlüsselnden Schadprogramme der Familie Cryakl, die erstmals bereits im April 2014 in Erscheinung traten.

In einigen Fällen besteht die Möglichkeit, die Daten wieder zu entschlüsseln, die mit diesen Schädlingen chiffriert wurden, insbesondere dann, wenn der Algorithmus irgendwelche Fehler enthält. Doch Daten zu entschlüsseln, die mit den neusten Versionen der in den Top 10 vertretenen Schadprogramme chiffriert wurden, ist zum gegenwärtigen Zeitpunkt nicht möglich.

Für ein Unternehmen kann die Infektion mit einem derartigen Programm den Stillstand der Geschäftstätigkeit bedeuten, wenn kritisch wichtige Daten verschlüsselt wurden oder infolge der Verschlüsselung die Funktion eines kritisch wichtigen Servers blockiert wurde. Die Folge einer solchen Attacke können erhebliche Verluste sein, vergleichbar mit den Schäden infolge der Attacken des Schadprogramms Wiper, das auf die Zerstörung von Daten in Unternehmensnetzwerken spezialisiert war.

Zur Bekämpfung derartiger Bedrohungen sollten unbedingt die folgenden Maßnahmen ergriffen werden:

  • Einsatz einer Lösung zum Schutz vor Exploits
  • Aktivieren der verhaltensbasierten Detektionsmethoden im Schutzprodukt (in den Produkten von Kaspersky Lab ist die Komponente „System Watcher“ dafür verantwortlich)
  • Einrichtung eines automatischen Backup-Prozesses

Angriffe auf PoS-Terminals

Ein besonderes Thema für Unternehmen, insbesondere für Handel treibende, war im Jahr 2015 die Sicherheit von PoS-Terminals (Point Of Sale). Im Grunde genommen kann heute jeder beliebige Computer als PoS-Terminal verwendet werden, wenn ein spezielles Kartenlesegerät daran angeschlossen und eine spezielle Software installiert ist. Cyberkriminelle suchen gezielt nach solchen Computern und infizieren sie mit Schadprogrammen, die in der Lage sind, die über das Bezahlterminal eingegebenen Daten abzugreifen.

Weltweit wehrten die Produkte von Kaspersky Lab mehr als 11.500 Versuche ab, derartige Angriffe durchzuführen. Derzeit befinden sich in unserer Kollektion zehn Programm-Familien, die auf den Datendiebstahl von PoS-Terminals spezialisiert sind. Sieben davon sind in diesem Jahr aufgetaucht. Trotz der recht geringen Zahl der Angriffsversuche darf man die Gefahr nicht unterschätzen, die davon ausgeht, da schon durch eine einzige erfolgreiche Attacke zehntausende Kreditkartendaten gestohlen werden können. Es könnte deshalb so viele Opfer bei nur einem Angriff geben, da die Besitzer und Administratoren PoS-Terminals nicht als Objekte ansehen, die eines Schutzes bedürfen. Daher kann ein Terminal eine sehr lange Zeit infiziert bleiben, wobei das Schadprogramm ununterbrochen die am Terminal ausgelesenen Kreditkartendaten an die Angreifer sendet.

Dieses Problem ist insbesondere in solchen Ländern akut, in denen Karten mit EMV-Chip benutzt werden. Der Übergang zu Karten mit neuen Chip-Generationen soll es erheblich erschweren, an die Kreditkartendaten zu gelangen und die Karten zu fälschen, doch das kann noch sehr lange dauern. Daher sollten zumindest minimale Maßnahmen zum Schutz von POS-Geräten ergriffen werden, mittels derer sich die Sicherheits-Regel „standardmäßiges Ausführungsverbot für unbekannte Programme“ umsetzen lässt.

Wir erwarten, dass Cyberkriminelle bald beginnen werden, mobile PoS-Geräte unter Android anzugreifen.

Fazit

Unsere Daten zeigen, dass Cyberkriminelle bei Angriffen auf Unternehmen ganz anders vorgehen als bei Attacken auf Heimanwender. Bei Attacken auf Unternehmensanwender verwenden sie wesentlich häufiger Exploits zu Office-Anwendungen. Die angreifenden Schadprogramme sind häufig mit einem gültigen Zertifikat signiert und die Cyberkriminellen versuchen, sich verfügbare legale Programme zunutze zu machen, um über einen längeren Zeitraum unentdeckt zu bleiben. Außerdem stellten die Experten von Kaspersky Lab fest, dass die Zahl der Unternehmenscomputer, die von Verschlüsselungsschädlingen angegriffen werden, stetig zunimmt. Das betrifft nicht nur APT-Attacken: Ganz „gewöhnliche“ Cyberkriminelle greifen zielgerichtet Unternehmensanwender an und manchmal auch die Computer in ganz bestimmten Firmen.

Die Anwendung von Methoden und Programmen aus der Welt der Advanced Persistent Threats (APT) durch cyberkriminelle Gruppierungen hebt ihre Attacken auf ein anderes Niveau und macht sie wesentlich gefährlicher. In erster Linie wenden Cyberkriminelle diese Methoden bei virtuellen Banküberfällen an, mit dem Ziel, riesige Summen zu stehlen. Mit Hilfe dieser Methoden können sie auch das Geld von Unternehmens-Bankkonten stehlen, nachdem sie sich Zugriff auf das Netzwerk der jeweiligen Organisation verschafft haben.

Bei ihren Attacken vertrauen die Verbrecher auf die Ausnutzung bereits bekannter Sicherheitslücken, was mit der verzögerten Installation von Software-Updates in Unternehmen zu erklären ist. Außerdem setzen Online-Kriminelle verstärkt signierte schädliche Dateien und legale Tools zur Schaffung eines Kanals zum Abgreifen von Informationen ein: Gebräuchlich sind zum Beispiel bekannte Fernwartungsprogramme, SSH-Clients und Software zur Passwort-Wiederherstellung.

Immer häufiger werden Unternehmensserver zum Angriffsziel Cyberkrimineller. Es werden nicht immer nur Daten von den Servern gestohlen, sondern es ist auch ein Fall bekannt, in dem die angegriffenen Server bei DDoS-Attacken eingesetzt wurden. Oder die Daten auf dem Server wurden einfach verschlüsselt und die Erpresser forderten ein Lösegeld für die Wiederherstellung. Die jüngsten Ereignisse haben gezeigt, dass das sowohl für Windows- als auch für Linux-Server gilt.

Viele Organisationen, die Attacken zum Opfer fielen, wurden mit der Forderung Cyberkrimineller konfrontiert, Lösegeld zu zahlen, damit diese eine DDoS-Attacke einstellen, verschlüsselte Daten wieder dechiffrieren oder gestohlene Informationen nicht veröffentlichen. Gerät ein Unternehmen in diese Situation, so muss es sich unbedingt an die Strafverfolgungsbehörden und an IT-Sicherheitsexperten wenden. Denn auch wenn sie das geforderte Lösegeld erhalten haben, bedeutet es nicht zwangsläufig, dass die Verbrecher ihr Wort halten, so wie im Fall einer DDoS-Attacke auf ProtonMail, die nach Zahlung des geforderten Lösegelds nicht eingestellt wurde.

Prognosen

Zunahme von Angriffen auf Finanzorganisationen, finanzielle Machenschaften an verschiedenen Börsen

Im kommenden Jahr erwarten wir sowohl eine Zunahme der Attacken auf Finanzorganisationen als auch eine veränderte Qualität dieser Attacken. Cyberkriminelle könnten neben der Überweisung gestohlenen Geldes auf ihre Konten mit darauffolgender Monetarisierung auch neue Techniken anwenden, wie zum Beispiel Datenmanipulation auf Handelsplattformen, auf denen sowohl mit traditionellen als auch mit neuen Finanz-Werkzeugen gearbeitet wird, wie etwa Kryptowährungen.

Attacken auf die Infrastruktur

In eine Organisation einzudringen, ist nicht unbedingt einfach, allerdings befinden sich die wertvollen Daten mitunter gar nicht in der Organisation selbst, sondern auf Servern in Rechenzentren. Sich auf diese Elemente der Infrastruktur Zugriff zu verschaffen, wird im Jahr 2016 zu einer wichtigen Technik bei Attacken auf Unternehmen werden.

Ausnutzung von Sicherheitslücken im Internet der Dinge (IoT), mit dem Ziel, ins Unternehmensnetzwerk einzudringen

In praktisch allen modernen Unternehmensnetzwerken gibt es heute IoT-Geräte. Im Jahr 2015 durchgeführte Untersuchungen zeigen, dass es eine Reihe von Problemen mit der Sicherheit dieser Geräte gibt, die Cyberkriminelle offensichtlich auszunutzen versuchen, um so einen Fuß in die Tür von Unternehmensnetzwerken zu bekommen.

Strengere Sicherheitsstandards, Zusammenarbeit mit Strafverfolgungsorganen

Die Antwort auf die zunehmende Zahl von Computervorfällen im Unternehmensbereich und die allgemeinen Veränderungen in der Landschaft der Cyberbedrohungen wird die Entwicklung neuer sowie die Aktualisierung bereits bestehender Sicherheitsstandards sein. Organisationen, die an der Unversehrtheit ihrer digitalen Werte interessiert sind, werden enger mit Strafverfolgungsbehörden zusammenarbeiten beziehungsweise von den oben erwähnten neuen Standards dazu verpflichtet werden. Dadurch könnte die Verfolgung von Cyberverbrechern effizienter werden und es könnte dazu führen, dass wir im Jahr 2016 von neuen Verhaftungen hören werden.

Was tun?

Das Jahr 2015 hat gezeigt, dass Cyberkriminelle APT-Methoden aktiv dazu verwenden, um in Unternehmensnetzwerke einzudringen. Wir sprechen hier auch über das Auskundschaften im Vorfeld, um die schwachen Glieder in der Infrastruktur auszumachen und Informationen über Mitarbeiter zu erhalten. Dabei geht es um den Einsatz von Spearphishing und Wasserloch-Attacken, um die aktive Nutzung von Exploits zur Ausführung von Code und zum Erhalt von Administratorenrechten sowie um die Verwendung nicht nur von trojanischen Programmen, sondern auch von legaler Software zur Verwaltung aus der Ferne, um das Studium des Netzes und die „Wiederherstellung“ von Passwörtern. All das macht die Entwicklung von Methoden und Techniken zum Schutz von Unternehmensnetzwerken erforderlich.

Um nun zu konkreten Empfehlungen überzugehen, möchten wir an allererster Stelle auf die Top 35 der Mitigationsstrategien verweisen, die vom Australian Signals Directorate (ASD) zusammengestellt wurde. Aufgrund einer umfassenden, detaillierten Analyse lokaler Attacken und Bedrohungen kam das ASD zu dem Schluss, dass nicht weniger als 85 Prozent aller Fälle von Eindringen in Computersysteme durch die Anwendung von vier Grundstrategien nahezu neutralisiert werden können. Drei dieser Strategien stehen in Zusammenhang mit dem Einsatz spezialisierter Schutzlösungen (die Produkte von Kaspersky Lab enthalten technische Lösungen, die die drei wichtigsten Strategien abdecken).

Die vier Grundstrategien, die die Wahrscheinlichkeit einer erfolgreichen zielgerichteten Attacke verringern:

  • Einsatz von Weißen Listen für Anwendungen, um Schadsoftware und nicht genehmigte Programme an der Ausführung zu hindern
  • Patchen von Anwendungen wie Java, PDF-Viewer, Flash, Webbrowser und Microsoft Office
  • Patchen von Schwachstellen in Betriebssystemen
  • Einschränken von administrativen Rechten bei Betriebssystemen und Anwendungen, basierend auf den Nutzeraufgaben

Detaillierte Informationen über die Strategien des ASD finden Sie in dem Dokument über Mitigationsstrategien zur Abschwächung von Bedrohungen in der Enzyklopädie der Securelist.

Ein zweiter wichtiger Faktor ist die Verwendung von Daten über aktuelle Bedrohungen, das heißt von so genannten Threat Intelligence Services (Kaspersky Lab stellt beispielsweise Kaspersky Intelligence Services bereit). Die rechtzeitige Konfiguration und Überprüfung des Netzes auf der Grundlage dieser Daten macht es möglich, sich vor einer Attacke zu schützen oder eine Attacke im Frühstadium zu erkennen.

Die grundlegenden Prinzipien zur Gewährleistung der Sicherheit in Unternehmensnetzwerken bleiben unverändert:

  • Schulung des Personals. Nicht nur der Sicherheitsbeauftragte hat sich um die IT-Sicherheit zu kümmern, sondern auch jeder einzelne Mitarbeiter ist dazu verpflichtet
  • Justieren der Sicherheitsprozesse: Das Sicherheitssystem muss auf sich entwickelnde Bedrohungen adäquat reagieren
  • Einsatz neuer Technologien und Methoden: Mit jeder zusätzlichen Schutzschicht kann das Risiko des Eindringens ins Netzwerk verringert werden

 

 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.