Malware-Report, erstes Quartal 2011

Allgemeine Lage

Im ersten Quartal 2011 gab es in der IT-Bedrohungswelt verschiedene bedeutende Ereignisse. Die Vorhersagen aus unserem Jahresbericht haben sich recht schnell bewahrheitet. Insbesondere die Situation mobiler Bedrohungen und zielgerichteter Attacken spitzt sich weiter zu. Im Folgenden analysieren wir die bedeutendsten Vorfälle des ersten Quartals.

Mobile Trojaner – fragen Sie im Laden nach!

Vor allem mobile Anwendungen, die von Virenschreibern für Android OS entwickelt und auf dem Android Market angeboten wurden, waren das Thema im ersten Quartal 2011. Bei den gefälschten, gefährlichen Applikationen, von denen mehr als fünfzig gefunden wurden, handelte es sich um neu gepackte Versionen legaler Programme, denen eine trojanische Funktionalität hinzugefügt wurde. Auf diesem Weg wollten die Cyberkriminellen an telefonbezogene Informationen – genauer gesagt den IMEI- und IMSI-Code – kommen. Der Trojaner besaß zudem ein Modul, das den Download weiterer Schädlingskomponenten auf das Telefon ohne Wissen des Anwenders ermöglicht. Um die Kontrolle über das Smartphone zu übernehmen, mussten die Cyberkriminellen einen Jailbreak durchführen. Dabei wird die Schutzfunktion des Telefons umgangen, um vollständigen Zugriff auf dessen Dateisystem zu erhalten. Zur Erlangung von Root-Privilegien, die praktisch unbegrenzte System-Manipulationen ermöglichen, wurden Sicherheitslücken und das bekannte Root-Exploit „rage against the cage“ genutzt, wobei die Exploits in einem Paket mit den Trojanern geliefert wurden.

Die Anwender von Kaspersky Mobile Security 9 hatten bei der Konfrontation mit diesen Exploits Glück. Die Trojaner waren neu und bisher noch nicht in den Antiviren-Datenbanken gespeichert, doch die gemeinsam mit ihnen verbreiteten Exploits waren zu diesem Zeitpunkt bereits erfolgreich aufgespürt. Solange es noch keine Signaturen für die Trojaner gab, erkannte Kaspersky Mobile Security 9 das gesamte Paket als Exploit.AndroidOS.Lotoor.g und Exploit.AndroidOS.Lotoor.j. Nachdem wir auch die Trojaner den Antiviren-Datenbanken hinzugefügt hatten, führen wir sie nun als Backdoor.AndroidOS.Rooter. Andere Antiviren-Hersteller klassifizieren den Schädling als DroidDream.

In dieser Situation ergeben sich zwei Fragen:

  1. Ist es für Cyberkriminelle ein Problem, einen Entwickler-Account für den Android Market zu erhalten?
    Leider ist das überhaupt kein Problem. Für einen Account muss der Anwender lediglich 25 Dollar zahlen – kein Betrag, der Cyberkriminelle abschreckt. Sie können Dutzende solcher Accounts erstellen. Es folgt ein endloser Kreislauf: Google löscht die Accounts, über die Schädlinge verbreitet werden, und die Kriminellen erstellen völlig problemlos neue Konten.

  2. Lassen sich die zu veröffentlichenden Applikationen besser kontrollieren?
    Das Problem liegt vor allem in den Ressourcen, die dafür aufgewendet werden müssten. Eine Überprüfung des gesamten Codes in den verschiedenen App-Shops – also nicht nur im Android Market, sondern zum Beispiel auch im Apple-AppStore oder Samsung Market – ist keine Aufgabe, die nebenbei erledigt werden kann, zumal sie sich nur schwer automatisieren lässt. Daher dürfte es künftig in den Shops immer mehr Software mit verschiedenen schädlichen Beigaben geben.

Wie bereits erwähnt, nutzten die im Android Market entdeckten Schadprogramme Sicherheitslücken aus. Betroffen waren Geräte mit einer Betriebssystem-Version, die niedriger als 2.3 ist. Die Version 2.3 mit dem Namen „Gingerbred“ wurde am 6. Dezember 2010 veröffentlicht. Nach Angaben von Google betrug der Anteil der Android-Systeme mit aktualisierter Betriebssystem-Version drei Monate nach Veröffentlichung des Updates insgesamt nur zwei Prozent (http://developer.android.com/resources/dashboard/platform-versions.html). Dieser Wert zeigt recht deutlich, dass die Anwender es mit der Aktualisierung ihres Systems nicht allzu eilig haben. Der Hauptgrund für diese scheinbare Bummelei liegt darin, dass die Smartphone-Hersteller wesentliche Veränderungen am Betriebssystem vornehmen, bevor es auf den mobilen Geräten installiert wird. Danach ist eine Aktualisierung des installierten Betriebssystems nicht immer möglich. Teilweise muss für die Installation des Updates sogar der Hersteller eingreifen.

Das bedeutet also, dass die Möglichkeit oder Unmöglichkeit, Patches zu installieren, von den Herstellern der mobilen Geräte abhängt und ein Teil der Verantwortung für die Systemsicherheit daher bei ihnen liegt. Sie sind allerdings in vielen Fällen nicht an der Unterstützung und Aktualisierung der auf den Geräten installierten Software interessiert. Da die Smartphone-Modelle sehr schnell veralten, wird die Aktualisierung von Software bereits älterer Modelle sehr schnell zu einem zusätzlichen Kostenfaktor. Den Anwendern bleibt also nur die Hoffnung, dass die Hersteller die entsprechenden Maßnahmen ergreifen und das Aufspielen von Updates auf ihren Geräten ermöglichen. Kann in dieser Situation von Sicherheit denn überhaupt die Rede sein?

Eine wichtige Tatsache ist in diesem Zusammenhang erwähnenswert: Google kann Anwendungen aus der Ferne auf jedem beliebigen Android-Gerät installieren oder davon entfernen. Auf den ersten Blick ist das eine hervorragende Hilfe im Kampf gegen Schadprogramme auf bereits infizierten Geräten. Der Fall der Trojaner im Android Market hat allerdings einige Schwachstellen dieses Systems offengelegt.

Erstens konnten sich die Trojaner mit den Administrator-Rechten auf dem Smartphone des Anwenders vollkommen sicher fühlen, denn sie konnten nur von einer Anwendung mit denselben Rechten wieder gelöscht werden. Dazu musste Google ein spezielles Programm veröffentlichen, das über eben diese Rechte verfügt.

Zweitens könnte die weitere Entwicklung der mobilen Schädlinge dazu führen, dass die Trojaner den Mechanismus der entfernten Steuerung einfach deaktivieren, zumal das auf PCs mit Windows Update bereits der Fall ist.

Drittens sieht das bestehende System eine Löschung trojanischer Programme auf infizierten Telefonen vor, jedoch keine Warnung vor einer Infektion von Smartphones. Stiehlt ein Trojaner aber Geld oder wichtige Informationen, kommt das Löschen des Schädlings jedoch zu spät.

Insgesamt erinnert die Situation mit dem Betriebssystem Android immer mehr an die Situation von Windows:

  • Es gibt eine Unmenge von Android-Geräten mit veralteter Software, die verschiedene nicht geschlossene Sicherheitslücken enthält.
  • Die Mitteilungen des Sicherheitssystems, die beim Start oder der Installation einer beliebigen Anwendung erscheinen, werden in den allermeisten Fällen von den Anwendern ignoriert.
  • Die meisten infizierten Windows-Rechner werden von Anwendern benutzt, die mit Administrator-Rechten arbeiten. Android-Systeme sind nach einem Jailbreak dem höchsten Infektionsrisiko ausgesetzt.
  • Die Kommunikation der mobilen Schadprogramme mit ihren Urhebern läuft nach dem für Windows-Schädlinge klassischen Schema über Steuerungszentralen ab, was unterm Strich zum Aufbau mobiler Botnetze führt.
  • Die Kontrollsysteme der Anwendungen lassen sich umgehen: Das Betriebssystem Android bietet die Möglichkeit, auch Apps zu installieren, die nicht aus dem Android Market stammen.

Seit 2007 verdoppelt sich die Zahl der neuen Signaturen für mobile Schädlinge praktisch jährlich.


Anzahl neuer Signaturen für mobile Schädlinge, die den Antiviren-Datenbanken
von Kaspersky Lab hinzugefügt wurden

Ausgehend von der Statistik des ersten Quartals 2011 kann man bereits jetzt sagen, dass dieses Jahr mehr als doppelt so viele Schadprogramme für mobile Geräte entdeckt werden wie im Jahr zuvor.

Das Problem der mobilen Schädlinge ist allein deshalb von großer Bedeutung, da heute schon viele wichtige Informationen auf mobilen Geräten gespeichert sind und Smartphones sich in naher Zukunft in mobile Brieftaschen verwandeln werden. Darüber hinaus führt der Gebrauch persönlicher mobiler Geräte bei der Arbeit (die so genannte „Consumerization“) dazu, dass durch Smartphones einzelner Anwender nach außen getragene Daten den Unternehmen noch anhaltendes Kopfzerbrechen bereiten werden.

Zielgerichtete Attacken

Die Ereignisse, die für uns von Interesse sind, nahmen bereits 2010 ihren Anfang. Ende des letzten Jahres übernahm die Gruppe Anonymous die Verantwortung für die DDoS-Attacken auf die Webseiten von Mastercard, Visa, PayPal und gab sie als Unterstützung für Wikileaks aus. Viele fragten sich, wer sich wohl hinter der Maske von Anonymous verbirgt. Anfang 2011 gab das IT-Sicherheitsunternehmen HBGary bekannt, dass es über Informationen darüber verfügt, wer genau hinter diesen Angriffen steckt. Einige Tage später wurde HBGary selbst zum Ziel eines Hacker-Angriffs.

Das erste Quartal war von einigen Attacken auf verschiedene Organisationen gekennzeichnet. Neben den Angriffen auf HBGary vergriffen sich die Hacker an RSA, BMI, Lush sowie den Webseiten Play.com, wiki.php.org und anderen. Als Ergebnis der erfolgreichen Angriffe gelangten die Hacker an verschiedene Informationen, darunter auch persönliche Anwenderdaten, die für Cyberkriminelle von Interesse sind – auch wenn sie nicht für das schnelle Geld taugen.

Noch vor wenigen Jahren war das Hacken von Servern großer Unternehmen die Ausnahme, doch heute gehören solche Ereignisse leider schon zum Alltag. Alles deutet darauf hin, dass ein Teil der professionellen Cyberkriminellen eine neue Goldader aufgespürt und sich nun von der massenhaften Infektion von Heimanwender-Computern auf das Hacken seriöser Unternehmen verlegt hat. Für die Cyberkriminellen ist das zwar riskanter, da die Firmen im Gegensatz zu Heimanwendern ganz sicher Gegenmaßnahmen ergreifen werden, doch der Ertrag aus zielgerichteten Attacken ist höher und die Konkurrenz in diesem Schwarzmarkt-Segment kleiner.

Beunruhigend ist auch die Tatsache, dass die Attacken sich auch gegen IT-Sicherheitsunternehmen richten, die sehr viele Kunden betreuen. Gelangen diese Unternehmensdatenbanken durch einen Hack in die Hände der Cyberkriminellen, könnten sie Anwender in verschiedenen Ländern um ihr Geld bringen.

Server von IT-Sicherheitsunternehmen zu hacken ist vom technischen Standpunkt aus betrachtet alles andere als einfach. Im Fall von HBGary konnten die Hacker in das Unternehmensnetzwerk eindringen, weil sie den aus Firmensicht am wenigsten wichtigen und daher am schlechtesten geschützten Server angriffen, nämlich den des technischen Supports. Der Administrator dieses Servers war der Geschäftsführer des Unternehmens. Daher hatten die Kriminellen, nachdem sie sich auf dem gehackten Server seine Zugangsdaten verschafft hatten, Zugriff auf eine große Menge verschiedener Informationen. Der Wert der gestohlenen Informationen war sehr hoch, da HBGary mit großen Finanzinstitutionen und staatlichen Einrichtungen zusammenarbeitet. Wären traditionelle Cyberkriminelle am Werk gewesen, hätten sie wohl umgehend versucht, diese Daten auf dem Schwarzmarkt zu verkaufen. Doch in diesem Fall verhielten sich die Hacker nicht wie gewohnt: Ein großer Teil der vertraulichen Informationen wurde öffentlich zugänglich gemacht. Eines der wichtigsten Ziele der Cyberkriminellen bestand darin, den guten Ruf des Unternehmens zu schädigen. Als das Eindringen in die Unternehmensserver bekannt wurde, hatten sie dieses Ziel bereits erreicht.

Beim Hack von RSA spielte der menschliche Faktor eine entscheidende Rolle. Die Kriminellen schickten den Mitarbeitern des Unternehmens schädliche Excel-Dateien mit dem Namen „2011 Recruitment Plan.xls“ und hofften, dass zumindest ein Empfänger diese Datei öffnen würde. Ihre Rechnung ging auf: Einer der RSA-Mitarbeiter öffnete die Datei, die Zero-Day-Exploits enthielt, wodurch die Cyberkriminellen die Kontrolle über seinen Computer erhielten und so den leistungsstarken Schutz des Unternehmensnetzwerkes knacken konnten. Diese Geschichte zeigt einmal mehr, dass das schwächste Glied im IT-Sicherheitssystem eines Unternehmens nach wie vor dessen Mitarbeiter sind. Eine wichtige Methode, diese Schwachstelle zu schließen, besteht in der Aufklärung und Fortbildung sowohl der technischen Fachleute als auch der „durchschnittlichen“ Mitarbeiter. Ganz egal, wie stark der technische Schutz eines Unternehmens auch ist und unabhängig davon, wie professionell die darin integrierten Sicherheitsrichtlinien gestaltet sind – ohne ein genaues Verständnis aller Mitarbeiter für die grundlegenden Regeln der Computersicherheit ist der Aufbau eines wirklich geschützten Systems nicht möglich.

Staatliche Ressourcen verschiedener Länder wie Kanada, Frankreich und Südkorea waren im ersten Quartal ebenfalls Hackerattacken ausgesetzt. Während Cyberkriminelle bei Angriffen auf Privatunternehmen in der Regel einen finanziellen Vorteil suchen, ist das Ziel von Attacken auf verschiedene staatliche Strukturen nicht immer ganz eindeutig. In Kanada und Frankreich ging es den Kriminellen um geheime Dokumente. In Südkorea waren dagegen regierungseigene Twitter- und YouTube-Accounts das Ziel der Attacken. Wie auch im Fall von Anonymous und HBGary waren diese Angriffe nicht durch Geldgier motiviert. Die Aktionen der Hacker waren zum größten Teil Proteste gegen die eine oder andere Entscheidung staatlicher Organisationen und Behörden. Dies deutet darauf hin, dass das Internet heute nicht mehr allein dem globalen Informationsaustausch dient, sondern auch immer mehr zur Arena politischer Auseinandersetzungen wird.

SCADA – ist das erst der Anfang?

Am 21. März 2011 wurden von seclists.org 24 Sicherheitslücken in SCADA-Systemen verschiedener Hersteller veröffentlicht: Siemens, Iconics, 7-Technologies und DATAC.

Nach dem Aufsehen erregenden Fall von Stuxnet sind Sicherheitslücken in SCADA-Systemen für IT-Sicherheitsunternehmen von besonderem Interesse. Diese Systeme stellen zum Beispiel sicher, dass Betriebe, Verkehrsampeln und sogar Elektrizitätswerke reibungslos funktionieren. Die Möglichkeit, solche Objekte von außen zu manipulieren, ist eine Bedrohung für Millionen von Menschen.

Zwischen SCADA-Software und gewöhnlicher Software besteht kein prinzipieller Unterschied. Sie wird in den gleichen Programmiersprachen geschrieben und für die Kommunikation werden hauptsächlich bekannte Protokolle verwendet, darunter auch Netzprotokolle. Software für SCADA wird von Menschen programmiert, was zweifellos eine Fehlerquelle darstellt. Daher finden sich in SCADA-Systemen auch Fehler, die absolut typisch für gewöhnliche Software sind. Auch die dazugehörigen Exploits werden nach einem typischen Schema entwickelt.

Man darf dabei nicht vergessen, dass viele SCADA-Systeme rund um den Globus einzig bei Inbetriebnahme der jeweiligen Fabriken konfiguriert und seitdem nicht mehr aktualisiert wurden. Hinzu kommt, dass eine Aktualisierung solcher Systeme auch nicht immer möglich ist, denn nicht alle können sich einen Übungsplatz in Form eines zweiten Betriebs leisten, der zum Testen der Patches dient.

Im Internet ist bereits ein Exploit-Pack für SCADA-Systeme erschienen. Zudem waren einige der veröffentlichten Sicherheitslücken Ende März immer noch nicht geschlossen.

Digitales Misstrauen?

Die gesamte Infrastruktur des „digitalen Vertrauens“ – des Vertrauens in die Entwickler von Dateien, ins Online-Banking und -Shopping, in E-Mail-Systeme und andere Kommunikationsdienste – basiert heutzutage darauf, dass wir digitalen Signaturen genauso vertrauen wie den Unternehmen, die digitale Zertifikate herausgeben.

Unsere Prognose, dass digitale Zertifikate im Jahr 2011 zu einem der wichtigsten Probleme der IT-Sicherheit avancieren, beginnt sich leider zu bewahrheiten. Ende März erschien ein Microsoft-Bulletin mit der Mitteilung, dass neun gefälschte Zertifikate im Namen der Firma Comodo herausgegeben worden seien. Der Name Comodo gilt in den Standardeinstellungen aller Versionen von Windows und Mac OS X als vertrauenswürdig. Die Cyberkriminellen haben durch die falschen Zertifikate die Möglichkeit, Phishing-Angriffe, Content-Spoofing und MITM-Attacken durchzuführen.

Nach Angaben von Comodo war die Veröffentlichung der gefälschten Zertifikate möglich, da die Konten zweier vertrauenswürdiger Partner des Unternehmens gehackt worden waren. Dieser Vorfall macht das Problem schon sehr deutlich: Da das Recht zur Herausgabe von Zertifikaten an Dritte im Namen eines vertrauenswürdigen Unternehmens übertragen wird, sind die Anwender gezwungen, nicht nur der vertrauenswürdigen Firma, sondern auch deren Partnern zu vertrauen.

Alle Zertifikate waren nicht für Finanzinstitutionen bestimmt, sondern für Webseiten großer Konzerne, die von einem Millionenpublikum besucht werden. Sie wurden für verschiedene Dienste – darunter Google, Gmail, Microsoft Live Mail, Yahoo und Skype – sowie für Add-ons von Mozilla herausgegeben. Dieses Vorgehen ist untypisch für Hacker alter Schule, die in erster Linie am Geld und damit an Finanzinstitutionen interessiert sind. Angriffe mit solchen gefälschten Zertifikaten haben es nicht direkt aufs Geld abgesehen, sondern hier steht der Diebstahl persönlicher Informationen einer riesigen Zahl von Internetnutzern im Vordergrund. Das wiederum fügt sich in das Konzept der neuen Organisatoren von Attacken, das wir in unserem Jahresbericht beschrieben haben.

Interessanterweise stammten die Hackerattacken auf die Partner des Unternehmens nach Informationen von Comodo aus dem Iran. In diesem Land war die Webseite untergebracht, auf der erstmals ein gefälschtes Zertifikat verwendet wurde. Später übernahm eine Person, die sich als Hacker-Autodidakt ausgab, die Verantwortung für das Eindringen in das System und veröffentlichte als Beweis sogar einen Teil des geheimen Schlüssels. Allerdings liegt auf der Hand, dass dieser Angriff äußerst sorgfältig geplant und professionell durchgeführt wurde, was gegen die Tat eines Autodidakten spricht. Zudem konnte die sich selbst freimütig als Hacker bezeichnende Person nicht aufgespürt werden. Es ist nicht ausgeschlossen, dass die iranische Spur eine falsche Fährte ist und zur Ablenkung gelegt wurde.

Rustock überführt, seine Herren in Freiheit

Mitte März stellte das Botnetz Rustock den Spamversand ein. Dieses Ereignis war die Folge einer gemeinsamen Aktion von Microsoft und den Strafverfolgungsbehörden der USA, infolge derer die Steuerungszentralen des Botnetzes offline genommen wurden. Daraufhin nahm die Spammenge weltweit um 15 Prozent ab.

Rustock ist ein Botnetz, das über genau definierte Steuerungszentralen gelenkt wird. Die Adressen der Server im Internet, von denen die Spam-Bots ihre Befehle empfangen, sind im Code der Schadprogramme enthalten. Das Abschalten der Steuerungszentralen führte dazu, dass seine Inhaber die Kontrolle über die infizierten Rechner verloren. Den Cyberkriminellen gelingt es nun nicht mehr, erneut die Kontrolle über die zum abgeschalteten Botnetz gehörenden Computer zu erlangen. Das bedeutet allerdings nicht, dass Rustock nun für immer von der Bildfläche verschwunden ist.

Der Bot wurde zu einem einzigen Zweck – dem Spamversand – entwickelt. Daher ist seine Funktionalität auch nur minimal: Verbergung im System, Befehlsempfang von den Botnetzbetreibern und der eigentliche Versand von Millionen unerwünschter Nachrichten. Rustock hat nie über eine Selbstverbreitungsfunktion verfügt. Zum Aufbau des Zombienetzes wurden die Kapazitäten anderer Botnetze genutzt: Die Cyberkriminellen gaben den Schadprogrammen auf bereits infizierten Computern (meist Trojan-Downloader.Win32.Harnig) den Befehl, den Spam-Bot Rustock zu laden und zu installieren. Eine typische „Herberge“ für Rustock ist ein Computer ohne Antiviren-Programm unter nicht aktualisiertem Windows XP. Es gibt auf der Welt Hunderttausende solcher Computer. Noch sind die Inhaber von Rustock auf freiem Fuß und sie haben die Möglichkeit, das Botnetz wiederaufzubauen – möglicherweise mit den Rechnern, die bereits zu dem abgeschalteten Botnetz gehörten.

Direkt nach Schließung der Steuerungszentralen von Rustock haben die Cyberkriminellen keine aktiven Schritte zum Wiederaufbau des Zombienetzes unternommen. Unseren Daten zufolge wurde im Laufe von zwei Wochen – vom 16. März bis zum Ende des Monats – nicht ein neuer Downloader gefunden, der Rustock auf den Computern der Anwender installiert.

Die Opfer von GpCode

Das Ende des Quartals war von der Attacke einer neuen Modifikation des äußerst gefährlichen Erpresser-Trojaners GpCode gekennzeichnet, der Daten auf einem infizierten Computer verschlüsselt und ein Lösegeld für die Dechiffrierung fordert.

Neue Modifikationen des Verschlüsslers wurden erstmals Ende 2010 entdeckt. Im Gegensatz zu früheren Modifikationen, welche die ursprünglichen Dateien löschten, überschreiben die neuen GpCode-Varianten die Dateien mit den verschlüsselten Daten. Während sich gelöschte verschlüsselte Dateien mit Hilfe spezieller Programme wiederherstellen lassen, ist es nicht möglich, überschriebene Dateien ohne den geheimen Chiffrierungsschlüssel zu rekonstruieren. Die Situation wird zudem dadurch erschwert, dass der aktualisierte GpCode die starken kryptographischen Algorithmen AES (Schlüssellänge 256 Bit) und RSA (Schlüssellänge 1024 Bit) verwendet. Derzeit ist die Dechiffrierung von Daten, die mit diesen Algorithmen verschlüsselt wurden, bei offenem Chiffretext innerhalb einer akzeptablen Zeitspanne nicht möglich. Der Chriffetext ist alles, was auf dem infizierten Computer übrig bleibt.

Für die Infektion der Computer setzten die Cyberkriminellen Drive-by-Downloads ein. Um potentielle Opfer auf die infizierten Webseiten zu locken, wurden Methoden der schwarzen Suchoptimierung verwendet. Der Anwender konnte auf eine schädliche Webseite geraten, wenn seine Suchmaschinen-Anfrage etwas mit Kochkunst zu tun hatte. Alle Webseiten, von denen die Angriffe ausgingen, waren auf kostenlosen Hostingplattformen wie am.ae, cx.cc, gv.vg und anderen registriert. Zur Tarnung registrierten und verwendeten die Cyberkriminellen bei der Attacke zum Suchthema passende Domain-Namen wie „delicate-grill.ae.am“, „generalcook.gv.vg“, „warmblueberry.cx.cc“ und „full-bread.ae.am“.

In erster Linie fielen europäische Anwender und Bürger aus dem postsowjetischen Raum dem Trojaner zum Opfer. Fälle von Infektionen mit GpCode wurden in Deutschland, Russland, Polen, Frankreich, den Niederlanden, Kasachstan, in der Ukraine und einigen anderen Ländern registriert. Als Lösegeld für die gekaperten Daten verlangten die Kriminellen die Überweisung von Geld über das elektronische Zahlungssystem Ukash, das in allen diesen Ländern verfügbar ist.

Die Attacke wurde innerhalb nur weniger Stunden durchgeführt. Im Visier der Cyberkriminellen standen Heimanwender. Ohne Einsatz moderner Abwehrtechniken ist es binnen so kurzer Zeit nicht möglich, Signaturen zu erstellen und sie den Anwendern bereitzustellen. Die Anwender von Kaspersky-Produkten hatten das Glück, schon sehr schnell durch Cloud-UDS-Signaturen (Urgent Detection System) geschützt zu sein.

Die kurze Verbreitungszeit des Schädlings deutet darauf hin, dass der GpCode-Autor keine massenhafte Infektion von Anwendercomputern im Sinn hatte. Der Grund liegt vermutlich darin, dass sich die Strafverfolgungsbehörden verschiedener Länder bei einer massenhaften Infektion von Computern recht bald für den Virenautoren interessieren würden, was wiederum keinesfalls im Interesse eines Cyberkriminellen sein kann. Daher werden auch weitere Attacken des Verschlüsslers aller Wahrscheinlichkeit nach nur vereinzelt auftreten.

Statistik

Die folgenden Statistiken basieren auf der Arbeit verschiedener Kaspersky-Schutzkomponenten vor Schadprogrammen. Alle im Bericht verwendeten Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) gesammelt und ausgewertet. Sämtliche Daten stammen von KSN-Anwendern, die ihre Zustimmung zur Übermittlung der statistischen Daten gegeben haben. Am globalen Informationsaustausch über die Aktivität von Schadprogrammen nehmen Millionen Anwender von Kaspersky-Produkten in 213 Ländern teil.

Bedrohungen im Internet

Die statistischen Daten in diesem Abschnitt basieren auf der Arbeit von Kaspersky Web-Anti-Virus, das Anwender vor dem Download schädlichen Codes von infizierten Webseiten schützt. Das können Seiten sein, die von Cyberkriminellen speziell erstellt wurden, Web-Ressourcen, deren Inhalt beispielsweise bei Foren von Anwendern gestaltet wird sowie gehackte legitime Ressourcen.

Im Internet aufgespürte Objekte

Im ersten Quartal 2011 wurden 254.932.299 Attacken abgewehrt, die von Internet-Ressourcen in verschiedenen Ländern durchgeführt wurden.

Top 20 der im Internet entdeckten Objekte:

Position Name Prozent aller Attacken*
1 Blocked 66.16 Prozent
2 Trojan,Script,Iframer 20.43 Prozent
3 Exploit,Script,Generic 14.68 Prozent
4 Trojan,Win32,Generic 9.59 Prozent
5 Trojan,Script,Generic 8.91 Prozent
6 Trojan-Downloader,Script,Generic 8.12 Prozent
7 AdWare,Win32,HotBar,dh 3.40 Prozent
8 AdWare,Win32,FunWeb,gq 3.26 Prozent
9 Trojan,HTML,Iframe,dl 2.16 Prozent
10 Exploit,JS,Pdfka,ddt 1.82 Prozent
11 Exploit,HTML,CVE-2010-1885,ad 1.73 Prozent
12 Hoax,Win32,ArchSMS,pxm 1.59 Prozent
13 Trojan,JS,Popupper,aw 1.57 Prozent
14 Hoax,Win32,ArchSMS,heur 1.57 Prozent
15 Trojan-Downloader,Win32,Generic 1.56 Prozent
16 Trojan-Downloader,Java,OpenConnection,cx 1.55 Prozent
17 Trojan-Downloader,Java,OpenConnection,cg 1.33 Prozent
18 Exploit,HTML,CVE-2010-1885,aa 1.33 Prozent
19 Trojan-Downloader,HTML,Agent,sl 1.24 Prozent
20 Trojan-Downloader,Java,OpenConnection,cf 1.15 Prozent

Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf.

* Gesamtzahl der einzigartigen von Kaspersky Web-Anti-Virus registrierten Vorfälle auf den Computern der Anwender.

Bei einem großen Teil (66,16 Prozent) der im Internet erkannten Objekte handelt es sich um Links auf der schwarzen Liste. Diese Liste enthält Adressen von Webseiten mit verschiedenen schädlichen Inhalten. Alle diese Seiten lassen sich in zwei große Kategorien unterteilen. Zur ersten gehören Webseiten, auf denen aktiv Social-Engineering-Methoden angewendet werden, um die Anwender dazu zu bringen, eigenhändig ein Schadprogramm auf ihren Computern zu installieren. In die zweite Kategorie fallen Webseiten, bei deren Besuch mittels der auf Exploits basierenden Drive-by-Download-Technik unbemerkt vom Anwender ein Schädling geladen und gestartet wird.

Den zweiten bis sechsten Platz im Ranking belegen verschiedene heuristische Schädlinge. Am häufigsten waren die Anwender Angriffen von Skript-Trojanern und Exploits ausgesetzt. Der hohe Anteil von Attacken des Trojaners Trojan.Script.Iframer (Platz zwei im Ranking) und auch seines Zwillingsbruders Trojan.HTML.Iframe.dl (Platz neun) zeugt davon, dass auf vielen legitimen Webseiten Schadcode in Form der nicht dargestellten Tags „iframe“ eingeschleust wird. Die Tags setzen die Cyberkriminellen im Zuge von Drive-by-Downloads ein.

Auf den Plätzen sieben und acht der am häufigsten aufgespürten Objekte positionierten sich die Werbe-Programme HotBar.dh und FunWeb.gq, die sich besonders aktiv in vier Ländern ausbreiten: Amerika (28 Prozent aller Erkennungen von HotBar.dh und FunWeb.gq), China (14 Prozent), Indien (sechs Prozent) und England (vier Prozent).

Ende letzten Jahres waren die Trojaner der Familie Trojan-Downloader.Java.OpenConnection unter Cyberkriminellen besonders beliebt. Im ersten Quartal 2011 belegten sie nur die letzten Plätze des Rankings. Die Trojaner nutzen eine Sicherheitslücke im Java Runtime Environment aus, die es den Verbrechern ermöglicht, die Virtualisierungsumgebung zu umgehen und die Systemfunktion Java aufzurufen. Verwundbar ist die Software Java Runtime Environment bis zum Java 6 Update 18. Da im Kampf gegen Exploits in interpretierbaren Sprachen eine große Menge verschiedener Funktionen genutzt wird, werden nicht jene in diesen Sprachen geschriebenen Programme von Exploits angegriffen, sondern die virtuellen Maschinen selbst.

Bemerkenswert ist, dass sich gleich zwei Programme in der Hitliste positionieren konnten, die als Hoax.Win32.ArchSMS erkannt werden (Platz zwölf und 14). Dabei handelt es sich um Archive, deren Inhalt sich erst offenbart, wenn man eine SMS an eine kostenpflichtige Nummer sendet. Am häufigsten wurde dieses Betrugsprogramm im russischen Segment des Internets erkannt.

Länder mit verseuchten Web-Ressourcen

In praktisch jedem Land gibt es Internet-Ressourcen, über die Schadprogramme verbreitet werden. Im ersten Quartal verteilen sich 89 Prozent der Web-Ressourcen, die zur Verbreitung von Schadprogrammen genutzt werden, auf insgesamt zehn Länder. Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Außerdem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).


Erstes Quartal 2011: Verteilung der Web-Ressourcen,
auf denen Schadprogramme platziert sind, nach Ländern

Wie gehabt liegen die USA auf Platz eins der Länder, deren Web-Ressourcen zur Verbreitung von Schadprogrammen genutzt werden. In diesem Land wird ein großer Teil des schädlichen Contents auf gehackten legitimen Webseiten platziert. Innerhalb der ersten drei Monate des Jahres 2011 ist der Anteil schädlicher Web-Ressourcen in den USA um 1,7 Prozent gestiegen.

Am deutlichsten nahm die Zahl der schädlichen Web-Ressourcen in Russland (plus 3,5 Prozentpunkte) und Großbritannien (plus zwei Prozentpunkte) zu, die damit Platz zwei respektive Platz sieben belegen.

Der im Jahr 2010 begonnene Rückgang schädlicher Plattformen in China setzt sich fort. Der Anteil der Web-Attacken ist hier im Vergleich zum vierten Quartal 2010 um 3,33 Prozent gesunken. Auch in Deutschland hat sich der Anteil von Servern mit schädlichen Inhalten verringert (minus 3,28 Prozentpunkte).

Länder mit dem größten Infektionsrisiko

Um den Grad des Infektionsrisikos via Internet, dem Computer in den verschiedenen Ländern ausgesetzt sind, zu bestimmen, haben wir für jedes der Länder berechnet, wie häufig im Laufe des Quartals Kaspersky Web-Anti-Virus bei den Anwendern Alarm geschlagen hat.

Die Top 10 der Länder, deren Computer dem größten Infektionsrisiko via Internet ausgesetzt sind:

Position Land prozentualer Anteil
einzelner Computer **
1 Russische Föderation 49,6 3Prozent
2 Oman 49,5 7Prozent
3 Irak 45,65 Prozent
4 Weißrussland 43,84 Prozent
5 Armenien 42,42 Prozent
6 Aserbaidschan 42,15 Prozent
7 Kasachstan 40,43 Prozent
8 Saudi Arabien 39,99 Prozent
9 Ukraine 39,99 Prozent
10 Sudan 38,87 Prozent

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten relativ gering ist (weniger als 10.000).

** Prozentualer Anteil von Anwendern, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal 2011 waren die Rechner der KSN-Anwender in Russland und im Oman dem höchsten Infektionsrisiko ausgesetzt. Praktisch jeder zweite Anwender (49 Prozent) in diesen Ländern war im Laufe des Quartals zumindest einer Attacke über das Internet ausgesetzt. Dabei unterscheidet sich der Angriffscharakter in den beiden Ländern stark. Im Oman werden die Computer im Wesentlichen zu dem Zweck infiziert, die bestehenden Zombienetzwerke zu vergrößern. Dagegen werden in Russland neben Bots auch aktiv Betrugsprogramme verbreitet.

Alle Länder lassen sich in drei verschiedene Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehörten sieben Länder: Russland, Oman, Irak, Weißrussland, Armenien, Aserbaidschan und Kasachstan.
  2. Risikogruppe mit Werten zwischen 21 und 40 Prozent. Dazu zählen 87 Länder.
  3. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im ersten Quartal 2011 33 Länder mit Werten zwischen 13 und 20 Prozent. Am wenigsten häufig wurden Anwender beim Surfen im Internet in Japan, Deutschland, Serbien, Tschechien und Luxemburg angegriffen.

Lokale Bedrohungen

Alle statistischen Daten in diesem Abschnitt basieren auf der Arbeit des Echtzeit-Scanners.

Top 20 der auf den Computern der KSN-Anwender gefundenen schädlichen Objekte

Im ersten Quartal 2011 blockierten unsere Antiviren-Lösungen 412.790.509 Versuche einer lokalen Infektion auf den Computern der Anwender, die am Kaspersky Security Network teilnehmen.

Bei diesen Vorfällen wurden insgesamt 487.695 verschiedene schädliche und potentiell unerwünschte Programme registriert. Dazu zählen insbesondere Objekte, die über das Internet, per E-Mail oder über Netz-Ports, zum Beispiel über das lokale Netzwerk oder über mobile Speichermedien, in die Computer eindrangen.

Top 20 der auf den Computern der Anwender erkannten Objekte:

Position Name Prozentualer Anteil
infizierter Computer *
1 DangerousObject.Multi.Generic 29,59 Prozent
2 Trojan.Win32.Generic 24,70 Prozent
3 Net-Worm.Win32.Kido.ir 14,72 Prozent
4 Virus.Win32.Sality.aa 6,43 Prozent
5 Virus.Win32.Sality.bh 4,70 Prozent
6 Net-Worm.Win32.Kido.ih 4,68 Prozent
7 Hoax.Win32.Screensaver.b 4,48 Prozent
8 HackTool.Win32.Kiser.zv 4,43 Prozent
9 Hoax.Win32.ArchSMS.heur 4,08 Prozent
10 Worm.Win32.Generic 3,36 Prozent
11 Trojan.JS.Agent.bhr 3,32 Prozent
12 AdWare.Win32.HotBar.dh 3,28 Prozent
13 Packed.Win32.Katusha.o 2,99 Prozent
14 Hoax.Win32.ArchSMS.pxm 2,91 Prozent
15 Trojan.Script.Iframer 2,80 Prozent
16 Worm.Win32.FlyStudio.cu 2,74 Prozent
17 HackTool.Win32.Kiser.il 2,50 Prozent
18 Trojan-Downloader.Win32.Geral.cnh 2,11 Prozent
19 Trojan-Downloader.Win32.VB.eql 2,04 Prozent
20 Trojan.Win32.Starter.yy 1,95 Prozent

Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf.

* Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Web-Anti-Virus das entsprechende Objekt erkannt hat, an allen Computern mit Kaspersky Lab-Produkten, bei denen der Anti-Virus Alarm geschlagen hat.

Den ersten Platz im Ranking belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien detektiert wurden. Diese Technologien greifen dann, wenn weder Signaturen in den Antiviren-Datenbanken noch Heuristiken für die Erkennung von Schadprogrammen vorhanden sind, dafür aber in der Cloud des Antiviren-Unternehmens bereits Informationen über das Objekt verfügbar sind. In diesem Fall erhält das erkannte Objekt die Bezeichnung DangerousObject.Multi.Genric.

Den dritten bis sechsten Platz im Ranking belegten Modifikationen der nicht erst seit diesem Jahr allseits bekannten Schadprogramme Net-Worm.Win32.Kido und Virus.Win32.Sality. Die von diesen Schädlingen angewendeten effektiven Selbstverbreitungsmethoden führen dazu, dass ein einmal aktivierter Infektionsmechanismus noch lange Zeit nach seinem „Aussetzen in freier Wildbahn“ weiterwirkt. Der sich zuspitzenden Situation nach zu urteilen werden diese Schadprogramme die Hitliste der am häufigsten infizierenden Programme noch lange Zeit anführen.

Wie in der Hitliste der Internet-Bedrohungen sind auch in diesem Ranking die oben bereits beschriebenen Betrugsprogramme vertreten, die von Kaspersky Lab als Hoax.Win32.ArchSMS erkannt werden (neunter und 14. Platz).

Länder, in denen die Computer dem höchsten Infektionsrisiko ausgesetzt waren

In verschiedenen Ländern haben wir den prozentualen Anteil der KSN-Anwender ermittelt, auf deren Computern Versuche einer lokalen Infektion registriert wurden. Die so erhaltenen Zahlen zeigen auf, wie viele Computer durchschnittlich in dem einen oder anderen Land infiziert sind.

Top 10 der Länder mit dem höchsten Risiko einer lokalen Infektion:

Position Land Prozentualer Anteil
einzelner Computer **
1 Sudan 69,86 Prozent
2 Bangladesch 64,33 Prozent
3 Irak 62,15 Prozent
4 Ruanda 57,28 Prozent
5 Nepal 55,85 Prozent
6 Tansania 55,11 Prozent
7 Afghanistan 54,78 Prozent
8 Angola 53,63 Prozent
9 Uganda 53,48 Prozent
10 Oman 53,16 Prozent

* Von unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Anwender von Kaspersky-Produkten relativ gering ist (weniger als 10.000).

** Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Anwendern von Kaspersky-Produkten in dem Land.

In den Top 10 der Länder, in denen die Computer der Anwender dem höchsten Risiko einer lokalen Infektion ausgesetzt sind, finden sich ausschließlich asiatische und afrikanische Länder. Die IT-Infrastruktur in diesen Regionen wird konstant ausgebaut, doch leider kann das Niveau der Computer-Bildung der Bevölkerung mit dieser Entwicklung nicht Schritt halten. Dadurch lässt sich auch die hohe Infektionsrate der Computer erklären – sie liegt bei über 50 Prozent. Im Sudan (Platz eins im Ranking) wurden beispielsweise auf zwei von drei Computern, die am KSN teilnehmen, Schadprogramme gefunden. Dieses Land belegt zudem Platz zehn im Ranking der Länder, die das höchste Infektionsrisiko via Internet aufweisen.

Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in mehrere Gruppen einteilen.

  1. Zur Gruppe mit dem maximalen Infektionsniveau mit einem Wert von über 60 Prozent gehören der Sudan, Bangladesch und der Irak.
  2. Die Gruppe mit hohem Infektionsniveau (41 bis 60 Prozent) bilden 48 Länder, darunter Indien, Indonesien, die Philippinen, Thailand, Russland, die Ukraine und Kasachstan.
  3. Die Gruppe mit mittlerem Infektionsniveau (21 bis 40 Prozent) bilden 55 Länder, darunter China, Brasilien, Ecuador, Argentinien, die Türkei, Spanien, Portugal und Polen.
  4. Zur Gruppe mit dem geringsten Niveau einer lokalen Infektion zählen insgesamt 24 Länder.

Die Top 5 der sichersten Länder, gemessen am Risiko einer lokalen Infektion, setzen sich folgendermaßen zusammen:

Position Land prozentualer Anteil
der Computer
1 Japan 6,3 Prozent
2 Deutschland 9,2 Prozent
3 Schweiz 9,6 Prozent
4 Luxemburg 10,2 Prozent
5 Dänemark 11,1 Prozent

Die zweite und dritte Gruppe bestehen zum größten Teil aus Entwicklungsländern, während die vierte Gruppe hauptsächlich von Industrienationen gebildet wird, zum Beispiel von Österreich, England, Deutschland, den USA, Frankreich und Japan.

Sicherheitslücken

Im ersten Quartal 2011 wurden auf den Computern der KSN-Anwender 28.752.203 verwundbare Anwendungen und Dateien entdeckt.

Es folgt eine tabellarische Übersicht der Top 10 der Sicherheitslücken, die auf den Computern der Anwender entdeckt wurden.

Secunia ID Name und Link auf die Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Prozentu-aler Anteil der Anwender, bei denen die Sicher-heitslücke entdeckt wurde Ausga-bedatum Einstu-fung
1 SA 41340 Adobe Reader / Acrobat SING „uniqueName“ Buffer Overflow Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzer 40.78 Prozent 08.09.
2010
Extrem kritisch
2 SA 41917 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers;
Aufdecken sensibler Daten;
Umgehen der Systemsicherheit
31.32 Prozent 28.10.
2010
Extrem kritisch
3 SA 43267 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 24.23 Prozent 09.02.
2011
Hoch-kritisch
4 SA 43262 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers;
DoS;
Aufdecken sensibler Daten;
Datenmanipulation
23.71 Prozent 09.02.
2011
Hoch-kritisch
5 SA 41791 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers;
DoS;
Aufdecken sensibler Daten;
Datenmanipulation; Umgehen der Systemsicherheit
21.62 Prozent 13.10.
2010
Hoch-kritisch
6 SA 39259 Apple QuickTime Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers;
Aufdecken sensibler Daten;
Datenmanipulation
12.16 Prozent 11.11.
2010
Hoch-kritisch
7 SA 42475 Winamp MIDI Timestamp Parsing Buffer Overflow Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 9.40 Prozent 07.12.
2010
Hoch-kritisch
8 SA 31744 Microsoft Office OneNote URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 9.05 Prozent 09.01.
2007
Hoch-kritisch
9 SA 42112 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 8.78 Prozent 03.11.
2010
Hoch-kritisch
10 SA 39272 Adobe Reader / Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers;
XSS
8.18 Prozent 14.04.
2010
Hoch-kritisch

Im Laufe des letzten Jahres stellten Sicherheitslücken in Microsoft-Produkten den größten Teil dieses Rankings dar. Daher fällt in der entsprechenden Hitliste für das erste Quartal 2011 auf, dass nur eine einzige Schwachstelle in einem Microsoft-Produkt darin vertreten ist (achter Platz). Am häufigsten wurden auf den Computern Sicherheitslücken in Adobe-Produkten entdeckt, die insgesamt fünf Plätze im Ranking belegten, einschließlich der zwei Spitzenpositionen. Auf dem vierten und fünften Platz liegen Sicherheitslücken in der virtuellen Java-Maschine. Ebenfalls im Ranking vertreten sind je eine Sicherheitslücke im populären Media-Player Apple QuickTime (sechster Platz) und Winamp (siebter Platz).

Alle Schwachstellen in den Top 10 ermöglichen es Cyberkriminellen, vollständigen Zugriff auf das System zu erhalten. Ist der vollständige Systemzugriff durch die Ausnutzung der Sicherheitslücke gegeben, rücken alle anderen Möglichkeiten, die eine Schwachstelle eröffnet, im Prinzip absolut in den Hintergrund.

Fazit

Die wichtigste Tendenz des ersten Quartals 2011 lag in der Zunahme der zielgerichteten Attacken auf verschiedene Organisationen. Dabei ist hier nicht nur von traditionellen DDoS-Attacken die Rede, die den Web-Service eines Unternehmens für eine gewisse Zeit außer Betrieb setzen, sondern auch vom Eindringen in Unternehmensserver mit dem Ziel, Informationen zu stehlen. Alle diese Attacken lassen sich in zwei große Gruppen einteilen.

Das Ziel der Attacken der ersten Gruppe besteht im Verkauf der Informationen, die von den Unternehmensservern gestohlen wurden. Man darf dabei nicht vergessen, dass den Kriminellen durch die Angriffe häufig die persönlichen Kundendaten des betroffenen Unternehmens in die Hände fallen. Diese Informationen können im Folgenden unter anderem dazu verwendet werden, zielgerichtete Attacken auf die Unternehmen durchzuführen, in denen die Besitzer der persönlichen Daten arbeiten.

Die zweite Gruppe von Attacken hat in der Regel Protestcharakter. Mit solchen Angriffen wollen sich die Initiatoren nicht persönlich bereichern. Stattdessen verfolgen sie letztlich nur ein Ziel: die Autorität der angegriffenen Organisation zu untergraben und ihrem guten Ruf zu schaden.

Unseren statistischen Daten, die von den KSN-Teilnehmern stammen, zufolge sind Nutzer in Entwicklungsländern dem höchsten Risiko einer Infektion ausgesetzt – sowohl einer lokalen als auch einer über das Internet. Dabei setzen sich im Falle einer lokalen Infektion die Gruppen mit maximalem Risiko (das heißt, bei über 60 Prozent der Computer von Kaspersky-Anwendern in diesem Land wurden lokale Bedrohungen blockiert) und hohem Risiko (40 bis 60 Prozent) ausnahmslos aus Entwicklungsländern zusammen. Die IT-Infrastruktur in diesen Regionen wird konstant ausgebaut, was sich vom Niveau der Computer-Bildung der Bevölkerung leider nicht behaupten lässt. Angriffen der zum gegenwärtigen Zeitpunkt technisch ausgereiftesten Trojaner (TDSS, Sinowal, Zbot und so weiter) sind allerdings in erster Linie Anwender in Industrienationen ausgesetzt, zum Beispiel in den USA, Deutschland, England, Italien, Frankreich und Spanien. Die „Bad Guys“ sind eben hauptsächlich an den Brieftaschen der Nutzer in gerade diesen Ländern interessiert.

Nach Angaben von IDC wurden im vierten Quartal 2010 bereits mehr Smartphones als PCs verkauft. Vor diesem Hintergrund könnte die steigende Popularität des Betriebssystems Android auf dem Markt der mobilen Geräte schon bald zu einer Situation führen, wie wir sie schon von den PCs kennen. Die Vorherrschaft von Android OS ermöglicht den Virenschreibern, ihre Kräfte zu bündeln und sich auf die Schädlingsentwicklung für hauptsächlich eine Plattform zu konzentrieren. Mit dieser Taktik gelingt es ihnen, eine maximale Anzahl mobiler Geräte zu infizieren.

Der Schutz der mobilen Geräte wird derzeit dadurch erschwert, dass die Anwender ihre privaten mobilen Geräte auch bei der Arbeit zur Speicherung und Versendung wertvoller Unternehmensdaten verwenden. Dabei haben diese Mitarbeiter meist eine recht lockere Einstellung, was den Schutz von Daten auf mobilen Geräten betrifft.

Die weiterhin wachsende Beliebtheit von Sozialen Netzwerken, Blogs, Torrents, YouTube und Twitter führt zu einer Veränderung der digitalen Landschaft. Durch diese Dienste sind Daten schnell überall verfügbar. Den Informationen, die Anwender in Blogs finden, schenken sie oft nicht weniger Vertrauen als den offiziellen Nachrichten in den Massenmedien. Auf die Popularität derartiger Ressourcen haben auch Cyberkriminelle ihr Augenmerk gerichtet. Daher ist eine Zunahme der Angriffe über und auf diese Services in nächster Zukunft zu erwarten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.