Schlagwort-Archiv: Cybercrime-Angriffe

McAfee: Zahl der Schadprogramme für Macs steigt 2016 um 744 Prozent

2016 gab es insgesamt 460.000 Malware-Varianten für Macs. Die Zahl aller Schädlinge erhöhte sich indes auf 638 Millionen. Mobile Malware hat in Afrika die höchste Verbreitung.

Die Zahl der Schadprogramme für Apples Desktop-Betriebssystem Mac OS X hat sich 2016 offenbar um 744 Prozent erhöht. Diese Zahl nennt McAfee Labs in seinem jüngsten Sicherheitsbericht (PDF). Allein im vierten Quartal 2016 wuchs die Zahl der neuen Mac-Schadprogramme um 245 Prozent.

Der Sicherheitsanbieter weist aber auch darauf hin, dass es im Vergleich zu Windows nur wenige Bedrohungen für Apple-Computer gibt. Insgesamt habe es im vierten Quartal 2016 rund 460.000 Schadsoftwarevarianten für Macs gegeben. Darüber hinaus falle der größte Teil der Mac-Malware in die Kategorie Adware, also Programme, die unerwünschte Werbung einblenden.

Die Gesamtzahl der neuen Malware-Varianten für alle Plattformen schrumpfte im vierten Quartal um 17 Prozent auf 23 Millionen. Die Zahl aller bekannten Schadprogramme kletterte 2016 trotzdem um 24 Prozent auf 638 Millionen.

Auch im Bereich Ransomware entspannte sich dem Bericht zufolge die Lage. Nachlassende Aktivitäten von Locky und Cryptowall führten dazu, dass im vierten Quartal 71 Prozent weniger neue Ransomware-Varianten gefunden wurden als im dritten Quartal. Trotzdem ist Erpressersoftware weiterhin ein Wachstumsmarkt. Die Zahl aller Varianten stieg 2016 um 88 Prozent.

Mobile Geräte haben zudem eine immer größere Bedeutung für Hacker. Gab es im vierten Quartal 2015 noch weniger als 8 Millionen mobile Malware-Varianten, waren es ein Jahr später schon rund 15 Millionen. Allerdings gab es auch hier zwischen dem dritten und vierten Quartal einen Abwärtstrend. Die Zahl der neuen mobilen Varianten schrumpfte in diesem Zeitraum um 17 Prozent.

In Afrika war zwischen September und Dezember die Wahrscheinlichkeit am höchsten, sich mit einer mobilen Malware zu infizieren. Dort fand McAfee auf 12 Prozent aller Geräte seiner Kunden mindestens eine Schadsoftware. Den niedrigsten Anteil ermittelte das Unternehmen in Europa mit knapp über vier Prozent, gefolgt von Australien und Nordamerika.

Der Bericht nennt zudem Zahlen zu offiziell bestätigten und bekannt gewordenen Sicherheitsvorfällen. 197 Ereignisse wurden demnach von den Opfern öffentlich gemacht. Weitere 974 Angriffe wurden bekannt, ohne dass sich die Betroffen dazu äußerten. Die meisten Vorfälle ereigneten sich in Nord- und Südamerika, gefolgt von Asien, Europa und Ozeanien. Die meisten Angriffe richteten sich gegen den öffentlichen Sektor und Einzelpersonen. Politische Organisationen bilden indes in dieser Kategorie das Schlusslicht.

Quelle: www.zdnet.de

Was Cyberkriminelle 2017 vorhaben

Nachdem 2016 als das Jahr der Online-Erpressung in die Geschichte eingehen wird, wird sich Ransomware im kommenden Jahr in mehrere Richtungen weiterentwickeln. Zu den neuen Varianten zählt „Business Email Compromise“, das es auf geschäftliche E-Mails wichtiger Unternehmensmitarbeiter abgesehen hat und sich bereits als neuer Favorit des digitalen Untergrunds erweist, sowie „Business Process Compromise“, also das Kapern oder Verändern ganzer Geschäftsprozesse. Auch „harmlose“ smarte Geräte, die in massiven DDoS-Angriffen eine Rolle spielen werden, befinden sich unter den Zielen der Cyberkriminellen. Diese werden zusätzlich zum „Internet der Dinge“ (IoT) auch das „Industrielle Internet der Dinge“ (IIoT) ins Visier nehmen. Und schließlich wirft die für Mitte 2018 anstehende EU-Datenschutz-Grundverordnung ihre nun deutlicher werdenden Schatten voraus. Eine vollständige Übersicht der Themen, die das Jahr 2017 aus Security-Sicht beherrschen werden, findet sich in den Sicherheitsvorhersagen des japanischen IT-Sicherheitsanbieters Trend Micro.

1. Erpresser-Software: Angriffsmethoden und -ziele werden vielfältiger
Wie vorhergesagt hat sich 2016 zum Jahr der Cyber-Erpressung entwickelt. Das lag an mehreren Faktoren: Die Angriffe vereinen unterschiedliche Verteilungsmethoden und nicht zu knackende Verschlüsselung mit massiven Drohkulissen. „Ransomware-as-a-Service“ – ein Geschäftsmodell, bei dem Betreiber ihre Infrastruktur an Cyberkriminelle vermieten – brachte auch technisch nicht Versierte ins Geschäft. Und schließlich konnten Hacker nach der Veröffentlichung von Ransomware-Code ihre eigenen Versionen erstellen. Dies alles führte dazu, dass zwischen Januar und September ein 851-prozentiger Anstieg an Ransomware-Familien zu verzeichnen war. Nachdem der Höhepunkt 2016 überschritten wurde, folgt nun eine Periode der Stabilisierung: Für das kommende Jahr rechnen Trend Micros Forscher mit einem 25-prozentigen Zuwachs, also 15 neuen Familien pro Monat.

Bei mobilen Endgeräten wird es dieselbe Entwicklung geben wie bei Desktops, weil die Zahl der mobilen Nutzer hoch genug ist, um als Angriffsziel profitabel zu sein. Daneben werden auch Geldautomaten, Point-of-Sale-Systeme oder andere Computing-Terminals betroffen sein – anders ist die Situation bei smarten Geräten: Derzeit lohnt es sich noch nicht, sie in Geiselhaft zu nehmen. Es ist beispielsweise günstiger, eine gehackte smarte Glühbirne zu ersetzen als Lösegeld zu zahlen. Und auch wenn sich die Drohung lohnen könnte, die Kontrolle über die Bremsen eines fahrenden Autos zu übernehmen, ist der Aufwand dafür zu hoch.

Größeren Schaden werden Cyberkriminelle mit Erpresser-Software in Industrieumgebungen und Angriffen gegen das industrielle Internet der Dinge (IIoT) anrichten. Denn mit der Drohung, eine Produktionsstraße außer Betrieb zu setzen oder die Parameter einer Anlage wie die Temperatur zu manipulieren, lässt sich mehr Lösegeld erpressen.

2. IoT-Geräte und DDoS-Angriffe, IIoT-Systeme und gezielte Angriffe
2016 sorgte auch der „Mirai-DDoS-Angriff“, der mithilfe Tausender ungesicherter Webcams große Websites vom Netz trennte, für Aufsehen. Er war gleichsam der Vorbote von mehr Cyberangriffen auf das Internet der Dinge und dessen zentrale Infrastruktur. Vernetzte Geräte werden dabei – ähnlich den Schläfern in einem Thriller – durch Cyberkriminelle aktiviert werden. Beispielsweise werden einzelne vernetzte Fahrzeuge für sehr gezielte Angriffe genutzt werden, offene Router für massive DDoS-Attacken. IoT-Botnetze können theoretisch DDoS-Angriffe vervielfältigen und größeren Schaden anrichten.

Leider ist auch zu erwarten, dass Anbieter darauf nicht zeitgerecht reagieren werden. Nochmals das Beispiel Mirai: Hier wurden zwar Webcams vom Anbieter zurückgerufen, aber keine Code-Reviews für nicht betroffene oder noch kontrollierbare Geräte veranlasst.

Sobald das Internet der Dinge in Fertigungs- und anderen Industrieumgebungen sowie der Energiebranche stärker Einzug hält, werden Angreifer die Effizienz ihrer „BlackEnergy“-ähnlichen Angriffe erhöhen. In Verbindung mit dem starken Anstieg der Systemschwachstellen in SCADA-Systemen (SCADA = Supervisory Control and Data Acquisition) wird der Wechsel zum industriellen Internet der Dinge (IIoT) nicht vorhersehbare Gefahren und Risiken für Unternehmen und Verbraucher mit sich bringen. Jede dritte von TippingPoint 2016 entdeckte Schwachstelle betraf SCADA-Systeme.

3. Business Email Compromise: Umfang des gezielten Betrugs wird steigen
Das Ziel von „Business Email Compromise“ (auch „Chefmasche“ genannt) ist es, ein E-Mail-Konto zu hacken oder einen Mitarbeiter so auszutricksen, dass dieser Geld auf das Konto eines Cyberkriminellen überweist. Im Visier haben die Cyberkriminellen Finanzabteilungen weltweit, wobei mehrere Aspekte die Angriffe so „attraktiv“ machen. Da ist zum einen die unkomplizierte Handhabung: An den Angriffen gibt es nichts Außergewöhnliches – außer vielleicht der Tatsache, dass der jeweils beste Weg ausgekundschaftet werden muss, um eine für das Opfer glaubhafte E-Mail zu erstellen, was sich häufig aber mithilfe einer ausgeklügelten Suchabfrage bewerkstelligen lässt. Sie sind zum anderen kostengünstig, weil es keiner komplizierten Infrastruktur bedarf. Der durchschnittliche Verdienst bei einem erfolgreichen BEC-Angriff beträgt 140.000 US-Dollar, der geschätzte Gesamtschaden in den vergangenen zwei Jahren belief sich auf drei Milliarden US-Dollar. Zum Vergleich: Der durchschnittliche Verdienst bei Ransomware-Angriffen beträgt 722 US-Dollar (derzeit 1 Bitcoin) und kann bis auf 30.000 US-Dollar steigen, wenn ein Unternehmensnetzwerk betroffen ist.

Der schnelle Profit wird die Beliebtheit dieser Erpressungsmethode weiter steigern. Zumal sie sehr schwer zu entdecken ist – weil ja eben kein Schadcode enthalten ist – und weil die Mühlen der grenzübergreifenden Gerichtsbarkeit langsam mahlen: Bis beispielsweise ein Nigerianer, der seit 2014 mehrere Unternehmen betrogen hatte, festgenommen wurde, dauerte es über zwei Jahre.

4. Business Process Compromise: Vor allem Finanzsektor betroffen
Der Angriff auf das Konto der Bangladesh Bank bei der U.S. Federal Reserve Bank of New York verursachte einen Verlust von über 80 Millionen US-Dollar. Anders als bei „Business Email Compromise“, wo die Gefahr in menschlichem Fehlverhalten liegt, beruhte dieser Raub auf einem tiefgehenden Verständnis der Kriminellen dafür, wie große Finanztransaktionen ablaufen.

Trend Micro nennt diese Angriffskategorie „Business Process Compromise“, kurz BPC. Sie wird vor allem Finanzabteilungen betreffen, aber nicht ausschließlich. Zu den ebenfalls möglichen Szenarien gehört das Hacken von Auftrags- oder Bezahlsystemen. Cyberkriminelle können sich auch in ein Lieferzentrum hacken und wertvolle Güter an andere Adressen umleiten. Einen vergleichbaren Fall gab es bereits: 2013 wurde das Liefercontainer-System des Antwerpener Hafens gehackt. Und warum der Aufwand? Ein Vergleich der „Verdienstmöglichkeiten“ zeigt die Gründe: Ransomware-Angriffe auf Unternehmensnetzwerke 20.000 US-Dollar, BEC 140.000 US-Dollar und BPC 81 Millionen US-Dollar.

5. Sicherheitslücken: Adobe und Apple überholen Microsoft
2016 wird Adobe zum ersten Mal Microsoft bei der Anzahl aufgedeckter Sicherheitslücken überholt haben. Zu den von der Zero-Day-Initiative veröffentlichten Lücken 2016 betrafen 135 Adobe- und 76 Microsoft-Lösungen. Für Apple war es das Jahr mit den meisten Sicherheitslücken, bis November wurden deren 50 offengelegt – im vergangenen Jahr waren es 25.

Diese Entwicklungen haben damit zu tun, dass Microsofts PC-Verkäufe in den vergangenen Jahren zugunsten von Smartphones und Tablets zurückgegangen sind – dass aber die Verbesserungen Microsofts in puncto Sicherheit die Cyberkriminellen auch dazu getrieben haben, nach Alternativen zu suchen. Dass beispielsweise Apple das „iPhone 4S“ nicht mehr unterstützt, wird zu weiteren Exploits führen. Generell wird die Aufdeckung von Sicherheitslücken unweigerlich zur Entwicklung von Exploits führen, die wiederum in Exploit-Kits integriert werden. Deren Nutzung ging in diesem Jahr zwar zurück, nachdem der Entwickler des „Angler Exploit Kit“ verhaftet wurde, doch wie schon mit „BlackHole“ und „Nuclear“ stehen andere in solchen Fällen bereit.

6. Cyberpropaganda: Auswirkungen bis hin zur Bundestagswahl 2017
2016 hat nahezu die Hälfte der Erdbevölkerung (46,1 Prozent) Zugang zum Internet, sei es über traditionelle Computer, Smartphones oder Internet-Cafés. Dadurch können immer mehr Menschen schnell und einfach auf Informationen zugreifen, unabhängig von Quelle und Glaubwürdigkeit – und Interessierte die öffentliche Meinung beeinflussen. Die fehlende Überprüfung, ob Informationen glaubwürdig sind, hat zusammen mit übereifrigen Nutzern, die andere vom eigenen Glauben überzeugen wollen, zur weiten Verbreitung gefälschter Inhalte beigetragen. Was es noch schwieriger macht, zwischen Fakt und Fälschung zu unterscheiden.

Welche Macht soziale Medien und Online-Informationsquellen haben, wenn es um politische Entscheidungen geht, haben 2016 einige Beispiele veranschaulicht: Wie WikiLeaks für Propaganda eingesetzt wird, zeigte sich bei den US-Präsidentschaftswahlen, als belastendes Material eine Woche vor der Wahl durchsickerte. Beim stetigen Monitoring des cyberkriminellen Untergrunds stießen Trend Micros Sicherheitsforscher auf so genannte Script-Kiddies, die mit ihren Einnahmen durch gefälschte wahlbezogene Nachrichten warben. Sie behaupteten, etwa 20 US-Dollar im Monat verdient zu haben, indem sie Internet-Verkehr zu vorgefertigten Inhalten über die Präsidentschaftskandidaten umleiteten. Dedizierte „Cyber-Agenten“ werden sogar dafür bezahlt, Propagandamaterial in sozialen Medien zu posten.

Es bleibt abzuwarten, wie die kommenden Wahlen in Deutschland und Frankreich sowie die EU-feindlichen Strömungen in Großbritannien von elektronischen Medien beeinflusst werden – dass dies passieren wird, steht außer Frage.

7. EU-Datenschutz-Grundverordnung: Mehr Aufwand, mehr Kosten
Ab dem 25. Mai 2018 kommt die bereits in Kraft gesetzte EU-Datenschutz-Grundverordnung zur unmittelbaren Anwendung, dann werden Unternehmen bei fehlender Compliance Strafen von bis zu vier Prozent ihres Umsatzes zahlen müssen. Nicht allein die EU-Mitgliedsstaaten sind betroffen, sondern Organisationen weltweit, die persönliche Daten von EU-Bürgern sammeln, verarbeiten und speichern. Die damit einhergehenden Änderungen in Richtlinien und Geschäftsprozessen werden zu erheblichen administrativen Zusatzkosten führen.

So wird unter anderem ein „Data Protection Officer“ Pflicht, d.h. eine neue Rechnungsposition (für Einstellung, Schulung und Stelle eines entsprechend geschulten Mitarbeiters) wird in den Unternehmensausgaben auftauchen. Noch ist es ein weiter Weg bis dahin, bis Ende dieses Jahres werden weniger als die Hälfte der Unternehmen einen DPO eingestellt haben.

Zudem müssen Nutzer über ihre neuen Rechte informiert werden – und Unternehmen sicherstellen, dass die Nutzer ihre Rechte auch wahrnehmen können. Die dem individuellen Grundrecht auf informationelle Selbstbestimmung entspringende Einsicht, dass EU-Bürger ihre persönlichen Daten selbst besitzen und somit gesammelte Daten bestenfalls nur „ausgeliehen“ sind, wird die gesamten datenbezogenen Arbeitsabläufe beeinflussen.

8. Anti-Evasion-Lösungen: Neue Taktiken für gezielte Angriffe
Die ersten Kampagnen für gezielte Angriffe wurden vor zehn Jahren dokumentiert. Seitdem gehen Cyberkriminelle viel raffinierter vor, während die Netzwerkinfrastrukturen weitgehend gleich geblieben sind. Diese Lernkurve wird Methoden hervorbringen, die in erster Linie darauf ausgerichtet sind, die meisten modernen Sicherheitstechnologien der vergangenen Jahre zu umgehen.

Cyberkriminelle werden sich vermehrt um die Erkennung von Sandboxen kümmern, um zu sehen, ob unbekannte Dateien in eine Sandbox geschoben werden. Sie werden Sandboxen sogar angreifen und „überfluten“.

Weiterführende Informationen
Eine ausführliche Übersicht über die Themen, die das kommende Jahr aus Sicherheitssicht bestimmen, findet sich im hier abrufbaren Sicherheitsbericht. Dazu zählen auch Hintergrundinformationen zu maschinellem Lernen – einer Sicherheitstechnologie, die sich als Kernelement im Kampf gegen bekannte und unbekannte Ransomware- sowie Exploit-Kit-Angriffe eignet.

Quelle: http://www.trendmicro.de

 


Wer steckt hinter einer Cyberattacke? Diese Frage wird zunehmend schwieriger zu beantworten sein, denn bisher verwendete Indikatoren scheinen bereits heute fraglich. Zudem werden in Zukunft vermehrt Attacken unter falscher Flagge erfolgen und Infizierungen oftmals nur von kurzer Dauer sein. Diese Erkenntnisse gehen aus den Prognosen der Cybergefahren für das Jahr 2017 von Kaspersky Lab hervor [1].

Die Vorhersagen zu Cybergefahren und -sicherheit für das kommende Jahr werden jährlich von den Kaspersky-Experten – dem Global Research & Analysis Team (GReAT) – getroffen und basieren auf deren umfassender Cybersicherheitsexpertise. Die Prognosen für das Jahr 2017 befassen sich mit den Auswirkungen maßgeschneiderter und frei verfügbarer Tools, dem zunehmenden Einsatz falscher Informationen bezüglich der dahinter stehenden Angreifer, der Anfälligkeit willkürlicher Internetverbindungen und damit weiterer Sicherheitsprobleme im Internet der Dinge sowie der Nutzung von Cyberwaffen im Rahmen eines Informationskrieges. Auch rechnen die Cybersicherheitsexperten mit einer erhöhten Anfälligkeit kritischer Infrastruktur über Cybersabotage sowie einer Zunahme von Spionage auf mobilen Geräten.

Indikatoren von Cyberangriffen fraglich

Lange Zeit konnten IT-Sicherheitsexperten über Indikatoren einer Cyberinfizierung (Indicators of Compromise, IoCs) Erkenntnisse über bekannte Malware gewinnen und so beispielsweise eine aktive Infektion erkennen. Allerdings hat sich diese Methode mit der Kaspersky-Entdeckung von ProjectSauron [2] als überholt erwiesen. Denn die dahinterstehende APT-Gruppe nutzte eine maßgeschneiderte Malware-Plattform, über die jede eingesetzte Funktion für jedes anvisierte Opfer verändert wurde. Erkenntnisse über andere Opfer mittels bisher verwendeter Indikatoren waren damit unzuverlässig; es sei denn, sie werden mit einer anderen Maßnahme wie YARA-Regeln [3] kombiniert.

 Anstieg kurzlebiger Infektionen

Für das Jahr 2017 erwartet Kaspersky Lab eine Zunahme von im Speicher aktiver Malware, die kein Interesse hat, nach einem Neustart noch verfügbar zu sein und sich daher von selbst aus dem Arbeitsspeicher löscht. Eine solche Malware, die generell für Spionage und für das Sammeln von Anmeldeinformationen bestimmt sein kann, wird von verdeckt operierenden Angreifern wohl in hochsensiblen Umgebungen verwendet. So kann die Entdeckung der Attacke verschleiert werden.

„Unsere Prognosen deuten auf dramatische Entwicklungen hin, allerdings gibt es auch entsprechende Verteidigungsmaßnahmen“, so Juan Andrés Guerrero-Saade, Senior Security-Experte bei Kaspersky Lab „Wir glauben, dass es an der Zeit ist, eine Übernahme starker YARA-Regeln zu fördern. Diese ermöglichen es Experten, ein Unternehmen tiefgehend zu analysieren, Merkmale im Binärcode zu prüfen und zu identifizieren und den Speicher auf Fragmente bekannter Angriffe hin zu untersuchen. Kurzlebige Infektionen steigern den Bedarf an proaktiver und hochentwickelter Heuristik in fortgeschrittenen Anti-Malware-Lösungen.“

Weitere Kaspersky-Bedrohungsvorhersagen für 2017

 Zuschreibung unter falscher Flagge: Da Cyberangriffe eine immer größere Rolle in internationalen Beziehungen spielen, wird ihre Zuordnung ein zentrales Thema bei der Festlegung politischer Handlungsprozesse sein – beispielsweise bei einer Vergeltungskation. Das Streben nach Zuschreibungen könnte dazu führen, dass Kriminelle ihre Infrastruktur oder proprietäre Toolkits zum Massengebrauch freigeben. Oder sie entscheiden sich für eine Open-Source- oder kommerzielle Malware, um die eigene Identität zu verschleiern und den Angriff unter falscher Flagge durchzuführen.

 Das Aufkommen eines Informationskrieges: Bereits im Jahr 2016 gab es vermehrt Veröffentlichungen über gehackte Informationen für aggressive Zwecke. Solche Angriffe dürften im Jahr 2017 weiter ansteigen. Es besteht die Gefahr, dass Angreifer die Bereitschaft der Menschen, solche Informationen als wahr anzusehen, ausnutzen, indem sie Informationen manipulieren oder nur selektiert weitergeben.

 Der Aufstieg der vigilanten HackerDie Experten von Kaspersky Lab gehen auch davon aus, dass das Hacken und Verbreiten von Daten angeblich zum Wohle der Allgemeinheit zunehmen wird.

 Geräteintegrität in einem überfüllten Internet: Da Hersteller im Bereich Internet der Dinge weiterhin ungesicherte Geräte ausliefern, die weitreichende Sicherheitsprobleme verursachen, besteht die Gefahr, dass vigilante Hacker diesen Umstand ausnutzen und so viele Geräte wie möglich deaktivieren.

 Wachsende Anfälligkeit gegenüber Cybersabotage: Da kritische Infrastrukturen und Fertigungssysteme auch mit dem Internet verbunden sind – meist mit geringem oder gar keinem Schutz –, ist die Versuchung für Cyberkriminelle groß, diese zu beschädigen oder zu stören; vor allem für fortgeschrittene Angreifer und in Zeiten steigender geopolitischer Spannungen.

 Spionage auf Mobilgeräten: Kaspersky Lab erwartet vermehrt Spionage, die auf mobile Geräte abzielt. Ein Grund dafür: Die Sicherheitsindustrie kämpft um einen vollständigen Zugriff auf mobile Betriebssysteme, um forensische Analysen durchführen zu können.

 Kommerzialisierung von Finanzangriffen: Kaspersky Lab erwartet eine Kommerzialisierung von Finanzangriffen. Ein Beispiel hierfür aus dem Jahr 2016 ist die Attacke auf das Bezahlsystem SWIFT. Diese Finanzattacken werden mit Ressourcen durchgeführt, die in Untergrundforen zum Verkauf oder nach dem Schema As-a-Service angeboten werden.

 Kompromittierung von Bezahlsystemen: Da Bezahlsysteme immer beliebter und verbreiteter werden, werden sie auch bei Kriminellen auf hohes Interesse stoßen.

 Vertrauensverlust bei Ransomware: Der anhaltende Anstieg von Ransomware geht laut den Experten von Kaspersky Lab mit einem zunehmenden Vertrauensverlust zwischen den Opfern und ihren Angreifern einher. Der Grund: Bisher haben sich viele Opfer nach einer Lösegeldzahlung auf die Freischaltung ihrer Daten durch die Angreifer noch oftmals verlassen können. Allerdings treten neue Cyberkriminelle in den Ransomware-Markt ein, darunter könnte die bisher gesehene Qualitätssicherung der Angreifer leiden; die Folge wäre ein Vertrauensverlust von Seiten der Opfer, wenn es um die Zahlung des geforderten Lösegelds geht.

 Der kriminelle Reiz digitaler Werbung: Im Laufe des kommenden Jahres wird sich zeigen, welche Art von Tracking- und Targeting-Tools zunehmend in der Werbung verwendet werden, um mutmaßliche Aktivisten und Dissidenten zu überwachen. Ebenso werden Werbenetzwerke, die durch eine Kombination von IP-Adressen, Browser-Fingerabdrücken, Surf-Interessen und Login-Selektivität eine exzellente Zielprofilierung ermöglichen, von fortgeschrittenen Cyberspionageakteuren dazu genutzt werden, ihre Ziele präzise zu treffen und gleichzeitig ihre neuesten Toolkits zu schützen.

Kaspersky Lab veröffentlicht seine Prognosen für das Jahr 2017 im Rahmen des Kaspersky Security Bulletins. Die Cyberbedrohungsprognosen für 2017 sind unter https://de.securelist.com/analysis/kaspersky-security-bulletin/72225/kaspersky-security-bulletin-predictions-for-2017 verfügbar.

[1] https://de.securelist.com/analysis/kaspersky-security-bulletin/72225/kaspersky-security-bulletin-predictions-for-2017

[2] http://www.kaspersky.com/de/about/news/virus/2016/cyberangriffe-unter-falscher-flagge-tauschen-opfer-und-sicherheitsteams

[3] YARA ist ein Tool, um schädliche Dateien oder Muster verdächtiger Aktivitäten in Systemen oder Netzwerken aufzudecken, die Ähnlichkeiten aufweisen. YARA-Regeln helfen Analysten dabei, Malware-Proben zu finden, zu gruppieren und zu kategorisieren sowie Verbindungen zwischen diesen zu finden, um Malware-Familien aufzubauen und Gruppen zu entdecken, die sonst unbemerkt geblieben wären.

Quelle: http://www.datakontext.com

Warnmeldung vom 22. September 2016 zu APT 28

Der Cyberabwehr des BfV liegen Erkenntnisse zu einen Angriff auf zumindest ein deutsches Medienunternehmen vor

Der Cyberabwehr des Bundesamtes für Verfassungsschutz (BfV) liegen Erkenntnisse zu einem versuchten Cyberangriff der Angreifergruppierung APT 28 auf zumindest ein deutsches Medienunternehmen vor. Der Angriff erfolgte über eine Spear-Phishing Mail mit einem darin enthaltenen Link zu einer mit Schadcode infizierten Seite.

Der gespoofte („gefälschte“) Absender lautete heinrich.krammer@hq.nato.int.

Diese Absenderadresse wurde auch bei den im August und September 2016 erfolgten Cyberattacken auf den Deutschen Bundestag, die Partei DIE LINKE und die CDU Saarland genutzt.

Beide Angriffswellen weisen starke technische Überschneidungen auf. Alle bislang festgestellten Angriffsversuche erfolgten zwischen dem 15. August und dem 15. September 2016.
Bei einem der Angriffe wurde statt eines schadhaften Links ein maliziöses Office-Dokument als Anlage verwendet.

Viele der von den Akteuren der APT 28 Kampagne versandten Spear-Phishing Mails sind in der Regel in englischer Sprache verfasst und nehmen Bezug auf ein aktuelles tagespolitisches Ereignis. Das Opfer wird in diesen E-Mails aufgefordert, für weiterführende Informationen einen maliziösen Link oder ein schadhaftes Office-Dokument zu öffnen. Klickt das Opfer auf den Link, wird er auf eine legitime Nachrichtenseite weitergeleitet, während sich im Hintergrund die Schadsoftware automatisch auf seinem Rechner installiert.

Bewertung des BfV

Die Kampagne APT 28 stellt derzeit eine der aktivsten und aggressivsten Cyberspionageoperationen im virtuellen Raum dar. Bei dieser Kampagne bestehen Indizien für eine Steuerung durch staatliche Stellen in Russland.

Dazu erklärte der Präsident des BfV, Dr. Hans-Georg Maaßen:
“Wir beobachten gegenwärtig eine Welle von Cyberattacken, die weit über die bisher bekannten Angriffe gegen den Deutschen Bundestag sowie gegen Parteien hinausgeht. Aufgrund des Modus operandi und der technischen Parameter rechnen wir diese Angriffe der Kampagne APT 28 zu. Die Angriffswelle ist Bestandteil einer der derzeit aktivsten und aggressivsten Cyberspionageoperationen. Bei dieser Kampagne sehen wir Anhaltspunkte für eine Steuerung durch staatliche Stellen in Russland.“

Handlungsempfehlung des BfV

Die Cyberabwehr des BfV empfiehlt eine Überprüfung der E-Mail Postfächer nach der Absenderadresse heinrich.krammer@hq.nato.int.

Zudem wird eine Prüfung empfohlen, ob empfangene E-Mails (z. B. von internationalen Organisationen) tatsächlich von Ihnen auch bekannten Absendern stammen.

Rückmeldungen und Nachfragen an die Cyberabwehr des BfV über die
E-Mailadresse: cyberabwehr@bfv.bund.de

Welche Kosten entstehen bei einem Cyberangriff?

Die Digitalisierung unserer Gesellschaft durchdringt alle Bereiche. Immer neue Trends wie Industrie 4.0, Big Data, Car2Car-Kommunikation bringen neue Risiken und Chancen mit sich. Die damit verbundenen Chancen sind elementar um gesellschaftliche und politische Herausforderungen bewältigen zu können und dabei den Anschluss in einer globalisierten Welt nicht zu verlieren.
Seit wenigen Jahren stehen aber auch die Risiken immer mehr im Vordergrund einer unternehmerischen und politischen Betrachtung (IT-Sicherheitsgesetz). Präventive Ansätze gelten schon lange nicht mehr als ausreichend, um den Gefahren aus dem Cyberraum adäquat zu begegnen.

Doch welche Schäden entstehen eigentlich bei einem erfolgreichen Angriff? Welche Kosten sind mit den jeweiligen Schäden verbunden? Was sind die Folgen einer bestimmten Schadensart? Welche Haftungspflichten wurden vielleicht verletzt, welche bestehen jetzt?

Mit dem hier vorliegenden Leitfaden möchte der Dialogkreis „Informations- und Cybersicherheit“ des Bitkom das skizzierte Thema aufgreifen. Ziel ist es, einen praktischen Mehrwert für die Unternehmensleitung, IT-Verantwortliche und sicherheitsverantwortliche Mitarbeiter in den Unternehmen zu schaffen. Das Werk soll dabei den nötigen Überblick geben, um die jeweiligen Schadensarten pragmatisch einordnen zu können. Gleichzeitig dient dieses Werk sowohl zur Risiko-Beurteilung, der daraus abzuleitenden Budget-Frage für die IT-Sicherheit eines Unternehmens, aber auch ist für den Notfall ein guter Ratgeber.

Source: https://www.bitkom.org/Bitkom/Publikationen/Welche-Kosten-entstehen-bei-einem-Cyberangriff.html

Berüchtigte Cyberspionagegruppe Sofacy mit neuere und fortschrittlichere Werkzeuge im Angriffsarsenal

Die Experten von Kaspersky Lab entdeckten eine neue Angriffswelle der so genannten Sofacy-Gruppe. Dabei kommt hochgerüstete und vielseitige Technologie zum Einsatz, die Computersysteme aggressiv und gleichzeitig noch verdeckter angreift.

Bei Sofacy – auch bekannt als „APT28“, „Fancy Bear“, „Sednit“ oder „STRONTIUM – handelt es sich um eine russischsprachige APT-Gruppe (Advanced Persistent Threat), die seit mindestens 2008 aktiv ist und vor allem militärische und staatliche Einrichtungen weltweit im Visier hat. Die Gruppe ist seit dem Jahr 2014 öffentlich bekannt und nach wie vor aktiv. Darüber hinaus entdeckten die Experten von Kaspersky Lab neue noch fortschrittlichere Werkzeuge im Angriffsarsenal von Sofacy, mit folgenden Eigenschaften:

  • Austauschbar: Die Angreifer nutzen mehrere Backdoor-Programme, mit denen sie ein Zielobjekt mit verschiedenen maliziösen Tools infizieren können; eines davon dient als Wiederinfizierungs-Werkzeug, wenn ein anderes Tool von einer Sicherheitslösung blockiert oder entfernt wird.
  • Modular: Die Angreifer nutzen Malware-Modularisierungen, indem sie einige Funktionen der Backdoor-Programme in verschiedene Module integrieren. So können sie ihre böswilligen Aktivitäten im attackierten System besser verschleiern – ein neuer beliebter Trend, der bei zielgerichteten Angriffen laut Kaspersky Lab regelmäßig zu beobachten ist.
  • „Air-gaps“: Bei zahlreichen aktuellen Attacken aus dem Jahr 2015 nutzte die Sofacy-Gruppe eine neue Version seiner USB-Stealer-Implantate. So können Daten sogar von Computern entwendet werden, die nicht am Netz hängen. Solche Computer werden als „air-gapped“ bezeichnet.

„Sobald Forschungsergebnisse über eine bestimmte Cyberspionage-Gruppe öffentlich werden, reagiert die betroffene Gruppe normalerweise darauf. Sie stellt ihre Aktivität ein oder ändert ihre Taktik beziehungsweise Strategie“, erklärt Costin Raiu, Director of Global Research and Analysis Team bei Kaspersky Lab. „Bei Sofacy stellen wir diese Reaktion nicht immer fest. Die Gruppe führt seit einigen Jahren Angriffe durch und ihre Aktivitäten wurden regelmäßig von der Security-Community öffentlich gemacht. Seit 2015 stiegen ihre Aktivitäten signifikant an. Sie nutzen nicht weniger als fünf Zero-Days und gehören somit zum derzeit profiliertesten, agilsten und dynamischsten Bedrohungsakteur der Szene. Außer unserer Sicht wird es zu weiteren Angriffe kommen.“

Die außergewöhnliche Angriffsmethode von Sofacy

Im Jahr 2015 wurde eine Organisation aus der Rüstungsindustrie mit einer neuen Version des so genannten AZZY-Implantats anvisiert, einem Backdoor-Programm, das typischerweise von der Sofacy-Gruppe eingesetzt wird, um sich auf einer attackierten Maschine einzunisten sowie zusätzliche schädliche Tools herunterzuladen. Die Malware wurde erfolgreich von den Kaspersky-Lösungen blockiert. Allerdings geschah dann etwas sehr Ungewöhnliches: Nur eine Stunde nach der Blockierung des Trojaners wurde eine neue Version des Backdoor-Programms von den Angreifern erstellt und auf den angegriffenen PC geladen. Obwohl diese Version herkömmlichen Antiviren-Technologien ausweichen konnte, wurde sie dennoch von einem HIPS (Host Intrusion Prevention Subsystem) dynamisch erkannt.

In der folgenden Analyse der Kaspersky-Experten stelle sich heraus, dass diese neue Backdoor-Version nicht über ein Zero-Day-Exploit (was den üblichen Praktiken der Sofacy-Gruppe entsprochen hätte), sondern über ein anderes Implantat (Bezeichnung „msdeltemp.dll“) heruntergeladen wurde.

Beim Trojaner „msdeltemp.dll“ handelt es sich um ein Downloader-Programm, mit dem die Angreifer einer infizierten Maschine Befehle erteilen und von ihr Daten erhalten können. Zudem kann ein komplexerer Trojaner hochgeladen werden. Wird der nachgeladene Trojaner von einer Antiviren-Lösung blockiert, können die Angreifer immer noch auf den Trojaner „msdeltemp.dll“ zurückgreifen, um vom Command-and-Control-Server (C&C) einen weiteren Trojaner zu laden und die anvisierte Maschine weiter anzugreifen.

Im Rahmen der neuen Angriffswelle hat sich die Taktik der Sofacy-Gruppe im Vergleich zu vergangenen Angriffen geändert: Sie laden nun eine neu erstellte (kompilierte) Version von AZZY nach, ersetzen damit die blockierte Version und vermeiden damit, dass der Infektionsprozess wieder von Anfang an durchlaufen werden muss. Daneben wird die Sichtbarkeit des Haupt-Backdoor-Programms  über die Abtrennung der C&C-Kommunikationsfunktionalität von eben diesem Haupt-Backdoor-Programm geringer. Der Grund: Es werden keine Daten außerhalb des angegriffenen Computers direkt übertragen; aus Sicht der IT-Sicherheit erscheint es so weniger verdächtig.

USB-Stealer attackiert „air-gapped“ Netzwerke

Auch entdeckten die Experten von Kaspersky Lab mehrere neue Versionen der von Sofacy genutzten USB-Stealer-Module, mit denen Daten von „air-gapped“ Netzwerken gestohlen werden können. Das USBSTEALER-Modul wurde dafür entwickelt, um Wechseldatenträger zu überwachen und Daten von diesen zu sammeln. Die gestohlenen Daten werden in ein verstecktes Verzeichnis kopiert und können anschließend von den Angreifern über eines der AZZY-Implantate herausgefiltert werden. Die erste Version des neuen USB-Stealer-Moduls wurde im Februar 2015 entdeckt und scheint exklusiv bei besonders hochrangigen Zielobjekten eingesetzt zu werden.

Von Kaspersky Lab empfohlene Schutzstrategien

Die Lösungen von Kaspersky Lab erkennen die folgenden neuen von der Sofacy-Gruppe eingesetzten Malware-Samples: Trojan.Win32.Sofacy.al, Trojan.Win32.Sofacy.be, Trojan.Win32.Sofacy.bf, Trojan.Win32.Sofacy.bg, Trojan.Win32.Sofacy.bi, Trojan.Win32.Sofacy.bj, Trojan.Win64.Sofacy.q, Trojan.Win64.Sofacy.s, HEUR:Trojan.Win32.Generic

Organisationen können sich gegen APT-Attacken wie Sofacy schützen, indem sie einen mehrschichtigen Sicherheitsansatz mit

  • traditionelle Anti-Malware-Technologien,
  • Patch Management,
  • Host Intrustion Detection-Technologien,
  • sowie Whitelisting und Default-Deny-Strategien kombinieren.

 

Quelle: Kaspersky Lab DACH
Weitere Informationen finden Sie unter: http://newsroom.kaspersky.eu/de/texte/detail/article/beruechtigte-cyberspionagegruppe-sofacy-mit-neuen-hinterhaeltigen-tools

Zielgerichtete Cyberoperationen auf Unternehmen nehmen 2014 stark zu

Hochprofessionelle, zielgerichtete Attacken und gefährliche Kampagnen prägten das Jahr 2014, mit zum Teil erheblichen Auswirkungen auf Unternehmen, staatliche Stellen und Institutionen. Kaspersky Lab konnt in den vergangenen zwölf Monaten sieben APT-Kampagnen aufdecken, also komplexe, andauernde und zielgerichtete Cyberattacken, bei denen weltweit mehr als 4.400 Ziele aus dem Unternehmensbereich in mindestens 55 Ländern betroffen waren. Das entspricht einer Steigerungsrate um 140 Prozent im Vergleich zum Vorjahr. Neben APTs (Advanced Persistent Threats) drückten Betrugskampagnen dem Security-Jahr 2014 ihren Stempel auf, bei denen zum Teil Millionenbeträge verloren gingen. Dies zeigt der dritte Teil des Kaspersky Security Bulletins 2014/2015, in dem die Top 10 der IT-Sicherheits-Storys des Jahres 2014 rekapituliert werden.

Mehr erfahren Sie hier.

Durschnittlicher Schaden pro Cyberattacke für den Mittelstand bei 41.000 Euro

Mit bis zu zwei Millionen Euro richten zielgerichtete Einzelattacken den größten Schaden an. Durchschnittliche Kosten liegen bei 360.000 Euro für Großunternehmen und 41.000 Euro im Mittelstand.

Je größer ein Unternehmen, desto höher ist der voraussichtliche Schaden in Folge eines Cyberangriffs. Das ist unter anderem das Ergebnis einer weltweiten Umfrage, die Kaspersky Lab gemeinsam mit B2B International durchgeführt hat.

Deutsche Großunternehmen müssen demnach durchschnittlich mit über 360.000 Euro
Folgekosten rechnen, wenn sie eine Cyberattacke zu beklagen hatten. Mit im Durchschnitt rund 41.000 Euro Kosten pro Schaden verursachendem Angriff können auch mittelständische Unternehmen in Deutschland schnell an den Rand ihrer Existenz geraten.

Mehr erfahren Sie hier.

Checkliste für mehr Datensicherheit

Der aktuelle Informationsrisiko-Index von PwC und IronMountain zeigt, dass deutsche Unternehmen im europäischen Vergleich am schlechtesten gegen Cyber-Kriminalität gerüstet sind. Dieser befasst sich damit, wie gut Unternehmen gegen Risiken wie Datenverluste, Cyber-Attacken oder auch gezielte Industriespionage abgesichert sind. SSP Europe hat eine Checkliste mit zwölf Punkten zusammengestellt, die Unternehmen beachten sollten.

Mehr erfahren Sie hier.

BITMi lädt zum „Aktionstag IT-Sicherheit“ ein

Aachen, 18. September 2013 – Über 80 Prozent aller Cybercrime-Angriffe zielen auf kleine und mittelständische Firmen. Grund genug für den Bundesverband IT-Mittelstand e.V. (BITMi), für den 26. September 2013 einen speziellen „Aktionstag IT-Sicherheit” ins Leben zu rufen. Der Aktionstag findet im Zuge der virtuellen Messe „Unternehmenssoftware für den Mittelstand” statt. Der Besuch der Messe und der Vorträge ist kostenlos, eine Registrierung ist möglich unter:  http://www.software-made-in-germany.org/online-messe-2013.

Mehr erfahren Sie unter: http://www.bitmi.de/php/evewa2.php?menu=019901&newsid=1605