Kaspersky Lab skizziert aktuelle und künftige Cyber-Bedrohungen

Laut dem Sicherheitsanbieter verschob sich der Fokus der Cyberkriminellen 2014 weg von Banking-Malware und hin zu Erpresser-Software. In diesem Jahr sei zudem die Zahl der Schadprogramme für Mac OS X so hoch wie noch nie. Für 2015 erwartet Kaspersky unter anderem Hackerangriffe auf Bezahldienste wie Apple Pay und die Aufdeckung weiterer Schwachstellen in weitverbreiteter Open-Source-Software.

Kaspersky_Lab_Firmensitz (Bild: Kaspersky)

Auf einer Presseveranstaltung in Warschau hat Kaspersky Lab einen Überblick über signifikante Cyber-Bedrohungen des Jahres 2014 sowie einen Ausblick auf potenzielle Bedrohungsformen- und szenarien des Jahres 2015 gegeben. ZDNet war vor Ort und hat die aus Sicht von Kaspersky wichtigsten Ereignisse und Erkenntnisse aus diesem Jahr sowie daraus resultierende Zukunftsprognosen für 2015 zusammengefasst.

Fußball-WM 2014 bewirkt verstärkte Cybercrime-Aktivität

Vor allem während der Fußball-WM 2014 in Brasilien konnte Kaspersky Lab in diesem Jahr klassische Angriffsformen wie Phishing-Websites- und E-Mails oder Adware-Infektionen feststellen. Letztere verbreiten sich laut Marco Preuß, Leiter des Global Research & Analysis Team Europe bei Kaspersky, beispielsweise über gefälschte Streaming-Websites: „Der Nutzer gelangt über eine Suchmaschine auf diese vermeintlichen Streaming-Angebote. Anschließend wird er aufgefordert, einen Videocodec herunterzuladen. Ihm wird glaubhaft gemacht, er könne ein WM-Spiel ansehen, sobald er diesen Codec installiert hat. Tatsächlich spielt er sich damit jedoch nur Adware auf seinen Rechner.“ In Brasilien selbst sei es im Rahmen des Sportgroßereignisses zudem vermehrt zu Skimming-Aktivitäten an den Geldautomaten gekommen. Sogar kompromittierte USB-Ladestationen seien registriert worden.

Cyberspionage-Kampagnen 2014

Laut Sergey Lotzin, Senior-Sicherheitsforscher im Global Research & Analysis Team von Kaspersky Lab, stellten Advanced Persistent Threats (APT) jedoch noch die größte und komplexeste Malware-Bedrohung unter den in diesem Jahr registrierten Schädlingen dar. Damit hat sich Marco Preuß zufolge auch die Kaspersky-Prognose für das aktuelle Jahr bewahrheitet, nach der die Zahl der zielgerichteten Cyberspionage-Kampagnen 2014 stetig ansteigen werde. Unter anderem setzte sich Kaspersky in diesem Jahr mit der seit 2012 aktiven Epic-Turla-Operation auseinander.

Diese richtet sich primär gegen staatliche Stellen wie etwa Botschaften, Geheimdienste oder militärische Einrichtungen. Die Mehrzahl der geschädigten Institutionen sitzt in Europa oder im Nahen Osten. Im August waren Kaspersky zufolge mehrere hundert IP-Adressen aus über 45 Ländern betroffen, am aktivsten war Epic Turla jedoch noch in den ersten beiden Monaten des Jahres. Die Angreifer setzen auf Zero-Day-Schwachstellen, Social Engineering oder Wasserloch-Angriffe, um die von ihnen anvisierten Systeme innerhalb eines bestimmten IP-Adressbereichs zu infizieren. Beispielsweise verwenden die Angreifer hierfür Spear-Phishing-Mails mit Adobe-PDF-Exploits im Anhang. Öffnet ein Nutzer eine solche mit Malware präparierte PDF-Datei, wird der Rechner automatisch mit der sogenannten Epic-Backdoor infiziert. Ist diese erst einmal installiert, verbindet sie sich mit einem Command-and-Control-Server und lädt unter anderem weitere Malware-Tools über die Hintertür auf den Rechner des Opfers.

FIFA_World_Cup_Phishing (Bild: Kaspersky)2014 nutzten Cyberkriminelle die Fußball-WM in Brasilien für ihre Zwecke aus. Kaspersky verzeichnete während des Turniers unter anderem verstärkte Phishing-Aktivitäten – etwa über präparierte Ticket-Websites (Bild: Kaspersky)

Kaspersky Lab stieß mit der Spionagekampagne „The Mask“ (Careto) in diesem Jahr zudem auf eine „der derzeit fortschrittlichsten Bedrohungen“. Sie wird demnach schon seit 2007 unter anderem gegen Regierungsbehörden, diplomatische Vertretungen und Botschaften oder Energie-, Öl- und Gasunternehmen eingesetzt. Die Opfer wurden mittels Phishing-E-Mails auf manipulierte Varianten bekannter Websites gelockt, die sich etwa als Teile der Online-Angebote der Washington Post oder des Guardian ausgaben. Dort hosteten die Angreifer mehrere, auf unterschiedliche Systemkonfigurationen ausgerichtete Exploits. Anschließend konnten Verschlüsselungscodes, SSH-Schlüssel und Konfigurationsdateien für VPN sowie Microsofts Remote Desktop Protocol (RDP) gestohlen werden.

Die jüngsten Beispiele für solche hochentwickelten Cyberspionage-Kampagnen sind Dark Hotel und Regin. Die ebenfalls von Kaspersky aufgedeckte Dark-Hotel-Kampagne richtet sich im Wesentlichen gegen Geschäftsreisende. Demnach spähen Unbekannte schon seit mindestens vier Jahren hochrangige Manager sowie Angehörige von Polizei und Militär über das WLAN-Netz in Luxus-Hotels aus. Hierfür kommen offenbar Zero-Day-Lücken im Adobe Flash Player zum Einsatz. Die Cyberkriminellen offerieren ihren Opfern nach dem Einloggen in das kompromittierte WLAN-Netz ein Update für legitime Software wie eben etwa den Flash Player. Dabei handelt es sich jedoch um einen Trojaner mit Backdoor-Funktion, der den Rechner des Opfers mit einer Spyware infizieren kann. Diese ist laut Kaspersky wiederum in der Lage, weitere Malware, wie etwa Keylogger, nachzuladen und zu installieren. Die Angreifer können dann anschließend Passwörter und vertrauliche Geschäftsdaten stehlen.

Hinter der hochentwickelten und seit 2008 kursierenden Spionage-Software Regin werden indes die Geheimdienste der USA und Großbritanniens vermutet. Sie wird unter anderem zur Überwachung von Regierungen, Telekommunikationsfirmen sowie Internet Service Providern eingesetzt und nutzt dabei offenbar Tarntechniken, um sich Sicherheitsanwendungen zu entziehen. Die aus mehreren Komponenten bestehende Malware ist in der Lage, Daten und Passwörter zu stehlen sowie Eingabegeräte zu steuern. Sie kann aber auch Screenshots anfertigen, den Netzwerkverkehr überwachen oder E-Mails aus Exchange-Datenbanken analysieren. Eine der Regin-Komponenten ist Kaspersky zufolge zudem fähig, GSM-Netzwerke auszuspähen.

Banking-Malware 2014

Epic_Turla_Operation (Bild: Kaspersky)Von der Epic-Turla-Operation waren im August mehrere hundert IP-Adressen aus über 45 Ländern betroffen (Bild: Kaspersky).

Die groß angelegte Betrugskampagne Luuuk zielte 2014 hingegen nicht auf Cyberspionage und Datendiebstahl in Forschungseinrichtungen oder Regierungen ab, sondern auf das Geld von rund 200 Kunden einer großen europäischen Bank. Wie Kaspersky im Juni meldete, verschafften sich Cyberkriminelle mithilfe eines Man-in-the-Browser-Angriffs (MITB) Zugang zu den Log-in-Daten für das Online-Banking und buchten zwischen 1700 und 39.000 Euro von den kompromittierten Konten ab. Der Gesamtschaden belief sich binnen einer Woche auf über 500.000 Euro. Bei dem erwähnten Man-in-the-Browser-Angriff schaltet sich der Angreifer in den Datenverkehr zwischen Kunde und Bank. Im Fall von „Luuuk“ wurde dazu laut Kaspersky Lab vermutlich ein Trojaner vom Typ Zeus respektive dessen Variationen wie etwa Citadel eingesetzt. Dieser griff dann beim Anmeldevorgang zum Online-Banking automatisch die Daten ab, mit denen die Kriminellen dann finanzielle Transaktionen durchführen konnten.

Deutschland gehört in diesem Kontext zu den drei am meisten bedrohten Ländern. Einer aktuellen, von Kaspersky veröffentlichten Statistik zufolge sind im dritten Quartal mehr als 55.000 Anwender hierzulande Opfer von Online-Banking-Angriffen geworden. Dies hat laut Sergey Lotzin auch dazu beigetragen, dass Deutschland neben der Ukraine (42,2 Prozent der Anwender) mit 30,9 Prozent aller Nutzer zu den am meisten von Online-Bedrohungen betroffenen Nationen in Europa zählt. Die am häufigsten eingesetzte Banking-Malware sei mit rund 1,4 Millionen Registrierungen in den vergangenen drei Monaten indes immer noch der bereits erwähnte Trojaner Zeus alias Zbot.

Ransomware 2014

Hinsichtlich herkömmlicher und damit nicht auf ein bestimmtes Ziel ausgerichteter Malware zählt laut Lotzin die Erpresser-Malware Zerolocker unter Cyberkriminellen zu den beliebtesten Trojanern des Jahres 2014. Ähnlich wie Cryptolockereine besonders bösartige Ransomware aus dem Vorjahr – verschlüsselt auch Zerolocker Dateien mit einem starken Algorithmus (160-Bit AES-Schlüssel), um Lösegeld für die Dechiffrierung zu erpressen. Zerolocker geht bei der Verschlüsselung dabei nicht selektiv vor, sondern chiffriert unabhängig vom Dateityp nahezu alle Dateien eines betroffenen Systems. Für die Freigabe seiner Dateien benötigt der Nutzer einen Schlüssel, den er mithilfe von Bitcoins erwerben muss. Lotzin zufolge sind vor allem kleinere Unternehmen das Ziel von Ransomware. In diesem Jahr habe Kaspersky Lab zudem eine Trendwende feststellen können: „Cyberkriminelle haben 2014 damit begonnen, sich immer mehr weg von Banking-Trojanern und hin zu Erpresser-Malware zu bewegen, da sich damit schneller und einfacher Umsatz generieren lässt. Im Gegensatz zu Angriffen mit Banking-Trojanern müssen sie bei Ransomware nicht erst überlegen, wie sie das Geld von den Konten der Opfer bekommen. Die Kunden zahlen einfach direkt auf Anforderung der Erpresser-Software“, erklärte Lotzin weiter.

Attacken auf alternative Plattformen

Shellshock (Bild: Kaspersky)Die Shellshock-Lücke erlaubte es Angreifern unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen (Bild: Kaspersky).

Neben solchen auf Windows ausgerichteten Attacken standen 2014 in Sachen Sicherheit laut Kaspersky auch vermehrt andere Betriebssysteme im Fokus. So sorgte die im Wesentlichen unter Linux und Unix integrierte Bash-Shell mit der Shellshock getauften Sicherheitslücke für Schlagzeilen. Die Schwachstelle erlaubte es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Trotz zügig bereitgestellter Patches nutzten Hacker Shellshock offenbar auch für Exploit-Angriffe. Aufgrund ihrer hohen Verbreitung wurde die Lücke mit dem OpenSSL-Bug Heartbleed verglichen.

Die Kaspersky-Datenbank verzeichnete in den vergangenen drei Jahren zudem einen signifikanten Anstieg bei kompromittierten Mac-OS-X-Dateien. Marco Preuß führt dies auf die zunehmende Verbreitung der Mac-Systeme zurück: „Der Marktanteil von Apple Mac OS X wächst stetig weiter. Das hat natürlich auch das Interesse der Cyberkriminellen geweckt.“ Lag die Zahl der infizierten Mac-Files 2010 noch bei 50, waren es 2011 bereits 1147 schadhafte Dateien. 2014 markiert mit 1800 kompromittierten Mac-Dateien indes den vorläufigen Höhepunkt. Ein konkretes Beispiel bietet die im November entdeckte Malware Wirelurker. Dabei handelt es sich um einen in manipulierten OS-X-Anwendungen enthaltenen Trojaner, der wiederum per USB verbundene iPhones und iPads kompromittiert.

Mobile Schädlinge 2014

Darüber hinaus hat Kaspersky zufolge auch die Zahl der mobilen Schädlinge im Jahr 2014 enorm zugenommen: „Wir verzeichneten im gesamten Jahr 2013 70.000 neue mobile Schädlinge. Diese Marke wurde nun schon allein im dritten Quartal 2014 überschritten. In diesen drei Monaten registrierten wir mehr als 74.000 neue mobile Schadprogramme“, sagte Lotzin.

Mehr als 90 Prozent dieser Malware wurde laut Lotzin für Android geschrieben. Den Grund dafür kennt der Sicherheitsforscher genau: „Google erlaubt dem Nutzer, dessen System zu rooten. Dadurch ist es viel einfacher, beispielsweise eine App zu erstellen. Apple erlaubt dem Anwender hingegen überhaupt keine Modifikationen am System. Anders als bei Android lassen sich iPhone-Apps zudem ausschließlich über den Apple Store downloaden.“

Bedrohungslandschaft_Europa (Grafik: Kaspersky)Deutschland liegt bei den Cyber-Bedrohungen im dritten Quartal 2014 auf Platz 2 in Europa (Grafik: Kaspersky).

Neben SMS-Trojanern waren in diesem Jahr laut Kaspersky insbesondere mobile Banking-Trojaner populär bei den Malware-Autoren. Dabei verzeichnete das Unternehmen allein im dritten Quartal 2014 mehr als 7000 Schädlinge dieser Art. Zusammen mit einem Malwarebytes-Kollegen entdeckte ein Mitarbeiter des Sicherheitsanbieters darüber hinaus den ersten Android-Trojaner, der das Anonymisierungsnetzwerk Tor für sich nutzte. Konkret verwendete die Backdoor.AndroidOS.Torec (Slempo) genannte Malware die Onion-Proxy-Server des Tor-Netzes, um den Standort eines Command-and-Control-Servers zu verbergen, der Daten über das Mobiltelefon, wie etwa dessen IMEI, sammelte. Auf Android-Geräten konnte die Malware schließlich eintreffende und versendete Nachrichten abfangen und verstecken oder auch die Kommunikation sperren sowie Code ausführen.

Themenseiten: Cybercrime, Kaspersky, Malware, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kaspersky Lab skizziert aktuelle und künftige Cyber-Bedrohungen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *