IT-Security
Die gefährlichste Malware 2015
Lässt man die News noch einmal Revue passieren, die 2015 die Security-Branche beschäftigten, dann fällt auf, dass vor allem spektakuläre Hacks (General Motors Car Hack) und Schwachstellenfunde (XcodeGhost, Certifi-Gate) im Gedächtnis geblieben sind. Dabei gerät leicht in Vergessenheit, dass Cyber-Kriminelle ihre Schadsoftware weiter verbessert haben.
In diesem Zusammenhang werden die sogenannten unbekannten Unbekannten immer wichtiger. Es handelt sich hierbei um MalwareMalware, deren Signatur bislang noch nicht bekannt ist und die von Antivirensoftware nicht enttarnt werden kann. Viel Aufwand betreiben die Programmierer nicht, denn sie verwenden in der Regel alte Malware und ändern lediglich Details im Programmcode, um neue Signaturen zu erhalten. Alles zu Malware auf CIO.de
Ransomware
Neben dieser neuen Schadsoftware arbeiteten kriminelle Banden vor allem mit Ransomware, mit der Opfer erpresst wurden. Der CTB-Locker ist ein gutes Beispiel für diese neue Form der Ransomware. Codiert mit fortschrittlichen Algorithmen, erschwert er traditioneller Antivirensoftware die Erkennung. Gleichzeitig macht diese Schadsoftware deutlich, dass sich der Trend zum Social Engineering noch einmal verstärkt hat. Opfer werden gezielt über E-Mails von scheinbar bekannten Stellen angesprochen und sollen die Software herunterladen. Die Installation des Schadcodes erfolgt dann so schnell, dass kaum Zeit für Gegenmaßnahmen bleibt.
Exploit Kits
Exploit Kits sind alte Bekannte, doch auch hier lassen sich Trends feststellen, die aufschlussreich sind. Wer Exploit Kits einsetzt, der wechselt nun verstärkt die Landing Page, um zu verschleiern, woher sie kommen. Bislang war es schon schwer, überhaupt das Herkunftsland zu lokalisieren - jetzt wird es auch immer schwerer, die Quelle auszumachen. Darüber hinaus werden auch Exploit Kits weiterentwickelt und somit immer raffinierter. Sie können nicht nur die verwendeten Browser ihrer Opfer erkennen, sondern lernen auch immer besser die installierte Sicherheitssoftware ausfindig zu machen.
Im Folgenden stellen wir die Top-11-Schädlinge des vergangenen Jahres vor:
- CTB Locker
Beim CTB-Locker handelt es sich um eine Kombination von Krypto- und Ransomware. Das Programm verschlüsselt die Dateien der betroffenen Unternehmen. Anschließend verlangen die Cyber-Kriminellen 3 Bitcoins (ca. 360 Dollar) Lösegeld für die Freigabe. Die Infizierung erfolgt in den meisten Fällen über eine E-Mail, die von der Adresse eines Firmenangestellten aus an das Management geschickt wird. - Angler Exploit Kit
Exploit Kits gelangen über schadhafte Websites in das Netzwerk. Sie suchen nach Schwachstellen auf Webservern und nutzen diese zur Platzierung von Ransomware. Problematisch ist hierbei, dass Exploit Kits ihre Landing Page häufig wechseln, um IPS-Detection zu vermeiden. - Volatile Cedar
Volatile Cedar (explosive Zeder) ist wahrscheinlich eine im Libanon verwurzelte Hacker-Gruppe. Als Hintergrund ihres Handels können politische Gründe angenommen werden. Bereits seit 2012 attackiert die Malware-Kampagne Einzelpersonen, Unternehmen und Institute weltweit. - AAEH/Beebone
Es handelt sich hierbei um Schadsoftware, die weitere Malware nachlädt. Darunter befinden sich unter anderem Password Stealers, Rootkits, gefälschte Antivirus-Programme und Ransomware. AAEH wird unter anderem über Netzwerke, bewegliche Datenträger oder .zip- und .rar-Dateien verbreitet. Die Schadsoftware ändert ihre Form, sobald sie einmal installiert wurde und verteilt sich mit großer Geschwindigkeit über das gesamte System. Sie stiehlt Zugangsdaten für Online-Services wie Bank-Accounts und erpressen mit Datenverschlüsselung Geld von den Betroffenen. - Simda
Das Simda Botnet ist ein Netzwerk von infizierten Computern. Malware aus diesem Botnet verbreitet sich selbstständig. Bereits 770.000 Geräte wurden weltweit angegriffen. Seit 2009 attackieren Cyber-Kriminelle einzelne Geräte mit Schwachstellen und infizieren sie mit der Simda-Malware. Diese leitet Benutzer auf schädliche Websites weiter und lädt zusätzliche Malware herunter. Die Hacker steuern das kompromittierte System von außen und führen weitere Attacken aus oder verkaufen die Steuerung an andere Cyber-Kriminelle. - Logjam
Der Angriff richtet sich auf den Diffie-Hellman-Key, der für eine sichere Verbindung zwischen zwei Kommunikationspartnern sorgt. Logjam reduziert die Verschlüsselung dieser Verbindung, so dass Hacker Inhalte mitlesen und geteilte Daten modifizieren können. - Matsnu
Matsnu ist eine Schadsoftware, die als Hintertür fungiert, sobald sie ein System infiltriert hat. Sie ist in der Lage, jeden beliebigen Code hochzuladen und auszuführen. Dieser verschlüsselt dann Dateien oder stiehlt sensible Daten. Die Malware kommuniziert über DGA (Domain Generation Algorithm)-Technik mit dem C&C-Server. DGA erschwert das Blocken schadhafter Netzwerkaktivitäten, indem es ständig neue Domains erzeugt. - Certifi-gate
„Certifi-gate“ gewährt Cyber-Kriminellen heimlich uneingeschränkten Zugriff auf ein mobiles Endgerät. Dazu werden Remote Support Apps missbraucht, die in der Regel über solche Rechte verfügen. Bösartige Anwendungen ermöglichen eine Ausweitung der Nutzerrechte und Zugriff auf persönliche Daten durch die Hacker. Dadurch können sie eine Reihe von Aktivitäten einleiten, die normalerweise nur dem Geräteinhaber zur Verfügung stehen. Die Installation von Apps, die Verfolgung des Nutzerstandorts oder die Aufnahme von Gesprächen über das Mikrofon sind nur einige Beispiele. - Sality Gambling Campaign
Sality installiert einen Virus, Trojaner oder Wurm auf einer Festplatte. Es verfügt über Selbstverbreitungsmechanismen, die auf USB-Devices und Netzwerkordner übergreifen. Darüber hinaus kann die Malware Services und Prozesse beenden und ist in der Lage, als Server zu fungieren. - BrainTest
Diese Malware ist in einer Android Game-App namens BrainTest verpackt war. Es wurden bis zu ihrer Entfernung aus dem Google Play Store Mitte September bis zu 500.000 infizierte Apps heruntergeladen. Auch nach deren Deinstallation erschien die Malware kurze Zeit später wieder auf den betroffenen Geräten. Analysen ergaben, dass sie fortschrittliche Techniken verwendet, um die Google Play Malware Detection zu umgehen und die Kontrolle über gehackte Geräte zu behalten. Zu diesem Zweck wird ein Rootkit auf dem Device installiert, das den Download und die Ausführung jedes beliebigen Codes ermöglicht. So kann zum Beispiel Werbung auf Geräten gezeigt oder sensible Daten gestohlen werden. - XCodeGhost
XCodeGhost ist eine kompromittierte Version der iOS Entwicklerplattform XCode. Diese wurde dabei so verändert, dass sie jede App, die mit ihrer Hilfe programmiert wird, mit Malware infiziert. Die verseuchten Apps werden von den Hackern gesteuert und fischen Userdaten oder öffnen spezielle URLs, die Schwachstellen in iOS-Systemen oder anderen iOS-Apps aufspüren und ausnutzen. Sie lesen Daten, wie beispielsweise Passwörter, aus der Zwischenablage aus und versuchen, Credentials aus der iCloud zu stehlen. Die schadhafte Version von XGhost liegt nicht auf iTunes selbst; sie kann nur von anderen Plattformen heruntergeladen werden.