post

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016