post

Erpressungstrojaner «Wanna Cry» nutzt bekannte Sicherheitslücke

Ransomware «Wanna Cry» deckt auf, wie anfällig Spitäler und Unternehmen sind.

Grossbritannien traf es besonders hart. Vielerorts war in den Spitälern seit Freitagabend kein Betrieb mehr möglich: Keine Operationen, keine Röntgen- oder Laborbefunde und auch die Telefone blieben stumm. Patienten wurden kurz vor dem vereinbarten Operationstermin wieder heimgeschickt, Ambulanzen auf lange Wege umgeleitet, auf der Suche nach einem funktionierenden Spital. Die Neugeborenen durften nicht nach Hause, weil keine Registrierung möglich war. Das Personal hatte keinen Zugriff mehr auf die Computer. Die Erpresser-Software «Wanna Cry» hat die Systeme abgeriegelt. Allein in England waren rund ein Fünftel der Arztpraxen und Spitäler des nationalen Gesundheitsdienstes NHS betroffen. Ärzte gaben gaben in den Medien bekannt, dass die umfassende Computerpanne wohl auch Menschenleben kosten werde – wegen nicht oder zu spät erfolgter Behandlung von Patienten.

Bekannter Vorgang mit zusätzlicher Verbreitung

Neben Grossbritannien waren auch rund 100 weitere Ländern von der Ransomware Wanna Cry betroffen. Der Ablauf entspricht dem einer typischen Erpresser-Software: Opfer klicken einen Link in einer E-Mail an, der den Trojaner auf den Rechner lädt. Die  Schadsoftware verschlüsselt den Computer und verlangt umgerechnet mehrere hundert Franken in der virtuellen Währung Bitcoin. Wer zahlt, erhält einen Entschlüsselungscode, der den Zugriff auf die gesperrten Daten wiederherstellen soll.

Diese Schadsoftware ist besonders dreist. Wenn der Schädling ein System infiziert hat, versucht er auch, wie ein Wurm andere Rechner im gleichen Netz zu infizieren. Insbesondere für Unternehmen und KMU mit einer älteren Infrastruktur stellt dies ein signifikantes Sicherheitsrisiko dar! Der weltweite Cyberangriff hatte nach Einschätzung der europäischen Ermittlungsbehörde Europol ein bisher beispielloses Ausmass. Es seien komplexe internationale Ermittlungen nötig, um die Hintermänner zu finden, erklärte Europol am Samstag.

Microsoft erkennt Ernst der Lage

Wie ernst die Lage ist, zeigt sich auch daran, dass Microsoft nun für alte Versionen wie Windows XP eigens ein Sicherheits-Update bereitgestellt hat, das die von Wanna Cry ausgenutzte Lücke schliesst. Das 16  Jahre alte Betriebssystem wird vom grössten Softwarehersteller seit 2014 gar nicht mehr gepflegt. Für seine aktuellen Windows-Versionen hatte Microsoft hingegen bereits im März Sicherheits-Updates herausgegeben.

Probleme sind hausgemacht

Die Sicherheitsprobleme sind vielfach selbstverschuldet. Viele öffentliche Einrichtungen setzen zwangsläufig auf veraltete Software wie Windows XP oder Windwos Server 2003 um Kosten zu sparen.

Erschwerend kommt hinzu, dass in Industriebetrieben, einem Spitälern oder bei der Armee häufig ältere Programme in Gebrauch sind, die sich bewährt haben. Dafür gibt es meistens auch keine Updates mehr für die Kompatibilität mit neueren Windows-Versionen. Das Risiko, dass diese auf einem neuen Betriebssystem nicht laufen, will man nicht eingehen. Die Geräte werden zum Teil offline eingesetzt, um das Risiko zu minimieren. Das gewährt jedoch auch keine hundertprozentige Sicherheit, denn Erpresser-Software könnte beispielsweise auch per USB-Stick auf einen Rechner gebracht werden.

Bei einem Update auf neuere Windows-Versionen müssen die Geräte bzw. die Software von Drittanbietern wieder zertifiziert werden. Das ist teuer. Daher sparen sich viele öffentliche Einrichtungen die Aktualisierungen ihrer Systeme. Das bedeutet, sie bleiben für lange Zeit ungesichert.

Tipps gegen Cyberangriffe

  • Bei verdächtigen E-Mails, sollten Anhänge und Links auf keinen Fall geöffnet werden.
  • Durchführen regelmässiger Datensicherung auf einen externen Speicher (getrennt aufbewahren) oder in eine Cloud.
  • Sicherheitssoftware (Anti-Virus) installieren und  regelmässig aktualisieren.
  • Firewall konfigurieren
  • Betriebssystem und Software auf dem Computer sollte alle Updates umgehend und automatisch erhalten.
  • Wer unsicher ist, ob eine Website vertrauenswürdig ist, sollte sie nicht besuchen.

InfoSoft Systems ist ihr Partner für IT-Lösungen. Gerne beraten wir Sie konkret, wie Sie ihre Infrastruktur kostengünstig, effizient und vor allem sicher betreiben können. Kontaktieren Sie uns!

Soll man zahlen, wenn man gehackt wurde?

Die Schweizer Melde- und Analysestelle Informationssicherung (Melani) rät davon ab, ebenso das deutsche Bundesamt für Sicherheit in der Informationstechnik. Denn man habe keine Gewähr, dass man nach dem Überweisen der Bitcoins wieder Zugriff auf die eigenen Daten erhalte. Ausserdem wird man dadurch zu einem interessanten “Kunden” für einen Wiederholungsversuch. Die Opfer sehen das scheinbar anders. Viele sind bereit einige hundert Franken zu überweisen, um die Systeme wieder zugänglich zu machen.

Nur durch Zufall gestoppt

Dass die Verbreitung der Erpresser-Software vorerst gestoppt werden konnte, ist einem Zufall zu verdanken. Zwei Sicherheitsexperten haben im Quellcode eine Art Notausschalter entdeckt und diesen aktiviert. Eine Entwarnung ist das nicht: Erstens bleiben befallene Rechner verschlüsselt.

Zweitens dürften die Cyberkriminellen die Software bereits so umprogrammiert haben, dass der Notausschalter nicht mehr funktioniert. Zudem könnten Dritte bereits Anpassungen an der Software vornehmen und einen nächsten Angriff planen.

Die Rolle der Geheimdienste

Unabhängig davon dürfte Wanna Cry auch eine erneute Diskussion über das Gebaren der Geheimdienste auslösen. Denn Microsoft schloss die ausgenutzte Lücke erst, nachdem bekannt wurde, dass eine Hackergruppe diese Informationen von der NSA erbeutet hatte. Das heisst, dass die NSA vermutlich schon lange über die Lücken Bescheid gewusst hat. Darauf wies der Whistleblower Edward Snowden hin.

Der amerikanische Geheimdienst ist mit diesem Vorgehen nicht allein: Spione rund um den Globus kaufen von Hackern IT-Sicherheitslücken und behalten das Wissen so lange wie möglich für sich, anstatt etwa Google, Microsoft oder Facebook über die Fehler zu informieren. Denn so können Personen und Organisationen mitunter jahrelang relativ leicht ausspioniert werden. Das Risiko dieses Vorgehens ist mit Wanna Cry erneut deutlich zum Vorschein gekommen.

Quelle
  • «Diese Cyber-Attacke ist erst der Anfang» Neue Zürcher Zeitung, 13.05.2017 https://nzz.ch
post

Gefälschte DHL E-Mails mit Viren

Eine besonders gefährliche E-Mail im Namen von DHL wird derzeit von Cyberkriminellen in Umlauf gebracht. Es handelt sich um eine täuschend echt wirkende Sendungsbenachrichtigung im DHL Erscheinungsbild. Die Links sehen harmlos aus, zeigen jedoch auf eine fremde URL, die einen Javascript-Virus herunterlädt.

Betrügerische Nachrichten im Namen von DHL wurden auch in anderen Fällen versendet. Die aktuelle E-Mail im Namen des Logistikkonzerns DHL ist besonders perfide. Die Nachricht wurde den Sicherheitskriterien von DHL angepasst, sodass ahnungslose Empfänger den Betrug schlechter erkennen können.

DHL ist jedoch weder der Versender der E-Mail, noch stehen sie damit in einem Zusammenhang! Das Unternehmen ist selbst geschädigt, da der Markenname DHL für kriminelle Zwecke missbraucht wird. Öffnen Sie die E-Mail nicht und klicken Sie insbesondere die Links nicht an! Die Nachricht lädt einen Trojaner auf Ihren Computer.

Aussehen der gefälschten DHL-Mail

Optisch macht die E-Mail im Namen von DHL zunächst einen authentischen Eindruck. Für die Gestaltung wurden typische DHL-Farben verwendet. Einzig gewisse Kleinigkeiten lassen Zweifel an der Echtheit aufkommen: Als Absendername wird DHL, DHL Team, DHL.de, DHL Paket, DHL Logistik-Spezialist, DHL Support, Kundenservice DHL Express, DHL Logistik-Team, Kundenservice DHL Logistik oder DHL Express verwendet. Die dahinterstehende E-Mail-Adresse zeigt jedoch eine beliebige Adresse. Nach dieser Erkenntnis sollten Empfänger genauer hinschauen. Des Weiteren sind Betreff und Text widersprüchlich. Im Betreff steht „Ihr DHL Paket kommt am …“ und im Text werden Sie über eine Änderung des Zustelltermins informiert.

Um die gefährlichen Links zu verschleiern, waren die Betrüger besonders trickreich. In der Spam-Mail zeigt der Linktext „https://nolb.dhl.de“, wie die echten DHL-URLs. Wenn man mit der Maus über den Link fährt, kommt jedoch ein anderes, betrügerisches Linkziel zum Vorschein. Dies ist ein weiteres starkes Zeichen für eine Fälschung.

Der Klick auf den Link

Diese E-Mail gehört nicht zu den üblichen Phishing-Mails, die nach einem Klick auf einen Link eine Webseite öffnen. In diesem Fall soll Schadsoftware verbreitet werden. Nach dem Klick auf einen der Links wird der Virus sofort und ohne nochmalige Nachfrage heruntergeladen. Nochmals: Klicken Sie keinen Link in dieser E-Mail an!

Der Download alleine ist nach bisheriger Erkenntnis noch nicht schädlich. Vielmehr muss die Datei noch ausgeführt werden. Es handelt sich bei der heruntergeladenen Datei um eine Javascript-Datei mit der Bezeichnung „DHL_Report_…js“. Der Dateiname enthält dazu noch Zufallszahlen, die sich ständig ändern.

Sollten Sie die Datei versehentlich heruntergeladen haben, löschen Sie diese sofort und leeren Sie gleich den Papierkorb. Öffnen Sie die Datei unter keinen Umständen, da dadurch die Malware aktiv wird.

Welche Gefahr geht von dem Virus aus?

Nach bisherigen Erkenntnissen handelt es sich um ein Downloadprogramm. Diese Applikation ist in der Lage weitere schädliche Software herunterzuladen. Über solche Malware können Angreifer ihr System einsehen und steuern. Beispielsweise kann der Computer für den weiteren Versand von Virus-E-Mails verwendet oder persönliche Daten ausgespäht werden. Ebenfalls wahrscheinlich ist, dass auf diesem Weg Ransomware, auch Erpressungstrojaner genannt, auf den Computer eingeschleust werden.

Aktuell ist dieser Trojaner nur für Computer mit dem Betriebssystem Windows gefährlich. Allerdings könnten künftig auch andere Betriebssysteme wie Android oder OS X gefährdet sein.

Folgende Virenscanner sollten den Virus gemäss virustotal.com erkennen können (Stand: 05.04.2017):

  • AegisLab
  • Arcabit
  • Cyren
  • DrWeb
  • F-Prot
  • Kaspersky
  • NANO-Antivirus
  • Qihoo-360
  • TheHacker
  • TrendMicro
  • TrendMicro-HouseCall
  • ZoneAlarm by Check Point

Datei geöffnet – und nun?

Falls Sie die die schädliche JS-Datei versehentlich geöffnet haben, sollten Sie einige Vorsichtsmassnahmen einleiten. Laien wird empfohlen den Computer sofort ausschalten und immer vom Netzwerk (WLAN/LAN) zu trennen. Es besteht die Möglichkeit, dass über das interne Netzwerk auch andere Computer infiziert werden.

Anschliessend sollten Sie zur Sicherheit auf einem anderen Computer alle Passwörter für Onlinedienste ändern, die auf dem PC installiert sind oder die Sie nach dem Ausführen der JS-Datei verwendet haben. Am Besten veranlassen Sie eine Virenentfernung durch Spezialisten.

Agieren Sie präventiv und schützen Sie ihren PC

Achten Sie auf grundsätzliche Sicherheitsvorkehrungen. Damit können Sie bereits sehr viele Schäden abwenden:

  • Vorsicht bei E-Mails von unbekannten Absendern (insbesondere Links und Dateianhänge)
  • Verwenden Sie immer einen aktuellen Virenschutz
  • Erstellen Sie eine regelmässige Datensicherung und prüfen Sie diese auch
  • Achten Sie darauf, dass das Betriebssystem und die Programme aktuell sind

Quelle: http://www.onlinewarnungen.de

post

Kaspersky Security Bulletin 2017

Die Experten von Kaspersky rufen im aktuellen Security Bulletin die wichtigsten Ereignisse in Erinnerung. Gleichzeitig wird ein Blick in die Zukunft geworfen und versucht die Cyberbedrohungen des Jahres 2017 vorauszusagen.

Die Bilanz 2016

Die Prognosen aus dem letzten Jahr sind mehrheitlich eingetroffen, wobei einige Punkte noch früher als erwartet Realität geworden sind. Die Zusammenfassung der wichtigsten Vorhersagen für das Jahr 2016:

APTs: Kaspersky prognostizierte einen abnehmenden Fokus auf die Nachhaltigkeit der Advanced Persistent Threats (Hartnäckige Bedrohungen). Es wurde angenommen, dass sich Angreifer zunehmend unsichtbar machen wollen mit dem Einsatz bekannter Malware. Diese Vermutungen haben sich zweifach bestätigt:

  1. durch eine Zunahme von im Speicher aktiver Malware und dateiloser Schädlinge
  2. durch die Unmenge bekannter zielgerichteter Attacken auf Aktivisten und Unternehmen, die auf Remote-Access-Trojanern basieren, wie zum Beispiel NJRat und Alienspy/Adwind.

Ransomware: 2016 kann als das Jahr der Ransomware bezeichnet werden. Das Spektrum von Finanz-Malware, die darauf abzielt, Nutzer zu täuschen und zu betrügen, hat sich praktisch vollständig in ein reines Ransomware-Universum verwandelt. Dabei werden vermehrt effizientere Erpressungsabläufe entwickelt.

Mehr Bankraube: Überlegungen zum Höhepunkt der Finanzkriminalität waren Angriffe auf Institutionen wie beispielsweise die Börse. Real wurden diese Vorhersagen mit den Attacken auf das SWIFT-Netzwerk. Intelligente und exakt platzierte Malware konnte Abflüsse von Millionenbeträgen ermöglichen.

Internet-Attacken: Das Internet der Dinge (IoT) wird immer populärer.  Aufgrund tiefer Kosten und schnellerer Produktion wurde die Sicherheit vielfach vernachlässigt. So konnten Hacker riesige IoT-Botnetze erzeugen. Das Botnetz war der Grund für Ausfälle bei grossen Internet-Services.

Blossstellungen: Mobbing und Erpressungen setzten sich im grossen Stil fort. Diverse Datenoffenlegungen sorgten für Rufschädigungen und persönliche, sowie politische Probleme. Vom Ausmass dieser Tatsache war auch Kaspersky überrascht.

Prognosen für das Jahr 2017

Indikatoren von Cyberangriffen fraglich
Lange Zeit konnten über Indikatoren einer Cyberinfizierung (Indicators of Compromise, IoCs) Erkenntnisse über bekannte Malware gewinnen und so aktive Infektionen erkennen. Diese Methode war mit der Entdeckung von ProjectSauron nicht mehr anwendbar. Denn die dahinterstehende APT-Gruppe nutzte eine massgeschneiderte Malware-Plattform, über die jede eingesetzte Funktion für jedes anvisierte Opfer verändert wurde. Erkenntnisse über andere Opfer mittels bisher verwendeter Indikatoren waren damit unzuverlässig. Als einzige Chance wird derzeit die Kombination verschiedener Massnahmen wie YARA-Regeln angesehen.

Passive Implantate und Kurzfristige Infektionen hinterlassen kaum Spuren
Bei «passiven Implantaten» handelt es sich um eine Netzwerk-gesteuerte Backdoor, die im Speicher sitzt oder als ein Hintertür-Treiber in einem Internet-Gateway oder einem Internet-zugewandten Server läuft. Diese Implantate warten still darauf, dass entsprechender Code ihre Funktionalität zum Leben erweckt. Währenddessen zeigen Sie kaum Anzeichen einer Infizierung und werden kaum entdeckt. Somit ist es das bevorzugte Tool für die meisten vorsichtigen Angreifer.

Ein ähnliches Mittel, das vermehrt erwartet werden kann, sind vorübergehende Infektionen. Speicherresidente Malware, die einzig für allgemeines Auskundschaften und den Diebstahl von Anmeldedaten erzeugt wurde. In sensiblen Umgebungen könnten Angreifer in Ruhe operieren, bis ein Neustart ihre Infektion aus dem Speicher löscht. Das bedeutet, dass damit keine Spuren hinterlassen werden.

Spionage wird mehr und mehr mobil
In der Vergangenheit wurden diverse mobile Malware-Implantate verbreitet. (Z.B. Sofacy, Roter Oktober und CloudAtlas usw.) Die Kampagnen basierten jeweils hauptsächlich auf Desktop-Toolkits. Da die Nutzung sämtlicher digitaler Dienste immer mehr in Richtung Mobilgeräte geht, wird davon ausgegangen, dass mobile Spionage-Kampagnen auf dem Vormarsch sein werden.

Finanzattacken durch professionelle Untergrundorganisationen
Als sich die Nachricht über die Angriffe auf das Bezahlsystem SWIFT verbreitete, versetzte allein die Kühnheit dieser Tat die Finanzbranche in Aufruhr. Die Schadenssumme erreichte eine Grössenordnung von Millionen von US-Dollar. Cybercrime-Playern wie die Carbanak-Gang haben sich weiterentwickelt und sich höhere Ziele gesetzt.

Kaspersky erwartet eine Zunahme der Zwischenhändler bei SWIFT-Angriffen, die sich in die bewährte kriminelle Untergrundstruktur einfügen. Um einen derartigen Bankraub durchzuführen, benötigt man Erstzugriff, spezialisierte Software, Geduld und ein Geldwäschelösung. Einzelne Schritt können bereits heute einige Cyberkriminelle ausführen. Kaspersky erwartet eine Kommerzialisierung dieser Angriffe mit spezialisierten Lösungen zum Verkauf oder “As-a-Service”.

Stabile Bezahlsysteme
Da Bezahlsysteme immer populärer werden, erwartete Kaspersky ein grösseres kriminelles Interesse an diesen Diensten. Aktuell erscheinen die Systeme besonders widerstandsfähig und es wurden keine Attacken registriert. Doch was für die Kunden eine Erleichterung sein mag, könnte den Anbietern von Bezahlsystemen selbst Kopfschmerzen bereiten. Kaspersky erwartet, dass sich Cyberverbrecher zunehmend mit diesen Systemen befassen werden, um weitere Einnahmequellen zu generieren.

Ransomware Geschäftsmodell auf dem Prüfstand
Die meisten Erpresserprogramme basieren auf einer merkwürdigen Vertrauensbeziehung zwischen Opfer und Angreifern. Eine stillschweigende Vereinbarung suggeriert, dass das Opfer, nach der Zahlung, die blockierten Dateien zurückerhält. Die Cyberkriminellen haben dabei ein erstaunliches Mass an Professionalität bei der Erfüllung dieses Versprechens, so dass dieses Geschäftsmodell gedeihen kann. Doch mit der zunehmenden Popularität werden auch Trittbrettfahrer mitmischen. Kaspersky sieht eine Art von «Skiddie»-Ransomware, die das Opfer dazu bringt Lösegeld zu bezahlen, ohne irgendeine Gegenleistung zu erbringen. Dann wird sich Ransomware nicht mehr von Attacken unterscheiden, bei denen Daten gelöscht werden. Dies hilft dabei, dass Opfer kein Lösegeld überweisen.

Die Angst vor Industriesabotage
Die Stuxnet-Malware hat viel Wirbel ausgelöst und Verschwörungstheorien entwickelt. Es wurde klar, welches Potenzial Angriffe auf industrielle Steuerungssysteme haben. Diese Kampagne wurde sorgfältig geplant und auf langfristige, konkrete Ziele ausgerichtet. Solange kritische Infrastrukturen und Fertigungssysteme mit dem Internet verbunden bleiben, sind Angriffe ein mögliches Szenario. Doch solche Attacken setzen entsprechende Fähigkeiten und bösartige Absichten voraus. Ein Cybersabotage-Angriff wird insbesondere zusammen mit geopolitischen Spannungen vermutet.

Schwache Sicherheit im Internet der Dinge
Kaspersky bemängelte schon früh die schwache Sicherheit des Internets der Dinge, welche Kriminelle nun beispielsweise mit dem Mirai-Botnetz ausnützten. Grundsätzlich werden bekannte Sicherheitslücken mit einem Patch geschlossen. Da diverse Hersteller weiterhin unsichere IoT-Geräte vermarkten, könnten Internet-Vigilanten die Kontrolle übernehmen. Das könnte die Hersteller zum Handeln zwingen. Eine natürliche Abwehrreaktion dieser Geräte durch DDoS-Angriffe oder Spam könnte darin bestehen, alle miteinander ausser Gefecht zu setzen.

Meinungsmache mit Enthüllungen unter falscher Flagge
Bei der Erstellung gefälschter Shops, die dazu dienen, Daten zu stehlen und die Opfer zu erpressen, haben Kriminelle wie Lazarus und Sofacy Vorarbeit geleistet. Kaspersky erwartet, dass die Informationskriege zunehmen werden, damit relevante Prozesse beeinflusst und Unsicherheit gestiftet werden kann. Die Akteure  selbst wollen ihre Daten verkaufen und haben kaum etwas zu verlieren, da der Inhalt der Enthüllung meist von der Attacke ablenkt.

Die Gefährlichkeit liegt dabei nicht im Eindringen in die Privatsphäre, sondern vielmehr darin, dass gestohlene Datenbanken als nachrichtentaugliche Fakten mehr und mehr akzeptiert werden. Clevere Akteure versuchen, die Auswirkungen zu manipulieren, beispielsweise durch Datenmanipulation oder durch Unterlassung.

Die wertvollen personenbezogenen Daten
Werbetreibende nutzen insbesondere Cookies für ihre Zwecke. Diese Verwendung wird sich wahrscheinlich weiter ausbreiten, und zwar in Kombination mit Widgets und anderen Erweiterungen. Damit wollen Unternehmen das komplette Surfverhalten der Nutzer individuell verfolgen können, um ein zusammenhängendes Bild zu erstellen.

In gewissen Teilen der Welt werden raffinierte Angriffe auf Aktivisten, Oppositionelle und Andersdenkende erfolgen und sämtliche Aktivitäten in Sozialen Medien beobachtet. Möglicherweise werden Akteure sogar versuchen in ein Soziales Netzwerk einzubrechen, um dort das wertvolle Gut der gesamten personenbezogenen Daten zu entwenden.

Das Spionage-Werbenetz
Werbenetzwerke werden gerne ausgenutzt, um bestimmte Zielgruppen anzugreifen. Werbeplatzierungen sind bereits monetär gesteuert. Regulierungen sind kaum vorhanden. Regelmässige Malvertising-Attacken unterstreichen dies. Werbenetzwerke bieten ein exzellentes Ziel-Profiling, mittels einer Kombination aus IPs, Browser-Fingerabdrücken, Surfinteressen und Login-Verhalten. Diese Art von Nutzerdaten ermöglicht es einem Angreifer, ein Opfer selektiv zu infizieren. Grossflächige kollaterale Infektionen können vermieden werden, um nicht auf den Radarschirm der Sicherheitsforschern zu geraten. Kaspersky erwartet, dass Cyberspionage-Akteure nur kleine Investitionen in Werbenetzwerke planen, um Ziele zu exakt zu treffen, insbesondere aber die neuesten Toolkits zu schützen.

Der Aufstieg des Selbstjustiz-Hackers
Leitfaden für aufstrebende Hacker, die ungerechte Organisationen oder Unternehmen behindern oder sabotieren wollen sind veröffentlicht worden. Verschwörungstheorien, Fakenews, und den Glauben daran, dass Datenlecks ausschlaggebend z.B. für Wahlkampf sein können, beeinflussen massgeblich die Hackerszene. So werden Angreifer vermehrt zur Selbstjustiz greifen.

Genauere Details entnehmen Sie bitte dem Kaspersky Security Bulletin. Prognosen für das Jahr 2017

post

IT-Bedrohungen Q3 2016

Das Jahr 2016 ist in etwas mehr als einem Monat vorüber. Eine gute Gelegenheit, die IT-Bedrohungen im vergangenen Quartal hervorzuheben. Im ersten und zweiten Quartal 2016 konnten Höchstwerte bei vielen statistischen Werten gemessen werden. Glücklicherweise konnte eine Entspannung festgestellt werden. Viele Kennzahlen sind im Vergleich zum Sommer rückläufig.

Das bekannte Thema Ransomware, welches zu Beginn dieses Jahres als grösste Bedrohung aufgefasst wurde, bewegt sich auch zunehmend in Richtung Mobile.

Das dritte Quartal 2016 in Zahlen

Das Kaspersky Security Network (KSN) registrierte 172 Mio. Attacken von Internet-Ressourcen, die abgewehrt werden konnten. Die Angriffe erfolgten aus 190 Ländern weltweit.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 45 Mio. individuellen URLs
  • 13 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei mehr als 1 Mio. Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 821’000 individuellen Anwendern
  • Registrierung von 116 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 1,5 Mio. schädliche Installationspakete
  • 30’000 mobile Banktrojaner
  • 37’000 mobile Erpresser-Trojaner

Wichtigste Ereignisse des Quartals

Pokémon GO: Kriminelle nutzen Hype um beliebtes Spiel

Das Handyspiel Pokémon GO hat weltweit innert kurzer Zeit eine grosse Fangemeinde aufgebaut. Auch Cyberkriminelle wollten die populäre Neuheit nutzen und haben Schadcode im Originalspiel hinzugefügt und dieses über Dritt-Stores verbreitet. So wurde beispielsweise der Bank-Trojaner Trojan-Banker.AndroidOS.Tordow verbreitet, der Sicherheitslücken im System ausnutzt, um die Berechtigungen eines Superusers zu erhalten. Somit kann sich der Trojaner schützen gelöscht zu werden und die im Browser gespeicherten Passwörter stehlen.

Eine weit grössere Ausnutzung der Beliebtheit von Pokémon GO war die Veröffentlichung einer schädlichen Anleitung für das Spiel im Google Play Store. Bei dieser App handelte es sich in Wirklichkeit um einen Werbetrojaner, der sich Superuser-Rechte auf dem Gerät aneignet, indem er Sicherheitslücken im System ausnutzt.

Werbung mit Trojaner

Innerhalb des Quartals hat sich die Zahl der von Trojan-Banker.AndroidOS.Svpeng.q angegriffenen User praktisch verachtfacht. Die Opfer befanden sich fast ausschliesslich in Russland. Der Trojaner war unter den Online-Verbrechern derart beliebt, da er über das Werbenetz Google AdSense beworben wurde. Das ist eins der populärsten Werbenetzwerke im Runet und wird von vielen beliebten Webseiten genutzt, um den Anwendern zielgerichtet Werbung anzuzeigen.

«Im Q3 2016 wurde auf Computern von 1,2 Mio. Usern versuchte Infizierungen von Finanzmalware registriert.»

Android 6: Umgehen von Schutzmechanismen 

In diesem Quartal ist die Banktrojaner-Familie Trojan-Banker.AndroidOS.Gugi hervorzuheben. Sie ist in der Lage einige Schutzmechanismen unter Android 6 zu umgehen. Es beginnt mit der Anfrage nach dem Recht zum Überdecken anderer Apps. Basierend auf den neuen Berechtigungen wird der Anwender irritiert und genötigt weitere Anfragen anzunehmen.

Erpressungstrojaner bei Google Play

Im dritten Quartal registrierte Kaspersky die Verbreitung einer mobilen Ransomware über den offiziellen App-Store von Google. Der Trojaner Trojan-Ransom.AndroidOS.Pletor.d gab sich als App zur Wartung von Geräten aus inklusive Säuberung von überflüssigen Daten, die Beschleunigung des Geräts und sogar Viren-Schutz.

IT-Infrastruktur regelmässig prüfen

Es lohnt sich, Systeme auf dem neusten Stand zu halten. In den Beiträgen «Ransomware Satana» oder «Betrügerische Worddateien sperren ihr System» finden Sie genauere Hinweise dazu. Gerne stehen wir für Ihr Unternehmen auch für eine persönliche IT-Beratung zur Seite.

Quelle
Securelist (10.11.16): Entwicklung der IT-Bedrohungen im dritten Quartal 2016

 

post

Schadsoftware durch Spotify Werbung

Der Musik-Streaming-Dienst Spotify Free hat Nutzern verseuchte Werbeanzeigen ausgeliefert. Gemäss aktuellen Erkenntnissen sind User von Windows, Linux und Mac OS X betroffen. Bei den Opfern werden regelmässig und selbstständig störende Browserfenster bzw. Pop-ups mit schadhafter Werbung geöffnet. Die kostenfreie Version der Plattform wird über Online-Werbung finanziert und von einem Grossteil der Nutzer verwendet.

Spotify hat eine Entschuldigung an ihre Kundschaft verfasst und bestätigt den Vorfall, dass Malware über Ihre Werbung verbreitet wurde. Die schädliche Werbung wurde entfernt und eine Untersuchung wurde eingeleitet. Das genaue Ausmass der entstandenen Schäden könne aber aufgrund der hohen Verbreitung der Spotify Free-Version noch nicht genau eruiert werden.

Ursache

Spotify und andere digitale Dienstleister nutzen ein Freemium Geschäftsmodell. Es basiert auf einem kostenfreien Basisangebot, das durch Werbung finanziert wird. Diese Werbung wird von Drittanbietern bereitgestellt ohne Einfluss von Spotify.

Schadhafte Werbung wird auch als Malvertising (Malicious Advertising) bezeichnet. Es ist ein grundsätzliches Problem der Online-Werbung und tritt heutzutage vermehrt auch bei seriösen Internetdiensten auf. Auch globale Unternehmen mit hundertausenden Besuchern, wie beispielsweise AOL, BBC, ebay, MSN, Yahoo, Youtube,  T-Online, oder die New York Times waren schon davon betroffen. Malvertising erhält in der Online-Kriminalität wenig Berichterstattung, obwohl es nach Emails der zweithäufigste Weg zur Verbreitung von Schadsoftware ist.

Massnahmen für Betroffene

Spotify hat reagiert und die schädliche Werbung entfernt. Um auf Nummer sicher zu gehen, sollten Sie den Spotify-Client deinstallieren und den Computer mit einem Antiviren-Programm einer Überprüfung unterziehen.

Schützen Sie ihr System 

Wir haben in vielen Beiträgen (Mangelnde IT-Sicherheit bei Ärzten, Ransomware Weiterentwicklung usw.) auf die Wichtigkeit von Sicherheitsmassnahmen hingewiesen. Wichtige Massnahmen für den Schutz gegen Malware sind hier aufgelistet:

  • Verwenden Sie eine professionelle und aktuelle Anti-Viren-Software (InfoSoft Systems ist Partner renommierter Hersteller).
  • Installieren Sie regelmässige empfohlene Updates (insbesondere Betriebssystem, Anti-Viren- und Sicherheits-Patches)
  • Halten Sie ihre Programme auf dem Rechner aktuell
  • Arbeiten Sie am Computer mit Admin-Rechten? Beschränken Sie die Berechtigungen des Benutzers auf ein Minimum.

Möchten Sie die Betreuung ihrer IT-Infrastruktur einem professionellen Servicepartner überlassen?

InfoSoft Systems unterstützt Sie gerne! Nehmen Sie mit uns Kontakt auf.

 

Quelle
Botfrei Blog, https://blog.botfrei.de (7. Oktober 2016)
post

Ransomware Weiterentwicklung «Satana»

Regelmässig entdeckten Forscher in diesem Jahr neue Arten von Ransomware und damit meist auch neue Wege, wie Kriminelle Opfer schädigen wollen. Vor kurzem wurde eine neue Entwicklung von Ransomware mit dem Namen Satana («Teufel») entdeckt, die Dateien verschlüsselt und den Start von Windows blockiert. Sobald Sicherheitsexperten Fortschritte in der Erkennung und Bekämpfung erzielen, sind von den Betrügern bereits neue Ransomware-Varianten einsatzbereit. 

Angriffsziele von Satana:

  1. Die Ransomware verschlüsselt sämtliche Dateien.
  2. Der Trojaner beschädigt den Master Boot Record (MBR) von Windows. Damit wird ein Windows-Bootvorgang nicht mehr möglich.

Es wurden bereits Trojaner entdeckt, die den MBR manipulieren. Die Ransomware Petya (siehe Beitrag) ist eine bekannter Vertreter solche Malware. Während Petya zur Unterstützung einen weiteren Trojaner einsetzte, kann Satana beide Aufgaben selber verwalten.

Was ist der MBR?

Der Master Boot Recovery (MBR) ist Bestandteil der Festplatte. Er enthält Informationen über das Dateisystem, das von diversen Festplattenpartitionen verwendet wird und auf welcher Partition das Betriebssystem gespeichert ist.

Wenn der MBR verschlüsselt oder beschädigt ist, weiss der Computer nicht welche Partition das Betriebssystem enthält. Der Computer kann nicht starten, solange  das Betriebssystem nicht gefunden wird. Die Cyberkriminellen nutzen diese Lücke bewusst aus.

Die Erpresser verlangen bei Satana 0,5 Bitcoins (entspricht ca. SFr. 315.00 ). Mit der Zahlung versprechen die Kriminellen den MBR zu entschlüsseln und den Code zur Entschüsselung der betroffenen Dateien bereitzustellen. Das Betriebssystem soll wiederhergestellt werden und alles sieht so aus wie zuvor, wird von den Hackern behauptet.

Sämtliche Dateiformate im Visier

Sobald sie sich einmal im System befindet, durchsucht Satana sämtliche Laufwerke und Netzwerkinstanzen und filtert nach entprechenden Dateiformaten, welche anschliessend verschlüsselt werden:

.bak, .doc, .jpg, .jpe, .txt, .tex, .dbf, .db, .xls, .cry, .xml, .vsd, .pdf, .csv, .bmp, .tif, .1cd, .tax, .gif, .gbr, .png, .mdb, .mdf, .sdf, .dwg, .dxf, .dgn, .stl, .gho, .v2i, .3ds, .ma, .ppt, .acc, .vpd, .odt, .ods, .rar, .zip, .7z, .cpp, .pas, .asm

Dem Dateinamen wird eine E-Mail-Adresse und drei Unterstriche hinzugefügt (bild.jpg wäre zum Beispiel mustermax@gmail.com___bild.jpg). Die E-Mail-Adressen gelten als Kontaktinformationen für die Opfer. Über diesen Weg sollen Zahlungsanweisungen und der Entschlüsselungscode ausgetauscht werden. Nach Recherchen von Kaspersky Lab sollen sechs E-Mail-Adressen für diese Aktion existieren.

Handeln im Schadensfall

Die Blockierung kann teilweise umgangen werden. Mit den entsprechenden Kenntnisse kann der MBR repariert werden. Experten vom Blog „The Windows Club“ veröffentlichten eine detaillierte Anleitung für erfahrende Nutzer. Das Kernproblem besteht jedoch weiterhin. Selbst wenn Windows erfolgreich entsperrt wurde, bleiben die Dateien verschlüsselt. Hierfür gibt es bisher noch keine Lösung.

Aktuell scheint es, dass der Lebenszyklus von Satana noch im Anfangsstadium steckt. Die Malware ist nicht sehr verbreitet, und Recherchen haben einige Schwachstellen in ihrem Quelltext erkannt. Die Möglichkeit, dass sie sich mit der Zeit weiterentwickelt und schädlicher wird, ist gross.

Wichtige Handlungsempfehlungen für Anwender

1. Regelmässige Sicherheitskopien Ihrer Daten
Dies ist die wichtigste Absicherung. Im Fall eines erfolgreichen Ransomware-Angriffs kann das Betriebssystem einfach neu installiert werden. Dateien der Sicherungskopie werden wiederhergestellt und der PC ist wieder einsatzbereit. InfoSoft Systems plant für Sie eine professionelle Datensicherung. Kontaktieren Sie uns.

2. Immer aufmerksam sein, insbesondere bei Links und E-Mails.
Besuchen Sie keine verdächtigen Webseiten und öffnen Sie keine verdächtigen E-Mail-Anhänge, selbst wenn Sie den Link oder die E-Mail von jemandem erhalten, den Sie kennen. Es ist wenig über die Ausbreitungstechniken von dieser Ransomware bekannt. InfoSoft Systems konfiguriert Outlook, Exchange und Firewall für maximale Sicherheit. Kontaktieren Sie uns.

3. Professionelle und aktuelle Antivirenlösung verwenden
Stellen Sie sicher, dass Sie eine verlässliche Antivirenlösung verwenden. Kaspersky Internet Security erkennt Satana und erkennt die Ransomware als „Trojan-Ransom.Win32.Satan“. Die Verschlüsselung von Dateien und der Blockierung des Systems wird verhindert. InfoSoft Systems beschafft und installiert professionelle Antivirenlösungen. Kontaktieren Sie uns.

4. Besuchen Sie die INFONEWS und abonnieren Sie unseren Newsletter 
Wir versuchen Sie immer über die neuesten Bedrohungen zu informieren, damit Sie Malware nicht unvorbereitet trifft.

Quelle:
Kaspersky Lab Daily, www.blog.kaspersky.de (15.07.2016)
post

Betrügerische Worddateien sperren Ihr System

Ransomware breitet sich weiterhin aus. Am häufigsten wird der Verschlüsselungstrojaner immernoch per E-Mail gestreut. Mit einem cleveren und perfiden Manöver werden zurzeit die Empfänger getäuscht. Im derzeitigen Fall ist dem E-Mail ein Worddokument angefügt. Die Worddatei enthält ein Schadprogramm, welches beim Öffnen ausgeführt wird. Danach beginnt die bekannte Vorgehensweise der Cyberkriminellen. Dateien werden gesamthaft oder teilweise verschlüsselt. Anschliessend erscheint eine Lösegeldforderung auf dem Bildschirm. Die Cyberkriminellen versprechen den Entschlüsselungscode herauszugeben wenn der Betrag fristgerecht überwiesen wird. Die Opfer können in diesem Fall nur auf eine saubere und aktuelle Datensicherung hoffen.

Inhalt der schädlichen E-Mails

  • Plausibler Absendername
  • Sinnvoller Betreff
  • Korrektes Deutsch
  • Echte Firmenbezeichnungen mit Rechtsform und Ortschaft
  • Plausible Beträge mit Schweizer Franken Währung
  • Begrüssung und Mailsignatur

Im untersuchten Beispiel war einzig die E-Mailadresse suspekt, welche auf eine polnische Domain referenziert (Endung .pl). Dies könnte jedoch in einem nächsten Schritt ebenfalls angepasst werden. Der E-Mailinhalt wird von den Kriminellen ständig verändert, wie die Erfahrung zeigt.

Mensch als Schwachstelle

Der Aufhänger mit dem ausstehenden Betrag weckt zusätzlich die Neugier der Empfänger. Keine Firma will eine Betreibung riskieren. Der Mensch stellt in diesen Fällen die grösste Schwachstelle dar. Anwender müssen extrem aufpassen, um richtige E-Mails von betrügerischen E-Mails zu unterscheiden. In der Zwischenzeit haben Organisationen begonnen Worddateien komplett für den Mailversand zu sperren. Ebenso werden weitere Officedateien mit Skripten (z.B. Makros) gefiltert und gar nicht erst zugestellt.

e-mail-risiko_worddateianhang4

Ransomware kann KMU enorm schädigen

Diese Massnahme scheint bei solch durchdachten Täuschungsversuchen zunehmend sinnvoll. Denn das Risiko ist hoch! Die Eintrittswahrscheinlichkeit ist jederzeit möglich und die Auswirkungen des Schaden sehr hoch! Denn, wenn die Ransomware einmal aktiv wird, kann nicht mehr auf Daten zugegriffen werden. Zudem ist es enorm schwierig festzustellen was zu welchem Zeitpunkt genau befallen wurde. Ausserdem wurden Fälle registriert, wo die Opfer den Kriminellen die Lösegeldforderung überweist haben. Die Cyberkriminellen wussten das man nachgibt. Die Daten wurden entsperrt, enthielten jedoch eine eingebaute Hintertür für den Trojaner. Anschliessend wurde nach einigen Monaten das gleiche Spiel wiederholt und alle Daten erneut verschlüsselt.

Unsere Empfehlung

Worddateien (.doc, .docx etc.) sollten für den geschäftlichen E-Mailverkehr gesperrt werden. Es wird immer schwieriger, betrügerische E-Mails als solche zu erkennen. Schützen Sie ihre Mitarbeitenden und die geschäftlichen Daten.

Unsere Lösung

Arbeiten Sie mit Microsoft Exchange Server? Im Exchange Server lassen sich genau einstellen, welche Dateianhänge abgefangen werden sollen. Wir bieten Ihnen Unterstützung. Wir konfigurieren Ihren Mailserver, dass die grössten Risiken eliminiert werden.

Wenn Sie keinen Exchange Server eingerichtet haben, gibt es natürlich trotzdem eine Lösung für Sie! Wir arbeiten mit Tools von renommierten Herstellern zusammen. GFI Mail Essentials ist ein professionelle Software die E-Mails mit der Antiviren-Engine von fünf verschiedenen Herstellern scannt. Es lässt sich genau einstellen, welche Anhänge erlaubt sind. Sollte ein Mitarbeiter eine wichtige E-Mail mit einem unerlaubten Dateianhang erhalten, wird die Nachricht ohne Anhang zugestellt.

Sind Sie oft auf den Empfang oder Versand von Worddateien angewiesen, möchten aber gleichwohl den E-Mailverkehr sicherer gestalten? Auch dafür haben wir eine Lösung bereit.

Kontaktieren Sie uns!

Eine hundertprozentige Sicherheit ist nicht möglich. Die Risiken können jedoch mit entsprechenden Massnahmen  massiv minimiert werden.

Das könnte Sie ebenfalls interessieren:

Die E-Mail im Wortlaut*

Betreff: Sehr geehrte Damen und Herren, Die Fälligkeit Ihrer Rechnung 0805762 für [Firmenname Muster AG Zürich]
Dateianhang[Firmenname Muster AG Zürich].doc
Text: Sehr geehrte Damen und Herren
Wir kontaktieren Sie mit Bezug auf die Rechnung #0616-18120804 für [Firmenname Muster AG Zürich]. Ihre Rechnung ist seit dem 29. Mai 2016 offen und der ausstehende Betrag beträgt 2,754.00 SFr. Wir möchten Sie freundlich bitten, den ausstehenden Betrag schnellstmöglich zu begleichen.
Wir sind dankbar für Ihre prompte Begleichung des Betrages. Bitte schreiben Sie uns, wenn unsere Unterstützung benötigen.
Freundliche Grüsse,
[Vorname Name Funktion]
[Firmenname Muster II AG]
[Telefonnummer]

. * Um das betroffene Unternehmen zu schützen, wurden die Firmenbezeichnungen entfernt und Platzhalter [ ] eingefügt.

post

IT-Bedrohungen im Q1 2016

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016

 

post

Banking-Trojaner Retefe ist wieder aktiv

Eine neue Ausbreitung des Banking-Trojaners Retefe ist derzeit im Gang. Das Internet Storm Center (ISC) beobachtet insbesondere in der Schweiz, Österreich, Schweden und Japan ein Anstieg solcher Computer-Infektionen. Retefe hat Windows-Anwender im Visier und verteilt sich hauptsächlich über schädliche E-Mail-Anhänge.

Installation von gefälschtem Zertifikat auf dem Computer

In Windows erfasst Retefe einen neuen DNS-Server und installiert ein Zertifikat. Das Opfer landet daher auf einer Seite der Cyberkriminellen, wenn die Website der Bank aufgerufen wird. Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von dem Trojaner beglaubigt wurde. Was Retefe besonders raffiniert und gefährlich macht: Der Trojaner löscht sich selbst und bleibt dem Virenscanner dadurch unbemerkt.

Der nächste Schritt des Angriffs geschieht auf dem Smartphone: In Android wird dem Nutzer ein Trojaner untergeschoben, welcher den von der Bank per SMS versandten Token abfängt und damit die Zwei-Faktor-Authentifizierung aushebelt.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Aktuell werden hauptsächlich Zip-Dateien mit schädlichem JavaScript als Verursacher eruiert. Die Akteure hinter Erpressungs-Trojanern wie Petya haben in vergangenen Fällen auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Retefe ist seit 2013 bekannt und verbreitete sich in der Schweiz erstmals 2014. Gemäss der Melde- und Analysestelle Informationssicherung (Melani) haben die meisten Schweizer Banken damals Massnahmen gegen den Trojaner getroffen.

Vorsichtsmassnahmen

Für solche Bedrohungen sollten insbesondere Betriebssystem und Software immer auf dem aktuellsten Stand gehalten werden. Das Öffnen von Attachments sollte nur mit höchster Vorsicht durchgeführt werden. Des Weiteren ist ein aktueller Antivirenschutz und eine regelmässige Datensicherung Pflicht. Unter Android sollten keine Applikationen aus inoffiziellen Quellen installiert werden. Benutzen Sie nur den offiziellen Google Play Store. Genauere Präventionsmassnahmen haben wir im Beitrag zum Krypto-Trojaner Locky und E-Mail mit infizierter Zip-Datei beschrieben.

Möchten Sie Ihr Unternehmensnetzwerk gegen Bedrohungen sichern und professionell schützen? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Nehmen Sie mit uns Kontakt auf.

Quelle: heise.de

 

post

Gefälschte Warnung enthält Virus

Cyberkriminelle verschicken im Namen des deutschen Bundeskriminalamt (BKA) E-Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”. Das angebliche Entfernungs-Tool im Mailanhang enthält einen Trojaner.

Aktuell kursieren Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”, die vermeintlich vom Bundeskriminalamt stammt, wie die Internationale Koordinationsstelle zur Bekämpfung von Internetmissbrauch (www.mimikama.at) berichtet. In den Mails wird behauptet, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber publiziert hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützen kann.

Die E-Mail erscheint wie folgt:

Betreff: Offizielle Warnung vor Computervirus Locky

Offizielle Warnung vor Computervirus Locky

Aufgrund wiederholter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu verhalten hat, haben Wir uns dazu entschieden in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stellen in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus vermeiden können und sich im Falle einer Infektion richtig zu verhalten haben. Sofern Sie noch nicht darüber informiert worden sind was der Locky Virus anrichtet haben wir für Sie alles noch einmal kurz zusammengefasst. Bei dem Locky Virus handelt es sich um einen sogenannten Kryptolocker der gezielt wichtige Dateien auf ihrem Computer verschlüsselt und für Sie unbrauchbar macht. Die Dateien können Sie nur wieder gegen eine Zahlung brauchbar machen. Das Problematische an diesem Virus besteht darin, dass es sich nicht um einen gewöhnlichen Virus handelt und wir deswegen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbeiten um diesen Virus zu entfernen Den oben erwähnte Sicherheitsratgeber sowie ein eigenhändig durch das Bundeskriminalamt entwickelte Analyse Tool können Sie sich aus dem Anhang herunterladen
Mit freundlichen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@bka.de

Locky Removal Kit infiziert den Computer

Ein “Analyse-Tool” namens “BKA Locky Removal Kit.exe” ist der entsprechenden E-Mail angehängt. Die Datei sollte auf keinen Fall ausgeführt werden: Es handelt sich nicht um ein Schutzprogramm, sondern um einen Trojaner. Die in der Signatur angegebene Mail-Adresse (impressum-bka-internetauftritt@bka.de) haben die Kriminellen offenbar von der Website des BKA übernommen.

Was Anwender gegen den Erpressungs-Trojaner Locky tun können, wird in diesem Beitrag aufgezeigt.