post

IT-Bedrohungen im Q1 2016

Das Jahr 2016 ist noch nicht einmal in der Hälfte, doch im Bereich Cyberverbrechen ist in den ersten drei Monaten so viel passiert, wie vor ein paar Jahren während dem ganzen Jahr. Die Tendenzen im Zusammenhang mit der traditionellen Cyberkriminalität, insbesondere in den Bereichen Bedrohungen für mobile Geräte und globale Epidemien von Erpresserprogrammen, haben sich deutlich verstärkt. Weitere Trends blieben unverändert.

Somit war Ransomware auch das Kernthema dieser Periode. Aufgrund der Ergebnisse wird sich die Situation auch weiterhin in diese Richtung entwickeln. Diese Erpressungsversuche werden im Jahr 2016 vermutlich zur grössten Herausforderung.

Das erste Quartal 2016 in Zahlen

Kaspersky Lab Produkte wehrten laut den Daten des Kaspersky Security Network (KSN) 228 Mio. Attacken von Internet-Ressourcen ab. Diese befinden sich in insgesamt 195 Ländern.

Ergebnisbericht von Kaspersky Anti-Virus

  • Alarmmeldung bei 74 Mio. individuellen URLs
  • 18 Mio. individuelle Schadobjekte aufgespürt (Skripte, Exploits, ausführbare Dateien und andere)
  • Abwehr von Infektionsversuchen durch Malware bei fast 460’00 Nutzern (insbesondere Diebstahl von Finanzmitteln über den Online-Zugriff auf Bankkonten)
  • Abwehr durch Ransomware-Angriffe bei 372’000 individuellen Anwendern
  • Registrierung von 174 Mio. individuellen schädlichen und potenziell unerwünschten Objekten

Auswertung Kaspersky-Lab-Produkte zum Schutz mobiler Geräte

  • 2 Mio. schädliche Installationspakete
  • 4’000 mobile Banktrojaner
  • 2’900 mobile Erpresser-Trojaner

CYBERKRIMINALITÄT

Ransomware

Verschlüsselungstrojaner sind das Hauptthema des Quartals und es wird vermutet, dass dies bis zum Ende des Jahres so bleibt.

Zunehmend Sorge bereitet den Experten auch, dass der Quellcode von Verschlüsselungsschädlingen allen interessierten Personen zugänglich gemacht wurde. Das hat zur Folge, dass sich sogar Amateure (bspw. Script-Kiddies) ihre eigene Trojaner-Version zusammenbasteln können. Zusammen mit der Verwendung von Bitcoin zur Lösegeldzahlung wird die Organisation von Attacken erheblich erleichtert und erhöht die Wahrscheinlichkeit, dass solche Handlungen straffrei ausgehen.

Des Weiteren wird bereits vom Begriff RaaS – Ransomware-as-a-Service – gesprochen. Er beschreibt den Vorgang, bei dem Cyberkriminelle die Verbreitung eines Trojaners gegen Bezahlung anbieten und im Gegenzug versprechen, einen entsprechenden Anteil der Einnahmen abzugeben. Grösstenteils sind Webmaster von Porno-Webseiten Kunden solcher Angebote. Weitere Geschäftsmodelle sind ebenfalls gesichtet worden.

Die Kryptotrojaner erweiterten ihren Schädigungsbereich. Im ersten Quartal 2016 waren auch Webserver Angriffsobjekte von CTB-Locker. Die neue Version des CTB-Locker mit dem Namen Onion verschlüsselt Webserver. Es wird ein Lösegeld von rund einem halben Bitcoin gefordert (ca. 150 US-Dollar). Verstreicht die Frist ohne Bezahlung, verdoppelt sich das Lösegeld auf rund 300 US-Dollar. Wenn die Forderung beglichen wird, versprechen die Erpresser einen Schlüssel zur Dechiffrierung der Dateien auf dem Webserver zu generieren.

Früher nutzte der Schädling das anonyme Netzwerk Tor, um sich vor der Abschaltung seiner Steuerungsserver zu schützen, und hob sich dadurch von anderer Ransomware ab. Die Nutzung von Tor ermöglichte das der Schädling unentdeckt blieb und allenfalls blockiert würde. Des Weiteren schützte die dezentralisierte, anonyme Kryptowährung Bitcoin die Betreiber solcher Schädlinge.

Grösste Epidemie “Locky”

Der Verschlüsselungsschädling Locky erzeugte im ersten Quartal am meisten Infektionen (von Kaspersky als Trojan-Ransom.Win32.Locky erkannt). Der Schädling verbreitet sich immernoch rasant. Gemäss Kaspersky Lab wurde in 114 Ländern versucht Rechner mit diesem Trojaner zu infizieren. Um den Schädling in Umlauf zu bringen, versenden die Cyberverbrecher massenhaft Spam schädlichen Ladeprogrammen im Anhang. In der ersten Phase war die Ursache eine Word-Datei (.doc) mit Makros im Anhang, welche den Trojaner Locky herunterlud und ausführte. In der Zwischenzeit wird anstelle  der DOC-Datei ein ZIP-Archiv mit schädlichen Skripten angehängt. Die E-Mail ist meist auf Englisch verfasst, es existieren jedoch auch mehrsprachige Varianten.

Die bedeutendste technische Neuerung heutiger Ransomware besteht darin, nicht nur Dateien als solche, sondern die gesamte Festplatte, insbesondere die Master File Table, zu verschlüsseln. Der  Trojaner „Petya“ hat diesen Vorgang angewandt. Nach der Chiffrierung wird ein Totenschädel aus ASCII-Zeichen angezeigt. Darauf folgt der Teil, der für alle Verschlüsselungstrojaner typisch ist: Eine Lösegeldforderung von dem Opfer. Im entsprechenden Fall beträgt dies 0,9 Bitcoin (ungefähr 380 US-Dollar). „Petya“ arbeitet in dieser Phase, im Gegensatz zu anderer Erpressersoftware, ohne Verbindung zum Netz. Weitere Informationen dazu haben wir in diesem Beitrag beschrieben. Da das Betriebssystem zusammen mit der Möglichkeit, eine Verbindung zum Internet herzustellen, blockiert wurde, muss der Nutzer einen anderen Computer benutzen, um Lösegeld zu bezahlen.

An dieser Stelle möchten wir nochmals darauf hinweisen, dass wir nicht empfehlen den Lösegeldforderungen nachzukommen. Eine aktuelle Anti-Viren-Lösung mit Firewall, kombiniert mit einer regelmässigen Datensicherung ist der wirksamste Schutz. Wir unterstützen Sie gerne bei der Implementierung von solchen Lösungen.

Für das Mac Betriebssystem OS X wurde ebenfalls ein Verschlüsselungstrojaner entdeckt: Trojan-Ransom.OSX.KeRanger. In diesem Artikel wird darauf nicht näher eingegangen.

Verschlüsselungstrojaner: Kennzahlen Q1 2016

Die Verschlüsselungsschädlinge gehören zu den Erpressertrojanern (Klassifizierung Trojan-Ransom). Derzeit sind neben ihnen in dieser Klasse auch die so genannten Browser-Erpresser vertreten. Die Auswertung des ersten Quartals bringt folgende Zahlen hervor:

  • Zahl neuer Verschlüsselungstrojaner: 2’900
  • Zahl der von Verschlüsselungstrojanern angegriffenen Anwender: 345’900 (+30% im Vergleich zum Vorjahr)
  • Top 3 der von Verschlüsselungstrojanern angegriffenen Länder: 1.) Italien 2.) Niederlande 3.) Belgien

 Top 10 der am meisten verbreitetsten Verschlüsselungstrojaner

Auf die bedeutendsten Trojaner wird nachfolgend näher eingegangen.

1. Teslacrypt

Den Spitzenplatz belegte mit grossem Abstand die Familie Teslacrypt, die in zwei Varianten aufgetreten sind: Trojan-Ransom.Win32.Bitman und Trojan-Ransom.JS.Cryptoload. Genauer Informationen über die Verbreitung und Funktionsweise finden Sie im Beitrag.

 2. CTB-Locker

Auf Rang zwei befindet sich die Verschlüsseler-Familie CTB-Locker (Trojan-Ransom.Win32/NSIS.Onion). Für die Vertreter dieser Familie ist die Verbreitung mittels Partnerprogramm typisch sowie die Unterstützung zahlreicher Sprachen. Es wurden CTB-Locker für Server entdeckt (oben beschrieben). Diese Variante hat Dateien auf über 70 Servern in 10 Ländern angegriffen und verschlüsselt.

3. Cryptowall / Cryptodef

Platz drei belegt die Familie Trojan-Ransom.Win32.Cryptodef, welche auch unter dem Namen Cryptowall bekannt wurde. Verbreitet werden diese Schädlinge, wie auch Teslacrypt über Spam-Versendungen.

5. Scatter

Den fünften Platz besetzt die Verschlüsseler-Familie Scatter. Zum Jahresanfang wurde eine neue Verbreitungswelle dieses Schädlings mittels Spam-Mails beobachtet. Die E-Mails enthielten einen Link auf das JS-Skript JavascripT. Diese war getarnt, dass der Nutzer es herunterlud und lokal startete. Zusätzlich wurde beim Skriptausführen nicht nur Scatter gespeichert, sondern auch zwei weitere Schädlinge: Nitol ( DDoS-Bot) und Pony (Trojaner, der Informationen stiehlt, insbesondere Kennwörter).

7. Locky

Die Verschlüsselungstrojaner-Familie Locky, die den siebten Platz belegt, hebt sich durch eine weite geografische Verbreitung hervor, insbesondere in Europa. Die im Tor-Netzwerk untergebrachte Webseite der Cyberkriminellen, auf der ihre Forderungen stehen, unterstützt 24 Sprachen. Da keine Sprache der Gemeinschaft unabhängiger Staaten (GUS) benutzt wird, wird vom Kaspersky Security Network vermutet, dass der Ursprung von Locky aus diesen Kreisen stammt. Genauer Informationen zur Verbreitung von Locky finden Sie in diesem Beitrag.

Quelle: Securelist.com , 19. Mai 2016

 

post

Banking-Trojaner Retefe ist wieder aktiv

Eine neue Ausbreitung des Banking-Trojaners Retefe ist derzeit im Gang. Das Internet Storm Center (ISC) beobachtet insbesondere in der Schweiz, Österreich, Schweden und Japan ein Anstieg solcher Computer-Infektionen. Retefe hat Windows-Anwender im Visier und verteilt sich hauptsächlich über schädliche E-Mail-Anhänge.

Installation von gefälschtem Zertifikat auf dem Computer

In Windows erfasst Retefe einen neuen DNS-Server und installiert ein Zertifikat. Das Opfer landet daher auf einer Seite der Cyberkriminellen, wenn die Website der Bank aufgerufen wird. Diese Verbindung ist sogar verschlüsselt und wird vom Webbrowser als vertrauenswürdig eingestuft, weil das Zertifikat von dem Trojaner beglaubigt wurde. Was Retefe besonders raffiniert und gefährlich macht: Der Trojaner löscht sich selbst und bleibt dem Virenscanner dadurch unbemerkt.

Der nächste Schritt des Angriffs geschieht auf dem Smartphone: In Android wird dem Nutzer ein Trojaner untergeschoben, welcher den von der Bank per SMS versandten Token abfängt und damit die Zwei-Faktor-Authentifizierung aushebelt.

Wie die betrügerischen E-Mails daherkommen, ist derzeit nicht bekannt. Aktuell werden hauptsächlich Zip-Dateien mit schädlichem JavaScript als Verursacher eruiert. Die Akteure hinter Erpressungs-Trojanern wie Petya haben in vergangenen Fällen auf gefälschte Bewerbungs- und Rechnungsschreiben als Verbreitungsweg gesetzt.

Retefe ist seit 2013 bekannt und verbreitete sich in der Schweiz erstmals 2014. Gemäss der Melde- und Analysestelle Informationssicherung (Melani) haben die meisten Schweizer Banken damals Massnahmen gegen den Trojaner getroffen.

Vorsichtsmassnahmen

Für solche Bedrohungen sollten insbesondere Betriebssystem und Software immer auf dem aktuellsten Stand gehalten werden. Das Öffnen von Attachments sollte nur mit höchster Vorsicht durchgeführt werden. Des Weiteren ist ein aktueller Antivirenschutz und eine regelmässige Datensicherung Pflicht. Unter Android sollten keine Applikationen aus inoffiziellen Quellen installiert werden. Benutzen Sie nur den offiziellen Google Play Store. Genauere Präventionsmassnahmen haben wir im Beitrag zum Krypto-Trojaner Locky und E-Mail mit infizierter Zip-Datei beschrieben.

Möchten Sie Ihr Unternehmensnetzwerk gegen Bedrohungen sichern und professionell schützen? InfoSoft Systems ist Ihr Partner für IT-Lösungen. Nehmen Sie mit uns Kontakt auf.

Quelle: heise.de

 

post

Gefälschte Warnung enthält Virus

Cyberkriminelle verschicken im Namen des deutschen Bundeskriminalamt (BKA) E-Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”. Das angebliche Entfernungs-Tool im Mailanhang enthält einen Trojaner.

Aktuell kursieren Mails mit dem Betreff “Offizielle Warnung vor Computervirus Locky”, die vermeintlich vom Bundeskriminalamt stammt, wie die Internationale Koordinationsstelle zur Bekämpfung von Internetmissbrauch (www.mimikama.at) berichtet. In den Mails wird behauptet, dass das BKA in Kooperation mit Herstellern von Antiviren-Software einen Sicherheitsratsgeber publiziert hat, der erklärt, wie man sich vor dem Erpressungs-Trojaner Locky schützen kann.

Die E-Mail erscheint wie folgt:

Betreff: Offizielle Warnung vor Computervirus Locky

Offizielle Warnung vor Computervirus Locky

Aufgrund wiederholter Email mit Nachfragen wie man sich im Falle einer Infektion mit dem Computervirus „Locky“ zu verhalten hat, haben Wir uns dazu entschieden in Kooperation mit Anti Virensoftware Herstellern einen Sicherheitsratgeber zu Verfügungzu stellen in dem ihnen erklärt wird wie sie eine Infektion mit dem Virus vermeiden können und sich im Falle einer Infektion richtig zu verhalten haben. Sofern Sie noch nicht darüber informiert worden sind was der Locky Virus anrichtet haben wir für Sie alles noch einmal kurz zusammengefasst. Bei dem Locky Virus handelt es sich um einen sogenannten Kryptolocker der gezielt wichtige Dateien auf ihrem Computer verschlüsselt und für Sie unbrauchbar macht. Die Dateien können Sie nur wieder gegen eine Zahlung brauchbar machen. Das Problematische an diesem Virus besteht darin, dass es sich nicht um einen gewöhnlichen Virus handelt und wir deswegen noch mit Hochdruck in Kooperation mit Anti Virenhersteller an einer Lösung arbeiten um diesen Virus zu entfernen Den oben erwähnte Sicherheitsratgeber sowie ein eigenhändig durch das Bundeskriminalamt entwickelte Analyse Tool können Sie sich aus dem Anhang herunterladen
Mit freundlichen Grüßen

Steven Braun (IT Beauftragter)
Bundeskriminalamt
65173 Wiesbaden
Tel.: +49 (0)611 55 – 0
Fax: +49 (0)611 55 – 12141
E-Mail: impressum-bka-internetauftritt@bka.de

Locky Removal Kit infiziert den Computer

Ein “Analyse-Tool” namens “BKA Locky Removal Kit.exe” ist der entsprechenden E-Mail angehängt. Die Datei sollte auf keinen Fall ausgeführt werden: Es handelt sich nicht um ein Schutzprogramm, sondern um einen Trojaner. Die in der Signatur angegebene Mail-Adresse (impressum-bka-internetauftritt@bka.de) haben die Kriminellen offenbar von der Website des BKA übernommen.

Was Anwender gegen den Erpressungs-Trojaner Locky tun können, wird in diesem Beitrag aufgezeigt.

post

Krypto-Trojaner Locky im Vormarsch

 

Die erpresserische Schadsoftware Locky verbreitet sich auch in Deutschland. Sicherheitsforscher zählen bis zu 5’000 Infektionen pro Stunde. Bei Locky handelt es sich um einen Trojaner, der beim Befall die Daten des Nutzers verschlüsselt und sie erst nach Zahlung eines Lösegelds wieder freigeben soll. 

Unternehmen sind besonders gefährdet. Vielfach wird die Schadsoftware über E-Mailanhänge eingeschleust und kann sämtliche Dateien und verbundene Laufwerke chiffrieren. Essentiell ist deshalb ein entsprechender Schutz, um bei einer Infektion keine Dateien zu verlieren. Gemäss Bericht von heise.de hat Locky nicht nur viele Privatnutzer befallen, sondern auch die Daten auf einem Server des Fraunhofer-Instituts in Bayreuth unzugänglich gemacht. Offenbar sind auch Cloud-Speicher nicht vor der Schadsoftware sicher.

Betriebsausfälle in Spitälern

Wie heise.de berichtet, wurde vergangene Woche ein Krankenhaus in Los Angeles vom Verschlüsselungstrojaner heimgesucht. Das Krankenhaus entschied sich für eine Zahlung mit Bitcoins im Wert von 15’000 Euro. Der Klinik-Chef musste sich auf die Versprechen der Erpresser verlassen und sprach von der schnellsten und effizientesten Methode die nicht mehr funktionale IT wiederherzustellen!

In Deutschland hat sich anfangs Februar ein ähnlicher Fall ereignet, wo Ransomware die IT-Infrastruktur infiziert hat. Auslöser war ein angeklickter Dateianhang. Mehrere Operationen mussten verschoben werden. Eine Lösegeldzahlung konnte jedoch verhindert werden. Dank dem zeitnahen Backup konnten sämtliche Daten in Kürze wiederhergestellt werden.

Empfehlung

Planen Sie voraus! Schauen Sie, dass Sie im Ernstfall eine saubere Datensicherung zur Hand haben und nicht abhängig sind von Erpressern. Führen Sie regelmässige Datensicherungen aus und entfernen Sie den Datenträger nach dem Backup vom Computer. Einen solchen Datenträger, wie beispielsweise eine externe Festplatte, kann der Trojaner nicht verschlüsseln. Ausserdem sollte das Betriebssystem, der Internetbrowser und notwendige Drittkomponenten immer aktuell gehalten werden. Ein Virenscanner muss ebenfalls zwingend aktiv und aktuell sein.

Insbesondere E-Mails mit Links und Dateianhängen sollten immer mit Vorsicht behandelt werden. Tipps zum korrekten Umgang mit Dateianhängen in E-Mails sind in diesem Beitrag aufgeführt.

InfoSoft Systems unterstützt Sie gerne beim Schutz Ihrer IT-Infrastruktur und der Planung und Durchführung von Datensicherungen. Nehmen Sie mit uns Kontakt auf.

Makroausführungen deaktivieren

Da sich diese Schadsoftware offenbar über Office-Dokumente einschleust, sollte Microsoft Office so konfiguriert werden, dass Makros nicht automatisch ausgeführt werden.

Dazu gehen Sie wie folgt vor. Klicken Sie auf «Datei > Optionen», öffnen Sie «Trust Center» und dann «Einstellungen für das Trust Center» und stellen Sie sicher, dass die Option «Alle Makros mit Benachrichtigung deaktivieren» eingeschaltet ist. Vermeiden Sie auf jeden Fall, dass die unterste Option aktiv ist, welche alle Makros aktiviert.

Weitere Tipps zur Vorsorge sind im Beitrag zum Trojaner TeslaCrypt beschrieben.

 

post

IT-Security: Voraussagen 2016

Cyber-Sicherheit: Die Kaspersky-Voraussagen für 2016

Das Internet verändert sich von Jahr zu Jahr und auch die Bedrohungen halten damit Schritt. Zum Ende des Jahres blickt der Sicherheitslösungsentwickler Kaspersky Lab in die Kristallkugel und prophezeit, welche Cyber-Bedrohungen auf Heimanwender und Firmen im nächsten Jahr zukommen werden könnten.

Bedrohungen für Heimanwender

Im Jahr 2015 hatten viele Nutzer mit Ransomware-Angriffen (Schadsoftware) zu kämpfen. Das wird sich im nächsten Jahr fortsetzen und verschärfen. Denn Cyberkriminelle können mit diesen Schädlingen viel Profit erzielen. Massenhafte Infizierungen sind relativ günstig und bringen direkte Monetarisierung, da die Opfer vielfach ein Lösegeld bezahlen. (Siehe Beitrag Verschlüsselungstrojaner TeslaCrypt)

Im nächsten Jahr könnten sich die Ransomware-Entwickler auch auf neue Plattformen konzentrieren. Ein Angriff auf Linux-Geräte wurde bereits entdeckt. Noch interessanter für Hacker könnte Mac OS X sein, da die Besitzer teurer Apple-Geräte potenziell auch mehr Lösegeld bezahlen können. Zudem ist es gut möglich, dass neue Ransomware-Varianten verschiedene Geräte des Internet der Dinge (IoT) sperren werden. Kühlschrank, Smartwatch oder Fernseher könnten deaktiviert werden und an eine Lösegeldforderung gekoppelt sein.

ransomware-pay-loesegeld

Ein weiterer Trend dreht sich um Erpressung mit gestohlenen Fotos und gehackten Konten. Datendiebstähle, veröffentlichte Nacktfotos verschiedener Stars, sowie die persönlichen Daten von Ashley-Madison-Anwendern sind prominente Beispiele dafür. Datenbanken werden von verschiedenen Personen und aus unterschiedlichen Gründen veröffentlicht. Manche verlangen ein Lösegeld, andere wollen sich nur profilieren. Und manchmal veröffentlichen Hacker solche Daten, um bestimmte Personen und Organisationen zu diskreditieren. Egal, welche Ziele die Täter verfolgen, im Jahr 2016 kann mit einer Steigerung solcher Angriffe gerechnet werden.

Lange Zeit hatten Transportmittel keine Verbindung zum Internet. Das ist bei heutigen Neuwagen anders und und bringt neue Gefahren mit sich. Es wurden bereits erfolgreiche Cyberangriffe registriert, mit dem Ziel, bestimmte Automodelle zu hacken und die Kontrolle über deren Systeme zu übernehmen. Dank selbstfahrender Autos werden Fernsteuerungssysteme immer verbreiteter und werden früher oder später auf jeden Fall die Aufmerksamkeit von Hackern auf sich ziehen. Die Täter werden sich wahrscheinlich nicht auf die Systeme selbst konzentrieren, sondern eher auf spezielle Protokolle, die für die Kommunikation zwischen den Autos zuständig sind. Wenn sie es schaffen, diese zu kompromittieren, können sie gefälschte Befehle an die Autos senden.

Was sind die grössten Gefahren für Firmen?

Wenn man vom Jahr 2015 ausgeht, werden grossangelegte Advanced Persistent Threats (APT) gegen Länder und Organisationen, so wie wir sie heute kennen, fast vollständig verschwinden. Aber es ist mit neuen Varianten zu rechnen: Hacker sind gerade dabei, von massgefertigten Schadprogrammen auf die Verbesserung existierender serienmässig produzierter Entwicklungen umzusteigen, so dass sie weniger Spuren hinterlassen. Dieser Ansatz macht es für Sicherheits-Experten schwerer, die Kriminellen aufzuspüren. Und es ist günstiger: Hoher Profit bei geringer Investition wartet auf die Kunden der Hacker.

Heute ist jede kriminelle Cyber-Kampagne einzigartig und wird von Grund auf entwickelt. Aber es ist gut möglich, dass wir das bald als angebotenen Service sehen werden. Kriminelle könnten sogar damit beginnen, nicht die Kampagne selbst, sondern das Ergebnis eines Einbruchs zu vermarkten: Zugriff auf Daten und Systeme von Opfern, die vorher gehackt wurden.

Im Jahr 2015 griffen Hacker erfolgreich Banken und Finanzdienstleister an, im Jahr 2016 werden sich diese und ähnliche Angriffe noch erhöhen. Und auch wenn der Grossteil dieser Attacken gegen Geldautomaten gerichtet war, so gab es doch auch Täter wie die Carbanak-Gruppe, die weltweit von dutzenden Banken etwa eine Milliarde Dollar gestohlen hat. Apple Pay, Samsung Pay und Android Pay könnten zu den nächsten Zielen der Kriminellen gehören, zusammen mit anderen neuen, noch ungetesteten Finanzdiensten.

carbanak-bank-diebstahl-1-milliarde-usd-kaspersky-security_stories_de_1024

Was ist sonst noch möglich?

Das Internet ist noch relativ jung, entwickelt sich aber so schnell weiter, dass manche Technologien, die tief im Internet liegen, bereits veraltet sind. Oder sie können einfach nicht mehr mit dem modernen Design des Internet mithalten. Verschiedene Probleme tauchen vereinzelt auf: Botnetze werden in Routern gefunden, BGP — das wichtigste Routing-Protokoll des Internet — kann kompromittiert werden, zahlreiche Angriffe auf DNS-Einstellungen von Routern werden durchgeführt. Das Internet verändert sich, insbesondere wenn Regierungen immer mehr Kontrolle darüber übernehmen. In diesem Fall wird das Internet in Anlehnung an die Ländergrenzen aufgeteilt werden. Das Internet ist bereits heute in China ganz anders als das, was die Anwender in Deutschland, den USA oder in Russland sehen.

Ein Ergebnis ist, dass viele Seiten und Dienste in den Untergrund gehen. Anwender werden für den Zugriff auf spezifische Informationen zahlen müssen. Diesem Markt wird ein konstantes Wachstum vorausgesagt. Gleichzeitig werden auch Anonymisierungstechniken weiterentwickelt werden.

Ein weiteres globales Problem könnte sogar noch grösser sein: Bisher unhackbare Dinge könnten hackbar werden. Moderne Verschlüsselungsstandards wurden so entwickelt, dass sie mit den existierenden Computern nicht geknackt werden können, doch der Rechenleistung von Quantencomputern und anderer kommender Technologien können sie nicht standhalten. Sollten Kriminelle in naher Zukunft in den Besitz von Quantencomputern gelangen, müssen Experten die heutigen Verschlüsselungstechnologien komplett neu entwickeln.

Weitere Voraussagen für das kommende Jahr finden Sie im ausführlichen Bericht von Securelist.

 

post

Verschlüsselungstrojaner TeslaCrypt im Umlauf

Diverse Meldungen in den letzten Tagen über die Schadsoftware TeslaCrypt an die Schweizerische Melde- und Analysestelle Informationssicherung MELANI zeugen von einer steigenden Verbreitung dieser Variante von Schadsoftware. Diese Schadsoftware (auch Ransomware genannt) verschlüsselt Daten und fordert anschliessend ein Lösegeld für die Wiederherstellung.

TeslaCrypt scheint sich fast ausschliesslich über infizierte E-Mail Anhänge (Ein Anhang des Typs „.zip“, der eine Datei des Typs „.js“ beinhaltet) zu verbreiten. Einmal installiert, verschlüsselt TeslaCrypt die Dateien, welche sich auf dem Computer befinden (beispielsweise Fotos, Excel- oder Word-Dateien). Dem Opfer wird anschliessend eine Meldung präsentiert, in der die Kriminellen eine Geldforderung stellen. Im Gegenzug soll das Opfer den Schlüssel erhalten mit dem die Dateien wiederhergestellt werden können (Erpressung). Ähnliche Vorgänge sind durch Schadsoftware Cryptolocker, Synolocker, Cryptowall etc. bekannt.

Schwierigkeit: Dateiwiederherstellung

Verschiedene Antiviren Produkte können die Schadsoftware finden und zerstören. Dann ist es aber meistens zu spät, weil die auf dem Computer vorhandenen Dateien bereits verschlüsselt wurden. In diesem Fall ist deshalb nicht die Entfernung der Schadsoftware das Problem, sondern die Wiederherstellung der ursprünglichen Daten. Im Moment scheint es keine Methode zu geben, die Daten ohne den Schlüssel, der nur den Erpressern bekannt ist, zu entschlüsseln. MELANI rät hier trotzdem davon ab, auf die Forderungen der Erpresser einzugehen und eine Zahlung zu leisten. Es gibt keine Garantie, dass die Kriminellen auch wirklich Wort halten und den für das Entschlüsseln der Dateien benötigten Schlüssel dem Opfer tatsächlich zusenden. Sie finanzieren gleichzeitig die Weiterentwicklung der Angreifer, welche einen nächsten noch wirksameren Angriff ermöglicht.

Massnahmen:

  • Wichtige Dateien sollten regelmässig auf externe Datenträger kopiert werden (Backup) und anschliessend getrennt aufbewahrt werden.
  • Seien Sie immer vorsichtig bei verdächtigen E-Mails, bei E-Mails, welche Sie unerwartet bekommen, oder welche von einem unbekannten Absender stammen. Befolgen Sie hier keine Anweisungen im Text, öffnen Sie keinen Anhang und folgen Sie keinen Links.
  • Sowohl Betriebssystem als auch installierte Applikationen (z.B. Browser, PDF Reader) müssen immer aktuell gehalten werden. Falls vorhanden, am besten mit der automatischen Update Funktion.
  • Ein Antivirenprogramm muss installiert sein und aktuell gehalten werden.
  • Eine Personal Firewall muss installiert sein und aktuell gehalten werden.
  • Detaillierte Empfehlungen finden Sie auf der MELANI Webseite unter der Rubrik „Wie schütze ich mich?“.

Im Falle einer Infektion

MELANI empfiehlt den Computer sofort von allen Netzwerken zu trennen. Eine Säuberung des Computers ist notwendig. Grundsätzlich ist eine Neuinstallation des Systems und das Ändern aller Passwörter ratsam. Diese Massnahme sollte zusammen mit einem Computerspezialisten durchgeführt werden. Nachdem diese Massnahmen erledigt wurden, können dann die Backup-Daten wieder zurückgespielt werden. Wenn kein Backup der Daten vorliegt, ist es empfehlenswert, die verschlüsselten Daten zu behalten und zu sichern, damit sie allenfalls später noch entschlüsselt werden können.

Folgende Dateitypen können von der Schadsoftware TeslaCrypt verschlüsselt werden:

.7z;.rar;.m4a;.wma;.avi;.wmv;.csv;.d3dbsp;.sc2save;.sie;.sum;.ibank;.t13;.t12;.qdf;.gdb;.tax;
.pkpass;.bc6;.bc7;.bkp;.qic;.bkf;.sidn;.sidd;.mddata;.itl;.itdb;.icxs;.hvpl;.hplg;.hkdb;
.mdbackup;.syncdb;.gho;.cas;.svg;.map;.wmo;.itm;.sb;.fos;.mcgame;.vdf;.ztmp;.sis;.sid;.ncf;
.menu;.layout;.dmp;.blob;.esm;.001;.vtf;.dazip;.fpk;.mlx;.kf;.iwd;.vpk;.tor;.psk;.rim;.w3x;.fsh;
.ntl;.arch00;.lvl;.snx;.cfr;.ff;.vpp_pc;.lrf;.m2;.mcmeta;.vfs0;.mpqge;.kdb;.db0;.DayZProfile;
.rofl;.hkx;.bar;.upk;.das;.iwi;.litemod;.asset;.forge;.ltx;.bsa;.apk;.re4;.sav;.lbf;.slm;.bik;.epk;
.rgss3a;.pak;.big;.unity3d;.wotreplay;.xxx;.desc;.py;.m3u;.flv;.js;.css;.rb;.png;.jpeg;.txt;.p7c;
.p7b;.p12;.pfx;.pem;.crt;.cer;.der;.x3f;.srw;.pef;.ptx;.r3d;.rw2;.rwl;.raw;.raf;.orf;.nrw;.mrwref;
.mef;.erf;.kdc;.dcr;.cr2;.crw;.bay;.sr2;.srf;.arw;.3fr;.dng;.jpe;.jpg;.cdr;.indd;.ai;.eps;.pdf;.pdd;
.psd;.dbfv;.mdf;.wb2;.rtf;.wpd;.dxg;.xf;.dwg;.pst;.accdb;.mdb;.pptm;.pptx;.ppt;.xlk;.xlsb;.xlsm;
.xlsx;.xls;.wps;.docm;.docx;.doc;.odb;.odc;.odm;.odp;.ods;.odt;

Nach der Verschlüsselung werden die ursprünglichen Dateierweiterungen durch die Erweiterung .ecc ersetzt. Ausserdem löscht die Ransomware alle Schattenkopien und sogar Wiederherstellungspunkte, damit Sie keine Systemwiederherstellung durchführen können.

Der Desktop-Hintergrund wird danach durch eine Nachricht von TeslaCrypt ersetzt und es erscheint eine neue Datei mit dem Namen „HELP_TO_DECRYPT_YOUR_FILES.txt“ auf dem Desktop. Dabei handelt es sich um eine Anleitung, wie das Lösegeld bezahlt werden kann und wie der Entschlüssler funktioniert. Ausserdem erhalten Sie eine Entschlüsselungsbestätigung, die besagt, dass Ihre Dateien entschlüsselt werden, nachdem Sie den geforderten Geldbetrag bezahlt haben.

Kunden

Wenn Ihnen ein Anhang verdächtig vorkommt oder Sie etwas ungewöhnliches feststellen, können Sie unseren technischen Support kontaktieren.

Weitere Informationen erhalten Sie auf www.melani.admin.ch

 

post

E-Mail mit infizierter Zip-Datei von bekannten Kontakten

Zurzeit sind E-Mails im Umlauf mit Verdacht auf Viren. Sie wollen dem Empfänger eine Echtheit suggerieren, indem Absenderinformationen von bekannten Kontakten angezeigt werden. Die E-Mail erscheint mit unterschiedlichem Betreff, Text und Zip-Dateien im Anhang. Der Text ist meistens in Englisch.

Was alle diese E-Mails gemeinsam haben ist, dass sie von bekannten Absendern stammen. Sobald die Zip-Datei im Anhang geöffnet wird, nistet sich ein Programm ein, welches die E-Mail an sämtliche Kontakte in Ihrem Outlook-Adressbuch weiterleitet. Ausserdem kann es auch die Signatur des Absenders übernehmen und wirkt dadurch noch echter. Folgende Beispiele sind uns bekannt:

E-Mail Betreff:

  • Draft of the contract
  • Files to be executed
  • invoice

Nachrichtentext:

  • Please see attached the executed document from our side. You can send us a scan-copy after signing. Paul Sifer, Attorney
  • Check invoices

Dateianhänge:

  • tax.zip
  • invoices.zip
  • FAX_75295358_518.zip
  • scans.zip

Andere Varianten sind möglich,  zukünftig ist wahrscheinlich noch mit raffinierteren Varianten zu rechnen, vielleicht sogar in deutsch. Wenn Sie eine solche E-Mail erhalten, sollten Sie sie umgehend löschen und den Absender benachrichtigen. Neben dem potenziellen Reputationsverlust sind weitere Bedrohungen für den Computer möglich. Was das konkret sein könnte ist zurzeit nicht bekannt. Die Rücksprache mit bekannten Virenschutzherstellern hat zu keinen Ergebnissen geführt.

Unsere Empfehlung im Mailverkehr

Vor dem Öffnen von Dateianhängen immer Vorsicht walten lassen:

  • Erwarten Sie einen Dateianhang von diesem Absender?
  • Ist der Dateiname sinnvoll? (Z. B.: Schickt mir Max Muster aus Dagmersellen eine Datei mit dem Namen tax.zip?)
  • Ergibt der Betreff Sinn? (Z.B.: Schickt mein Lieferant mir eine Mail mit dem Titel”invoice”?)
  • Ergibt der Mailinhalt Sinn? (Z.B.: Schickt mein Verwandter mir eine Mail mit dem Text “Your Delivery”?)
  • Ergibt das Gesamtbild des E-Mails Sinn?
  • Im Zweifelsfall: Absender kontaktieren und nachfragen

Grundsätzliches

  • Stets einen aktuellen Virenschutz pflegen
  • Meldungen vom Virenschutzprogramm nicht ignorieren
  • Immer Absender, Betreff und Text überprüfen bevor Anhänge oder Links angeklickt werden
  • Auch bei bekannten Absendern kritisch sein
  • Bei E-Mails in Fremdsprache (insbesondere Englisch) kritisch sein

Im Zweifelsfall:

  • Lokale IT-Systemadministration benachrichtigen

Haben Sie weitere Fragen?

Wir unterstützen Sie gerne im Bereich IT-Security, E-Mailkommunikation und Virenschutz. Nehmen Sie mit uns Kontakt auf!

 

post

2.2 Mia. Angriffe auf Geräte mit Kasperskyschutz im Q1 2015

Die Datenanalyse des Kaspersky Security Network ergab, dass im 1. Quartal 2015   2’205’858’791 bösartige Attacken auf Computer und mobile Geräte von Kaspersky-Anwender durchgeführt wurden. Das Anti-Virus Programm spürte 28’483’783 individuelle Schadobjekte auf und schlug bei 93’473’068 verdächtigen URLs Alarm. Die Top 3 der Ursprungsländer von Webattacken sind Russland, USA, Niederlande. Die weiteren Länder der Top 10 sind hier aufgeführt:

q1_2015_mw_11_sm

© Kaspersky Lab, Viruslist.com

Die Cyberthreat Map von Kaspersky zeigt die globale Situation in ihrem Security Netzwerk in Echtzeit. Die Schweiz ist aktuell Nummer 33 der am meisten attackierten Länder. Ein Blick in die virtuelle Weltkarte zeigt spannende Erkenntnisse: http://cybermap.kaspersky.com/

Ist Ihr Netzwerk genügend gut geschützt? Wir beraten Sie gerne über aktuelle und passende IT-Security Applikationen.

 

Quelle: Entwicklung der IT-Bedrohungen im ersten Quartal 2015 (Viruslist.com)