Von Ransomware bis zum anonymen Surfen: Zehn Trends des vergangenen Jahres

11 Dez 2014

Wenn im Dezember Voraussagen für das kommende Jahr getroffen werden, so ist es auch eine Zeit der Rückschau auf das vergangene Jahr. Und genau das haben die Experten des Global Research and Analysis Teams von Kaspersky Lab gemacht und eine Liste von zehn Trends im Bereich der IT-Sicherheit im Jahr 2014 zusammengestellt.

Der Schwarm der Advanced Persistent Threats

APT-Gruppen (Advanced Persistent Threats – fortschrittliche, andauernde Bedrohungen) waren im Jahr 2014 nicht gerade untätig. Alleine die Kaspersky-Forscher haben Forschungsberichte zu mindestens sechs unabhängigen Angreifergruppen veröffentlicht. So gab es zum Beispiel die spanische Careto-Kampagne im Februar, die bereits seit mindestens sieben Jahren aktiv lief. Careto (auch bekannt als The Mask) nutzte ein einfach modifizierbares, Schadprogramm-Kit, das auf verschiedenen Plattformen lief und Daten von Regierungsbehörden, Botschaften, Energiekonzernen, privaten Finanzunternehmen und Aktivisten in 31 Ländern gestohlen hat.

Dann gab es Epic Turla, eine Kampagne, die etwa einen Monat später aufgedeckt wurde und ihre Opfer mit einer Reihe von Zero-Day-Exploits in Adobe Acrobat, Windows XP und Microsoft Server 2003, aber auch einigen Watering-Hole-Angriffen auf Sicherheitslücken in Java, Adobe Flash und dem Internet Explorer angriff.

Im Juni machte sich eine weitere Gruppe mit einer halben Million Euro aus dem Staub, nachdem sie eine Woche lang die Kunden einer großen europäischen Bank angegriffen hatte. Die Kampagne erhielt den Namen Luuuk. Kaspersky Lab konnte in diesem Fall keine Exemplare des Schadprogramms sicherstellen, die Experten gehen aber davon aus, dass der Schädling Nutzernamen, Passwörter und einmalige Passcodes gestohlen hat, die dann verwendet wurden, um von den Konten der Opfer Überweisungen durchzuführen. Ende Juni gab es dann noch eine neue Version der MiniDuke-Aktion, die CosmicDuke genannt wurde. Sie zielte auf Regierungen, Diplomatenbüros, Energiekonzerne, militärische Einrichtungen und Telekomkonzerne ab. Komischerweise zielte die Kampagne auch auf kriminelle Gruppen, die mit dem Schmuggel illegaler Substanzen wie Steroiden und Wachstumshormonen zu tun haben.

Kaspersky Lab berichtete Ende Juli auch über den Crouching-Yeti-Angriff, der geistiges Eigentum und andere vertrauliche Daten von Zielen in Syrien, der Türkei, Saudi Arabien, Libanon, den Vereinigten Arabischen Emiraten, Israel, Marokko, Frankreich und den USA gestohlen hat. Die Angriffe kamen von IP-Blöcken in Syrien, Russland, Libanon, den USA und Brasilien.

Eine weitere große Angriffswelle war DarkHotel, die im November entdeckt wurde und bei der die
Täter Hotelnetzwerke im asiatischen Raum infizierten, um Schadprogramme auf den Computern hochrangiger Hotelgäste zu installieren und Daten zu stehlen.

Große Sicherheitslücken und das Internet der Dinge

Die Kaspersky-Forscher sahen im vergangenen Jahr eine beunruhigende Menge von Fehlern, die fast jeden Internet-Nutzer betreffen, sowie die rasante Annahme des so gennanten Internet der Dinge, dessen vernetzte Geräte näher an unserem täglichen Leben sind als der traditionelle Computer. Weitverbreitete Fehler wie Heartbleed und Shellshock (auch bekannt als Bash) existieren seit langem auf einer unbekannten Zahl von Systemen.

Die vollen Auswirkungen dieser Fehler werden für immer unbekannt bleiben. Während futuristisch anmutende Geräte wie vernetzte Haushaltsgeräte und IP-fähige Thermostate noch nicht allzu verbreitet sind, finden sich in modernen Haushalten dennoch eine Menge vernetzter Geräte, etwa Smart-TVs, Router, mobile Geräte, Computer und Spielekonsolen. Diese Geräte enthalten Sicherheitslücken, genau wie jedes andere Betriebssystem, Programm oder jede App – und diese Sicherheitslücken (unter anderem Heartbleed und Bash) können auf so einem Gerät jahrelang unentdeckt bleiben. Zudem ist problematisch, dass diese Geräte oft schwerer zu aktualisieren sind als traditionelle Computer oder Software-Plattformen. Das konnte der Kaspersky-Experte David Jacoby in diesem Jahr selbst feststellen, als er sein eigenes Haus gehackt hat.

Mobile Schadprogramme immer noch auf dem aufsteigenden Ast

Von 2004 bis 2013 analysierte Kaspersky Lab etwa 200.000 mobile Schadprogramme. Im Jahr 2014 waren es alleine 295.539 Exemplare. Die meisten mobilen Bedrohungen stehlen Bank-Zugangsdaten und damit schließlich Geld. Doch im vergangenen Jahr fanden die Kaspersky-Forscher auch erste mobile Ransomware und gefälschte Antivirus-Apps. Zudem wurde das Apple-Betriebssystem iOS durch das Schadprogramm WireLurker angegriffen, das allem Anschein nach das erste Schadprogramm ist, das iOS-Geräte infizieren kann, die nicht mit einem Jailbreak freigeschaltet worden sind.

malware

Wenn wir gerade von Ransomware sprechen…

Egal ob sie den Zugriff des Anwenders auf seine Geräte blockiert oder alle Daten auf einem infizierten Computer verschlüsselt – 2014 war das Jahr erpresserischer Ransomware. So gab es CryptoLocker, CoinVault, ZeroLocker und viele andere Schädlinge, die die Anwender erpressen und Zahlungen (meist über Bitcoin) verlangen, um den Computer und die Daten wieder freizugeben. Manche Experten glauben, dass Ransomware eine glänzende Zukunft haben wird, aber man kann sich auch dagegen wehren:

„Ransomware verlässt sich darauf, dass das Opfer zahlt“, so die Kaspersky-Experten dazu. „Zahlen Sie nicht! Machen Sie stattdessen regelmäßige Sicherungskopien Ihrer Daten. Wenn Sie dann doch einmal zum Opfer einer Ransomware (oder eines Hardware-Problems mit Datenverlust) werden, verlieren Sie Ihre Daten trotzdem nicht.“

Geldautomaten-Skimming

Techniken und Schadprogramme, die entweder Geld oder vertrauliche Kundendaten von Geldautomaten stehlen sollen, sind nichts Neues, doch für diese so genannten Skimmer war es ein extrem gutes Jahr. Ein sehr fortschrittliches Beispiel dafür ist das Schadprogramm Tyupkin. Kriminelle in Asien, Europa und Lateinamerika verschafften sich physikalischen Zugriff auf Geldautomaten und installierten Tyupkin von CD darauf. Nachdem die infizierten Maschinen neu gestartet worden waren, hatten die Täter Kontrolle darüber und konnten so genannte Money Mules zu den Geldautomaten schicken, die mit speziellen Codes Geld aus den Automaten holen konnten. Das wurde aber nur zu bestimmten Zeiten durchgeführt, um eine frühzeitige Entdeckung des Betrugs zu vermeiden.

Die Kaspersky-Forscher dazu: „Der Anstieg von Angriffen auf Geldautomaten in den letzten Jahren ist eine natürliche Entwicklung von den etablierten physikalischen Skimmern , mit denen Daten von den Kundenkarten gestohlen wurden. Leider arbeiten viele Geldautomaten unter Betriebssystemen mit bekannten Sicherheitslücken. Dadurch wird die physikalische Sicherheit der Geräte noch wichtiger; und wir empfehlen allen Banken, die Sicherheit Ihrer Geldautomaten genau zu prüfen.“

Die Kaspersky-Forscher dazu: „Der Anstieg von Angriffen auf Geldautomaten in den letzten Jahren ist eine natürliche Entwicklung von den etablierten physikalischen Skimmern , mit denen Daten von den Kundenkarten gestohlen wurden. Leider arbeiten viele Geldautomaten unter Betriebssystemen mit bekannten Sicherheitslücken. Dadurch wird die physikalische Sicherheit der Geräte noch wichtiger; und wir empfehlen allen Banken, die Sicherheit Ihrer Geldautomaten genau zu prüfen.“

Für Windows XP ist jeder Fehler eine Zero-Day-Sicherheitslücke

Microsoft unterstützt das Betriebssystem Windows XP nicht weiter. Das bedeutet, dass an den üblichen Patch-Dienstagen, an denen die Firma Sicherheitslücken schließt, keine weiteren Aktualisierungen für Windows-XP-Fehler ausgeliefert werden. Mit anderen Worten: Jede Sicherheitslücke in Windows XP vom 8. April 2014 bis zum Ende der Welt ist eine Zero-Day-Lücke. Das alleine wäre nicht so schlimm, wenn nicht Windows XP immer noch einen Marktanteil von 14 Prozent halten würde. Neben Endanwendern nutzen auch Geldautomaten, kritische Infrastruktursysteme, medizinische Geräte und sogar Computer in vielen Banken und Arztpraxen, auf denen vertrauliche Daten gespeichert sind und verarbeitet werden, nach wie vor Windows XP. Also erhält XP zwar keinen Support mehr, wird aber weiterhin ein lohnenswertes Ziel für Hacker bleiben.

Das Tor-Netzwerk

Der anonyme Internet-Dienst Tor hat im Jahr 2014 die Massen erreicht. Forscher berichteten, dass die Tor-Nutzung in diesem Jahr eine Spitze erreichte, vor allem durch Bedenken bei der Privatsphäre, die NSA-Whistleblower Edward Snowden mit seinen Enthüllungen zur staatlichen Überwachung ausgelöst hat. Leider ist das Tor-Netzwerk aber auch eine Brutstätte für kriminelle Aktivitäten, denn auch Server können im Tor-Netzwerk arbeiten: do genannte „versteckte Dienste“. Diese Services bieten Marktplätze für alle möglichen illegalen Waren und Dienstleistungen. Egal, was Sie suchen, in den Untergrundmärkten des Tor-Netzwerks werden Sie wahrscheinlich fündig.

Kaspersky Lab's #antimalware team now processes 325,000 new malicious files each day. Learn more: Kas.pr/E3bx

A photo posted by Kaspersky Lab (@kasperskylab) on

Moralisch zweifelhafte Software

„Leider kann Software nicht sauber in gute und schlechte Programme eingeteilt werden“, so ein Kaspersky-Experte. „Es gibt immer das Risiko, dass Software, die zu legitimen Zwecken entwickelt wurde, von Cyberkriminellen missbraucht wird. Auf dem Kaspersky Security Analyst Summit 2014 im Februar haben wir dargestellt, wie ungenau die Implementierung von Diebstahlschutz-Technologien in der Firmware weit verbreiteter Laptops und mancher Desktop-Computer ist, und dass diese in Händen Cyberkrimineller zu einer machtvollen Waffe werden kann.“

Tatsächlich habe ich über die mysteriöse Computerace-Backdoor bei der Black-Hat-Konferenz geschrieben, die ein interessantes Phänomen zeigt: gutmeinende Software, deren legitime Zwecke mit bösen Absichten missbraucht werden können.

Leider kann Software nicht sauber in gute und schlechte Programme eingeteilt werden. Es gibt immer das Risiko, dass Software, die zu legitimen Zwecken entwickelt wurde, von Cyberkriminellen missbraucht wird.

malware 2

Doch die Münze hat noch eine zweite Seite: „legale“ Software, die fragwürdiges Verhalten zeigt. Ein Beispiel dafür ist das Programm Remote Control System (RCS), das von der italienischen Firma Hacking Team entwickelt wurde. RCS und ähnliche Plattformen sind technisch legal, doch diktatorische Regierungen nutzen die Software, um Dissidenten und Bürgerrechtsgruppierungen auszuspionieren – innerhalb und außerhalb des Landes.

Die Kaspersky-Programme erkennen und entfernen alle Schadprogramme und blockieren alle Angriffe – egal aus welcher Quelle sie stammen und welchem Zweck sie dienen.

Privatsphäre vs. Sicherheit

Wir haben immer noch das Problem, dass wir uns eine geschützte Privatsphäre wünschen, es aber nicht schaffen, diese zu schützen – zum Teil da wir nicht durch unbequeme Sicherheitsmaßnahmen behindert werden wollen. Der Diebstahl von Star-Fotos aus der iCloud ist dafür ein gutes Beispiel: Kein Foto hätte gestohlen werden können, wenn die iCloud-Konten mit starken, einzigartigen Passwörtern geschützt gewesen wären. Zudem bietet Apple eine universelle Zwei-Faktoren-Authentifizierung – und wenn die Opfer diesen Schutz aktiviert gehabt hätten, wäre es nie zu der Veröffentlichung der Fotos gekommen. Allerdings bedeutet die Nutzung starker Passwörter und der Zwei-Faktoren-Authentifizierung eine zusätzliche Belastung für einen unzuverlässigen Teil der Sicherheitskette: den Anwender.

Survey participants are worried about #webcam #malware. Are you? #Kaspersky #security #cybercrime #cybercreep

A photo posted by Kaspersky Lab (@kasperskylab) on

Die Sicherheit zu vernachlässigen und dann dem Anwender dafür die Schuld zu geben ist schwach und Technologiefirmen, die Online-Dienste anbieten, müssen Sicherheitsmaßnahmen einbauen. Deshalb sind die Ankündigungen von Apple und Google, Standard-Verschlüsselung auf mobilen Geräten einzuführen, sowie die Ankündigung von Twitters neuem Digits-Authentifizierungsdienstes, der Einmal-Passwörter per SMS an die Nutzer schickt, vielversprechende Schritte in die richtige Richtung.

Strafverfolgungsbehörden lernen, wie man Cyberkriminelle fängt

Zu guter Letzt war 2014 auch ein gutes Jahr für Strafverfolgungsbehörden, die – trotz der schlechten Presse durch Überwachungsskandale – nach wie vor auch eine undankbare und schwere Aufgabe haben. Die Kaspersky-Experten haben regelmäßig über die Erfolge der internationalen Strafverfolgung berichtet:

Eine Koalition internationale Polizeikräfte zerschlug das GameOver-Zeus-Botnetz, das bis dahin eines der umfangreichsten Crimeware-Kits auf dem Untergrundmarkt war. Kriminelle nutzten GameOver nicht nur für seinen eigentlichen Zweck als Kreditkartendaten stehlender Bank-Trojaner, sondern auch als Verteilplattform für das berüchtige CryptoLocker-Schadprogramm.

Kaspersky Lab war auch an einer größeren Aktion zur Zerschlagung des Shylock-Trojaners beteiligt, der Man-in-the-Browser-Attacken startete, um Login-Daten für das Online-Banking zu stehlen.

Und erst kürzlich führte die sogenannte „Operation Onymous“ zur Zerschlagung von Dark-Web-Märkten innerhalb des Tor-Netzwerks.