Was Sicherheitsexperten derzeit den Schlaf raubt

Woche 43: Das Gruselkabinett der Schwachstellen

Uhr
von Coen Kaat

Scamming lässt sich nun auch als Service beziehen, Banking-Malware dominiert in EMEA, und hinter der Attacke auf den Provider Dyn sollen Amateure stecken. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

Vergangene Woche haben Unbekannte den US-amerikanischen DNS-Serverbetreiber Dyn mit einer massiven DDoS-Attacke angegriffen. DNS steht für Domain Name System. Das System ist quasi das Adressbuch, das weiss, welche Domain zu welcher IP-Adresse führt. Die Attacke auf Dyn war dermassen stark, dass auch grosse Unternehmen und Dienstleister wie Amazon, Github, Netflix, Paypal, Reddit, Spotify, Tumblr, Twitter damit zu kämpfen hatten.

Hinter der Attacke steckte ein riesiges IoT-Botnetz. Wie schon bei den Attacken auf den Security-Blog von Brian Krebs und auf den französischen Hoster OVH. In den Medien kursierte Anfang Woche das Gerücht, dass Russland oder China den Dyn-Angriff finanziert hätten.

Das Beratungsunternehmen Flashpoint kam nach seiner Analyse jedoch zu einem anderen Schluss: Der Angriff soll von einfachen Scriptkiddies ausgegangen sein, nicht von professionelle Cyberkriminelle. Es sei das Werk von Amateuren gewesen.

Einen Hinweis darauf fand Flashpoint in den für die Dyn-Attacke verwendeten Command-and-Control-Server. Die Attacken auf Krebs und OVH liefen über andere Server. Die für die Dyn-Attacke verwendete Infrastruktur wurde zuvor bereits bei Attacken auf einen bekannten Videospielentwickler verwendet. Staatlich finanzierte Cyberkriminelle würden nicht derartige Ziele angreifen, schreibt Flashpoint.

Das Team der Beratungsfirma vermutet eine Verbindung zwischen der Dyn-Attacke und dem englischsprachigen Forum Hackforums.net. Die Mitglieder des Forums seien bekannt für vergleichbare Attacken, wenn auch in einem kleineren Massstab.

Mitte Oktober veröffentlichte ein Nutzer auf Github das Tool Mirai. Dieses steckte vermutlich hinter den Attacken auf Krebs und OVH. Das Tool befähigt den Benutzer, besonders starke DDoS-Attacken über ein IoT-Botnetz zu lancieren.

 

Check Points Most-Wanted-Liste

Der israelische Sicherheitsexperte Check Point hat den Most-Wanted-Malware-Bericht ins Leben gerufen. Die erste Ausgabe beleuchtet das erste Halbjahr 2016, wie das Unternehmen mitteilt. Der Bericht bietet eine Übersicht der Bedrohungslage anhand der drei Kategorien Ransomware, Banking und Mobile.

Das Team von Check Point befasst sich etwa mit dem Phänomen von Mobile-Botnetzen. Diese seien in 2016 erstmals aufgetaucht. Das Team entdeckte gemäss Mitteilung mehrere Botnetze, darunter Viking Horde und Dresscode. Beide hatten auch den Google Play Store infiziert. So konnten sie sich auf Smartphones ausdehnen. Derzeit seien diese Netzwerke nur für gefälschten Traffic verwendet worden. Doch es seien auch massive DDoS-Attacken denkbar.

Der Bericht schlüsselt Malware nach Typ und Region auf. In den USA etwa ist Malware relativ gleichmässig verteilt. Ein Drittel fällt in die Kategorie Ransomware, über ein Fünftel ist Mobile-Malware und die restlichen 41 Prozent sind Banking-Malware.

In EMEA- und im APAC-Raum (Asien-Pazifik) dominiert die Banking-Malware mit 56 beziehungsweise 58 Prozent. In der Region APAC ist Ransomware gemäss dem Bericht kaum ein Thema. Lediglich 9 Prozent der Malware gehörten in die Kategorie der Verschlüsselungssoftware.

Der vollständige Bericht steht online als PDF zum Download bereit.

 

Veracode zeigt Schwachstellen-Gruselkabinett

Veracode hat ebenfalls eine Security-Studie veröffentlicht. Der Sicherheitsanbieter liess sich dabei von der Jahreszeit inspirieren und präsentiert die Resultate in Form einer Infografik im Halloween-Look. Die Infografik zeigt die 10 «gruseligsten Schwachstellen», wie Veracode in einer Mitteilung schreibt. Jede Schwachstelle wird durch ein mehr oder weniger zum Thema passendes Monster aus Horror-Filmen begleitet.

Auf Platz Drei der Liste der häufigsten Schwachstellen steht «Schlechte Code-Qualität» mit 62 Prozent. Unsauber arbeitende Programmierer würden teilweise noch Debug-Code im fertigen Produkt hinterlassen und so die Sicherheit der Applikation gefährden. Die Lösung: bessere Schulungen für die Softwareentwickler.

Platz Zwei: kryptographische Probleme mit 65 Prozent. Dazu zählt Veracode etwa unsichere Verschlüsselungsalgorithmen und eine schlechte Verwaltung von Code-Schlüsseln. Da Nutzer insbesondere heikle Informationen verschlüsseln, ist es besonders problematisch, wenn hier etwas schiefgeht.

Platz Eins: Informationslecks mit 72 Prozent. Unbeabsichtigt nach aussen gelangte Informationen sind für Angreifer ein gefundenes Fressen. Mit Informationen über eine Applikation oder deren Benutzer könnten Cyberkriminelle ihre Angriffe effektiv verfeinern.

Den vollständigen Bericht können Interessierte online anfragen.

 

Und auch Scamming gibt’s jetzt als Dienstleistung

Die Sicherheitsexperten von Malwarebytes waren in der Vergangenheit gelegentlich erstaunt. Mehrfach mussten sie feststellen, dass hinter zum Teil hochkomplexen Support-Scams Cyberkriminelle stecken, die nur über eine sehr begrenzte Ahnung von IT verfügen. Computer-Analphabeten, wie Malwarebytes sie bezeichnet.

Die Sicherheitsexperten der Firma fanden etwa einen Betrüger, der sich wohl nichts dabei gedacht hatte, als er seine kriminelle Website unter seinem eigenen Namen und Handynummer registrierte. Dieser Kriminelle soll kompetent genug gewesen sein, um eine aufwendige und wartungsintensive Infrastruktur zu betreiben, die den Netzwerkverkehr im Auge behält, sich vor Suchmaschinen versteckt und sich um die Zahlungsaktivitäten kümmert?

Die Antwort auf dieses Enigma? SaaS. In diesem Fall steht die Abkürzung allerdings nicht für Software-as-a-Service sondern für Scamming-as-a-Service. Statt sich selbst die Finger dreckig zu machen, schlugen einige dubiose Gestalten einen neuen Weg ein. Sie bietet ihre Betrüger-Tools zum Verkauf an. Sofern der Kunde über eine Kreditkarte verfügt, erhält er mit diesen Paketen alles, was er braucht, um sich illegitim zu bereichern.

In der Regel werden derartige Produkte und Dienste in den Tiefen des Darkweb oder über verschlüsselte Messaging-Apps verkauft. Malwarebytes fand jedoch ein besonders dreistes Exemplar: Inboundpopaps. Nach wenigen Kontrollfragen ist die Website offen einsehbar. Darauf bewirbt der Anbieter sein Produkt – völlig ohne Zweideutigkeiten – mit dem Slogan: "Wir bieten Schadprogramme für betrügerische Zwecke".

Zu den Features zählen Lock-Screens, die den infizierten PC quasi unbrauchbar machen. Passend dazu kann der Kunde auch eine Software kaufen, die den PC wieder bereinigt sowie Trainings, die den Umgang mit den Programmen erklären.

Webcode
DPF8_12387