Woche 33

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr | Updated
von Coen Kaat

Cloud-Hype erfasst Ransomware, 2,3 Millionen US-Dollar-Umsatz mit Cerber und Quadrooter-Profiteure entlarvt: Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

Ende Juni ist Locky nach kurzer Auszeit zurückgekehrt. Hinter der Erpressersoftware stecken dieselben Macher, die auch den Banking-Trojaner Dridex verursacht haben. Deswegen warnten die Sicherheitsexperten von Proofpoint schon damals vor einer Rückkehr des Banking-Trojaners. Nun hat Dridex wieder zugeschlagen – mit extremer Präzision. Er attackiert nicht mehr wahllos, sondern spezifisch Nutzer in nur einem einzigen Land: die Schweiz.

Dridex wird per Mailkampagnen und in der Regel über infizierte Microsoft-Office-Dokumente verteilt. In den letzten zwei Monaten beschränkten sich diese auf etwa 1000 Mails pro Kampagne. Am 15. und 16. August erfolgte jedoch eine Kampagne mit mehreren 10'000 infizierten Mails. Betroffen waren in erster Linie die Industrie und der Finanzsektor.

Im Vergleich zu früheren Attacken in Millionenhöhe handelt es sich dabei zwar um eine kleine Kampagne. Allerdings gehen die Sicherheitsexperten davon aus, dass die geringe Anzahl auf einen grösseren Aufwand bei der Zielauswahl schliessen lässt. Die Drahtzieher könnten hinter fetterer Beute her sein und die gestohlenen Informationen effektiver verwerten.

Wie Melani schreibt, suchte Dridex in der aktuellen Kampagne nach der Infektion nach Offline-Zahlungssoftware auf dem Rechner. Fand der Trojaner wonach er suchte, probierte er, gleich mehrere Zahlungen an ausländische Empfänger auszulösen.

Proofpoint listet online verschiedene Beispiele der aktuellen Dridex-Kampagnen und Melani die Software-Hersteller, nach denen Dridex auf dem System sucht.

Juniper bringt Cyberkriminelle auf Ideen

Wo man derzeit auch hinsieht, überall finden sich Meldungen zu Ransomware. Die erpresserische Malware mauserte sich mittlerweile zu einer beliebten Methode für Cyberkriminelle, die schnell an Geld wollen. Das Problem betrifft nicht nur Windows-Geräte, wie etwa die Entdeckung von Keranger zeigt.

Generell greift Ransomware nur einzelne Endnutzer und ihre Systeme an. Die Verbreitung von User zu User ist gering, da die Malware über Browser-Exploits oder infizierte Software-Updates auf den Rechner gelangt.

Den Sicherheitsexperten von Juniper Networks wird dies wohl langsam langweilig. In einem Unternehmensblog beschreibt Roman Sinayev äussert detailliert und mit vielen Grafiken ein hypothetisches Szenario, wie Ransomware auch für ein vernetztes Unternehmen zur ernsten Bedrohung werden könnte. Sinayev ist Security Intelligence Software Engineer beim Netzwerkausrüster.

Um sich vor einer Ransomware-Attacke zu schützen, sichern Unternehmen ihre Daten mit regelmässigen Back-ups. Diese Sicherungskopien liegen heutzutage oft in der Cloud – unberührt, selbst wenn der Rechner gesperrt wird.

Aber: Einmal auf dem Rechner, haben die Programmierer der Malware kompletten Zugang auf die Maschine. Wenn der Nutzer die Daten in der Cloud löschen oder überschreiben kann, dann kann das auch die Malware. Ransomware wird cloudfähig.

Hierzu müssten die Angreifer jedoch auch ihre Taktik ändern. Statt zu infizieren und sperren müssten sie die Ransomware zunächst im Unternehmensnetz streuen. So dass auch Nutzer mit erweiterten Befugnissen infiziert werden.

Zwar sei noch kein Unternehmen erfolgreich auf diese Weise attackiert worden, heisst es in dem Block. Doch möglich sei es und auch durchaus einfach auszuführen. Um sich zu schützen, rät Juniper unter anderem zu Offline-Back-ups.

2,3 Millionen mit Ransomware-as-a-Service

Check Point hat den Cybercrime einer Wirtschaftsprüfung unterzogen. Die Sicherheitsexperten warfen einen Blick auf Cerber. Hinter dem Namen steckt "das grösste aktive Ransomware-as-a-Service-Franchise der Welt", wie Check Point mitteilt. Cerber zeige, wie gut cyberkriminelle Gruppen mittlerweile organisiert sind.

Demnach laufen derzeit 161 verschiedene Kampagnen, die Cerber verbreiten. Täglich werden laut Mitteilung acht neue Kampagnen lanciert. Für 2016 erwartet Check Point daher einen Umsatz von 2,3 Millionen US-Dollar - mit dieser spezifischen Ransomware allein.

Der Grund für die Popularität liege in der Nutzerfreundlichkeit. IT-Kenntnisse sind nicht erforderlich, das Benutzerhandbuch ist verständlich geschrieben und in zwölf Sprachen erhältlich. Sollten trotzdem Fragen auftauchen, stehe den Nutzern auch eine Support-Hotline zur Verfügung.

Check-Point-Kunden sollen aber gegen sämtliche Varianten von Cerber geschützt sein, verspricht das Unternehmen. Den gesamten Bericht können Interessierte online lesen. Wie Betroffene mit einer Infektion umgehen sollten, steht hier.

Für ihren Bericht beobachteten die Sicherheitsexperten den Command-and-Control-Server hinter der Ransomware. So erhielten sie Einblick in Bezahlungen und Transaktionen der Opfer sowie die Umsätze und den Kapitalfluss der Angreifer.

Eset entlarvt Quadrooter-Profiteure

In der ersten August-Woche hatte Check Point Smartphone-Nutzer auf eine neue Bedrohung aufmerksam gemacht. Diese heisst Quadrooter. Hinter dem Namen verbergen sich insgesamt vier Schwachstellen in den Treibern für die LTE-Chips von Qualcomm. Laut Check Point betrifft die Sicherheitslücke über 900 Millionen Android-Geräte.

Die Sicherheitsexperten von Eset haben nun im Google Play Store bösartige Apps entdeckt, die diese Schwachstelle ausnutzen wollen. Die Apps geben vor, Patches zu sein, mit denen der Nutzer die Sicherheitslücke beheben könne. Einer der Apps war sogar kostenpflichtig, wie Eset mitteilt.

Die Apps heissen "Fix Patch Quadrooter" und stammen vom Entwickler Kiwiapps. Wer ihn installiert, erhält aber kein Lückenfüller, sondern unerwünschte Werbung. Da es sich aber angeblich um einen Patch handelt, würden Nutzer der Fake-App ganz selbstverständlich tiefgreifende Reche gewähren, wie Eset schreibt. Mit diesen Rechten wären die Apps auch zu grösserem Übel fähig.

"Da die bösartigen Apps glücklicherweise sehr schnell aus dem Google Play Store gelöscht wurden, haben nur sehr wenige Android-Nutzer einen unmittelbaren Schaden durch deren Installation erlitten", lässt sich Thomas Uhlemann, Security Specialist bei Eset, in der Mitteilung zitieren.

Eset schreibt in seiner Mitteilung vom 15. August, dass derzeit noch kein Patch verfügbar sei. Qualcomm teilte jedoch eine Woche zuvor mit, seinen Partnern und Kunden Patches zur Verfügung gestellt zu haben.

Webcode
9456