Was Sicherheitsexperten den Schlaf raubt

Woche 22: Die Angst vor Malware führt zu Malware

Uhr
von Coen Kaat

Cyberdiebe bestehlen erneut Cyberdiebe, chinesischer Feuerball zombifiziert Web-Browser und ein Zero-Day-Lücken kann man neu auch im Abo beziehen. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)
(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)

Die massive Wannacry-Attacke hat vergangenen Monat das Thema Ransomware wieder schmerzhaft in das Bewusstsein der Öffentlichkeit gerückt. Die Erpressersoftware befiel weltweit zahlreiche IT-Systeme, verschlüsselte die lokalen Daten und erpresste die Benutzer, wenn sie die Daten zurück haben wollten.

Das gestiegene Sicherheitsbewusstsein führt dazu, dass Nutzer in Scharen ihre Anti-Virus-Lösung aktualisieren oder erstmals überhaupt eine installieren. Genau damit rechnen jedoch die Cyberkriminellen. Denn Panik in Kombination mit Halbwissen führt zu schlechten Entscheidungen.

Aus Furcht vor Wannacry versuchen derzeit etwa einige Smartphone-Nutzer, ihr Gerät vor dem Erpresser-Schadprogramm zu schützen, wie McAfee mitteilt. Hierzu laden sie sich im offiziellen Google-Play-Store Apps herunter, die genau diesen Schutz versprechen.

Nur: Wannacry nutzte spezifisch Schwachstellen im Betriebssystem Windows aus. Die aktuelle Wannacry-Version bedroht also keine Mobile-Nutzer. Es überrascht daher auch nicht, dass die sogenannten Wannacry-Schutz-Apps gemäss McAfee allesamt Malware sind.

Manche spionieren den Nutzer lediglich aus. Andere infizieren das Gerät mit weiterer Malware. Der Sicherheitsanbieter rät daher zur Vorsicht. Nutzer sollten – auch im offiziellen Store – vor dem Download stets die Nutzerkommentare lesen und die Anzahl Downloads prüfen. Eine Anti-Virus-Lösung für das Handy empfehle McAfee ebenfalls.

Mittlerweile bietet quasi jeder Sicherheitsanbieter auch eine Mobile-Version seiner Lösung an, wie der Vergleich der Redaktion zeigt:

Das App-Angebot der verschiedenen Anbieter im Direktvergleich. Bitte im neuen Tab öffnen für die volle Auflösung. (Quelle: Netzmedien)

 

Cyberdiebe bestehlen wiedermal Cyberdiebe

Wannacry ist nicht die einzige Ransomware, die derzeit ihr Unwesen treibt. Der Sicherheitsanbieter Malwarebytes warnt aktuell vor dem Erpresserprogramm namens DMA Locker. Die Sicherheitsexperten des Unternehmens fanden dabei etwas Interessantes heraus.

Bekannt ist, dass Ransomware eine enorm niedrige Einstiegshürde für Neulinge hat. Mit Ransomware-as-a-Service können Cyberkriminelle in spe auch ohne technisches Know-how rasch Rechner infizieren und Nutzer erpressen. Diese Dienstleistungen verfügen teilweise gar über einen Ransomware-Editor, mit dem sich die gekaufte Ransomware rasch an die eigenen Bedürfnisse anpassen lässt.

Die Cyberkriminellen hinter der aktuellen DMA-Locker-Welle machten sich die Arbeit laut Malwarebytes aber sogar noch einfacher. Sie haben die Ransomware vermutlich gestohlen. Für die Opfer sei dies aber eine gute Nachricht.

Die gestohle DMA-Locker-Version basiere nämlich auf einer einzigen Original-Instanz der Ransomware DMA Locker 3.0. Sie hat daher eine identische Benutzeroberfläche – und auch den gleichen Entschlüsselungs-Code! Malwarebytes besitzt nach eigenen Angaben diesen Code und bietet ihn Betroffenen an.

 

Chinesischer Feuerball zombifiziert Web-Broswer

Die Sicherheitsexperten von Check Point warnen derweil vor einer anderen Bedrohung: Fireball. Die Malware soll bereits 250 Millionen Rechner weltweit infiziert haben. Fireball kann auf einem infizierten Rechner beliebigen Code ausführen. Diese Fähigkeit nutzt das Schadprogramm, um den installierten Web-Browser zu kapern.

Die Malware manipuliert anschliessend den Web-Traffic ihrer Opfer. Zu diesem Zweck kann sie Plug-ins installieren oder den Web-Browser konfigurieren. Sie ändert unter anderem die Standard-Suchmaschine, sodass die Nutzer stattdessen manipulierte Suchanfragen erhalten.

Zudem installiert die Malware sogenannte Tracking-Pixel. Diese sammeln private Daten der Opfer. Das Ziel hinter all diesen Massnahmen: Werbeeinnahmen durch Klicks auf die Werbeinhalte generieren. Hinter der Malware steckt gemäss Check Point die Digital-Agentur Rafotech mit Sitz in der chinesischen Hauptstadt Beijing.

Fireball habe aber das Potenzial, eine viel grössere Bedrohung zu werden, schreibt Check Point. Die erschnüffelten Daten könnten etwa auch für andere Zwecke missbraucht werden. Denkbar sei etwa, dass die Malware nicht bloss Plug-ins installiere, sondern gravierende Schadprogramme. Damit könnte Fireball nicht bloss den Web-Browser, sondern den ganzen Rechner übernehmen.

 

Und das Schnäppchen der Woche: Zero-Day-Lücken im Abo

Die cyberkriminelle Gruppierung Shadow Brokers hatte vergangenen August bereits für Aufsehen gesorgt. Die Gruppe veröffentlichte eine Reihe von Sicherheitslücken und Hacking-Tools. Diese stammten von der CIA, dem Auslandgeheimdienst der USA. Darunter war auch die Sicherheitslücke, die Wannacry ausnutzte, um Windows-Rechner zu infizieren.

Nun hat sich die Gruppe zurückgemeldet: sie startet einen Abo-Dienst, wie The Register berichtet. Kostenpunkt: rund 21'000 US-Dollar pro Monat. Zahlbar in der Kryptowährung namens "Zcash". Laut der Mitteilung der Gruppe könnte sie aber jederzeit auf eine andere Währung wechseln.

Dafür erhält der Kunde Zugriff auf einen monatlichen Feed. In diesem will die Gruppe sogenannte Zero-Day-Lücken veröffentlichen. Dabei handelt es sich um Sicherheitslücken, für die noch kein Patch bereitsteht. Wem Preis Leistung am Herzen liegt, der gehört gemäss der Gruppe aber nicht zum Zielpublikum. Denn was im Feed jeweils konkret drin stehen werde, wisse die Gruppe auch noch nicht.

Für Sicherheitsexperten und -anbieter dürfte der Feed gewiss interessant sein. Einige werden wohl darauf eingehen wollen, um auf dem neuesten Stand zu bleiben. Dies sollten sie sich jedoch genau überlegen, wie es in dem Bericht von The Register heisst. Denn damit würden sie de facto eine kriminelle Gruppe finanziell unterstützen, die US-amerikanische Staatsgeheimnisse veröffentlicht hat.

Aus just dem Grund hat ein Crowdfunding-Projekt bereits aufgegeben, wie Bleepingcomputer berichtet.

Tags
Webcode
DPF8_43790