Trend Micro - Securing Your Journey to the Cloud

one site fits all

Ein bedrohlicher Trend: Neue Hackerangriffe auf öffentliche Technologien

Wenn wir die Vorfälle des letzten Quartals als Indikation heranziehen, sieht es so aus, als könnten wir uns einer neuen Bedrohungswelle ausgesetzt sehen, die Menschen direkter betrifft als je zuvor. Angreifer finden ständig neue Sicherheitslücken, die sie ausnutzen können, sei es in öffentlich zugänglichen Technologien oder neuen Entwicklungen im Internet der Dinge. Mit dieser nahenden Bedrohungsflut tauchen auch neue cyberkriminelle Drahtzieher auf, unabhängige Akteure, die einfache Malware einsetzen, um regionale Operationen im großen Stil durchzuführen. Diese Herausforderungen bleiben, auch wenn Strafverfolgungsbehörden große Fortschritte im Kampf für Cybersicherheit machen.


Neue Technologie-Hacks verursachen Chaos in öffentlichen Einrichtungen

In der Vergangenheit wurden ja bereits automatisierte Transportsysteme zum Ziel von Cyberangriffen. Inzwischen besteht auch die Möglichkeit von Bedrohungen im Flugverkehr. Der erste Vorfall ereignete sich, als Sicherheitsforscher Chris Roberts Nachrichten twitterte, die vermuten ließen, er mache sich an den Bordsystemen der 737/800 Maschine zu schaffen, in der er sich zu dem Zeitpunkt befand. Auf diesen Vorfall folgte ein DDoS-Angriff auf den Chopin-Flughafen in Warschau, der dafür sorgte, dass über 1400 Passagiere von LOT Polish Airlines am Boden bleiben mussten.

[Lesen Sie: Mile High Hacking: Sollten Sie sich Sorgen machen? (engl.)]

Als nächstes traf es Router, und zwar solche von Privatanwendern. Unsere Forscher haben vermehrt Angriffe festgestellt, bei denen DNS-Changer-Malware zum Einsatz kam. Der Großteil derartiger Infektionen wurde in Brasilien, Japan und den USA verzeichnet. Mit 81 % der Infektionen lag Brasilien mit Abstand an der Spitze. Ziel dieser Angriffe war es, über Malware persönliche Daten von Geräten zu entwenden, die mit dem Router verbunden sind.

[Lesen Sie: DNS-Changer-Malware nimmt Router ins Visier (engl.)]

Ziel dieser Angriffe war es, über DNS-Changer-Malware persönliche Daten von Geräten zu entwenden, die mit dem Router verbunden sind. Wie der Name schon vermuten lässt, manipuliert DNS-Changer-Malware die DNS eines Routers so, dass mit dem Router verbundene Geräte nur noch bösartige Versionen von Websites laden, auf denen sich der Benutzer anmelden will. Davon sind auch Banking-Websites betroffen. DNS-Changer-Malware ist zwar keine neue Erfindung, doch ihre Bedeutung nimmt zu, da Haushalte und Unternehmen immer stärker mit dem Internet der Dinge vernetzt sind.

[Lesen Sie: DNS-Changer-Malware nimmt Router ins Visier (engl.)]

Anfang April kam es schließlich zu einem Angriff auf den französischen Fernsehsender TV5 Monde, der dessen Netzwerk außer Gefecht setzte und alle Übertragungen für vier Stunden lahmlegte. Die Angreifer kaperten auch die sozialen Netzwerkkonten von TV5 Monde, um darüber Propaganda zu posten und gar die persönlichen Daten von Angehörigen französischer Soldaten offenzulegen, die an militärischen Operationen beteiligt sind.

[Lesen Sie: Der Angriff auf TV5 Monde: Vier Stunden, die die Welt veränderten (engl.)]



Diese Vorfälle zeigen deutlich, dass Cyberkriminelle sich längst nicht mehr nur auf Desktops und Mobilgeräte konzentrieren, sondern ihre Ziele auf öffentliche Infrastrukturen und Geräte erweitern, auf deren Sicherheit wir uns für gewöhnlich verlassen.


Wie in jedem anderen System gibt es auch in Flugzeugsystemen Bugs. Kein von Menschen konstruiertes System ist vollkommen fehlerfrei. Es ist die Aufgabe der Behörden und Aufsichtsorgane, dafür zu sorgen, dass Anbieter von Flugzeug- und IFE-Systemen die Sicherheit ihrer Systeme nachweisen und bekannte Schwachstellen sofort beheben, anstatt sie zu verschleiern. Wer weiß, vielleicht wurden die verwendeten Systeme ja robust und sicher entwickelt und sind in der Lage, Angreifer abzuwehren. - Martin Rösler, Senior Director, Threat Research

Cyberkriminelle Einzeltäter in verschiedenen Regionen entlarvt; Ransomware und PoS-Malware bleiben ein Problem

Im zweiten Quartal sind wir häufig auf cyberkriminelle Einzeltäter gestoßen. Frapstar, ein kanadischer Akteur, hat aus dem Verkauf persönlicher Daten Profit geschlagen. In Brasilien schlug LordFenix mit einer ganzen Horde selbst erstellter Banking-Trojaner zu, jeder sicher über 300 US-Dollar wert. AlejandroV wiederum entwendete 22.000 Kreditkartennummern mit seiner PoS-Malware „FighterPoS“.

[Lesen Sie: FighterPoS: Der Kampf gegen eine neue PoS-Malware-Familie (engl.)]

Etwa zur selben Zeit tauche eine weitere neue PoS-Malware auf: MalumPoS. Die Malware wurde entdeckt, als sie Informationen von Oracle MICROS Systemen entwendete. Das bedeutete, dass 330.000 Einrichtungen weltweit für diese Malware angreifbar waren, überwiegend in den USA.


Anzahl der Entdeckungen von PoS-Malware (Q1 2014–Q2 2015)

Die leichte Abnahme bei PoS-Malware könnte daher stammen, dass sich langsam eine Sättigung dieser Bedrohung einstellt.
Das jüngste Wiederaufflammen der Bedrohung in der ersten Jahreshälfte könnte eine verzweifelte Anstrengung gewesen sein, auch noch den letzten Profit herauszuholen.



[Lesen Sie: Trend Micro entdeckt MalumPoS (engl.)]

Ein cyberkriminelles Duo aus Nigeria nutzte einen simplen Keylogger namens HawkEye (für 35 US-Dollar erhältlich), um weltweit Angriffe auf Kleinunternehmen durchzuführen, verstärkt in Indien, Ägypten, Iran, Pakistan, Taiwan, Hongkong, Russland, Frankreich, Deutschland und den USA.

[Lesen Sie: Wie zwei Cyberkriminelle mit 35-Dollar-Malware Millionen scheffelten (engl.)]


Ransomware-Ausbrüche nach Region (Juni 2015)

Betroffene Länder
Der Kalender zeigt Hinweise darauf, dass Ransomware in bestimmten Ländern verbreitet werden soll.
Auch TorrentLocker- und CryptoWall-Varianten waren dabei.


Das Aufkommen von Ransomware war in diesem Quartal besonders hoch. Allein im Juni konnten wir fast täglich Ausbrüche von TorrentLocker und CryptoWall beobachten, unter anderem in den USA, dem Vereinigten Königreich, Südkorea und China. Wir konnten sogar einige Teenager in China dabei beobachten, wie sie aus mobiler Ransomware Gewinne geschlagen haben.


Von Malware-Angriffen betroffene Länder im 2.  Quartal 2015



HawkEye
Gebiet Anzahl
Indien 1,8
Ägypten 1,8
Iran 1,8
Pakistan 1,8
Taiwan 1,8
USA 1,8
Hongkong 1,8
Russland 1,8
Frankreich 1,8
Deutschland 1,8
LordFenix
Gebiet Anzahl
Brasilien 2,3
Argentinien 0
Mexiko 0
Frapstar
Gebiet Anzahl
Kanada 4
USA 4
EMOTET
Gebiet Anzahl
Deutschland 2,3
Niederlande 0
Italien 0
Chinesische mobile Ransomware
Gebiet Anzahl
China 4
Mongolei 0
Thailand 0
TorrentLocker
Gebiet Anzahl
Australien 1,1
Türkei 1,1
Frankreich 1,1
Deutschland 1,1
Italien 1,1
Neuseeland 1,1
Polen 1,1
Spanien 1,1
Taiwan 1,1
Vereinigtes Königreich 1,1
USA 1,1
TorrentLocker
Gebiet Anzahl
Australien 1,1
Taiwan 1,1
Südkorea 1,1
Japan 1,1
Frankreich 1,1
Indien 1,1
Kanada 1,1
Vereinigtes Königreich 1,1
USA 1,1


In Zukunft werden wir wahrscheinlich alte und neue Bedrohungen verschmelzen sehen, die ein und dasselbe Ziel verfolgen. Sicherheitsexperten müssen neu entstehende Bedrohungen angehen, während sie sich um bekannte Bedrohungen kümmern und gleichzeitig auch ein Auge auf gezielte Angriffe haben. Ich würde eine klare Abwehrstrategie empfehlen. Einerseits müssen bestimmte Ereignisse eines Hosts genau unter die Lupe genommen werden, andererseits müssen sie mit Netzwerkereignissen in Verbindung gebracht werden können. - Jay Yaneza, Bedrohungsanalyst

Strafverfolgungsbehörden feiern Erfolge, nachdem Behörden Sicherheit zur Priorität machten

Einige der Erfolge in diesem Quartal wurden durch öffentlich-private Partnerschaften ermöglicht. Trend Micro unterstützte sowohl Interpol als auch Europol bei der Zerschlagung zweier berüchtigter Botnetze: SIMDA und BEEBONE. Die Fortsetzung dieser Erfolgsgeschichte war die Verurteilung von Silk Road-Schöpfer Ross Ulbricht im Mai. Seine Gerichtsverhandlung brachte Licht in die dubiosen Schwarzmarktmachenschaften im Deep Web. Das aufgedeckte Angebot reichte von gefälschten Reisepässen bis hin zu Auftragskillern.


[Lesen Sie: Unter der Oberfläche: Die Erforschung des Deep Web (engl.)]

Auch erwähnenswert sind die enormen Fortschritte in Sachen Sicherheit und Gesetzesänderungen für besseren Datenschutz. Der größte Durchbruch gelang in den USA mit der Unterzeichnung des Freedom Act und der Anordnung, dass alle offiziellen Behörden-Websites HTTPS nutzen müssen.


Das größte Problem, dem sich die Gesetzgeber angesichts der Cyberkriminalität gegenüber sehen, ist ihre rasante Entwicklung. Die meisten Gesetze brauchen 3 bis 5 Jahre, bis sie in Kraft treten. Daher sind allgemeine Gesetze, die bereits seit Jahren existieren, besonders relevant. So konnten beispielsweise in den USA erfolgreiche Festnahmen nach dem Vorwurf organisierter Bandenkriminalität stattfinden. Diese Gesetze sind nicht konkret auf Cyberverbrechen ausgelegt, trugen aber zu Erfolgen bei. Es wäre gut, wenn Gesetze weltweit vereinheitlicht würden.

Letztendlich ist das Internet eine globale Angelegenheit. Und damit auch die Cyberkriminalität. Es wäre deutlich einfacher, Täter zu verurteilen, wenn in Deutschland genau die gleiche Gesetzeslage herrschte wie in Irland oder Frankreich, was das Hacken von Servern angeht. Es gäbe deutlich weniger Komplikationen bei solchen Vorfällen. Außerdem ist es wichtig, innerhalb öffentlich-privater Partnerschaften für eine einfachere Kommunikation zu sorgen. Dann können Strafverfolgungsbehörden und Sicherheitsforscher effektiver Informationen austauschen. - Robert McArdle, Senior Threat Research Manager

Was die nationalen und politischen Auswirkungen anbelangt, war der Datenverlust beim OPM der bisher größte Vorfall

Im Juni wurde das United States Office of Personal Management Ziel einer Reihe von Angriffen, durch welche die persönlichen Daten von mehr als 21 Millionen aktuellen und früheren Staatsbediensteten, einschließlich ihrer Familienmitglieder und abgelehnter Bewerber, für Unbefugte zugänglich wurden. Die Daten umfassten die Sozialversicherungsnummer der Arbeitnehmer und sogar Fingerabdrücke.

[Lesen Sie: Föderaler Datenverlust: der schlimmste, den es je gab (engl.)]

Der IRS (Internal Revenue Service) wurde ebenfalls Opfer eines Datensicherheitsverstoßes, bei dem Unbefugte Zugriff auf Datensätze von 100.000 Steuerzahlern erlangten. Die Angreifer zapften die Daten über eine infizierte Webanwendung des IRS ab.


Gemeldete bedeutende Datensicherheitsverstöße (2.  Quartal 2015)

Ort

Japanische Pensionskasse

Gemeldet am: 1.  Juni 2015
Branche: Rente/Pension
Auswirkung: 1 Mio.  Opfer (persönliche Daten, einschl. Sozialversicherungsnummern)

OPM, Washington DC

Gemeldet am: 4.  Juni 2015
Branche: Behörde
Auswirkung: 21,5 Mio.  Opfer (Sozialversicherungsnummern)

Juni 2015
Ort

CareFirst BlueCross BlueShield, Baltimore, Maryland

Gemeldet am: 20.  Mai 2015
Branche: Gesundheitswesen
Auswirkung: 1,1 Mio.  Opfer

IRS, Washington DC

Gemeldet am: 26.  Mai 2015
Branche: Behörde
Auswirkung: 100.000 Opfer

Mai 2015
Behörden waren in diesem Quartal das Hauptangriffsziel. Der größte Vorfall war bis heute der Angriff auf das OPM, bei dem sich Unbefugte Zugriff auf über 20 Millionen Datensätze verschafften.

Quelle: https://www.privacyrights.org/data-breach

In mancher Hinsicht ist die ungewollte Veröffentlichung persönlicher Daten gefährlicher, denn meine Kreditkartendaten kann ich leicht ändern – meine Adresse dagegen nur, indem ich umziehe. Ebenso wenig kann ich mein Geburtsdatum ändern. Personenbezogene Daten identifizieren nicht nur den Anwender, sondern lassen sich häufig nur schwer oder gar nicht ändern. - Raimund Genes, Chief Technology Officer

Aktuelle Angriffe auf Behörden verdeutlichen die politischen Motive hinter den gezielten Kampagnen

Das Weiße Haus und Mitglieder der NATO wurden die jüngsten Ziele der sogenannten „Operation Pawn Storm“, einer wirtschaftlichen und politischen Cyberspionage-Kampagne, die Trend Micro im letzten Jahr aufdeckte. Inzwischen fielen auch Behörden auf den Philippinen und in Taiwan zwei weiteren gezielten Angriffskampagnen zum Opfer: Tropic Trooper und ESILE.

[Lesen Sie: Operation Pawn Storm schaltet einen Gang hoch und nimmt die NATO und das Weiße Haus ins Visier (engl.)]

Länder, die sich bemühten, die nukleare Entwicklung des Iran zu stoppen, wurden zum Ziel von Duqu 2.0-Angriffen, die mehrere Zero-Day-Schwachstellen ausnutzten. Andere Bedrohungsakteure wiederum verwendeten Makro-Malware in gezielten Angriffskampagnen, wie z.  B.  GHOLE. Dies könnte auch die stetige Zunahme von Makro-Malware im letzten Quartal erklären.


Erkennung von Makro-Malware (2014 – 1.  Hälfte 2015)

Die Erkennung von Makro-Malware nahm von Quartal zu Quartal leicht zu, höchstwahrscheinlich aufgrund der zunehmenden Nutzung von Malvertising, das bei Angriffen zu Makro-Malware-Download-Seiten führte.


Klassisch gesehen sind gezielte Angriffe auf politische Ziele und Unternehmen ziemlich ähnlich. Es gibt jedoch einige kleinere Unterschiede in Bezug auf die Motivation und das Endergebnis. Politische Angriffe sind mitunter eher dafür bekannt, Zero-Day-Exploits in Verbindung mit herkömmlichen Angriffswegen zu nutzen. Angriffe auf Unternehmen verwenden dagegen gewöhnlich „Standard“-Methoden, da sie fast immer auf dem Faktor Mensch beruhen, dem schwächsten Glied in der Kette. - Kyle Wilhoit, Senior Threat Researcher

Sekundäre Infektionen sind aufgrund von drei bedenklichen Phänomenen im Aufschwung. 1.  Phänomen: Immer mehr Hacker greifen die Informationszulieferkette von Unternehmen an und nutzen dabei das sogenannte Island Hopping (Inselspringen), um interne Hosts zu infizieren. 2.  Phänomen: Nach einer Infektion ermöglicht die Verwendung von Steganographie das Einrichten eines zweiten C&C-Kanals innerhalb des infizierten Systems. Damit kann der Gegner etwaigen Reaktionen auf Vorfälle effektiv entgegenwirken. 3.  Phänomen: Sobald der Angreifer geistiges Eigentum oder personenbezogene Daten gestohlen hat, wird die Marke des Unternehmens dafür verwendet, den Kundenkreis des Unternehmens mit Hilfe von Watering-Hole-Angriffen anzugreifen. Dieses Vorgehen ist im ersten Halbjahr 2015 exponentiell gewachsen. - Tom Kellermann, Chief Cybersecurity Officer


Sicherheitslücken bedrohen öffentlich zugängliche Websites und Mobilgeräte



Im April wurde die Blogger-Plattform WordPress über eine Sicherheitslücke angegriffen, die es Angreifern ermöglichte, bösartigen JavaScript-Code in das Browser-Fenster des Administrators einzufügen. Magento, eine E-Commerce-Plattform, die von eBay und über 240.000 anderen Online-Shopping-Websites weltweit genutzt wird, wurde anschließend von einem Angriff auf eine Sicherheitslücke heimgesucht, die Ende Juni bekannt wurde. Die riesige Anwenderbasis dieser Webanwendungen beweist, dass Schwachstellen auf diesen Plattformen genauso gefährlich sind wie die in herkömmlicher Software.

[Lesen Sie: eBays E-Commerce-Plattform Magento Opfer von Kreditkartendiebstahl (engl.)]

Auch auf mobilen Plattformen gab es einige Sicherheitslücken, wie z. B. die SwiftKey Android-Schwachstelle, über die Angreifer die Kontrolle über das Mobilgerät des Anwenders übernehmen können. Es wurde bereits ein Patch veröffentlicht, der aber nicht auf sämtlichen Android-Versionen funktioniert, weshalb er nicht auf alle betroffenen Geräte verteilt werden kann. Große Sicherheitslücken wurden auch in den Anwendungs-Sandboxes gefunden, die OS X- und iOS-Systeme schützen.



Angreifer nutzen Schwachstellen auf allen Plattformen aus. Ein Schlupfloch zum Hineinkommen ist alles, was sie brauchen. Unternehmen müssen daher hinsichtlich Sicherheitslücken in der Kernsoftware und den verwendeten Plugins sehr aufmerksam sein. Ein gezieltes und kontinuierliches Schwachstellenbewertungsprogramm muss mit einem Konfigurationsbewertungsprogramm ergänzt werden. Obwohl Schwachstellen in Standardsoftware wie Flash, Java, Firefox und Internet Explorer® als Maßstab für die Bedrohungslandschaft verwendet werden, sollten wir nicht vergessen, dass es auch eine sehr hohe Anzahl an Sicherheitslücken in kundenspezifischen Anwendungen (hauptsächlich Webanwendungen) gibt und es viele davon nicht auf die CVE-Liste schaffen. Kundenspezifische Anwendungen müssen auch individuell geprüft werden. Ein guter Penetrationstest für solche Anwendungen zahlt sich immer aus! - Pawan Kinger, Director, Deep Security Labs

Angler Exploit Kit-Zugriffe verdreifacht, schnellere Integration von Exploits in Kits deutlich

Mit dem Bekanntwerden von immer mehr Schwachstellen wurden auch Exploit-Kits schnell aktualisiert, um sie mit aufzunehmen. Das Angler Exploit-Kit ist ein Paradebeispiel dafür. Es war das erste Exploit-Kit, das Schwachstellen fast so schnell integrierte, wie sie bekannt wurden. Dies könnte die Zunahme seiner Infektionszahlen vom 1. bis 2. Quartal 2015 und den Höchststand beim Zugriff von Anwendern auf Exploit-Kit-bezogene URLs zwischen Mai und Juni erklären. Angler ist neben anderen Exploit-Kits wie Nuclear und Magnitude insbesondere für seine Verwendung von verschiedenen Adobe Flash Player-Exploits bekannt.


Zeitplan von Adobe Flash-Schwachstellen, die in Exploit-Kits integriert wurden, 2. Quartal 2015


Seit beginn des Jahres wurden Exploits für Adobe Flash-Schwachstellen in immer mehr Exploit-Kits (insbesondere Angler) integriert.



Die Entwickler des Angler Exploit-Kits fügen stetig neue Adobe Flash-Exploits hinzu. Genauso energisch und aggressiv gehen die Entwickler der Magnitude und Nuclear Exploit-Kits vor. Wir müssen diese Agilität weiterhin genau im Auge behalten und untersuchen, um unsere Kunden noch besser zu schützen. - Joseph C. Chen, Threats Analyst

Bedrohungslandschaft

Das Trend Micro Smart Protection Network™ hat im vergangenen Quartal über 12 Milliarden Bedrohungen abgewehrt. Im Vergleich zu 14 Milliarden abgewehrten Bedrohungen im ersten Quartal war also ein leichter Rückgang zu verzeichnen. Der Grund dafür liegt möglicherweise in der Tatsache, dass Cyberkriminelle inzwischen nach dem Motto „Klasse statt Masse“ handeln und ihre Angriffe stärker fokussieren, anstatt möglichst viele Opfer zu infizieren.

Gesamtzahl der abgewehrten Bedrohungen

Q2 2015

Erkennungsrate (Zahl der pro Sekunde abgewehrten Bedrohungen)

Q2 2015

Unter diesen Bedrohungen waren SALITY (88.000), DOWNAD/CONFICKER (77.000) und GAMARUE (58.000) die drei führenden Malware-Familien. SALITY-Varianten sind für ihre ernsthaft schädigenden Routinen bekannt, zu denen unter anderem die Verbreitung infizierter .EXE- und .SCR-Dateien gehört. DOWNAD-/CONFICKER-Varianten sind bekannt dafür, Sicherheitslücken hartnäckig auszunutzen und sich schnell zu verbreiten. GAMARUE-Varianten sind in der Lage, Daten zu stehlen und Systeme zu kapern, über die sie Angriffe auf weitere Systeme starten.


Die gängigsten Malware-Familien

*basierend auf der Erkennung auf PCs

Die Gesamtzahl der bösartigen und hochriskanten Android-Apps ist auf etwa 7,1 Millionen gestiegen. Das ist ein Anstieg um 31 % im Vergleich zum 1.  Quartal 2014 (5,4 Millionen).

VOLLSTÄNDIGEN BERICHT HERUNTERLADEN


Ein bedrohlicher Trend: Neue Hackerangriffe auf öffentliche Technologien