TrendLabs Bericht zur Sicherheitslage im 3. Quartal 2013

In den letzten Monaten machten eine Menge Nachrichten zur Cyberkriminalität die Runde. Dazu gehörten die Schließung von Liberty Reserve, dem illegalen System für digitale Währung, aber auch des Online-Schwarzmarkts Silk Road. Die Verhaftung des mutmaßlichen Autors des Blackhole Exploit Kits im Oktober führte vor, dass Cyberkriminalität ein Geschäft ist, das unmittelbar unter unseren Augen floriert.

Die Cyberkriminellen nutzten auch dieses Quartal, um ihre Techniken weiter zu verfeinern. In einigen Teilen der Welt, wie in den Vereinigten Staaten und Japan, nahmen die Infektionen von Online Banking-Konten mit Schadsoftware zu. Zudem erhielten die Sicherheitsforscher einen kurzen Einblick in die Ausmaße der kompromittierten Sites. Die Untersuchung von BKDR_FIDOBOT ergab, dass der Backdoor-Schädling beim Angriff auf mehr als 17.000 Domänen an einem Tag genutzt wurde. Des Weiteren haben die Kriminellen das Handling der Schadsoftware verbessert, beispielsweise nutzt EXPIRO Styx Exploit Kit und MEVADE das TOR (The Onion Router ) Netzwerk.

Auch von der mobilen Front gibt es Neuigkeiten: Die Zahl der bösartigen und hochriskanten Android-Apps hat - wie vorhergesagt - die Millionenmarke geknackt. Ein Großteil dieser gefährlichen Apps zeigten sich entweder als gefälschte oder mit einem Trojaner versehene Versionen beliebter Apps.

Internet Explorer®- und Java-Sicherheitsprobleme setzten auch in den letzten Monaten Computer Risiken aus, und die Sicherheitsforscher entdeckten auch eine Reihe von Zero-Day-Exploits. Dokumenten-Exploits blieben weiterhin das am häufigsten eingesetzte Mittel in Spear-Phishing-Angriffen. Die Experten entdeckten Verbesserungen in der Sykipot-Schädlingsfamilie, die nun auf Informationen aus der zivilen Luftahrt abzielt.

PDF HERUNTERLADEN




Trend Micro, der international führende Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet- Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. Zusätzliche Informationen unter www.trendmicro.de.



Copyright © 2013 Trend Micro Incorporated.
All rights reserved.

9

Das unsichtbare Web enttarnt
TrendLabs Bericht zur Sicherheitslage im 3. Quartal 2013

Effiziente, nicht entdeckte Aktionen sind auch in diesem Quartal das beherrschende Bedrohungsthema.

Die Zahl der bösartigen und hochriskanten Android-Apps hat - wie vorhergesagt - die Millionenmarke geknackt. Interessanterweise wurden die meisten Apps außerhalb der App-Stores gefunden.

Als Erfolg wiederum lässt sich die Tatsache verbuchen, dass die Polizeibehörden den berüchtigten Online-Schwarzmarkt "Silk Road" schließen konnten. Infolgedessen mussten die Kriminellen illegale Marktplätze der Öffentlichkeit preisgeben, die vorher versteckt im Deep Web betrieben wurden.

Die Bedrohungen dieses Quartals erinnern Anwender und Unternehmen gleichermaßen daran, vorsichtig zu agieren. Auch wenn Cyberkriminelle und Angreifer unsichtbar bleiben, so sind sie doch permanent in Bewegung.

PDF HERUNTERLADEN

Bösartige, hochriskante Apps
knacken Millionenmarke

Wie von Trend Micro vorher gesagt, erreichte die Zahl der bösartigen und hochriskanten Apps die Millionenmarke. Das bedeutet einen Anstieg um 39% im Vergleich zum letzten Quartal. Vier von fünf (80%) hochriskanten Apps führen bösartige Routinen aus, während die verbleibenden 20% hochriskante Routinen wie die in Adware besitzen.

Die Chance, in einem App Store auf bösartige und hochriskante Apps zu treffen, stand bei 1 zu 4.

Die verbleibenden gefährlichen Apps wurden auf Sites angeboten und konnten die Geräte der Nutzer infizieren, wenn diese es am wenigsten erwarteten.

So genannte Premium Service Abusers beherrschten weiterhin den Bereich der mobilen Schadsoftware. Der Informationsdiebstahl FAKEINST (34%) und Herunterladen von Malware OPFAKE (30%) standen ganz oben auf der Liste.

Neue Technologien und Methoden
des Identitätsdiebstahls
definieren „Identitätskrise“ neu

Die jüngsten Ereignisse und Bedrohungen rund um soziale Medien und persönliche Informationen trugen zum Wiederaufleben der Diskussion um Datensicherheit und der Online-Identität bei.

Neue Online-Konten-Managementtechnologie wie der Apple Touch ID Fingerprint-Sensor sollen dazu dienen, die Verwendung von Kennwörtern zu reduzieren, obgleich mit hohem Risiko. Diese Entwicklungen geben Nutzern die Möglichkeit, vom “Internet of Everything,” zu profitieren, doch stellen sie kein Allheilmittel dar. Wir benötigen weiterhin Kennwörter, um vertrauliche Daten auf verschiedenen Geräten und Plattformen zu schützen.

Auch Angriffe auf Identitäten waren zu verzeichnen, vor allem da Apple zu einem beliebten Phishing-Ziel geworden ist. Es gibt 8.500 Apple Phishing Site, ein großer Sprung letzten Quartal (7.800) und ein noch größerer im Vergleich zum ersten Quartal (900). Touch ID wurde zum erwählten Ziel für Diebstähle, weil die die Software als ID-Hauptkontrollmechanismus für mehrere Apple-Produkte eingesetzt wird. Mittlerweile gibt es mobile Phishing-Sites, die auf Regierungs-IDs aus sind. Sie werden im Untergrund für 2 bis 25 Dollar verkauft .

Die Schließung des "Silk Road" Marktplatzes
rückt das Deep Web ins Scheinwerferlicht

Silk Road, der berüchtigte Untergrundmarkt für illegale Waren, erzielte 2012 einen geschätzten Umsatz von 22 Mio. Dollar. Vor der Schließung hatte sich die Nutzerzahl in weniger als sechs Monaten verdoppelt. Silk Road operierte unter The Onion Router (TOR) Netzwerk in einem nicht indizierten Segment des Internets, auch als "Deep Web" bekannt. Zwar ist das Deep Web nicht von Natur aus ein bösartiges Medium, doch infolge des nicht nachvollziehbaren Setups eignet es sich für den anonymen Handel mit gestohlenen oder bösartigen Waren.

Die kürzlich aus dem Verkehr gezogene digitale Währung Liberty Reserve stammt ebenfalls aus dem Deep Web. Der cyberkriminelle "Finanzplatz" diente der Geldwäsche von sechs Milliarden Dollar und wurde von mehr als einer Million Nutzern verwendet.

Im Oktober wurde der Autor des Blackhole Exploit Kits, Paunch, verhaftet - drei Jahre nach dem Erscheinen der ersten Version des Exploit Kit 2010. Das Exploit Kit erfreute sich bald großer Beliebtheit im Untegrund, weil e seine sehr effiziente Kompromittierungstechnik mit anpassbaren Angriffen und Schwachstellen-Updates nutzte. Nach der Verhaftung gab es zwei Wochen lang keine großen Kampagnen mehr und andere Cyberkriminelle haben nun Angst, die nächsten zu sein.

Nicht allein Android:
Mobile Webbedrohungen zielen auf
mehrere Plattformen

Multi-Plattformbedrohungen bleiben. Der Grund sind die vielen Geräte, die Nutzer im Einsatz haben. Es ist nicht allein die Android-Plattform, sondern mittlerweile auch iOS und Symbian.

Beispielsweise gab es gefälschte Benachrichtigungen im Zusammenhang mit der mobilen Messaging App, WhatsApp und auch gefälschte Apps in Russland, die über Spam verbreitet werden. Auch beim mobilen Phishing ist ein Anstieg zu verzeichnen, ein Beweis dafür, dass viele PC-Bedrohungen ins mobile Fach wechseln.

Upgrades von Online Banking-Malware
führt zu mehr Infektionen

Die Menge der Online Banking-Schadsoftware stieg von 146.000 im letzten Quartal auf 202.000, weil die Techniken zur Erreichbarkeit der Ziele und die Routinen verfeinert wurden.

ZeuS-Varianten, KINS und Citadel machten die Runde mit verbesserter Infektionstechnik und erweitertem Wirkungsgrad. Eine neue KINS-Version umfasst sogar eine Anti-Debugging-Funktionalität, die es der Malware ermöglicht, in weit verbreiteten Virtual Machine-Server die Arbeit einzustellen, um die Analyse zu erschweren. Cyberkriminelle erweiterten auch den Wirkungsgrad des Citadel Banking-Trojaners, um Daten von japanischen Finanz- und Bankinstituten mithilfe kompromittierter Computer stehlen zu können. 96% davon stammten aus demselben Land.

Cyberkriminelle nehmen
nicht unterstützte Java-Version ins Visier

In diesem Monat gab es einen Zero-Day Exploit-Angriff über die nicht mehr unterstützte Java 6-Version. Das Problem dabei ist, dass die Hälfte der Java-Anwender noch diese Version einsetzen. Um die 31 Sicherheitslücken sind seit der Abkündigung des Supports der Version öffentlich geworden.

Eine neue Internet Explorer Schwachstelle in den Versionen 6–11 wurde in Zero-Day-Angriffen ausgenützt. Die Angreifer laden von bestimmten Sites den Exploit-Code herunter und können die Sicherheitslücke nutzen, um angreifbare Systemspeicher zu korrumpieren.

Nutzer von angreifbaren Java- und Internet Explorer-Versionen müssen ihre Computer deshalb patchen.

Sykipot-Kampagne entwickelt sich
von dateibasierten Exploits
zu System Process Injections

Die relativ alte Sykipot-Kampagne entwickelte sich langsam weg von dateibasierten Exploits hin zum Einschleusen von Schadsoftware in eine Reihe von Prozessen. Die jüngsten Angriffe zeigten auch eine Änderung in Sykipots einzigartigen Identifiern. In diesem Quartal nahm Sykipot auch die zivile Luftfahrt ins Visier, eine bemerkenswerte Änderung.

Die wichtigsten Ziele der Angreifer waren auch in diesem Quartal Regierungsbehörden.

Malware Exploits:
Trojaner missbrauchen "Master Key",
SIM und iOS Charger-Fehler

Im letzten Quartal warnte Trend Micro vor Cyberkriminellen, die die “Master Key”-Schwachstelle in Android-Geräten nutzen, um legitime mit bösartigen Apps zu ersetzen. Im August fanden Forscher eine trojanisierte Banking-App, die den Fehler nutzte, um bösartigen Code in angreifbare Geräte einzuschleusen und die Nutzer dazu zu bringen, ihre Bankdaten preiszugeben.

Diese Banking-App war nur der Anfang in einer Reihe von potenziellen Gefahren, die diese Sicherheitslücke ausnützen können. Da der Update-Prozess bei Google nur langsam vorangeht, sind viele Nutzer weiterhin dieser Bedrohung ausgesetzt.

Auf der Black Hat USA 2013 kamen zwei Probleme zur Diskussion. Das erste ist ein SIM-Kartenproblem, das Cyberkriminellen erlaubt. Textnachrichten und Standortinformationen mitzulesen. Dafür nutzen sie eine SMS, die eine Fehlermeldung generiert, die an jede SIM-Karte geschickt wird, die alte Verschlüsselungssysteme nutzt. Das zweite Problem betrifft iOS und erlaubt es Cyberkriminellen, Befehle über ein bösartiges Ladegerät auszuführen. Der Fehler ist mittlerweile gepatcht.

Diese Bedrohungen führen vor Augen, dass mobile Plattformen unabhängig vom Betriebssystem für Exploits und den damit einher gehenden Risken anfällig sind.