[datensicherheit.de, 09.04.2019] KASPERSKY lab hat die Ergebnisse einer Untersuchung des im Darknet angesiedelten Untergrund-Online-Shops „Genesis“ veröffentlicht – es handelt sich demnach um Web-Plattform, auf der mehr als 60.000 gestohlene, tatsächlich existierende digitale Identitäten gehandelt werden. Mit diesen könne Kreditkartenbetrug wesentlich erleichtert werden. Mit Hilfe dieses Marktplatzes sowie weiteren schädlichen Tools lasse sich das eigentlich zur Betrugsverhinderung gedachte, auf maschinellem Lernen basierende Konzept digitaler Masken (digital masks) missbrauchen. Über solche Masken könne eigentlich jedem Kunden ein eindeutiges, vertrauenswürdiges Profil auf Basis bekannter Geräte- und Verhaltenscharakteristiken zugeordnet werden – „außer es ist ein digitaler Doppelgänger im Spiel“.

Anti-Fraud-Lösungen: Abgleich, ob User-Daten bestimmter digitaler Maske entsprechen

Wenn Nutzer bei Online-Transaktionen Finanz-, Zahlungs- oder persönliche Informationen auf einer Webseite eingeben, kämen meist fortschrittliche, analytische und auf maschinellem Lernen basierende Anti-Fraud-Lösungen zum Einsatz, um abzugleichen, ob die User-Daten einer bestimmten digitalen Maske entsprechen. Diese Masken seien für jeden Anwender individuell; sie brächten die vom Nutzer normalerweise beim Banking- beziehungsweise Bezahlprozess auf Geräten oder im Browser hinterlassenen digitalen Fingerprints – wie Informationen über den Bildschirm und das Betriebssystem oder Browserdaten wie Header, Zeitzone, installierte Plug-ins und Fenstergröße – mit fortschrittlichen Analyse- und maschinelle Lernmethoden zusammen.
Dazu gehörten zum Beispiel individuelle Cookies der Nutzer sowie deren Online- und Rechner-Verhalten. So könnten Anti-Fraud-Teams von Finanzorganisationen erkennen, ob es sich tatsächlich um einen legitimen Kunden handelt, der seine Zugangsdaten eingibt, oder ob ein krimineller Carder versucht, sich Waren und Dienstleistungen mit gestohlenen Kreditkartendaten zu erschleichen. Entsprechend werde eine Transaktion akzeptiert, abgelehnt oder einer weiteren Prüfung unterzogen.

Digitaler Doppelgänger: Transaktionen namens eines mutmaßlichen Kunden glaubwürdig ausführen

Allerdings ließen sich die digitalen Masken auch kopieren oder gänzlich neu anlegen. Laut der KASPERSKY-Analyse setzen Cyber-Kriminelle aktiv auf sogenannte digitale Doppelgänger, um fortschrittliche Anti-Fraud-Lösungen zu überlisten. So hätten KASPERSKY-Sicherheitsexperten im Februar 2019 im Darknet einen Marktplatz namens „Genesis“ entdeckt, auf dem digitale Masken und Nutzer-Accounts zu Stückpreisen zwischen fünf und 200 US-Dollar verkauft würden.
Dabei könnten sowohl bereits gestohlene Masken als auch Zugangsdaten (Benutzername und Passwort) für Online-Shops und Bezahldienstleister erworben werden, mit denen über entsprechende Browser- und Proxy-Einstellungen die Aktivität eines legitimen Anwenders vorgetäuscht werden könne. Mit den passenden Zugangsdaten erhielten Angreifer Zugriff auf Online-Konten und könnten neue, eigene Transaktionen im Namen eines mutmaßlichen Kunden glaubwürdig ausführen.

Angreifer können auch gänzlich neue digitale Masken anlegen

„Kartenbetrug ist ganz klar ein weltweiter und wachsender Trend“, warnt Sergey Lozhkin, Sicherheitsforscher bei KASPERSKY lab. „Obwohl Unternehmen stark in Anti-Fraud-Lösungen investieren, sind digitale Doppelgänger nur schwer ausfindig zu machen. Um diese Gefahr einzudämmen, muss die Infrastruktur der Betrüger zerschlagen werden. Wir möchten daher Strafverfolgungsbehörden weltweit darauf aufmerksam machen, diese Form des Betrugs stärker ins Auge zu fassen und sich an deren Bekämpfung zu beteiligen.“
Mit anderen Tools könnten Angreifer auch gänzlich neue digitale Masken anlegen, um Anti-Fraud-Lösungen zu überlisten. KASPERSKY-Experten hätten mit dem „Tenebris“-Browser eines dieser Tools identifiziert und analysiert, welches mit einem eingebauten Konfigurationsgenerator ausgerüstet sei, der eindeutige digitale Fingerprints erstelle. Einmal erstellt, könne der Carder die Maske einfach über einen Browser und eine Proxy-Verbindung starten und beliebige Transaktionen online ausführen.

Empfehlungen von KASPERSKY lab:

Unternehmen, die Transaktionen im Internet anbieten, werden folgende Maßnahmen empfohlen, um nicht zum Opfer digitaler Doppelgänger zu werden:

• Multifaktor-Autorisierung in jeder Phase des Nutzeridentifikations-Prozesses ermöglichen;
• neue Methoden zur erweiterten Verifikation einführen, zum Beispiel über biometrische Merkmale;
• fortschrittliche Analyse-Methoden für das Nutzerverhalten einsetzen;
• „Threat Intelligence Feeds“ z.B. in „SIEM“ und andere Sicherheitskontrollen integrieren. Das ermögliche den Zugang zu den wichtigsten und neuesten Bedrohungsinformationen, um auf mögliche Angriffe vorbereitet zu sein.

Weitere Informationen zum Thema:

KASPERSKY lab, 09.04.2019
Digital Doppelgangers / Cybercriminals cash out money using stolen digital identities

Kaspersky Threat Intelligence
Globales Intelligence-Netzwerk für detaillierte Einblicke in Cyberbedrohungen, die es auf Ihr Unternehmen abgesehen haben

datensicherheit.de, 25.09.2018
Kaspersky-Studie: Jede zehnte Infektion via USB ein Krypto-Miner

[datensicherheit.de, 09.03.2018] KASPERSKY lab hat nach eigenen Angaben eine hochentwickelten Form der Cyber-Spionage entdeckt, die demnach mindestens seit 2012 im Nahen Osten sowie in Afrika ihr Unwesen treibt: Die Malware „Slingshot“ attackiere und infiziere ihre Opfer über kompromittierte Router. „Slingshot“ sei in der Lage, im Kernel-Modus zu laufen und erhalte somit vollständige Kontrolle über infizierte Geräte. Laut KASPERSKY lab nutzt der Bedrohungsakteur einige einzigartige Techniken. So würden Informationen heimlich und effektiv ausgespäht, indem der entsprechende Netzwerkverkehr in markierten Datenpaketen versteckt und ohne Spuren zu hinterlassen wieder aus dem regulären Datenstrom ausgelesen werden könne.

Experten stießen auf hochentwickelten Eindringling

Der „Operation Slingshot“ seien die Experten über den Fund eines verdächtigen Keylogger-Programms auf die Spur gekommen.
Diese hätten eine Signatur zur Verhaltenserkennung erzeugt, um eine weitere Existenz des Codes zu überprüfen. So sei ein infizierter Rechner ausgemacht worden, der in einem Systemordner eine verdächtige Datei mit dem Namen „scesrv.dll“ aufgewiesen habe. Die weitere Untersuchung dieser Datei habe ergeben, dass schädlicher Code in dieses Modul eingebettet gewesen sei.
Da die Bibliothek von „services.exe“, einem Prozess mit Systemrechten, geladen werde, verfüge auch sie über die entsprechenden Berechtigungen. Das Resultat: Die Experten seien auf einen hochentwickelten Eindringling gestoßen, der seinen Weg in das Innerste des Rechners gefunden habe.

Ursprünglicher Infektionsweg der Router bislang unklar

Die bemerkenswerteste Eigenschaft von „Slingshot“ sei sein ungewöhnlicher Angriffsweg: So sei bei mehreren Opfern festgestellt worden, dass die Infektion in mehreren Fällen von infizierten Routern ausgegangen sei. Die hinter „Slingshot“ stehende Gruppe habe anscheinend die Router mit einer schädlichen, zum Download anderer schädlicher Komponenten dienende „Dynamic Link Library“ (DLL) kompromittiert.
Loggt sich ein Administrator zur Konfiguration des Routers ein, lädt demnach dessen Management-Software schädliche Module auf den Administratorrechner und bringt sie dort zur Ausführung – der ursprüngliche Infektionsweg der Router selbst bleibe bislang allerdings unklar.
Nach der Infektion lade „Slingshot“ mehrere Module auf die Geräte seiner Opfer. Dazu gehörten auch „Cahnadr“ und „GollumApp“. Diese beiden Module seien miteinander verbunden und unterstützten sich gegenseitig bei der Sammlung von Informationen und deren Exfiltration sowie der möglichst langen Überdauerung auf den Rechnern.

APT widersetzt sich Erkennung

Der Hauptzweck von „Slingshot“ scheine Cyber-Spionage zu sein. Unter anderem würden Screenshots, Tastatureingaben, Netzwerkdaten, Passwörter, USB-Verbindungen, weitere Desktop-Aktivitäten und Clipboard-Daten gesammelt, wobei der Kernel-Zugang den Zugriff auf jede Art von Daten ermögliche.
Diese „Advanced Persistent Threat“ (APT) verfüge über zahlreiche Techniken, um sich ihrer Erkennung zu widersetzen. Alle Zeichenketten in den Modulen seien verschlüsselt, und die Systemdienste würden direkt aufgerufen, um Sicherheitslösungen keine Anhaltspunkte zu bieten. Hinzu kämen etliche Anti-Debugging-Techniken; auch werde vor der Auswahl eines Prozesses zur Injizierung überprüft, welche Sicherheitslösungen installiert sind.
„Slingshot“ arbeite wie eine passive Backdoor. Auch wenn diese Malware über keine hart codierte Command-and-Control-Adresse verfüge, erhalte sie diese vom Operator, indem alle Netzwerkpakete im Kernel-Modus abgefangen würden und das Vorhandensein von zwei hart codierten „Magic Constants“ in der Betreffzeile verfügbar seien. In diesem Fall enthalte das Paket die C&C-Adresse. Anschließend baue „Slingshot“ einen verschlüsselten Kommunikationskanal zum C&C auf und beginne mit der Übertragung von Daten zu deren Exfiltration.

Organisierte, professionelle und staatlich-gestützte Urheber vermutet

Vermutlich bestehe diese Bedrohung bereits seit geraumer Zeit, denn die KASPERSKY-Mitarbeiter hätten schädliche Samples gefunden, die als „Version 6.x“ gekennzeichnet gewesen seien. Die Entwicklungsdauer des komplexen „Slingshot“-Toolsets dürfte beträchtlich gewesen sein. Das gelte auch für die dafür benötigten Fähigkeiten und Kosten.
Zusammengenommen ließen diese Hinweise hinter „Slingshot“ eine organisierte, professionelle und wohl auch staatlich-gestützte Gruppe vermuten: Hinweise im Text des Codes deuteten auf eine englischsprachige Organisation hin.
Eine genaue Zuschreibung sei jedoch schwierig bis unmöglich – zumal das Thema Attribution zunehmend selbst manipulations- und fehleranfällig sei.

Bisher überwiegend Privatpersonen in Afrika und Asien geschädigt

Bislang seien rund 100 Opfer von „Slingshot“ und seinen zugeordneten Modulen betroffen: Die Angriffe hätten vorwiegend in Kenia und im Jemen stattgefunden, aber auch in Afghanistan, Libyen, Kongo, Jordanien, Türkei, Irak, Sudan, Somalia und Tansania.
Sie richteten sich anscheinend überwiegend gegen Privatpersonen und nicht gegen Organisationen; allerdings zählten auch einige Regierungseinrichtungen zu den Opfern.
„,Slingshot‘ stellt eine hochentwickelte Bedrohung mit einem breiten Spektrum an Tools und Techniken dar, wozu auch Module im Kernel-Modus zählen, die bis dato nur bei den komplexesten Angriffen zum Einsatz kamen“, erläutert Alexey Shulmin, „Lead Malware Analyst“ bei KASPERSKY lab. Die Funktionalität sei „äußerst präzise und für die Angreifer zugleich profitabel“. Das erkläre, warum sich „Slingshot“ mindestens sechs Jahre lang habe halten können.

Graphik: KASPERSKY lab

„Slingshot APT – how it attacks“

Graphik: KASPERSKY lab

„Slingshot APT – the main malicious modules”

KASPERSKY-Tipps zur Abwehr:

Prinzipiell wird zu folgenden Schutzmaßnahmen geraten:

• Nutzer von Mikrotik-Routern sollten so schnell wie möglich das Upgrade auf die aktuelle Software-Version durchführen. Nur so sei der Schutz gegen bekannte Schwachstellen gewährleistet. Zudem sollten keine Downloads mehr vom Router zum Rechner über die „Mikrotik Winbox“ erfolgen.
• Unternehmen sollten eine geeignete Sicherheitslösung in Kombination mit Technologien zur Abwehr zielgerichteter Angriffe und „Threat Intelligence“ einsetzen (z.B. „Kaspersky Threat Management and Defense“). Über die Analyse von Anomalien im Netzwerk würden hochentwickelte gezielte Angriffe sichtbar. Cyber-Sicherheitsteams erhielten einen vollständigen Einblick in das Netzwerk und die automatische Vorfallreaktion.
• Alle Mitarbeiter der Sicherheitsteams benötigten Zugriff auf aktuelle Threat-Intelligence-Informationen. So bekämen sie Zugang zu hilfreichen Tools und Erfahrungen, die bisher bei der Abwehr gezielter Angriffe hätten gewonnen werden können, wie zum Beispiel Kompromittierungsindikatoren (IOC), „yara“ (Identifizierungs- und Klassifizierungshilfe für Malware-Forscher) und kundenspezifisches „Advanced Threat Reporting“.
• Würden frühzeitig Indikatoren für einen zielgerichteten Angriff gefunden, sollte die Inanspruchnahme von „Managed Protection Services“ erwogen werden – damit ließen sich proaktiv hochentwickelte Bedrohungen erkennen, deren Überlebensdauer reduzieren und zeitnah Maßnahmen zur Vorfallreaktion einleiten.

Weitere Informationen zum Thema:

SECURELIST, 09.03.2018
The Slingshot APT FAQ

datensicherheit.de, 29.11.2016
Angriff auf Router von Telekom-Kunden zeigt Verletzbarkeit der IKT-Infrastruktur

[datensicherheit.de, 20.02.2018] Nach Erkenntnissen von KASPERSKY lab aus dem Jahr 2017 fühlen sich 65,8 Prozent der Deutschen durch unerwünschte Werbung auf dem eigenen Smartphone gestört: Ob Gewinne, Gutscheine oder sonstige Einblendungen – aggressive Werbe-Pop-ups störten zunehmend auch deutsche Nutzer, so das zentrale Ergebnis einer beauftragten Umfrage. Dass sogenannte Adware tatsächlich deutschen Smartphone-Nutzer zu schaffen macht, zeigten aktuelle Daten: So habe mehr als ein Drittel (37,5 Prozent) der Nutzer mobiler Lösungen von KASPERSKY lab in Deutschland im Jahresverlauf 2017 mindestens einmal einen Adware-Alarm zu verzeichnen gehabt.

Mobile Schädlinge: 35 Prozent Adware

Die Ende 2017 veröffentliche KASPERSKY-Studie „Mobile Schadprogramme in Deutschland – Panikmache oder echte Gefahr?“ beschreibt die mobile Bedrohungslage für deutsche Nutzer, inklusive des Aufkommens von Adware-Programmen:

• Insgesamt gebe es über 24 Millionen Adware-Programme weltweit.
• Unter den „Top-40“ der im Zeitraum September 2016 bis August 2017 in Deutschland grassierenden mobilen Schädlinge (d.h. Malware, Adware und Riskware) entfielen 55 Prozent auf mobile Schädlinge (Malware), 35 Prozent auf Adware und zehn Prozent auf sogenannte Riskware.

Unter Adware versteht man demnach Programme, die Werbung anzeigen, Suchanfragen auf Werbewebseiten umleiten und Marketing-Daten für individuelle Werbung sammeln. Wenn diese die Nutzer nicht über die Informationserfassung informiert, gilt sie bei KASPERSKY lab als „schädlich“, weil sie eine Trojaner-Spyware imitiere. „Adware gilt als Gelddruckmaschine. Der Grund: Die Software blendet zusätzliche Werbung ein und die Macher werden pro Klick bezahlt“, erläutert Christian Funk, Leiter des deutschen Forschungs- und Analyse-Teams bei KASPERSKY lab.
„Riskware“ seien legitime Programme, die Schäden anrichten können, wenn sie von Hackern ausgenutzt werden – zum Beispiel indem sie Daten löschen, blockieren, verändern oder kopieren und die Leistung des Geräts beeinträchtigen. Im Android-Bereich zähle dazu auch ein großer Teil an Tools zum Rooten des Geräts – diese würden als Riskware eingestuft, weil diese Programme vom Nutzer gewollt oder auch ungewollt zur Ausführung gebracht werden könnten.

KASPERSKYs Tipps zur Vermeidung einer Adware-Infektion:

Nutzer könnten sich vor Adware-Installationen schützen, indem sie:

• Programme nach Möglichkeit immer von den offiziellen Webseiten (Quellen) herunterladen – dort sei das Risiko am geringsten;
• das Fenster des Installationsprogramms während der Installation beachten und auf zusätzlich zu installierende Programme achten sowie entsprechende Häkchen entfernen und
• eine mobile Sicherheitslösung (wie z.B. „Kaspersky Internet Security for Android“) installieren – so werde schädliche Adware erkannt und könne leicht entfernt werden. Wer ein Adware-Programm entgegen der Klassifizierung als „erwünscht“ einstufen möchte, könne dieses zu einer persönlichen „Whitelist“ hinzufügen.

Weitere Informationen zum Thema:

SECURELIST, 17.10.2017
Mobile Schadprogramme in Deutschland – Panikmache oder echte Gefahr? / Kaspersky-Studie der mobilen Bedrohungssituation in Deutschland – eine Jahresanalyse (September 2016 bis August 2017)

KASPERSKY lab, October 2017
Kaspersky Security Network

datensicherheit.de, 18.02.2018
Im Spam-Visier: Deutschland zum dritten Mal in Folge Weltmeister

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte

[datensicherheit.de, 12.09.2017] KASPERSKY lab hat nach eigenen Angaben zwei Botnetze identifiziert, über die auf Kosten der Opfer heimlich Kryptowährung wie „Zcash“ oder „Monero“ generiert wird. So sei beispielsweise ein aus 4.000 Rechnern bestehendes Botnetz entdeckt worden, das den Besitzern monatlich mehr als 30.000 US-Dollar einbringe, sowie ein Netzwerk mit 5.000 Rechnern, welches den Hintermännern im Monat mehr als 200.000 US-Dollar verschaffe.

„Bitcoin“-Alternativen ziehen Aufmerksamkeit von Cyber-Kriminellen auf sich

Kryptowährungen boomten derzeit – die bekannteste Währung sei „Bitcoin“. Über legitime Mining-Programme könnten Einheiten (Coins) der Währungen gewonnen werden, mittlerweile allerdings nur sehr zeit- und stromintensiv.
Je mehr Coins also existieren, desto aufwendiger wird das „Mining“ und die Investitionen übersteigen den potenziellen Gewinn. Dies sei nun bei „Bitcoins“ der Fall.
Rund um den Trend von Kryptowährungen entstünden allerdings auch „Bitcoin“-Alternativen, was wiederum die Aufmerksamkeit von Cyber-Kriminellen auf sich gezogen habe, die heimlich Mining-Software auf Tausenden von Rechnern installiert hätten.

Malware verwendet legale Mining-Software

Die Gefahr, Opfer eines heimlich installierten Kryptowährungs-Miner zu werden, steigt laut KASPERSKY lab:
Seien im Jahr 2013 lediglich 205.000 Nutzer von dieser Gefahr betroffen gewesen, sei die Anzahl der betroffenen User im Jahr 2014 bereits auf 701.000 gestiegen. Allein in den ersten acht Monaten des Jahres 2017 sei die Zahl der attackierten Nutzer auf 1,65 Millionen weltweit angestiegen.
„Das Hauptproblem mit bösartigen Minern ist, dass deren Aktivitäten nur schwer zu erkennen sind. Der Grund: Die Malware verwendet legale Mining-Software, die tatsächlich auch von einem legitimen Nutzer installiert werden könnte“, erläutert Evgeny Lopatin, Malware-Analyst bei KASPERSKY lab.
„Schädliche Miner gewinnen auch zunehmend an Wert im Untergrundmarkt, was alarmierend ist. Denn wir haben Cyber-Kriminelle identifiziert, die sogenannte Miner-Builder anbieten, also Software zur Erstellung eines eigenen Mining-Botnetzes. Das bedeutet, die von uns identifizierten Botnetze werden wohl nicht die letzten gewesen sein“, so Lopatin.

Wie Miner-Botnetze funktionieren

Die von KASPERSKY lab identifizierten Miner-Botnetze bestehen demnach aus mit Malware infizierten Rechnern, auf denen heimlich legitime Programme zum Generieren virtueller – auf der Blockchain-Technologie basierende – Währungen (Mining) installiert werden.
Die Cyber-Kriminellen verbreiteten die Mining-Software mittels Adware-Programmen, die von den Opfern freiwillig installiert würden. Nach der Installation der Adware werde dann automatisch die schädliche Komponente, der „Mining Installer“, nachgeladen und installiert. Weitere Aktivitäten der schädlichen Komponente auf den Opfergeräten seien:

• Der Versuch, Sicherheitssoftware zu deaktivieren;
• das Tracken aller Anwendungsstarts sowie das Aussetzen der eigenen Aktivität, sollte eine Programm zur Überwachung von Systemaktivitäten oder laufenden Prozessen gestartet werden;
• das Vorhandensein einer Kopie der Mining-Software auf der Festplatte, die im Falle des Löschens wieder hergestellt werden kann.

„Zcash“ und „Monero“ momentan die TOP 2

Sobald die ersten Kryptowährungs-Coins abgebaut sind, würden sie zu den Wallets der Kriminellen transferiert – unbemerkt vom Opfer, außer dass dessen Computer langsamer arbeite und mehr Energie verbrauche als üblich.
Die beiden derzeit am häufigsten von Cyber-Kriminellen geschürften Kryptowährungen seien laut den Erkenntnissen von KASPERSKY lab „Zcash“ und „Monero“ – beides Währungen, mit denen sich zuverlässig die Transaktionen und die Wallet-Besitzer anonymisieren ließen.

Weitere Informationen zum Thema:

SECURELIST, 12.09.2017
Miners on the Rise

KASPERSKY lab, August 2015
Kaspersky Security Network

SECURELIST, 12.12.2016
Zcash, or the return of malicious miners

[datensicherheit.de, 14.06.2017] Eine Erkenntnis einer aktuellen Studie von KASPERSKY lab ist, dass es DDoS-Attacken gegen Finanzinstitute „in erster Linie auf Webseiten und Services von Banken abgesehen“ haben. Demnach war bei 49 Prozent der Finanzinstitute, die via „Distributed Denial of Service“ attackiert wurden, der öffentliche Online-Auftritt und bei 48 Prozent das Online-Banking-System betroffen. Die Umfrage für die Studie „New Technologies, New Cyber Threats – Analyzing the state of IT Security in financial sector“ sei von B2B International im Auftrag von KASPERSKY lab im Jahr 2017 durchgeführt worden. Dazu seien weltweit über 800 Repräsentanten von Finanzdienstleistern in 15 Ländern befragt worden.

Verlustberechnung: Auch Nachfolgekosten wie Datenverluste und Reputationsschäden einrechnen!

Laut dieser Studie kosten Sicherheitsvorfälle im Online-Banking-Service-Bereich betroffene Organisation mit durchschnittlich 1.754.000 US-Dollar fast doppelt so viel wie ein Malware-Vorfall. Bei der Verlustberechnung würden auch Nachfolgekosten wie Datenverluste und Reputationsschäden eingerechnet.
Zwar scheinen sich die befragten Organisationen der Gefahr für Online-Banking-Systeme durchaus bewusst zu sein – Attacken auf Online-Banking-Systeme würden am meisten gefürchtet –, allerdings unterschätzten sie die höheren Folgekosten einer DDoS-Attacke gegenüber denen eines Malware-Vorfalls. Denn die Befragten fürchteten sich mehr vor Malware und zielgerichtete Angriffen als vor einem DDoS-Angriff.

Gefürchtet: Reputationsschäden

Die Studie zeige auch, dass die am meisten gefürchtete Konsequenz in Folge eines Cyber-Sicherheitsvorfalls Reputationsschäden für die eigene Organisation seien – das sage jedes fünfte befragte Institut (17 Prozent).
„Im Bankbereich ist die Reputation eines Instituts entscheidend; und Cyber-Sicherheit spielt hierfür eine entscheidende Rolle“, so Kirill Ilganaev, „Head of Kaspersky DDoS Protection“.
Werde ein Online-Service einer Bank attackiert, gehe das Vertrauen betroffener Kunden verloren. Ilganaev: „Wenn Banken sich vor kostspieligen Cyber-Sicherheitsvorfällen schützen wollen, sollten sie sich in erster Linie gegen DDoS-Angriffe wappnen, die sich gegen Online-Banking-Service richten.“
Zeitgemäßen Schutz für Banken bieten laut KASPERSKY lab „Security Intelligence Services“ sowie spezielle DDoS-Lösungen und „Fraud Prevention“-Ansätze.

Weitere Informationen zum Thema:

KASPERSKY lab, 09.03.2017
„New Technologies, New Cyber Threats – Analyzing the state of IT Security in financial sector“

„Finanzinstitute verlieren im Schnitt fast eine Million US-Dollar pro Cybersicherheitsvorfall”

[datensicherheit.de, 21.04.2017] Nach Erkenntnissen von KASPERSKY lab soll es letztes Jahr 702 Millionen Angriffsversuche durch Exploits gegeben haben – also durch Malware, welche vorhandene Softwarefehler ausnutzt, um Geräte mit weiterer Schadsoftware wie Banktrojanern oder Ransomware zu infizieren. Das entspreche gegenüber 2015 einem Anstieg von 24,54 Prozent; damals hätten die Schutzlösungen von KASPERSKY lab etwa 563 Millionen solcher Versuche abgewehrt. Der wachsende Einsatz von Exploits ist demnach eine der wichtigsten Erkenntnisse der Studie „Attacks with Exploits: From Everyday Threats to Targeted Campaigns“.

Angriffe mit Hilfe von Exploits besonders effektiv

Angriffe mit Hilfe von Exploits gelten als besonders effektiv, da sie in der Regel keine Aktivität des Nutzers voraussetzen und ohne Verdacht zu erregen, Schadsoftware platzieren können.
Entsprechende Angriffe würden sowohl von Cyber-Kriminellen mit dem Ziel durchgeführt, Geld oder Daten von Heimanwendern oder Unternehmen zu stehlen, als auch von hinter hochentwickelten und zielgerichteten Angriffen stehenden Akteuren. Speziell im Unternehmensbereich seien 2016 28,35 Prozent mehr Firmennutzer von Exploits angegriffen worden als im Jahr zuvor. Die Gesamtzahl sei damit auf über 690.000 gestiegen – dies entspreche 15,76 Prozent aller im Jahr 2016 von Exploits attackierten Anwender.

Zahl der von Exploits betroffenen Heimanwender gefallen

Obwohl immer mehr Attacken auf Exploits beruhten und sich die Angriffe verstärkt gegen Unternehmen und Organisationen richteten, sei die Zahl der von Exploits betroffenen Heimanwender überraschend um 20 Prozent gefallen: Sie habe sich von 5,4 Millionen im Jahr 2015 auf 4,3 Millionen im Jahr 2016 reduziert.
Eine mögliche Begründung sei folgende: 2016 habe es weniger Quellen für Exploits als im Jahr zuvor gegeben. So seien im Lauf des vergangenen Jahres verschiedene große und populäre Exploit-Kits wie „Neutrino“ und „Angler“ vom Untergrundmarkt verschwunden. Einige Gruppen Cyber-Krimineller hätten offenbar so die Möglichkeit verloren, ihre Malware zu verbreiten.
Ein weiterer Grund liege in schnelleren Reaktionszeiten der Software-Anbieter nach der Entdeckung neuer Sicherheitsprobleme. Damit ist es laut KASPERSKY lab für Cyber-Kriminelle weit teurer geworden, ein wirkungsvolles Exploit-Kit zu entwickeln, das solange eingesetzt werden kann, bis es seine Kosten wieder eingespielt hat. Das gelte aber nicht für Angriffe auf Unternehmen.

Rechner, mobile Geräte sowie Netzwerke wirksam absichern!

„Sowohl unsere Erkennungsstatistiken als auch die Beobachtung der Aktivitäten von Akteuren, die hinter zielgerichteten Angriffen stehen, zeigen uns, dass professionelle Gruppen im Bereich der Cyber-Spionage über Geldmittel und Fähigkeiten verfügen, um hochentwickelte Exploits zu entwickeln und zu verbreiten. Ein aktuelles Beispiel dafür ist die unfreiwillige Veröffentlichung schadhafter Tools, die mutmaßlich von der ,Equation Group‘ eingesetzt wurde“, warnt Alexander Liskin, Sicherheitsexperte bei KASPERSKY lab.
„Das heißt aber nicht, dass es unmöglich wäre, Organisationen gegen Exploit-Attacken zu schützen. Um die schädlichen Angriffe abzuwehren, empfehlen wir besonders Unternehmen, auf etablierte Cyber-Sicherheitslösungen zu setzen, um Rechner, mobile Geräte sowie Netzwerke wirksam abzusichern“, so Liskin.

Empfohlene Schutzmaßnahmen gegen Exploits:

Die Experten von KASPERSKY lab empfehlen nach eigenen Angaben zum Schutz vor Exploit-basierten Angriffe auf Heim- und Unternehmensanwender folgende Maßnahmen:

• Die auf dem PC installierte Software sollte auf dem neuesten Stand gehalten werden und – wenn möglich – eine automatische Update-Funktion genutzt werden.
• Software-Anbieter, die verantwortlich mit Schwachstellen-Problemen umgehen, sollten nach Möglichkeit präferiert werden, beispielsweise wenn sie ein eigenes Bug-Bounty-Programm betreiben.
• Werden mehrere, miteinander vernetzte PC verwaltet, sollte eine Lösung für ein Patch-Management zum Einsatz kommen. Damit kann die Software aller Endpoints zentral und kontrolliert aktualisiert werden.
• Die IT-Infrastruktur im Unternehmen sollte regelmäßig Sicherheitsüberprüfungen (Security Assessments) unterzogen werden.
• Mitarbeiter müssen beispielsweise mittels Schulungen über die Gefahren durch „Social Engineering“ unterrichtet werden, da mit dieser Methode Opfer oft veranlasst werden, ein kompromittiertes Dokument zu öffnen oder einem ebensolchen Link zu folgen.
• Es sollten Sicherheitslösungen eingesetzt werden, die über spezielle Mechanismen zur Exploit-Abwehr oder zumindest über verhaltensbasierte Erkennungstechnologien verfügen.

Weitere Informationen zum Thema:

SECURELIST, 20.04.2017
Exploits: how great is the threat?

KASPERSKY lab
Automatic Exploit Prevention Technology

datensicherheit.de, 20.03.2017
KASPERSKY lab warnt: IT-Sicherheitsbranche übersieht potenzielle Nachwuchskräfte

[datensicherheit.de, 04.04.2017] KASPERSKY lab hat laut einer eigenen Meldung die Ergebnisse einer mehr als einjährigen Untersuchung der Aktivitäten der „Lazarus“-Gruppe vorgestellt. Diese berüchtigte Hackergruppe wird demnach für den Diebstahl von 81 Millionen US-Dollar von der Zentralbank in Bangladesch im Jahr 2016 verantwortlich gemacht. Über eine forensische Analyse von Artefakten in den Systemen südostasiatischer und europäischer Banken hat KASPERSKY lab demnach tiefe Einblicke darüber gewinnen, welche schädlichen Werkzeuge diese Gruppe verwendet und wie ihre weltweiten Angriffe auf Finanzinstitutionen, Spielcasinos, Software-Entwickler für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich ablaufen. Mit Hilfe dieser Erkenntnisse seien nun „mindestens zwei weitere Operationen und damit der Diebstahl hoher Geldsummen bei Finanzinstituten“ vereitelt worden.

Einer der größten und erfolgreichsten Cyber-Überfälle

Im Februar 2016 habe eine damals noch nicht identifizierte Gruppe von Hackern versucht, 851 Millionen US-Dollar zu stehlen. Es sei ihr gelungen, eine Überweisung in Höhe von 81 Millionen US-Dollar von einem Konto der Zentralbank von Bangladesch zu tätigen – und damit einen Coup zu landen, der als einer der größten und erfolgreichsten Cyber-Überfälle gelte.
Die Experten mehrerer IT-Sicherheitsfirmen – darunter auch KASPERSKY lab – hätten herausgefunden, dass hinter dem Angriff mit hoher Wahrscheinlichkeit die Gruppe „Lazarus“ stecke: Eine berüchtigte Cyber-Spionage- und -Sabotage-Gruppe, die bereits seit 2009 weltweit für ganze Serien von wiederholten und verheerenden Angriffen auf Produktionsunternehmen, Medien und Finanzinstitute in mindestens 18 Ländern bekannt sei.

Operative Tätigkeit in Richtung Europa verlagert

Obwohl man nach dem Angriff in Bangladesch mehrere Monate nichts mehr von dieser Gruppe gehört habe, sei „Lazarus“ weiter aktiv gewesen und habe sich auf neue Operationen für den Gelddiebstahl bei anderen Banken vorbereitet.
So habe diese Gruppe bereits einen Fuß bei einem südostasiatischen Finanzinstitut in der Tür gehabt. Nachdem die Lösungen von KASPERSKY lab und die anschließende Untersuchung den Cyber-Einbruch hätten vereiteln können, habe sich die Gruppe erneut monatelang zurückgezogen, um dann ihre operative Tätigkeit in Richtung Europa zu verlagern. Auch dort seien Angriffe durch die Sicherheitslösungen von KASPERSKY lab entdeckt und mit Hilfe einer schnellen Vorfallreaktion (Incident Response), forensischer Analyse sowie „Reverse Engineering“ der Experten von KASPERSKY lab verhindert worden.

Vorgehensweise der Gruppe

Die Ergebnisse der forensischen Analyse durch KASPERSKY lab deuteten auf folgende Vorgehensweise der Gruppe hin:

• Erstkompromittierung: Zunächst werde in ein einzelnes System innerhalb der Bank eingedrungen – und zwar entweder über einen Code mit Schwachstellen (zum Beispiel auf einem Webserver) oder mit Hilfe eines „Wasserlochangriffs“ über ein Exploit, das auf einer legitimen Webseite implantiert werde, auf welche die Opfer (in diesem Fall die Bankangestellten) mit ihren Computern zugriffen. Dabei werde Malware heruntergeladen, die weitere Komponenten nachladen könne.
• Hintertür: Danach wandere die Gruppe zu den weiteren Hosts der Bank und installiere dort langlebige Backdoors, also Malware, die ein beliebiges Kommen und Gehen der Angreifer zulasse.
• Erkundung: Anschließend untersuche die Gruppe über Tage und Wochen das Netzwerk und identifiziere die für sie wertvollen Ressourcen. Das könne ein Backup-Server mit dort abgelegten Authentifizierungsinformationen, ein Mail-Server beziehungsweise der komplette „Domain Controller“ mit den Schlüsseln zu „jeder Tür“ im Unternehmen oder ein Server mit Prozessaufzeichnungen der Finanztransaktionen sein.
• Diebstahl: Schließlich installiere die Gruppe eine spezielle Malware, welche die internen Sicherheitsfunktionen der Finanzsoftware umgehe und ihre betrügerischen Transaktionen im Namen der Bank ausführe.

Vermutlich monatelang unbemerkt operiert

Die von KASPERSKY lab untersuchten Angriffe hätten mehrere Wochen gedauert. Doch vermutlich hätten die Angreifer monatelang unbemerkt operiert.
So sei von den Experten beispielsweise während der Analyse des Vorfalls in Südostasien entdeckt worden, dass die Hacker das Netzwerk der Bank bereits sieben Monate vor jenem Tag der Anforderung der Vorfallreaktion durch das Sicherheitsteam der Bank attackiert hätten – tatsächlich habe dieser Zeitpunkt noch vor dem Vorfall in Bangladesch gelegen.
Gemäß den Aufzeichnungen von KASPERSKY lab seien seit Dezember 2015 Aktivitäten von „Lazarus“-Malware-Samples bei Finanzinstituten, Spielcasinos, bei Software-Entwicklern für Anlagegesellschaften sowie Unternehmen im Kryptowährungsbereich in Korea, Bangladesch, Indien, Vietnam, Indonesien, Costa Rica, Malaysia, Polen, Irak, Äthiopien, Kenia, Nigeria, Uruguay, Gabun, Thailand und verschiedenen anderen Staaten aufgetaucht. Die jüngsten Samples habe KASPERSKY lab im März 2017 entdeckt – die Angreifer seien also weiter aktiv.

Verräterischer Test des Command-and-Control-Servers

Auch wenn die Angreifer so vorsichtig gewesen seien, ihre Spuren zu verwischen, hätten sie bei einem von ihnen im Rahmen einer anderen Kampagne penetrierten Server einen Fehler begangen und dort ein wichtiges Artefakt hinterlassen.
Zur Vorbereitung ihrer Operationen sei dieser als Command-and-Control-Center für die Malware konfiguriert worden. Am Tag der Konfiguration seien die ersten Verbindungen zu einigen wenigen VPN- beziehungsweise Proxy-Servern aufgebaut worden, was auf einen Test für den Command-and-Control-Server hindeute. Allerdings habe es an diesem Tag auch eine kurze Verbindung zu einer IP-Adresse in einem sehr selten genutzten Adressbereich in Nordkorea gegeben. Dies könnte laut den Experten bedeuten, dass

• die Angreifer sich von dieser IP-Adresse aus Nordkorea verbunden hätten,
• ein anderer Akteur unter „falscher Flagge“ die Operation sorgfältig geplant habe
• oder jemand in Nordkorea versehentlich die Command-and-Control-URL besucht habe.

Die „Lazarus“-Gruppe sei sehr darauf bedacht, immer wieder neue Varianten ihrer Malware zu erzeugen. Monatelang hätten sie versucht, ein Set schädlicher Tools aufzubauen, welches von Sicherheitslösungen nicht erkannt werden sollte. Jedoch sei es den Experten von KASPERSKY lab jedes Mal gelungen, auch die neuen Samples aufzuspüren – und zwar über einige typische Merkmale, die bei der Erzeugung des Codes verwendet worden seien.

Abbildung: KASPERSKY lab

„Lazarus“-Gruppe: Taktiken, Techniken und Prozeduren der Angriffe auf Finanzinstitute

***„Lazarus“ wird wohl bald zurückkommen***

„Wir sind sicher, dass ,Lazarus‘ bald zurückkommen wird“, warnt Vitaly Kamluk, „Head of Global Research and Analysis Team (GReAT) APAC“ bei KASPERSKY lab. Angriffe wie die der „Lazarus“-Gruppe machten deutlich, wie sich geringfügige Fehler in der Konfiguration zu „massiven Sicherheitsvorfällen ausweiten“ und bei betroffenen Unternehmen möglicherweise Schäden in Höhe von Hunderten von Millionen Dollar anrichten könnten. Man hoffe, dass weltweit die Verantwortlichen von Banken, Spielcasinos und Anlagegesellschaften beim Namen „Lazarus“ misstrauisch werden, so Kamluk.
An alle Organisationen richtet KASPERSKY lab daher „die dringende Bitte“, ihre Netzwerke sorgfältig auf Anzeichen von „Lazarus“-Malware zu durchsuchen. Sollten diese entdeckt werden, müsse die Infektion im System beseitigt werden. Außerdem seien die Strafverfolgungsbehörden und Vorfallreaktions-Teams zu verständigen.

Weitere Informationen zum Thema:

KASPERSKY lab auf YouTube, 03.04.2017

Chasing Lazarus: A Hunt for the Infamous Hackers to Prevent Large Bank Robberies

datensicherheit.de, 24.02.2016
Cyberspionage und -sabotage: Lazarus-Gruppe in Asien verortet

[datensicherheit.de, 20.03.2017] Laut einer aktuellen Studie von KASPERSKY lab läuft die IT-Sicherheitsbranche auf der Suche nach Nachwuchskräften Gefahr, eine ganze Generation cyber-begeisterter Talente zu übersehen, weil sie sich bei der Rekrutierung zu sehr auf Erfahrung und vorhandenes Fachwissen konzentriert. Dabei brächten junge Talente genau die richtigen Voraussetzungen für eine Karriere als IT-Sicherheitsexperte mit: Begeisterungsfähigkeit, Flexibilität und passende Kernkompetenzen.

Mangelnde Erfahrung durch passende Persönlichkeitsmerkmale wettmachen!

IT-Fachkräfte sehen laut dieser Studie nachweisbare Erfahrung (30 Prozent) und vorhandene Kenntnisse von IT-Systemen (24 Prozent) als die wichtigsten Eigenschaften für eine Karriere in der Sicherheitsbranche an. Doch Absolventen und Schulabgänger könnten ihre mangelnde Erfahrung auf diesem Gebiet durch passende Persönlichkeitsmerkmale wettmachen. Nach Meinung von IT-Fachkräften gehörten zu den wichtigsten dieser Merkmale

• die Fähigkeit, quer denken zu können (44 Prozent),
• sich in einem ungewohnten Umfeld (39 Prozent) und außerhalb festgelegter formaler Strukturen (38 Prozent) zurechtzufinden,
• sowie die Neugierde erforschen zu wollen, wie Dinge funktionieren (35 Prozent).

Tatsächlich würden der jungen Generation von einer übergroßen Mehrheit der von KASPERSKY lab befragten IT-Fachkräfte genau diese Fähigkeiten zugesprochen. Die Werte reichten hier von 81 Prozent beim Thema Neugierde bis zu 72 Prozent bei der Kompetenz, auch in ungewohnten Umgebungen arbeiten zu können.

Mehr Realitätsbewusstsein in der Branche gefordert

„Angesichts des zunehmenden Fachkräftemangels an Sicherheitsexperten muss sich die IT-Branche stärker der Realität stellen“, fordert Holger Suhl, „General Manager DACH“ bei KASPERSKY lab.
Ihr Unternehmen sei jetzt seit 20 Jahren auf diesem Gebiet aktiv. In den letzten beiden Dekaden habe sich in der Cyber-Sicherheitsbranche vieles verbessert. Bei der Rekrutierung allerdings sei der Fortschritt leider nur sehr gering gewesen. „Es kann nicht sein, dass wir eine ganze Generation wertvoller Fachkräfte nicht berücksichtigen, noch dazu, wo diese genau die richtigen Persönlichkeitsmerkmale mitbringen würden“, so Suhl. Die Branche müsse daher dringend ihre Einstellungskriterien anpassen, bevor man das Momentum verpasse.

Branche für Nachwuchs noch ein „blinder Fleck“

Auch wenn die junge Generation die passenden Eigenschaften für den Kampf gegen Cyber-Kriminalität besitzen mag, so habe es die Branche in der Vergangenheit versäumt, sich als attraktiver Arbeitgeber in den Köpfen zu verankern.
Laut der Studie sehen 71 Prozent aller Absolventen für sich keine Karrierechancen in der IT-Sicherheit und 73 Prozent haben die Branche niemals als möglichen Arbeitgeber in Erwägung gezogen. Zudem hätten fast die Hälfte der Befragten (47 Prozent) wenig oder gar keine Vorstellungen über die Aufgaben von IT-Sicherheitsexperten.
„Eine ganze Generation nicht für eine Karriere auf diesem Gebiet zu begeistern, könnte uns teuer zu stehen kommen“, warnt Suhl. Es gebe nicht unendlich viele Talente für die Sicherheitsbranche und die Unternehmen versuchten eher, sich die vorhandenen Fachkräfte gegenseitig auszuspannen als neue Talente zu gewinnen. „Was wir benötigen ist ein Mix aus neuen und erfahrenen Kräften, um hier die Lücken zu schließen. In Hinblick auf Bedeutung und Umfang täglich neuer Cyber-Gefahren kann dieser Kampf nur durch einen gemeinschaftlichen Ansatz in einem Team aus Branchenexperten gewonnen werden. Unser hauseigenes Global ,Research and Analysis Team‘ (GReAT) glaubt fest daran, dass Menschen verschiedenen Alters und unterschiedlicher Herkunft eine gewaltige Stärke im Kampf gegen die Cyber-Kriminalität aufbringen können“, schließt Suhl.

„Kaspersky Academy Talent Lab“ ausgelobt

Im Jahr 2016 wurde laut KASPERSKY lab mit dem „Kaspersky Academy Talent Lab“ ein internationaler Wettbewerb für Studenten und Nachwuchskräfte ins Leben gerufen.
Am 13. März 2017 seien die diesjährigen Gewinner bekannt gegeben worden – zwei Studenten aus den USA, die mit ihrer Sicherheitstraining-App unter anderem ein Preisgeld in Höhe von 10.000 US-Dollar gewonnen hätten.
Das Programm zur Nachwuchsförderung ziele darauf ab, aktuelle Cyber-Sicherheitsherausforderungen über einen Wettbewerb für technische und kreative Talente zu lösen.

Weitere Informationen zum Thema:

KASPERSKY lab
QUALIFIKATIONSDEFIZIT IN DER CYBERSICHERHEIT – EINE TICKENDE ZEITBOMBE

Kaspersky Academy
Talent Lab

datensicherheit.de, 12.08.2016
Risiken der Internetnutzung: Eltern klären Nachwuchs nicht ausreichend auf

datensicherheit.de, 20.04.2016
Cyber Security Challenge Germany 2016: IT-Wettbewerb für junge Nachwuchskräfte

[datensicherheit.de, 18.10.2016] Einkaufsaktionstage schwappen vermehrt aus den USA nach Deutschland – so soll z.B. vom 21. bis zum 28. November 2016 die „Cyber-Monday-Woche“ bei amazon stattfinden. Auch locken zahlreiche Anbieter am „Black Friday“, dem 25. November 2016, vierundzwanzig Stunden lang mit attraktiven „Schnäppchenpreisen“. Allerdings sollten Nutzer – generell, aber nun insbesondere bis Weihnachten – auf betrügerische Händler, die sich auf großen Handelsplattformen tummeln, und erhöhte Phishing-Gefahr Acht geben, rät KASPERSKY lab. Auch Webshop-Händler und Finanzorganisationen sollten alarmiert sein. Diese Empfehlung basiert nach eigenen Angaben auf Erkenntnissen aus einer aktuellen Studie von KASPERSKY lab über den einkaufsstarken Zeitraum Oktober bis Dezember von 2013 bis 2015 und zum Teil 2016.

Erkenntnisse der Studie „Kaspersky Lab Black Friday Threat Overview“

• Mehr Attacken gegen Shops: Der Anteil von Phishing-Attacken gegen Webshops und Bezahlsysteme sei während dieses Zeitraums höher als die Anzahl der Phishing-Attacken gegen Banken.
• Angriffe von Cyber-Kriminellen zu Aktionstagen: Cyber-Kriminelle verbänden ihre gefährlichen Kampagnen, in denen sie Finanz-Malware oder Phishing-Seiten unters Cyber-Volk bringen, mit passenden Anlässen wie „Black Friday“, „Cyber Monday“ und Weihnachten.
• Zunahme der Schädlinge gegen Kassensysteme: KASPERSKY lab kenne derzeit 36 POS-Schädlingsfamilien, POS steht für „Point-of-Sale“, also für Kassensysteme. Davon seien sechs erst dieses Jahr aufgetaucht.
• Gefälschte Geldkarten im Umlauf: Der Handel im Cyber-Untergrund mit gefälschten Geldkarten boome. Im Dezember 2015 sei die Anzahl um mehr als das Zehnfache gestiegen – von 25 bis 30 auf insgesamt 500.
• DDoS-Attacken erwartet: Es sei davon auszugehen, dass es zu DDoS-Attacken gegen Web-Händler kommen werde.

Erkennen verdächtiger Muster beim Geldausgeben an Aktionstagen schwierig

„Banken vertrauen auf Algorithmen, um verdächtige Muster beim Geldausgeben ihrer Kunden erkennen zu können. Allerdings ist diese Methode zu den verkaufsintensiven Zeiten wie am ,Black Friday‘, ,Cyber Monday‘ oder Weihnachten nicht mehr so einfach möglich, denn Nutzer geben in dieser Zeit viel mehr Geld aus als im restlichen Jahr“, erläutert Holger Suhl, „General Manager DACH“ bei KASPERSKY lab.
Für Cyber-Kriminelle erschließe sich so eine „perfekte Umgebung, um Online-Shopper anzugreifen und gestohlene Finanzdaten in Bares umzuwandeln“, bevor die Opfer und ihre Bank etwas davon mitbekämen, so Suhl

Weitere Informationen zum Thema:

SECURELIST, 14.11.2016
Kaspersky Lab Black Friday Threat Overview 2016

datensicherheit.de, 22.10.2016
Mittelstand laut SicherheitsMonitor 2016 zu sorglos gegenüber Cyber-Risiken

[datensicherheit.de, 22.06.2016] Das Ergebnis einer zweijährig angelegten, weltweiten Studie von KASPERSKY lab macht deutlich, dass sich Erpressungssoftware „explosionsartig“ ausbreitet – besonders in Deutschland. Basis der Studie sind Statistiken des „Kaspersky Security Network“ (KSN) aus dem Untersuchungszeitraum April 2014 bis März 2015 sowie April 2015 bis März 2016.

Ransomware-Epidemie in Deutschland

KASPERSKY lab unterscheidet zwischen Erpressungssoftware, die Rechner blockiert („Screen Blocker“), und solcher, die dort Daten verschlüsselt („Crypto-Ransomware“).
Für Deutschland lasse sich durchaus von einer „Epidemie von Ransomware“ sprechen: 94,4 Prozent aller digitalen Erpressungsversuche gingen auf Ransomware-Attacken zurück. Die Angriffe mit Ransomware hätten sich gegenüber dem Vorjahr weltweit um den Faktor 5,5, in Deutschland sogar um Faktor 20 erhöht.

Angriffe mit Erpressungs-Software um rund 36 Prozent zugenommen

Weltweit gesehen sei die Zahl der mit einem von KASPERSKY lab registrierten Angriff durch Erpressungssoftware konfrontierten Nutzer zwischen April 2015 und März 2016 gegenüber dem Vorjahreszeitraum um 17,7 Prozent auf mehr als 2,3 Millionen gestiegen.
Allein in Deutschland seien in diesem Zeitraum über 100.000 Nutzer von Erpressungs-Software betroffen gewesen. In der zweiten Hälfte des Untersuchungszeitraums seien bereits 4,3 Prozent aller attackierten Nutzer in Deutschland von Erpressungssoftware angegriffen worden – dies entspreche einer Steigerung von rund 36 Prozent.

Eingehen auf Lösegeldforderungen fördert Schattenwirtschaft

Ein großes Problem in Zusammenhang mit Erpressungs-Software sei die Bereitwilligkeit der Opfer, den Lösegeldforderungen der Cyber-Kriminellen nachzugeben. Für die Opfer scheine es der einzige Weg zu sein, wieder an die eigenen Daten zu kommen. „Das spült eine Menge Geld in den Untergrundmarkt, der sich rund um diese Malware entwickelt hat“, erklärt Fedor Sinitsyn, „Senior Malware Analyst“ bei Kaspersky Lab. Inzwischen habe sich ein ganzer Schattenwirtschaftszweig etabliert, der fast täglich neue Angreifer auf den Plan rufe. Unternehmen wie Heimanwender sollten sich schützen – mit regelmäßigen Backups ihrer Daten, dem Einsatz von Sicherheitslösungen und der regelmäßigen Beobachtung aktueller Risiken. So lasse sich das für Cyber-Kriminelle hochprofitable und scheinbar sichere Geschäftsmodell wieder eindämmen, so Sinitsyn.

Weitere Informationen zum Thema:

SECURELIST, 22.06.2016
PC-Ransomware in den Jahren 2014-2016 / Entwicklung und Zukunft einer Bedrohung