[datensicherheit.de, 25.09.2018] Dass Schadprogramme zwischen nicht vernetzten Computern über den USB-Anschluss mittels infizierten Geräten übertragen werden können, ist bekannt. Laut einer aktuellen Kaspersky-Analyse zu Cybergefahren durch USB-Geräte und andere Wechseldatenträger für das Jahr 2018 [1], nutzen Cyberkriminelle den USB-Anschluss derzeit vor allem zur Verbreitung von Krypto-Mining-Malware. So war im bisherigen Jahresverlauf etwa jede zehnte Infektion (9,22 Prozent) durch ein USB-Speichermedium eine solche Malware.

Mangelnde Sicherheit von USB-Speichermedien seit rund 20 Jahren bekannt

Obwohl die mangelnde Sicherheit von USB-Speichermedien seit rund 20 Jahren bekannt ist, werden sie im Geschäftsumfeld noch immer gerne eingesetzt, zum Beispiel auf Messen. Kein Wunder, dass kompromittierte USB-Sticks als Türöffner in ein Unternehmensnetzwerk missbraucht werden.

Laut der Analyse wird die Top-10 der Bedrohungen für externe Datenträger von Windows-LNK-Malware angeführt. Dazu gehören auch nach wie vor der Stuxnet-Exploit ,CVE-2018-2568‘ aus dem Jahr 2010 und in zunehmendem Maße Krypto-Mining-Programme.

Dabei zählt der seit dem Jahr 2014 bekannte Schädling ,Trojan.Win32.Miner.ays‘ beziehungsweise ,Trojan.Win64.Miner.all‘ zu den gängigen Krypto-Minern, die über USB-Sticks und Co. verbreitet werden. Der Trojaner platziert die Mining-Anwendung auf dem PC, installiert und startet diese dort heimlich und lädt sich die nötigen Hilfsmittel nach, um die Ergebnisse dann an einen externen Server zu schicken, der von den Angreifern kontrolliert wird. Die Daten von Kaspersky Lab zeigen, dass die erst jetzt entdeckten Infektionen bereits Jahre zurückliegen müssen. Das heißt, auf den Geräten der Opfer wurde wohl über lange Zeit hinweg die Rechenleistung radikal eingeschränkt. Die Anzahl von Erkennungen der 64-Bit-Version des Krypto-Miners steigt jährlich an: im Jahr 2017 erhöhte sie sich gegenüber dem Vorjahr um 18,42 Prozent. Für dieses Jahr wird ein erneuter Zuwachs um 16,42 Prozent erwartet. Diese Ergebnisse legen nahe, dass die Verbreitung der Schädlinge über externe Datenträger weiterhin gut funktioniert.

„Die Verbreitung von Infektionen durch USB-Geräte ist zwar nicht mehr so effektiv wie in der Vergangenheit, denn inzwischen gelten sie als unsicher und werden im Geschäftsleben weniger häufig eingesetzt. Dennoch zeigt unsere Untersuchung, dass USB-Sticks weiterhin ein nicht zu unterschätzendes Risiko sind“, warnt Denis Parinov, Anti-Malware Researcher bei Kaspersky Lab. „Für Angreifer ist dieses Speichermedium weiterhin von Interesse und wird für Attacken verwendet. Einige Infektionen bleiben über Jahre hinweg unentdeckt. Glücklicherweise können sich Privatnutzer und Unternehmen mit sehr einfachen Mitteln davor schützen.“

Kaspersky-Empfehlungen für eine sichere USB-Verwendung

Für alle privaten USB-Nutzer gilt:

• Wenn man ein externes Gerät an einen Rechner anschließt, sollte man Vorsicht walten lassen und sich die Frage stellen, woher das Gerät stammt.
• Nur verschlüsselte USB-Speicher vertrauenswürdiger Herkunft verwenden.
• Alle auf dem USB-Medium gespeicherten Daten verschlüsseln.
• Auf dem Rechner sollte eine Sicherheitslösung installiert sein, die alle temporär angeschlossenen Geräte auf Malware überprüft, bevor sie in das Netz eingebunden werden. Denn auch vertrauenswürdige Marken können Opfer ihrer Lieferkette werden.

Unternehmen wird ergänzend empfohlen:

• dass sie interne Richtlinien einführen, von wem und für welchen Zweck USB-Geräte verwendet werden dürfen.
• Mitarbeiter im sicheren Umgang mit externen Geräten zu schulen. Das gilt besonders dann, wenn die Geräte zum Austausch von Daten zwischen den Rechnern am Arbeitsplatz und zu Hause verwendet werden.
• Mitarbeiter zu sensibilisieren, Speichermedien sicher zu verwahren und nicht offen herumliegen zu lassen.

[1] https://securelist.com/usb_threats_from_malware_to_miners/87989/
Die Analyse basiert auf Zahlen des Kaspersky Security Network (KSN). Am KSN können Kaspersky-Kunden auf freiwilliger Basis teilnehmen. Die von Kaspersky Lab erhobenen Daten werden anonym und vertraulich behandelt. Es werden keine persönlichen Daten wie zum Beispiel Passwörter gesammelt. Über das KSN erhält Kaspersky Lab Informationen über Infizierungsversuche und Malware-Attacken. Die dabei gewonnenen Informationen helfen vor allem den Echtzeitschutz für Kaspersky-Kunden zu verbessern.

Weitere Informationen zum Thema:

datensicherheit.de, 23.09.2018
Top-Malware im August 2018: Anstieg von Angriffen durch Banking-Trojaner

datensicherheit.de, 20.09.2018
Kryptojacking: Wie Cyberkriminelle sich die Cloud zu Nutze machen

datensicherheit.de, 14.09.2018
Kryptomining-Malware in Add-ons des Mediaplayers Kodi enttarnt

[datensicherheit.de, 28.03.2014]  Trauriges Jubiläum: Rund zehn Jahre nach dem ersten mobilen Schädling für das mobile Betriebssystem Symbian liegt die Zahl der mobilen Schadprogramme und Hochrisiko-Apps mittlerweile bei zwei Millionen. Der massenhafte Erfolg von Android fungiert hierbei unbeabsichtigt als „Brandbeschleuniger“: Denn es ist nicht einmal sechs Monate her, dass die Millionenmarke gerissen wurde – Tendenz weiterhin exponentiell steigend.

Es ist jedoch nicht nur die reine Zahl an mobilen Gefahren, welche die Alarmglocken schrillen lässt. Vielmehr werden die Methoden der Cyberkriminellen immer raffinierter und unterscheiden sich kaum noch in Art und Vielfalt von den Bedrohungen, die aus der PC-Welt mittlerweile hinlänglich bekannt sind.

„Die Entwicklung der mobilen Gefahren ist nicht nur eine Frage der Quantität, sondern auch der Qualität“, betont Sicherheitsexperte Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitshersteller Trend Micro. „Von relativ harmlosen Popup-Nachrichten haben sich die mobilen Schädlinge in Richtung Abzocke durch Bezahldienste, Informationsdiebstahl, Hintertürschädlinge und sogar Rootkits bewegt. Und ein Ende ist nicht abzusehen: Zurzeit beobachten wir unter anderem, dass die Cybergangster zunehmend das Anonymisierungswerkzeug und -netz ‚TOR‘ für ihre Zwecke missbrauchen, mit ‚DENDROID‘ einen gefährlichen Trojaner mit umfangreichen Spionagefähigkeiten in Umlauf gebracht haben und die immer stärkere Rechenleistung mobiler Endgeräte zum Schürfen digitalen Geldes in verschiedenen Währungen nutzen.“

Weitere Informationen zum Thema:

blog.trendmicro.de
Mobile Schadsoftware und hochriskante Apps summieren sich auf zwei Millionen

datensicherheit.de, 25.03.2014
10.000 Android-Apps für Berechtigungsmißbrauch anfällig

Weitere Informationen zur aktuellen Lage bei mobilen Bedrohungen sind im deutschsprachigen Trend Micro-Blog abrufbar.

[datensicherheit.de, 05.04.2013] In den vergangenen Tagen haben Online-Kriminelle erneut in großem Umfang OpenX-Server zur Auslieferung von Werbebannern kompromittiert. Bereits im Januar dieses Jahres hatte das BSI auf dieses Problem hingewiesen. Aktuell werden auf vielen bekannten und teils viel besuchten deutschsprachigen Webseiten – darunter auch die Online-Angebote von Nachrichten-, Politik-, Lifestyle- und Fachmagazinen, Tageszeitungen, Jobbörsen und Städteportalen – manipulierte Werbebanner ausgeliefert, welche schädlichen JavaScript-Code enthalten, der auf so genannte Exploit-Kits verweist.

Diese nutzen bekannte Schwachstellen unter anderem in Java, im Adobe Reader, in Adobe Flash oder im Microsoft Internet Explorer aus. Ziel der Angreifer ist es, Schadprogramme wie Online-Banking-Trojaner auf Windows-basierten PCs der Besucher der Webseiten zu installieren. Die Infektion des Rechners erfolgt dabei allein durch den Besuch einer Webseite, auf der ein entsprechend manipuliertes Werbebanner eingeblendet wird. Eine zusätzliche Nutzeraktion wie beispielsweise das Anklicken des Werbebanners ist für die Infektion nicht erforderlich.

Das Computer-Notfallteam CERT-Bund des BSI hat in den vergangenen Tagen bereits eine Vielzahl von Betreibern betroffener Webseiten informiert, damit diese die Ursache für die Auslieferung der schädlichen Werbebanner auf ihrer Webseite überprüfen und wenn möglich abstellen können. Derzeit werden jedoch täglich neue Webseiten identifiziert, auf denen schädliche Werbebanner
ausgeliefert werden.

Sicherheitsupdates sind vorhanden, werden jedoch oftmals nicht eingespielt

Für alle derzeit von den Exploit-Kits ausgenutzten Schwachstellen sind bereits seit längerem Sicherheitsupdates verfügbar. Trotzdem ist die Verbreitung der Schadprogramme erfolgreich, denn viele PC-Nutzer haben diese Sicherheitsupdates auf ihrem PC oder Notebook nicht installiert. Das BSI rät daher allen Nutzern dringend, den Stand der Sicherheitsaktualisierungen ihres Betriebssystems, sowie des Browsers und anderer genutzter Anwendersoftware wie Java, Adobe Reader und Adobe Flash regelmäßig zu überprüfen und von den Herstellern bereitgestellte Sicherheitsupdates rasch zu installieren.

Weitere Informationen zum Thema:

BSI
Empfehlungen und Hilfestellungen für ein erfolgreiches Update-Management

BSI für Bürger
PC-Sicherheit – Emfehlungen für Anwender

[datensicherheit.de, 03.04.2012] Zunehmend nutzten Cyber-Kriminelle vertrauenswürdige Websites, um Schadprogramme zu verbreiten – über den sogenannten „Drive-by-Download“-Mechanismus, also das automatische Herunterladen von schädlichen Codes, hätten im Februar 2012 jeden Tag im Schnitt zwei der 25.000 weltweit beliebtesten Websites Malware an ahnungslose Besucher verbreitet. Die untersuchten Websites seien über „Alexa“ ausgewählt worden, ein Internetdienst, der ermittelt, welche Websites weltweit am häufigsten besucht werden. Das Ergebnis der aktuellen Untersuchung von „Barracuda Labs“ für den Februar 2012 zeige, dass die Betreiber von Websites in der Pflicht stünden, den Schutz ihrer Nutzer zur obersten Priorität zu machen.

Abbildung: Barracuda Networks, München

Ergebnisse der Studie „Good Websites Gone Bad“

Barracuda Networks, nach eigenem Verständnis einer der führenden Anbieter von Sicherheits-, Netzwerk- und Datenschutzlösungen, hat sich in seiner umfassenden Studie „Good Websites Gone Bad“ die nach „Alexa“-Rang 25.000 wichtigsten Websites vorgenommen und nach Sicherheitslücken untersucht. Die Forscher wollten herausfinden, ob von den weltweit am meisten angeklickten Seiten eine Gefahr für die Anwender ausgeht.

Die wichtigsten Erkenntnisse der Studie „Good Websites Gone Bad“:

• Im Durchschnitt hätten jeden Tag zwei der 25.000 Websites schädliche Inhalte verbreitet.
• Die 25.000 beliebtesten Websites hätten im Februar 2012 an insgesamt 23 Tagen schädliche Inhalte enthalten. Das Problem sei also kein isolierter Einzelfall, sondern ein durchgängiges Phänomen.
• Die Domains mit schädlichen Inhalten auf den Websites verteilten sich auf 18 verschiedene Länder. Es handele sich also um ein grenzüberschreitendes Problem.
• 97 Prozent aller Websites, auf denen den Besuchern schädliche Programme untergeschoben wurden, seien mehr als ein Jahr lang in Betrieb, die Hälfte bereits mehr als fünf Jahre alt. Die Angreifer benutzten also gut etablierte Websites mit einer langen Bestandszeit für ihre „Drive-by-Download“-Attacken.

Der Fokus der Web-Sicherheit habe sich verschoben. Wer eine beliebte Website betreibt oder ein erfolgreiches Unternehmen führt, dessen Anwender gerieten ins Visier von Kriminellen, so Dr. Paul Judge, „Chief Research Officer“ von Barracuda Networks. Dass gute Websites sozusagen auf Abwege geraten, sei ein ernstzunehmendes Problem. Zwar müssten die Nutzer selbst beim Besuch von Websites, denen sie schon seit langem vertrauen, Vorsicht walten lassen. Vor allem aber müssten die Betreiber von Websites dringend Maßnahmen ergreifen, damit ihre Besucher vor dem Missbrauch durch Dritte sicher sind.

Weitere Informationen zum Thema:

BARRACUDALABS, 28.03.2012
Maliciousness in Top-ranked Alexa Domains / by Paul Royal, Research Consultant

[datensicherheit.de, 19.08.2011] KASPERSKY lab hat nach eigenen Angeben bisher 2,4 Millionen einzigartige Schadprogramme identifiziert, die gegen Gamer gerichtet seien:
Vor einem Jahr habe der IT-Sicherheitsexperte noch 1,8 Millionen explizite Exemplare von Gaming-Malware gezählt. Die meisten Schadprogramme seien sogenannte „Keylogger“, mit denen Spieler-Account-Daten abgegriffen werden. Dies geht aus der Präsentation „Gaming the Security – Daily Hacker Tales“ von Christian Funk, Virenanalyst bei KASPERSKY lab, hervor. Die meisten Schadprogramme im Gaming-Bereich attackierten Online-Rollenspiele, so Funk. Über gestohlene Accounts könnten Spielcharaktere sowie deren Ausstattungsgegenstände wie virtueller Güter gekapert und für bares Geld verkauft werden.

Abbildung: Kaspersky Labs GmbH, Ingolstadt

Gamer im Visier: 2,4 Millionen einzigartige Schadprogramme identifiziert.

Der Markt für den Verkauf von virtuellen Spielgegenständen ist vorhanden. Nach einer KASPERSKY-Hochrechnung würden allein über eBay im Jahr circa 11,5 Millionen Euro mit dem Verkauf von legalen und illegalen Gaming-Gegenständen umgesetzt. eBay sei dabei nur ein Verkaufskanal – sie gingen davon aus, dass die Dunkelziffer beim Umsatz von Spiele-Account-Daten noch viel höher liege. Da der Missbrauch von illegal verkauften Spielgütern nicht nachhaltig verfolgt werde, sei der Handel mit gestohlenen Account-Daten weniger risikoreich als beispielsweise mit gestohlenen Kreditkarteninformationen, erklärt Funk.
Neben Schadprogrammen attackieren Cyberkriminelle die Gaming-Gemeinschaft und ihre virtuellen Schätze gerne mit Phishing-Mails. Die Methode dabei sei oft denkbar einfach. Offizielle E-Mails der Spieleindustrie würden fast zu hundert Prozent kopiert und als Phishing-Mail missbraucht, um an Account-Daten zu gelangen. KASPERSKY lab empfiehlt den Einsatz von Spam-Filtern sowie die Eingabe von Internetadressen über die Tastatur beziehungsweise die Verwendung von Bookmarks. Generell sollten Nutzer niemals auf in E-Mails enthaltene Links klicken.

Weitere Informationen zum Thema:

KASPERSKY lab
„Gaming the Security – Daily Hacker Tales“

[datensicherheit.de, 15.08.2011] Beobachtungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge nutzten Angreifer derzeit verstärkt mehrere Sicherheitslücken in veralteten Versionen des Online-Shop-Systems „osCommerce“ aus, um auf diesem System basierende Web-Präsenzen zu manipulieren:
Die Angreifer fügten demnach unter Ausnutzung der Sicherheitslücken schädlichen Code auf dem Shop-Server ein, welcher auf sogenannte „Drive-by-Exploits“ verweise. Beim Besuch eines so manipulierten Online-Shops werde automatisiert versucht, verschiedene Schwachstellen im Web-Browser, im Betriebssystem oder anderer auf dem PC des Besuchers der Website installierter Anwendungssoftware auszunutzen, um unbemerkt ein Schadprogramm auf dem PC des Nutzers zu installieren.
Nach Erkenntnissen des BSI seien inzwischen mehrere tausend Online-Shops weltweit betroffen, darunter auch viele deutschsprachige. Die von den Angreifern für die Manipulationen ausgenutzten Sicherheitslücken seien bereits in der vom Hersteller im November 2010 veröffentlichten Version „osCommerce 2.3“ geschlossen worden – viele Online-Shops setzten jedoch immer noch ältere Versionen ein. In der Fachpresse wurde bereits Ende Juli 2011 über diese Angriffe berichtet. Beobachtungen des BSI zufolge hätten Betreiber von Online-Shops bislang jedoch nur teilweise reagiert und Manipulationen behoben sowie ein Update der eingesetzten „osCommerce“-Software durchgeführt. Das BSI weist daher aus diesem Anlass auf den akuten Handlungsbedarf hin – Anbieter sollten ihr Shop-System überprüfen und aktualisieren.
Das BSI rät konkret Betreibern von Online-Shops auf Basis von „osCommerce“, den Versionsstand der eingesetzten Shop-Software zu überprüfen und ggf. ein Update auf die aktuellen Versionen 2.3.1 bzw. 3.0.2 durchzuführen. Die aktuellen Versionen stehen auf der „osCommerce“-Website online zum Download bereit. Anwender älterer Versionen sollten den Shop-Server dringend auf mögliche Manipulationen überprüfen, rät das BSI. Internet-Nutzern empfiehlt das BSI zudem, zum Schutz vor Infektionen ihres Rechners mit Schadprogrammen über „Drive-by-Exploits“ auf die regelmäßige Aktualisierung der Signaturen des eingesetzten Antiviren-Schutzprogrammes zu achten und zeitnah alle jeweils verfügbaren Sicherheitsupdates für das Betriebssystem und Anwendungssoftware zu installieren.

Weitere Informationen zum Thema:

BSI
Drive-by-Exploits

[datensicherheit.de, 04.08.2010] Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) weist das Apple-Betriebssystem iOS zwei kritische Schwachstellen auf:
„iOS“ wird zur zur mobilen Kommunikation und Internetnutzung der Apple-Geräte iPhone, iPad und iPod Touch eingesetzt, für die bislang noch kein Patch zur Verfügung steht. Bereits das Öffnen einer manipulierten Website beim mobilen Surfen oder das Anklicken eines präparierten pdf-Dokuments reiche laut BSI aus, um das mobile Gerät mit Schadsoftware zu infizieren – potenziellen Angreifern sei damit der Zugriff auf das komplette System mit Administratorrechten möglich.
Wie die Schwachstellen für Angriffe genutzt werden können, wurde bereits veröffentlicht. Derzeit seien nach BSI-Angaben noch keine konkreten Angriffe beobachtet worden – es sei jedoch damit zu rechnen, dass Angreifer die Schwachstellen zeitnah für Angriffe nutzten.

BSI-Empfehlungen zum Schutz der persönlichen Daten:

1. Bis zur Veröffentlichung eines Software-Updates des Herstellers wird empfohlen, pdf-Dokumente nicht auf mobilen „iOS“-Geräten zu öffnen. Dies gelte sowohl für Websites als auch für E-Mails und andere Applikationen.
2. Die Nutzung des mobilen Browsers auf dem Endgerät sollte auf vertrauenswürdige Websites beschränkt werden. Hyperlinks in E-Mails oder auf Websites sollten nur geöffnet werden, wenn diese aus vertrauenswürdigen Quellen stammten. Bei der Nutzung von Suchmaschinen sollte man bei den Ergebnissen in der Trefferliste darauf achten, nicht ein pdf-Dokument anzuklicken.

Weitere Informationen zum Thema:

BSI, 04.08.2010
Schwachstelle im mobilen Apple Betriebssystem iOS / Installation von Schadprogrammen auf iPhone, iPad und iPod Touch möglich

[datensicherheit.de, 30.07.2009] Viren und andere Schadprogramme sind die häufigste Negativ-Erfahrung im Internet. 22 Prozent der Nutzer – das entspricht zehn Millionen Deutschen – hätten erlebt, dass ihr Computer mit einem Schadprogramm infiziert wurde. Das gehe aus einer repräsentativen Erhebung des „Bundesverbands Informationswirtschaft, Telekommunikation und neue Medien e.V.“ (BITKOM) hervor. Weitere unangenehme Erlebnisse folgten mit klarem Abstand:

• Sechs Prozent der Surfer seien Opfer eines Betrugs beim Online-Einkauf geworden.
• Vier Prozent seien im Web verbal angegriffen oder belästigt worden.
• Eine Ausspähung oder illegale Nutzung ihrer persönlichen Daten hätten zwei Prozent der User beklagt.

Quelle BITKOM: Viren-Opfer

Erfreulich sei, dass 63 Prozent der Nutzer noch keine Negativ-Erfahrungen im Internet gemacht hätten.

Weitere Informationen zum Thema:

BITKOM, 29.07.2009
Viren sind die häufigste Negativ-Erfahrung im Internet

Darin die wichtigsten Tipps des BITKOM zur Vorbeugung:

1. PC-Schutz
2. Online-Einkauf
3. Passwörter
4. Persönliche Inhalte

[datensicherheit.de, 25.06.2009] Die Zahl der Opfer von Computerkriminalität ist nach BITKOM-Angaben stark gestiegen:
So hätten 30 Prozent der Internet-Surfer im Internet schon einen finanziellen Schaden erlitten. Auch die Gefahren durch Schadprogramme nähmen zu; bei 8,8 Millionen Bundesbürgern sollen Viren bereits Schaden auf dem privaten Computer angerichtet haben. Diese Zahlen stützen sich auf eine repräsentative Umfrage im Auftrag des BITKOM.
Zwar beklage nur einer von fünf Internetnutzern einen Schaden durch Viren; die Dunkelziffer sei aber viel größer, denn viele würden gar nicht den Befall ihres Rechners bemerken, so Prof. Dieter Kempf, Präsidiumsmitglied des BITKOM und Vorstandsvorsitzender des Vereins „Deutschland sicher im Netz“. Diese infizierten Rechner stellten aber nicht nur eine Gefahr für den Besitzer dar, sondern bedrohten auch massiv fremde Rechner im Netz.
Der „Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V.“ (BITKOM) gibt Tipps zum richtigen Verhalten, wenn der Verdacht besteht, dass ein Rechner von einem Virus befallen ist:

1. Schadprogramm feststellen
2. Daten sichern
3. Virus isolieren oder entfernen
4. Fachmann fragen
5. Vorbeugen ist der beste Schutz

Weitere Informationen zum Thema:

BITKOM, 25.06.2009
BITKOM-Tipp / Was tun bei Viren auf dem Rechner?