Alter schützt vor Schaden nicht

Trend Micros Sicherheitsbericht für das erste Quartal belegt Gefährlichkeit seit langem bekannter Angriffsszenarien wie Malvertising, Makroviren und Erpresser-Software
TM_Q1_Malvertising (PresseBox) (Hallbergmoos, ) Manchmal scheint der "Einfallsreichtum" der Cyberkriminellen keine Grenzen zu kennen, manchmal genügt es aber auch, wenn sie auf "Altbewährtes" zurückgreifen. Die im ersten Quartal 2015 beobachteten Cyberangriffe waren nicht neu, sie nutzten weit verbreitete Taktiken - und waren doch enorm effektiv: Werbeanzeigen im Internet und auf mobilen Portalen, Erpresser-Software sowie Makroviren stellten sowohl für Privatanwender als auch für Unternehmen eine ernstzunehmende Gefahr dar. Eine Übersicht über diese und weitere Themen enthält der hier abrufbare Sicherheitsbericht des japanischen IT-Sicherheitsanbieters Trend Micro. Zwei kurze Videos mit den Einschätzungen des Pressesprechers Udo Schneider finden sich hier und hier.

Dass die größten Sicherheitslücken oft übersehen werden, zeigt das Beispiel "Malvertising": Auch wenn Anwender regelmäßig ihre Rechner aktualisieren, vorsichtig agieren und nur vertrauenswürdige Seiten aufsuchen, können sie Opfer von Angriffen werden. Online-Werbung hat sich zu einer beliebten Methode entwickelt, Exploits zu transportieren. Was viel damit zu tun hat, dass Anwender nicht beeinflussen können, welche Anzeigen sie eingeblendet bekommen.

... und nun zur Werbung
Die neuesten Malvertising-Angriffe sind durch den Einsatz von Zero-Day-Exploits zu einer ernsthaften Bedrohung geworden. Denn diese Kombination unterläuft gleich zwei der gängigen Sicherheitsempfehlungen - nämlich nur vertrauenswürdige Websites aufzurufen und Anwendungen mit den neuesten Patches aktualisiert zu halten.

Drei Beispiele aus dem ersten Quartal 2015 verdeutlichen dies: Während "BEDEP" mittels Exploit-Kits über bösartige Werbung von legitimen Websites auf die Rechner der Anwender gelangte, gab es auch eine (nicht so gut dokumentierte) Infektionsmethode über "legitime" Software: Die "Superfish"-Adware veranschaulichte, dass Anwendungen heutzutage oft Komponenten haben, die ein Sicherheitsrisiko darstellen. Inzwischen hat der Hersteller das Werbe-Add-on für Browser entfernt, das auf 52 Laptop-Modellen vorinstalliert war. Eine besonders aggressive Form der Adware aus dem "MDash Development Kit" fanden Forscher Trend Micros bei über 2.000 Android-Apps, die im "Google Play Store" enthalten waren. Trend Micro hat sie gemeinsam mit Google inzwischen aus dem Store entfernt.

Udo Schneider, Security Evangelist bei Trend Micro, kommentiert: "Aus Sicht von 'Otto Normalnutzer' ist 'Malvertising' eine der gefährlichsten Internetbedrohungen. Denn mehr noch als in anderen Fällen kann es Schaden anrichten, selbst wenn man als Nutzer alles richtig macht. Es kann Menschen treffen, die alle Sicherheitspatches installiert haben, die auf keine Links klicken und nur vertrauenswürdige Websites besuchen. Mit anderen Worten: Eine Vorsichtsmaßnahme, die vor Malvertising schützt, gibt es nicht. Ob man verschont bleibt, ist reine Glückssache."

Ein Video mit den Einschätzungen Udo Schneiders zu diesem Thema ist hier abrufbar.

Erpresser-Software nimmt Unternehmen ins Visier
Die Verbreitung von Erpresser-Software nimmt weiter zu. Speziell die von Crypto-Ransomware, deren Infektionsrate sich zwischen dem ersten Quartal 2014 und dem ersten Quartal 2015 vervierfacht hat. Fast die Hälfte (49 Prozent) aller in den ersten drei Monaten dieses Jahres entdeckten Infektionen entfiel hierauf. Anders als bei früheren Varianten wie etwa dem BKA-Trojaner werden die betroffenen Anwender nicht nur von ihrem Rechner "ausgesperrt", sondern auch dazu gezwungen, Lösegeld zu zahlen, um wieder an die von den Kriminellen verschlüsselten Dateien zu gelangen. Bestimmte Varianten arbeiten mit Routinen, die direkt auf Unternehmen abzielen: So kann "TorrentLocker" Dateien in Netzwerk-Freigabeordnern verschlüsseln und weist damit ein Verhalten auf, das normalerweise in Unternehmensnetzwerken zu finden ist, während "Ransomweb" Websites und Webserver unzugänglich macht.

Innerhalb eines Quartals stieg der Anteil der Erpressersoftware, der auf große Unternehmen abzielte, von 16 auf 28 Prozent, während der Anteil der Malware für Privatanwender von 72 auf 52 Prozent zurückging. Der Anteil für kleine und mittelständische Unternehmen stieg von sechs auf vierzehn Prozent. Neben Unternehmen und deren Mitarbeitern sind auch "Nischenanwender" ins Visier geraten: Mit "Teslacrypt" hatte es eine Crypto-Ransomware-Variante auf Online-Gamer abgesehen, die Software- und Spieledaten ebenso verschlüsselte wie Dokumente und Backupdateien der Anwender. Deren Vertrauen hatten die Cyberkriminellen mithilfe des "Freemium-Modells" gewonnen, nun sind sie zum Angriff übergegangen.

Laut Udo Schneider muss man davon ausgehen, dass sich der Anstieg bei Ransomware-Infektionen fortsetzen wird. Der Grund liege auf der Hand: "Mithilfe von Ransomware lässt sich aus Malware-Infektionen schnelles Geld machen. Im Vergleich zu einer Angriffsstrategie, bei der die Angreifer aus infizierten Computern ein Botnetz aufbauen, mit dessen Hilfe Bankdaten entwenden und dann Geld von Bankkonten stehlen, lässt sich aus Ransomware-Infektionen viel schneller Gewinn schlagen. Anders ausgedrückt: Der durchschnittliche Gewinn pro Malware-Infektion fällt deutlich höher aus."

Makroviren kehren zurück
Auffällig war im ersten Quartal auch die Rückkehr der Makroviren: Sie waren mit dem "Microsoft Word Concept Virus" erstmals vor 20 Jahren aufgetaucht, ehe sie Mitte der 2000er Jahre im Zuge der durch Microsoft gemachten Sicherheitsänderungen von der Bildfläche verschwanden. Beim Wechsel vom .DOC- auf das .DOCX-Format hatte Microsoft die Implementierung von Makros in Office-Dokumenten zwar geändert, sie sind aber nach wie vor ausführbar. Nachdem sie 2014 zurückgekehrt waren, haben sie sich im ersten Quartal dieses Jahres mehr als verdoppelt: Allein zwischen Januar und März gab es weltweit fast 100.000 Infektionen mit Makroviren.

"Auffällig hierbei: Erst die 'tatkräftige Unterstützung' durch die Opfer macht die Angriffe erfolgreich - was zeigt, welch große Rolle 'Social Engineering' spielt. Mit geschickt formulierten Mails beziehungsweise dem Dokumenteninhalt werden die Benutzer dazu gebracht, die Makros doch zu aktivieren. Dies funktioniert natürlich umso besser, je mehr die Cyberkriminellem über ihre Opfer wissen. Daher ist diese Vorgehensweise insbesondere bei zielgerichteten Angriffen, bei denen man vorher eine Aufklärung über die Opfer betrieben hat, beliebt", erklärt Udo Schneider.

Ein Video mit den Einschätzungen Udo Schneiders zu diesem Thema ist hier abrufbar.

Weiterführende Informationen
Trend Micros vollständiger Sicherheitsbericht zum ersten Quartal 2015 ist hier abrufbar, ein Blogeintrag mit weiteren Informationen findet sich hier. Die Expertenvideos zu den zentralen Themen finden sich hier und hier.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Marcus Ehrenwirth
phronesis PR GmbH
Marcus Wenning
phronesis PR GmbH
Thomas Rademacher
Trend Micro Deutschland GmbH
Marketing Director Central Europe

Bilder

Social Media