Was ist gerade so los in den Malware-Küchen?


Das deutsche Webzine TecChannel.de hat in einem lesenswerten Text die gefährlichste Malware des vergangenen Jahres vorgestellt. Die Autorin Christine Schönig beschreibt darin die elf gefährlichsten Schädlinge 2015. Dabei lassen sich einige Trends ausmachen:

  • Ransomware ist weiter auf dem Vormarsch und gefährliche denn je. Programme wie CTB-Locker verschlüsseln die Daten der betroffenen Personen und Unternehmen und geben sie erst nach Zahlung eines Lösegelds in Höhe von einigen Hundert Euro wieder frei. Die Infektion erfolgt per Social Engineering: Die Opfer erhalten eine E-Mail, die sie dazu auffordert, ein angehängtes ZIP- oder CAB-Archiv zu öffnen und die enthaltene Software zu installieren. Absender ist scheinbar ein Firmenangehöriger. CTB-Locker nutzt moderne Verschlüsselungs-Algorithmen, die mit normalem Aufwand nicht zu knacken sind.

Firmen sollten ihre Mitarbeiter vor solchen E-Mails warnen und sie entsprechend schulen, private Anwender sollten wachsam sein. Aktuelle Ransomware wie CTB-Locker wird von vielen Antiviren-Programmen nicht entdeckt, Schutz bieten nur regelmäßige Backups.

  • Von Exploit Kits geht nach wie vor eine hohe Gefahr aus. Sie nutzen Schwachstellen auf Websites aus, um sich dort einzunisten und den Besuchern Malware unterzuschieben. Moderne Varianten wie das Angler Exploit Kit wechseln häufig ihre Landing Page, um von Intrusion-Protection-Systemen (IPS) nicht entdeckt zu werden. Abhilfe schaffen hier nur regelmäßige Updates aller installierten Softwarekomponenten – denn wo keine Schwachstelle, da kein Exploit.
  • Die am weitesten verbreitete Malware sind vermutlich nach wie vor die Trojaner. Sie laden weitere Schadsoftware nach, welche beispielsweise Tastatur-Eingaben mitliest, als Ransomware agiert oder vertrauliche Daten weitergibt. Vertreter wie AAEH/Beebone setzen Antiviren-Programme außer Kraft, indem sie ihre Verbindung zu den Servern der Hersteller blockieren, oder können sich wie Sality selbstständig über USB-Datenträger und Netzwerk ausbreiten.
  • Die Zahl der Schadprogramme für mobile Geräte wie Smartphones wächst weiter stark an. Unter der Bezeichnung Certifi-gate wurde im vergangenen August eine Reihe von Schwachstellen in Remote Support Tools für Android bekannt, über die sich Kriminelle uneingeschränkten Zugriff auf die Geräte verschaffen konnten. Anwender sollten Apps für den Fernsupport daher genau anschauen, bevor sie sie installieren.

Zudem wurden vereinzelt Fälle bekannt, in denen es gelang, Malware in den geschützten Software-Verzeichnissen von Google und Apple zu platzieren. So fand sich im Play Store eine App namens BrainTest, angeblich ein Intelligenzspiel, die ein Rootkit auf den Devices einrichtete, über das beliebiger Code ausgeführt werden konnte. Die Besitzer von iOS-Geräten von Apple hingegen wurden durch eine kompromittierte Version der Entwicklerplattform XCode bedroht, welche wiederum die mit ihr programmierten Apps infizierte.

  • Auch Botnetze bilden nach wie vor eine große Bedrohung, auch wenn es den Strafverfolgungsbehörden – unter anderem durch Unterstützung von Microsoft – in den vergangenen Jahren gelang, mehrerer dieser Netzwerke abzuschalten. Eines der Botnetze, das sich am weitesten ausgebreitet hat, nennt sich Simda und hat weltweit bereits rund 770.000 Computer infiziert. Die Kriminellen haben dabei das Ziel, die betroffenen PCs unter ihre Kontrolle zu bekommen. Die verwendeten Zugänge werden ständig gewechselt, so dass der Befall für Antiviren-Software schwer zu entdecken ist.

Ganz gleich, um welche Malware es sich handelt, die wichtigsten Schutzmaßnahmen sind immer dieselben: Wachsamkeit bei empfangenen E-Mails, sofortiges Einspielen von Patches und Updates, und, bei Unternehmen, die Definition eines mehrstufigen Sicherheitskonzepts.

Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.

Comments (0)

Skip to main content