Es ist ein bedrohlicher Trend: Angriffe auf Flugzeuge und Autos sind längst keine Science Fiction mehr, ebenso wenig wie der Hack eines Fernsehsenders in aller Öffentlichkeit. Wenn man die Vorfälle des vergangenen Quartals als Anhaltspunkt nimmt, könnten sich Anwender neuen Gefahren ausgesetzt sehen, die sie direkter als bisher betreffen. Denn während Cyberkriminelle immer neue Wege finden, bestehende Technologien zu missbrauchen, sind neue Akteure aufgetaucht: Unabhängige, einzeln agierende Drahtzieher, die mithilfe „einfacher Malware“ regional begrenzte Operationen im großen Stil durchführen. Weitere Informationen hierzu enthält der hier abrufbare Sicherheitsbericht des japanischen IT-Sicherheitsanbieters Trend Micro, der sich beispielsweise auch mit den Erfolgen der Strafverfolgungsbehörden, den Machenschaften im „Deep Web“ und den gängigsten Schädlingsfamilien im zweiten Quartal befasst.
Gleich mehrere Vorfälle belegten, dass Hackerangriffe inzwischen Bestandteil des täglichen Lebens sind und sich Cyberkriminelle längst nicht mehr nur auf Desktop-Rechner und Mobilgeräte konzentrieren, sondern ihre Ziele auf öffentliche Infrastrukturen sowie auf Geräte erweitern, auf deren Sicherheit wir uns für gewöhnlich verlassen.
Öffentliche Einrichtungen und Alltagsgeräte
Nachdem in der Vergangenheit bereits automatisierte Transportsysteme Ziel von Cyberangriffen waren, ließen zuerst einige Twitter-Nachrichten des Sicherheitsforschers Chris Roberts vermuten, er mache sich an den Bordsystemen einer Maschine zu schaffen, in der er sich zu diesem Zeitpunkt befand; das FBI ging daraufhin gegen ihn vor. Kurze Zeit später sorgte ein DDoS-Angriff auf den Warschauer Flughafen dafür, dass über 1.400 Passagiere der polnischen Fluglinie LOT am Boden bleiben mussten.
Dann zeigten gleich mehrere Angriffe auf Automobil-Software, zwischen welchen beiden Extremen die Diskussion rund um „carIT“ derzeit (noch) schwankt: Zwischen der Angst vor lebensbedrohlichen Katastrophen, wie bei den Hacks gleich mehrerer Fahrzeughersteller, und den Verheißungen immer besseren Bedienkomforts. Wie auch Trend Micros Experiment verdeutlicht, ist das Problem jedoch grundsätzlicher: Weniger die Software als die Vernetzung erzeugt das Bedrohungspotenzial, während es wahrscheinlich nur eine Frage der Zeit ist, bis Cyberkriminelle auch hier passende Geschäftsmodelle entwickelt haben.
Und schließlich kam es Anfang April zum Angriff auf „TV5 Monde“, der dessen Netzwerk außer Gefecht setzte und die Übertragungen für vier Stunden lahmlegte. Auch wenn die Gefahr besteht, angesichts der medienwirksamen Propagandaschlacht die Bedeutung eines „ganz normalen“ zielgerichteten Angriffs zu überhöhen, zeigte der Vorfall doch auch, dass Cyberangriffe nicht grundsätzlich hinter den Kulissen stattfinden: Die Angreifer kaperten auch die sozialen Netzwerkkonten des französischen Fernsehsenders, um darüber Propaganda zu verbreiten und die persönlichen Daten von Angehörigen französischer Soldaten offenzulegen, die an militärischen Operationen beteiligt sind.
Einzeltäter und Erpresser
Der einfachste Weg für Cyberkriminelle, Angriffe auszuführen, besteht darin, bestehende Malware zu modifizieren – eine Möglichkeit, die auch von Einzeltätern genutzt wird. Drei von ihnen sorgten im zweiten Quartal für Furore: Während der Kanadier „Frapstar“ aus dem Verkauf persönlicher Daten Profit schlug, agierte in Brasilien „LordFenix“ mit einer ganzen Horde selbst erstellter Banking-Trojaner, von denen jeder sicher über 300 US-Dollar wert war; „AlejandroV“ wiederum entwendete 22.000 Kreditkartennummern mit seiner PoS-Malware „FighterPoS“.
Besonders hoch war in diesem Quartal das Aufkommen von Erpresser-Software, allein im Juni waren fast täglich Ausbrüche von „TorrentLocker“ und „CryptoWall“ zu beobachten. Weil immer mehr Sicherheitslösungen Sandbox-Technologie einsetzen, um Code in einer abgesicherten Umgebung zu testen und gegebenenfalls unschädlich zu machen, haben die Hintermänner von „TorrentLocker“ die Anwender aktiv in den Infektionsweg mit einbezogen: Die potentiellen Opfer wurden aufgefordert, ein „Captcha“ einzugeben – in Deutschland wurden sie insbesondere durch gefälschte DHL-Versandbestätigungen in die Falle gelockt. In der Liste der am meisten angegriffenen Länder rangiert Deutschland an fünfter Stelle, davor die USA, Großbritannien, Südkorea und China.
Auch von der Erpresser-Software „CryptoWall“ war Deutschland betroffen, hinter den USA, Kanada und Großbritannien an vierter Stelle. Die Schadsoftware verbreitete sich über einen neuen Exploit, der eine vor kurzem geschlossene Sicherheitslücke im „Adobe Flash Player“ missbrauchte – weil viele Anwender erst mit zeitlicher Verzögerung auf die jeweils neueste Flash-Player-Version aktualisieren, besteht erhöhte Gefahr: „CryptoWall 3.0“ sperrt den Zugang zu den infizierten Rechnern und verschlüsselt alle darauf befindlichen Dateien und Ordner.
Traditionelle Angriffsmethoden und „Angler“
Das erste Exploit-Kit, das Sicherheitslücken fast so schnell integrierte, wie sie bekannt wurden, ist „Angler“. Ein Umstand, der die Zunahme seiner Infektionszahlen vom ersten zum zweiten Quartal und den Höchststand bei URLs zwischen Mai und Juni erklären könnte: Um die Infektionszahlen nach oben zu treiben, verfeinern Hacker kontinuierlich ihre Vorgehensweise, gehen strategischer und bei der Auswahl ihrer Opfer selektiver vor. Dies spiegelt sich in der exponentiellen Zunahme bei der Verwendung traditioneller Angriffsmethoden wider – darunter die 50-prozentige Zunahme bei der Integration des „Angler-Exploit-Kit“ sowie die 67-prozentige Zunahme bei allen Bedrohungen im Zusammenhang mit Exploit-Kits.
Weiterführende Informationen
Weitere Informationen enthält der Sicherheitsbericht, der hier abrufbar ist.
Gleich mehrere Vorfälle belegten, dass Hackerangriffe inzwischen Bestandteil des täglichen Lebens sind und sich Cyberkriminelle längst nicht mehr nur auf Desktop-Rechner und Mobilgeräte konzentrieren, sondern ihre Ziele auf öffentliche Infrastrukturen sowie auf Geräte erweitern, auf deren Sicherheit wir uns für gewöhnlich verlassen.
Öffentliche Einrichtungen und Alltagsgeräte
Nachdem in der Vergangenheit bereits automatisierte Transportsysteme Ziel von Cyberangriffen waren, ließen zuerst einige Twitter-Nachrichten des Sicherheitsforschers Chris Roberts vermuten, er mache sich an den Bordsystemen einer Maschine zu schaffen, in der er sich zu diesem Zeitpunkt befand; das FBI ging daraufhin gegen ihn vor. Kurze Zeit später sorgte ein DDoS-Angriff auf den Warschauer Flughafen dafür, dass über 1.400 Passagiere der polnischen Fluglinie LOT am Boden bleiben mussten.
Dann zeigten gleich mehrere Angriffe auf Automobil-Software, zwischen welchen beiden Extremen die Diskussion rund um „carIT“ derzeit (noch) schwankt: Zwischen der Angst vor lebensbedrohlichen Katastrophen, wie bei den Hacks gleich mehrerer Fahrzeughersteller, und den Verheißungen immer besseren Bedienkomforts. Wie auch Trend Micros Experiment verdeutlicht, ist das Problem jedoch grundsätzlicher: Weniger die Software als die Vernetzung erzeugt das Bedrohungspotenzial, während es wahrscheinlich nur eine Frage der Zeit ist, bis Cyberkriminelle auch hier passende Geschäftsmodelle entwickelt haben.
Und schließlich kam es Anfang April zum Angriff auf „TV5 Monde“, der dessen Netzwerk außer Gefecht setzte und die Übertragungen für vier Stunden lahmlegte. Auch wenn die Gefahr besteht, angesichts der medienwirksamen Propagandaschlacht die Bedeutung eines „ganz normalen“ zielgerichteten Angriffs zu überhöhen, zeigte der Vorfall doch auch, dass Cyberangriffe nicht grundsätzlich hinter den Kulissen stattfinden: Die Angreifer kaperten auch die sozialen Netzwerkkonten des französischen Fernsehsenders, um darüber Propaganda zu verbreiten und die persönlichen Daten von Angehörigen französischer Soldaten offenzulegen, die an militärischen Operationen beteiligt sind.
Einzeltäter und Erpresser
Der einfachste Weg für Cyberkriminelle, Angriffe auszuführen, besteht darin, bestehende Malware zu modifizieren – eine Möglichkeit, die auch von Einzeltätern genutzt wird. Drei von ihnen sorgten im zweiten Quartal für Furore: Während der Kanadier „Frapstar“ aus dem Verkauf persönlicher Daten Profit schlug, agierte in Brasilien „LordFenix“ mit einer ganzen Horde selbst erstellter Banking-Trojaner, von denen jeder sicher über 300 US-Dollar wert war; „AlejandroV“ wiederum entwendete 22.000 Kreditkartennummern mit seiner PoS-Malware „FighterPoS“.
Besonders hoch war in diesem Quartal das Aufkommen von Erpresser-Software, allein im Juni waren fast täglich Ausbrüche von „TorrentLocker“ und „CryptoWall“ zu beobachten. Weil immer mehr Sicherheitslösungen Sandbox-Technologie einsetzen, um Code in einer abgesicherten Umgebung zu testen und gegebenenfalls unschädlich zu machen, haben die Hintermänner von „TorrentLocker“ die Anwender aktiv in den Infektionsweg mit einbezogen: Die potentiellen Opfer wurden aufgefordert, ein „Captcha“ einzugeben – in Deutschland wurden sie insbesondere durch gefälschte DHL-Versandbestätigungen in die Falle gelockt. In der Liste der am meisten angegriffenen Länder rangiert Deutschland an fünfter Stelle, davor die USA, Großbritannien, Südkorea und China.
Auch von der Erpresser-Software „CryptoWall“ war Deutschland betroffen, hinter den USA, Kanada und Großbritannien an vierter Stelle. Die Schadsoftware verbreitete sich über einen neuen Exploit, der eine vor kurzem geschlossene Sicherheitslücke im „Adobe Flash Player“ missbrauchte – weil viele Anwender erst mit zeitlicher Verzögerung auf die jeweils neueste Flash-Player-Version aktualisieren, besteht erhöhte Gefahr: „CryptoWall 3.0“ sperrt den Zugang zu den infizierten Rechnern und verschlüsselt alle darauf befindlichen Dateien und Ordner.
Traditionelle Angriffsmethoden und „Angler“
Das erste Exploit-Kit, das Sicherheitslücken fast so schnell integrierte, wie sie bekannt wurden, ist „Angler“. Ein Umstand, der die Zunahme seiner Infektionszahlen vom ersten zum zweiten Quartal und den Höchststand bei URLs zwischen Mai und Juni erklären könnte: Um die Infektionszahlen nach oben zu treiben, verfeinern Hacker kontinuierlich ihre Vorgehensweise, gehen strategischer und bei der Auswahl ihrer Opfer selektiver vor. Dies spiegelt sich in der exponentiellen Zunahme bei der Verwendung traditioneller Angriffsmethoden wider – darunter die 50-prozentige Zunahme bei der Integration des „Angler-Exploit-Kit“ sowie die 67-prozentige Zunahme bei allen Bedrohungen im Zusammenhang mit Exploit-Kits.
Weiterführende Informationen
Weitere Informationen enthält der Sicherheitsbericht, der hier abrufbar ist.
