Aufrufe
vor 1 Jahr

Cybersecurity 2019

  • Text
  • Bedrohungen
  • Angriffe
  • Mitarbeiter
  • Systeme
  • Malware
  • Cyber
  • Sicherheit
  • Schweiz
  • Cybersecurity
  • Unternehmen

Das Who’s who der

Das Who’s who der Malware THREATS Die Namen von Schadprogrammen decken ein breites Spektrum ab: von einschüchternd (wie etwa Olympic Destroyer) über kryptisch (Necurs) bis hin zu nerdy (Kirk). Das Who’s who der Malware gibt einen schnellen Überblick darüber, was hinter den Namen steckt. Autor: Coen Kaat Das Botnetz Andromeda gehörte zu den grössten seiner Art. Es war vor allem in Europa, Nordamerika und Asien aktiv; in der Schweiz gemäss dem Bundesamt für Polizei (Fedpol) jedoch kaum. Anfang Dezember 2017 zerschlugen Ermittler aus neun Ländern in Zusammenarbeit mit dem FBI das Botnetz. Retefe gehört zum alten Eisen im Cybercrime und ist seit November 2013 in der Schweiz aktiv. Der E-Banking-Trojaner ist einer der aggressivsten Schadprogramme hierzulande – aber auch fast nur hier. Ausser in der Schweiz ist er lediglich noch in Österreich, Schweden und Japan aktiv. Im Sommer 2017 waren rund 250 Millionen Rechner weltweit mit der Adware Fireball infiziert. Das chinesische Schadprogramm kapert den Browser seiner Opfer. Es manipuliert Suchanfragen und installiert Tracking-Pixel. Das Ziel: Werbeeinnahmen durch Klicks auf bestimmte Werbeinhalte zu generieren. Die Ransomware Gandcrab gehört zu den aggressiveren Exemplaren ihrer Art. Bekannt wurde sie jedoch vor allem wegen des Streits, den der Entwickler mit dem südkoreanischen Sicherheitsanbieter Ahnlab anzettelte. Ahnlab hatte zuvor ein Tool veröffentlicht, das Gandcrab- Infektionen verhindert. Als Teslacrypt erstmals auftauchte, verschlüsselte die Ransomware nur die Spielstände gewisser Spiele – darunter World of Warcraft, Minecraft und World of Tanks. Spätere Varianten befielen auch andere Dateiformate. Im Mai 2016 wurde der Verschlüsselungscode veröffentlicht: der Tod für eine Ransomware. Mit vollem Namen heisst diese Ransomware Barack Obama’s Everlasting Blue Blackmail Virus und sie hat einen Heisshunger auf .exe-Dateien im Windows-Systemordner. Für gewöhnlich meiden Ransomware-Programme diesen Ordner, um keine ungewollten Systemabstürze zu verursachen. Die Malware HeroRAT infiziert seit Juni 2018 Smartphones. Der mobile Trojaner ist in App-Stores von Drittanbietern zufinden. Die Malware verschafft dem Angreifer kompletten Zugriff auf das Handy. Um unbemerkt zu kommunizieren, nutzt «HeroRAT» das Protokoll der Messenger-App Telegram. Das Internet – unendliche Weiten. Wir schreiben das Jahr 2016. Dies sind die Abenteuer der Ransomware Kirk, die unterwegs ist, um neue Rechner zu infizieren, neue Opfer zu erpressen und sehr viel Lösegeld zu fordern ... Bild: Gwengoat / iStock.com 24 CYBERSECURITY

Olympic Destroyer ist der Name einer breit angelegten Sabotagekampagne. Der Wurm frass sich durch die IT der Organisatoren, Zulieferer und Partner der Olympischen Winterspiele 2018 im südkoreanischen Pyeon gchang. Die Drahtzieher stammten vermutlich aus China oder Nordkorea. Die Spionageplattform Regin ist quasi das Malware-Äquivalent zum Schweizer Taschenmesser. Der modulare Aufbau ermöglicht es Nutzern, das Spionageprogramm mit einer Vielzahl an flexiblen Funktionen auszurüsten. So lässt sich Regin quasi für jedes Ziel massschneidern. Eigentlich will XMRig ja nichts Böses. Statt Werbung zu sehen, sollen Website-Besucher mit einem Teil ihrer Rechen leistung zahlen. Skripts wie XMRig nutzen diese, um nach Kryptowährungen zu schürfen. Dies geschieht jedoch leider oft ohne Zustimmung oder Wissen des Nutzers. Coinhive wurde eigentlich als legitime Alternative zur Werbung konzipiert. Der Dienst lässt sich leicht in Websites einbauen. Wer diese besucht, zahlt mit seiner Rechenleistung, sodass Coinhive nach Kryptowährungen schürfen kann. Oft geschieht dies jedoch ohne Zustimmung des Nutzers. Die Namen Locky und Necurs gehen Hand in Hand. Locky ist die Ransomware und Necurs das Botnetz, das die Erpressersoftware in grossen Spamkampagnen verbreitet. Die Ransomware verbreitet sich ausschliesslich durch Microsoft- Office- Dokumente, die als Anhang von E-Mails verschickt werden. Die hochansteckende Ransomware Wannacry katapultierte das Thema IT-Security in den Alltag aller. Das Erpresserprogramm befiel im Mai 2017 über 230000 Computer weltweit. Obwohl Wannacry eine damals schon behobene Schwachstelle ausnutzte, fielen ihr auch im Sommer 2018 noch Rechner zum Opfer. THREATS Duqu ist quasi der jüngere Bruder von Stuxnet. Der Wurm wurde vermutlich von den gleichen Entwicklern kreiert und weist viele Ähnlichkeiten mit Stuxnet auf. Der Nachfolger verfolgt jedoch gänzlich andere Ziele in infizierten Systemen: statt um Sabotage geht es bei Duqu um Spionage. Im August 2016 machten Sicherheitsforscher eine beunruhigende Entdeckung: die Spionageplattform Projectsauron – benannt nach dem Bösewicht aus der Buch- und Filmreihe «Der Herr der Ringe». Ein hochkomplexes Stück Software, das auf langfristige und heimliche Kampagnen ausgelegt ist. Necurs gehört zu den grössten Botnetzen der Welt. Es wird vor allem mit der Ransomware Locky in Verbindung gebracht. Necurs verschwindet immer wieder mal vom Netz. Anfang 2016 glaubten einige sogar, Necurs sei endgültig abgeschaltet worden. Doch das Botnetz kam immer zurück – stärker als zuvor. Mehr online www.it-markt.ch/MalwareABC Industroyer (auch als Crashoverride bekannt) ist der erste bekannte Fall einer Malware, die spezifisch das Stromnetz eines Landes angreift. Zu diesem Zweck infiziert sie indus trielle Steuerungssysteme. Das Schadprogramm kam vermutlich auch im Rahmen der Krimkrise zum Einsatz. Emotet wurde erstmals 2014 beobachtet. Der E-Banking- Trojaner war zunächst nur in der Schweiz, Deutschland und Österreich aktiv, schwappte aber bald auch in die USA über. Wie seine Artgenossen versteckt sich Emotet gerne in PDFs und anderen E-Mail-Anhängen, die vorgeben, Rechnungen zu sein. Stuxnet (auch bekannt als «RootkitTmphider») wurde speziell für An griffe auf industrielle Überwachungssysteme von Siemens entwickelt. Beobachtet wurde der Computerwurm erstmals 2009. Unbekannte nutzten ihn, um etwa das iranische Atomprogramm zu stören. Wer dahintersteckte, ist noch nicht geklärt. CYBERSECURITY 25

Archiv