| viruslist.com/de | kaspersky.com/de | Costin Raiu, David Emm, Yury
Transcrição
| viruslist.com/de | kaspersky.com/de | Costin Raiu, David Emm, Yury
KASPERSKY SECURITY BULLETIN 2012 Costin Raiu, David Emm, Yury Namestnikov, Denis Maslennikov | viruslist.com/de | kaspersky.com/de | Kaspersky Security Bulletin 2012 Inhalt Malware evolution . ............................................................................................................................................ 3 ▶ Die ultimativen 10 Security-Stories des Jahres 2012 ................................. 3 ▶ Sicherheits-Prognosen für 2013 ......................................................................................... 18 Statistik für das Jahr 2012 .............................................................................................................. 33 ▶ Mobile Bedrohungen ................................................................................................................................. 33 ▶ Mac-Schädlinge ................................................................................................................................................. 41 ▶ Schadprogramme im Internet (Attacken über das Web) ............................................. 44 • Von Cyber-Kriminellen ausgenutzte angreifbare Anwendungen . ...................................................... 44 • Top 20 der Schadprogramme im Internet ..................................................................................................... 47 • Top 20 der Länder, auf deren Webressourcen Schadprogramme untergebracht sind ......... 50 ▶ Lokale Bedrohungen ................................................................................................................................ 52 ▶ Weltkarte ................................................................................................................................................................... 55 • Web-Bedrohungen . ................................................................................................................................................... 55 • Lokale Bedrohungen ................................................................................................................................................ 59 ▶ Fazit ...................................................................................................................................................................................... 61 2 Malware Evolution Die ultimativen 10 Security-Stories des Jahres 2012 Costin Raiu Ende letzten Jahres veröffentlichten wir die „Top 10 Security Stories 2011“, einen Artikel, der das Jahr 2011 mit einem Wort zusammenfasste – „explosiv“. Damals lag die größte Herausforderung darin, all die Vorfälle, Geschichten, Fakten, neuen Trends und die beteiligten Personen in einer Top 10-Liste zusammenzufassen. Ausgehend von den Vorfällen und den Akteuren, die die Top Security Stories des Jahres 2011 prägten, haben wir einige Voraussagen für das Jahr 2012 getroffen: • Die kontinuierliche Zunahme von Hacktivisten-Gruppen • Den Anstieg von APT-Vorfällen (Advanced Persistent Threat) • Den Beginn der Cyberkriegsführung, wobei immer mehr mächtige Staaten um die Vorherrschaft mittels Cyberspionage kämpfen • Attacken auf Software- und Spiele-Hersteller wie Adobe, Microsoft, Oracle und Sony • Aggressiveres Vorgehen gegen traditionelle Cyber-Kriminelle seitens der Strafverfolgungsbehörden • Eine explosionsartige Zunahme der Android-Bedrohungen • Attacken auf das Apple-Betriebssystem Mac OS X 3 Wie richtig lagen wir mit unseren Vorhersagen? Werfen wir mal einen Blick auf die Top 10 der Sicherheitsvorfälle, die das Jahr 2012 prägten. Die Top 10 Sicherheitsvorfälle des Jahres 2012 4 1. Flashback fällt über Mac OS X her Obwohl der Mac OS X-Schädling Trojan Flashback/Flashfake bereits Ende 2011 auf den Plan trat, wurde er erst im April 2012 wirklich berühmt. Wenn wir richtig berühmt sagen, dann meinen wir auch richtig berühmt. Ausgehend von unserer Statistik schätzen wir, dass Flashback mehr als 700.000 Macs infizierte – die bei Weitem größte, bekannte Mac OS X-Infektion bis zum heutigen Tag. Wie konnte es dazu kommen? Zwei wichtige Faktoren spielten dabei eine Rolle: eine Java-Sicherheitslücke (CVE-2012-0507) und die generelle Apathie der Mac-Getreuen, wenn es um Sicherheitsfragen geht. Flashback ist auch weiterhin von Bedeutung, da dieser Schädling den Mythos der Unangreifbarkeit zerstört hat, der den Mac umgab, und weil er gezeigt hat, dass Massenepidemien durchaus auch andere Plattformen betreffen können als Windows. Im Jahr 2011 prognostizierten wir, dass es künftig mehr Malware-Attacken auf Macs geben würde. Wir haben allerdings keinesfalls erwartet, dass es so dramatisch werden würde. 5 MAC OS X Trojan Flashfake 2. Flame und Gauss: Cyberspionage durch Staaten Mitte April 2012 zerstörte eine Reihe von Cyberattacken die Computersysteme auf verschiedenen Öl-Plattformen im Mittleren Osten. Die Malware mit dem Namen „Wiper“, die für diese Angriffe verantwortlich war, wurde nie gefunden, obwohl verschiedene Anhaltspunkte für eine Ähnlichkeit mit Duqu und Stuxnet sprechen. Während der Ermittlungen stießen wir auf eine umfassende Cyberspionage-Kampagne, die heute unter dem Namen Flame bekannt ist. Flame ist wohl einer der raffiniertesten Schädlinge, der jemals entwickelt wurde. Wenn er vollständig auf einem System installiert ist, so besitzt er über 20 MByte an Modulen, die ein breites Spektrum an Funktionen ausführen, wie etwa eine Audio-Abfangschaltung, Scannen von Bluetooth-Geräten, Dokumentendiebstahl und das Erstellen von Screenshots auf dem infizierten Rechner. Am eindrucksvollsten war der Einsatz eines gefälschten Microsoft-Zertifikats, um so eine Man-in-the-Middle-Attacke gegen den Windows Update-Dienst durchzuführen, die es ermöglichte, vollständig gepatchte PCs unter Windows 7 innerhalb eines Wimpernschlags zu 6 infizieren. Die Komplexität dieser Aktion ließ keinen Zweifel daran, dass sie von einem Staat gedeckt wurde. Tatsächlich wurde von Experten bei Kaspersky Lab eine enge Verbindung zu Stuxnet festgestellt, was darauf hinweist, dass die Entwickler von Flame mit denen von Stuxnet zusammengearbeitet haben, vielleicht sogar im Zuge derselben Operation. Flame ist deshalb so wichtig, weil der Vorfall uns gezeigt hat, dass komplexe Malware für viele Jahre unentdeckt bleiben kann. Es wird geschätzt, dass das Flame-Projekt schon mindestens fünf Jahre alt sein könnte. Die Malware hat durch ihre Verbreitungstechnik Man-in-the-Middle im „Gottesmodus“ die gesamte Idee der Zero-Day-Attacken neu definiert. Als Flame entdeckt wurde, fragten sich die Leute, wie viele andere Kampagnen dieser Art wohl initiiert worden seien. Kurz darauf kamen auch tatsächlich andere zum Vorschein. Die Entdeckung von Gauss, einem anderen hochkomplexen Trojaner, der im Mittleren Osten weit verbreitet war, verlieh den Cyberkampagnen zwischen Staaten eine neue Dimension. Gauss ist für eine Vielzahl von Dingen bemerkenswert, von denen einige bis heute ein Mysterium sind. Der Einsatz einer benutzerdefinierten Schriftart mit der Bezeichnung „Palida Narrow“ oder seine verschlüsselte Payload, die einen nicht mit dem Internet verbundenen Computer angreift, gehören zu den vielen Unbekannten. Es ist zudem der erste von einer Regierung gesponserte Banken-Trojaner mit der Fähigkeit, Online-Banking-Daten von Opfern – in erster Linie im Libanon – zu stehlen. Mit Flame und Gauss wurde das Schlachtfeld Mittlerer Osten um eine neue Dimension erweitert: Cyberkrieg und Cyberkriegführung. Eine starke Cyberkomponente ist zu den bestehenden geopolitischen Spannungen hinzugekommen – und die ist vermutlich größer, als von irgendwem erwartet. 7 Flame und Gauss 8 3. Die Explosion der Android-Bedrohungen Im Laufe des Jahres 2011 wurden wir Zeugen eines explosionsartigen Anstiegs der Bedrohungen, die sich gegen die Android-Plattform richten. Wir sagten voraus, dass die Zahl der Bedrohungen für Android weiterhin alarmierend ansteigen würde. Die unten stehende Grafik bestätigt diese Vorhersage eindeutig: Zuwachs an Android Bedrohungen Die Zahl der Samples, die wir erhielten, stieg weiterhin an und erreichte im Juni 2012 ihren Höhepunkt, als wir fast 7.000 schädliche Android-Programme identifizierten. Insgesamt registrierten wir im Jahr 2012 über 35.000 Android-Schädlinge, das ist in etwa sechs Mal so viel wie im Jahr 2011. Außerdem sind das ungefähr fünf Mal so viele Schadprogramme für Android wie in den Jahren seit 2005 zusammengenommen! 9 Der Grund für diesen drastischen Anstieg lässt sich mit zwei Faktoren erklären, und zwar ökonomischen und Plattform-bedingten. In erster Linie ist die Plattform Android selbst unglaublich populär geworden – es ist mit über 70 Prozent Marktanteil das am weitesten verbreitete Betriebssystem für neue Telefone. Zweitens werfen die offene Natur des Betriebssystems, die Leichtigkeit, mit der Apps erstellt werden können und die Vielfalt an (inoffiziellen) App-Shops in Kombination ein negatives Licht auf die Sicherheitslage der Plattform Android. Es gibt keine Zweifel, dass sich dieser Trend fortsetzen wird, genauso wie es vor vielen Jahren in Bezug auf Windows-Schädlinge der Fall war. Wir erwarten daher für das Jahr 2013 eine Unmenge von zielgerichteten Attacken gegen Android-Nutzer sowie Zero-Day-Exploits und Datenlecks. Android Bedrohungen 10 4. Die Passwort-Lecks bei LinkedIn, Last.fm, Dropbox und Gamigo Am 5. Juni 2012 wurde LinkedIn, eines der weltweit größten sozialen Netzwerke für Geschäftskontakte, von unbekannten Angreifern gehackt und die Passwort-Hashes von mehr als 6,4 Millionen Nutzern wurden im Internet veröffentlicht. Mit Hilfe schneller Grafikkarten stellten Sicherheitsexperten erstaunliche 85 Prozent der Original-Passwörter wieder her. Verschiedene Faktoren machten dies möglich. Erstens hatte LinkedIn die Passwörter als SHA1-Hashes gespeichert. Wenn das auch besser ist als der überaus populäre MD5, sind moderne Grafikkarten doch in der Lage, SHA1-Hashes mit unglaublicher Geschwindigkeit zu knacken. Eine Grafikkarte vom Typ Radeon 7970 für rund 380 Euro kann beispielsweise fast 2 Milliarden SHA1-Passwörter/Hashes pro Sekunde lesen. In Kombination mit modernen kryptografischen Attacken wie etwa dem Einsatz von Markov-Ketten zur Optimierung von Brute Force oder Masken-Angriffen hat das Web-Entwickler einige neue Lektionen in Bezug auf das Speichern verschlüsselter Passwörter gelehrt. Als DropBox einräumte, gehackt worden zu sein und Account-Daten der Anwender verloren zu haben, war das nur eine weitere Bestätigung dafür, dass Hacker es auf wertvolle Daten (insbesondere vertrauliche Anwenderdaten) bei populären Webdiensten abgesehen haben. Im Jahr 2012 gab es eine ähnliche Attacke auf Last.fm und Gamigo, wobei mehr als 8 Millionen Passwörter öffentlich zugänglich gemacht wurden. Um eine Vorstellung davon zu bekommen, wie schwerwiegend dieses Problem wirklich ist, veröffentlichte Korelogic während der Konferenz InfoSecSouthwest 2012 ein Archiv, das um die 146 Millionen Passwort-Hashes enthält, die aus diversen Hacker-Vorfällen zusammengetragen worden waren. 122 Millionen davon waren bereits geknackt worden. Diese Angriffe zeigen, dass das Konzept von Datenlecks im Zeitalter der „Cloud“, wo Informationen 11 über Millionen von Accounts auf einem Server über schnelle Internetverknüpfungen verfügbar sind, neue Dimensionen annimmt. Wir haben dieses im letzten Jahr untersucht, als das Sony Playstation-Netzwerk gehackt wurde. Es ist keine Überraschung, dass sich solche folgenschweren Lecks und Hacks im Jahr 2012 fortsetzten. Die Passwort Lecks 12 5. Der Diebstahl von Adobe-Zertifikaten und die allgegenwärtigen APT Im Laufe des Jahres hatten wir es mit verschiedenen Aufsehen erregenden Attacken auf Zertifikatsstellen zu tun. Im Juni wurde DigiNotar, eine niederländische Firma gehackt, die daraufhin insolvent ging, während eine Comodo-Geschäftsstelle im März dazu gebracht wurde, digitale Zertifikate auszugeben. Die Entdeckung von Duqu im September 2011 hatte ebenfalls etwas mit dem Hack einer Zertifizierungsstelle zu tun. Am 27. September 2012 gab Adobe die Entdeckung zweier Schadprogramme bekannt, die mit einem gültigen Adobe-Zertifikat signiert waren. Adobes Zertifikate waren sicher in einem HSM gespeichert, einem speziellen Peripheriegerät für kryptografische Operationen, das Attacken stark erschwert. Trotzdem waren die Angreifer in der Lage, einen Server zu kompromittieren, der Code signierende Anfragen durchführen konnte. Diese Entdeckung fügt sich in die Reihe extrem zielgerichteter Attacken ein, die von raffinierten Angreifern durchgeführt werden und im Allgemeinen als APT bezeichnet werden. Die Tatsache, dass ein so bekanntes Unternehmen wie Adobe auf diese Weise Opfer von CyberKriminellen wurde, definiert die Grenzen und Möglichkeiten neu, die diesen Angreifern auf hohem Niveau zur Verfügung stehen. 6. Die Zerschlagung von DNSChanger Als die Schuldigen hinter der DNSChanger-Malware im November 2011 im Zuge der Operation „Ghost Click“ verhaftet wurden, wurde die Infrastruktur des Identitätsdiebstahls vom FBI übernommen. Das FBI erklärte sich damit einverstanden, die Server bis zum 9. Juli 2012 online zu lassen, damit die Opfer Zeit hätten, ihre Systeme zu desinfizieren. Abgesehen von mehreren Weltuntergangsszenarien ging dieses Datum ohne allzu viele Scherereien vorüber. 13 Das wäre nicht möglich gewesen, hätte das FBI nicht so viel Zeit und Ressourcen in dieses Projekt investiert, ebenso wie auch andere Strafverfolgungsbehörden, Privatunternehmen sowie Regierungen auf der ganzen Welt. Es war eine groß angelegte Aktion, die gezeigt hat, dass sich Cyberkriminalität durch offene Zusammenarbeit und Informationsaustausch erfolgreich bekämpfen lässt. 7. Der Ma(h)di-Vorfall Ende 2011 und in der ersten Jahreshälfte 2012 wurden im Rahmen einer anhaltenden Kampagne, bei der Computersysteme über den ganzen Mittleren Osten infiltriert wurden, die Rechner einzelner Personen im Iran, in Israel, Afghanistan und in anderen Ländern rund um den Globus angegriffen. Gemeinsam mit unserem Partner Seculert haben wir diese Operation sorgfältig untersucht und sie auf den Namen „Madi“ getauft, basierend auf bestimmten Begriffen und Decknamen, die von den Angreifern verwendet wurden. Obwohl Madi technisch relativ unspektakulär war, gelang es dem Schädling, viele unterschiedliche Opfer rund um den Globus zu finden – mittels Social-Engineering und der Technik Right-To-Left-Override. Die Madi-Kampagne hat eine neue Dimension von Cyberspionage im Mittleren Osten eröffnet und eine ganz wichtige Sache deutlich gemacht: Low-Budget-Operationen können recht erfolgreich sein, im Gegensatz zu Malware, die von Staaten mit unbegrenzten Mitteln gesponsert wird. 8. Die Java 0-Day-Exploits Infolge des bereits erwähnten Flashback-Vorfalls unternahm Apple einen gewagten Schritt und deaktivierte Java auf den Geräten von Millionen von Mac OS X-Anwendern. Bemerkenswert ist in diesem Zusammenhang, dass die Apple-User – obwohl bereits seit Februar ein Patch für die von Flashback ausgenutzte Sicherheitslücke verfügbar war – noch einige Monate länger der Bedrohung ausgesetzt waren, und zwar weil Apple sich Zeit damit ließ, den Mac OS X-Anwendern 14 diesen Patch zukommen zu lassen. Bei Windows war die Situation allerdings anders, denn die Patches kamen von Oracle, wobei diejenigen für Mac OS X von Apple direkt geliefert wurden. Als wäre das noch nicht genug, wurde im August 2012 eine Java-0-Day-Sicherheitslücke entdeckt, die massiv in freier Wildbahn ausgenutzt wurde (CVE-2012-4681). Das Exploit wurde in das allseits bekannte Exploit-Kit BlackHole integriert und wurde bald zu dem effektivsten Exploit des ganzen Paketes, verantwortlich für Millionen von Infektionen weltweit. Im Laufe des zweiten Quartals 2012 analysierten wir die auf den Computern der Anwender installierte Software und stellten fest, dass auf über 30 Prozent der Rechner eine alte und angreifbare Java-Version lief. Es war die mit Abstand am weitesten verbreitete, verwundbare Software auf den Computern. 9. Shamoon Mitte August 2012 wurden Details über eine überaus destruktive Schadsoftware bekannt, die im Rahmen von Attacken gegen Saudi Aramco eingesetzt wurde, die derzeit größte Erdölfördergesellschaft der Welt. Den Berichten zufolge wurden mehr als 30.000 Computer von dieser Malware vollständig zerstört. Wir haben den Schädling Shamoon analysiert und festgestellt, dass er eine integrierte Zeiteinstellung enthielt, die den zerstörerischen Prozess am 15. August, 8:08 UTC (Weltzeit) in Gang setzte. Später wurde über weitere Angriffe derselben Malware auf eine andere Ölgesellschaft im Mittleren Osten berichtet. Shamoon ist deshalb so wichtig, weil diese Malware das Konzept, das in dem Schädling Wiper umgesetzt wurde, erst aufgebracht hat – und zwar die Idee einer zerstörerischen Payload, die die Betriebsabläufe eines Unternehmens aufs massivste beeinträchtigt. Wie auch im Fall von Wiper sind bisher viele Fakten unbekannt: Auf welche Art und Weise konnte der Schädling das System infizieren? Und wer steckt hinter der ganzen Aktion? 15 10. DSL-Modems, der Huawei-Bann & Hardware-Hacks Im Oktober 2012 veröffentlichte der Kaspersky Lab-Experte Fabio Assolini die Analyse eines Angriffs, der seit dem Jahr 2011 in Brasilien unter Ausnutzung einer Firmware-Schwachstelle und unter Verwendung von zwei schädlichen Skripten und 40 DNS-Servern durchgeführt wird. Durch die Attacke, die sechs Hardware-Hersteller betrifft, wurden Millionen von brasilianischen Internet-Nutzern Opfer eines anhaltenden und verborgenen Massenangriffs auf DSL-Modems. Im März 2012 bestätigte das brasilianische CERT-Team, dass über 4,5 Millionen Modems im Zuge der Attacke von Cyber-Kriminellen angegriffen und für alle erdenklichen Arten des Betrugs ausgenutzt worden waren. Auf der T2-Konferenz in Finnland behandelte der Sicherheitsfachmann Felix „FX“ Lindner von Recurity Labs GmbH die Sicherheitslage und Schwachstellen, die in Huawei-Routern entdeckt worden waren. Diese Diskussion wurde durch die Entscheidung der amerikanischen Regierung ausgelöst, gegen Huawei aufgrund von Spionagerisiken zu ermitteln. Der Fall Huawei und die DSL-Router in Brasilien sind keine zufälligen Vorfälle. Sie sind vielmehr Anzeichen dafür, dass Hardware-Router dieselben – wenn nicht gar schwerwiegendere – Sicherheitsrisiken darstellen können als alte oder zweifelhafte Software, die nie aktualisiert wird. Diese Fälle weisen darauf hin, dass die Gefahrenabwehr komplexer und komplizierter denn je zuvor geworden ist – wenn nicht in einigen Fällen sogar unmöglich. 16 Schlussfolgerungen: von explosiv zu erstaunlich Was erwartet uns im kommenden Jahr 2013? Den oben aufgeführten Top 10 Stories nach zu urteilen, lagen wir mit unseren Voraussagen für 2012 ziemlich richtig. Trotz der Verhaftung des Mitglieds von LulzSec, Xavier Monsegur, und vielen bekannten „Anonymous“Hackern waren die Hacktivisten weiterhin aktiv. Cyberkrieg und Cyberspionage haben mit der Entdeckung von Flame und Gauss eine neue Dimension erreicht. APT-Attacken sind aus den Nachrichten nicht mehr wegzudenken – unter Einsatz von Zero-Day-Exploits und ausgeklügelten Angriffsmethoden, mit dem Ziel, prominente Opfer zu hacken. Mac OS X-Usern wurde von der bisher größten Mac OS X-Epidemie Flashfake ein Schlag versetzt, während Großkonzerne mit zerstörerischer Malware zu kämpfen hatten, die zehntausende von PCs außer Gefecht setzten. Die wichtigsten Akteure des Jahres 2012 sind dieselben geblieben wie auch im Jahr 2011: Hacktivisten-Gruppen, IT-Sicherheitsunternehmen, Staaten, die sich gegenseitig mittels Cyberspionage bekämpfen, große Software- und Spiele-Hersteller wie Adobe, Microsoft, Oracle oder Sony, Strafverfolgungsbehörden und klassische Cyber-Kriminelle, Google mit dem Betriebssystem Android und Apple dank seiner Plattform Mac OS X. Wir haben das Jahr 2011 als „explosiv“ bezeichnet und sind nun der Meinung, dass die Vorfälle des Jahres 2012 das Potenzial besitzen, um den Leser in Erstaunen zu versetzen und die Phantasie anzuregen. Wir haben eine neue Dimension bestehender Bedrohungen kennen gelernt, während neue Angriffsarten langsam Kontur annehmen. 17 Sicherheits-Prognosen für 2013 David Emm Das Ende des Jahres ist traditionell die Zeit der Rückblicks und der Reflektion – es wird Bilanz gezogen und ein Blick in die Zukunft geworfen. So präsentieren auch wir unseren Ausblick auf das kommende Jahr, beleuchten die wichtigsten Probleme, von denen wir meinen, dass sie die Sicherheitslandschaft im Jahr 2013 dominieren werden. Da die Zukunft ihre Wurzeln immer in der Gegenwart hat, ist unser Sicherheitsrückblick, in dem die Trends des Jahres 2012 zusammengefasst wurden, ein guter Ausgangspunkt. 1. Zielgerichtete Attacken und Cyber-Spionage Während die Sicherheitslandschaft noch immer von willkürlichen, spekulativen Angriffen dominiert wird, die initiiert werden, um persönliche Informationen von jedermann zu stehlen, der das Pech hat, ihnen zum Opfer zu fallen, haben sich auch zielgerichtete Attacken in den letzten zwei Jahren fest etabliert. 18 Derartige Angriffe sind eigens darauf zugeschnitten, eine bestimmte Organisation anzugreifen und häufig darauf ausgerichtet, sensible Daten zu sammeln, die sich auf dem Schwarzmarkt in bare Münze umsetzen lassen. Zielgerichtete Attacken können höchst komplex sein. Doch viele Angriffe beginnen mit dem „Hacken von Menschen“, das heißt Angestellte werden durch Tricks dazu gebracht, Informationen preiszugeben, die dann genutzt werden, um Zugriff auf die Unternehmensressourcen zu erhalten. Die riesige Menge an Informationen, die online ausgetauscht werden, sowie die zunehmende Verwendung sozialer Medien im Geschäftsumfeld haben solche Attacken weiter befeuert. Angestellte, die Kundenkontakt haben oder Öffentlichkeitsarbeit leisten, sind dabei besonders angreifbar. Es ist zu erwarten, dass die Cyber-Spionage im Jahr 2013 und auch darüber hinaus auf dem Vormarsch bleibt. Man kann sich bei der Lektüre der Überschriften in der Computer-Fachpresse natürlich damit beruhigen, dass zielgerichtete Attacken nur für große Organisationen ein Problem darstellen, insbesondere für solche, die die Systeme der besonders wichtigen Infrastruktur in einem Land unterhalten. Allerdings kann jede Organisation zum Opfer werden. Alle Organisationen verfügen über Daten, die für Cyber-Kriminelle von Wert sind – und sie können außerdem auch als „Sprungbrett“ zu anderen Unternehmen genutzt werden. 19 2. Der Vormarsch des Hacktivismus Geld, das entweder direkt durch den Zugriff auf Bankkonten oder durch den Klau sensibler Daten gestohlen wird, ist nicht das einzige Motiv hinter Cyberattacken. Manchmal besteht der Sinn eines Angriffs darin, einen politischen oder sozialen Standpunkt deutlich zu machen. Im Jahr 2012 gab es einen stetigen Strom derartiger Angriffe. Das beinhaltet auch die DDoS-Attacken von Anonymous auf Regierungswebseiten in Polen, die auf die Erklärung der Regierung folgten, dass sie das ACTA unterstützen würden (Anti-Counterfeiting Trade Agreement, Anti-Produktpiraterie-Abkommen). Weitere Beispiele für solche Angriffe sind der Hack der offiziellen Formel-1-Webseite als Protest gegen die Behandlung von Regierungsgegnern in Bahrain, der Hack verschiedener Erdölförderunternehmen als Protest gegen Bohrungen in der Arktis, die Attacke gegen Saudi Aramco sowie der Hack der französischen Webseite von EuroMillionen als Ausdruck des Protestes gegen Glücksspiel. Die zunehmende Abhängigkeit der Gesellschaft vom Internet macht Organisationen jeder Art potenziell angreifbar für Attacken dieser Art, daher wird der Hacktivismus auch im Jahr 2013 und in den darauf folgenden Jahren auf dem Vormarsch bleiben. 20 3. Staatlich gesponserte Cyberattacken Stuxnet bereitete dem Einsatz raffiniertester Malware für zielgerichtete Attacken auf zentrale Produktionsanlagen den Weg. Auch wenn derartige Angriffe nicht alltäglich sind, war Stuxnet durchaus kein Einzelfall. Vielmehr erleben wir derzeit den Beginn einer Ära des kalten „Cyberkrieges“, in dem Nationen die Möglichkeit haben, sich gegenseitig zu bekämpfen und dabei völlig unabhängig von den Beschränkungen der konventionellen Kriegsführung in der realen Welt sind. Wir können davon ausgehen, dass künftig noch mehr Länder Cyberwaffen entwickeln werden, die auf den Diebstahl von Informationen oder die Sabotage von Systemen ausgerichtet sind – nicht zuletzt, weil die Ausgangsbedingungen für die Entwicklung solcher Waffen wesentlich unproblematischer sind als im Falle realer Waffen. Es ist ebenfalls möglich, dass es zu Nachahmungsangriffen kommt, die von Nicht-Staaten durchgeführt werden – mit „Kollateralschäden“, die nicht nur das eigentliche Opfer betreffen. Die Ziele solcher Cyberattacken könnten Energieversorgungsanlagen und Kontrollsysteme im Transportwesen, Finanz- und Telekommunikationssysteme sowie andere Schlüsselsysteme der „kritischen Infrastruktur“ sein. 21 4. Verwendung legaler Überwachungstools In den letzten Jahren ist die Cyberkriminalität immer komplexer und raffinierter geworden. Dadurch wurden nicht nur die Antiviren-Entwickler vor neue Herausforderungen gestellt, sondern auch die Strafverfolgungsbehörden auf der ganzen Welt. Ihre Bemühungen, mit den fortschrittlichen Technologien der Cyber-Kriminellen Schritt zu halten, haben offensichtliche Auswirkungen auf die Strafverfolgung. Das beginnt beispielsweise schon bei der Frage, wie mit den betroffenen Computern zu verfahren ist, nachdem die Behörden das betreffende Botnetz erfolgreich zerschlagen haben – wie im Fall der FBI-Operation Ghost Click, die wir in unserem Blog diskutiert haben. Aber dazu gehört auch der Einsatz von Technologien zur Überwachung der Aktivitäten von Verdächtigen. Das ist kein neues Problem, bedenkt man die Kontroversen um die „Magic Lantern“ und den „Bundestrojaner“. Vor Kurzem gab es Diskussionen über Berichte, die besagten, dass ein britisches Unternehmen die Überwachungssoftware „Finfisher“ der ehemaligen ägyptischen Regierung zum Kauf angeboten habe sowie darüber, dass die indische Regierung verschiedene Unternehmen (darunter Apple, Nokia und RIM) um verborgenen Zugriff auf mobile Geräte gebeten habe. Ganz sicher hat der Einsatz legaler Überwachungstools größere Auswirkungen auf den Datenschutz und die Bürgerrechte. Mit dem Bemühen der Strafverfolgungsbehörden und Regierungen, den Cyber-Kriminellen einen Schritt voraus zu sein, werden sie vermutlich weiterhin derartige Tools einsetzen – und damit wird auch die Debatte um diese Überwachungswerkzeuge weitergehen. 22 5. Wolkige Aussichten, mit Malware- Wahrscheinlichkeit Es steht fest, dass die Nutzung von Cloud-Services in den kommenden Jahren zunehmen wird. Zwei Schlüsselfaktoren treiben die Entwicklung dieser Dienste voran. Der erste sind die Kosten. Durch das Speichern von Daten oder das Hosten von Anwendungen in der Cloud können in jedem Geschäftszweig signifikante Ertragssteigerungen erreicht werden. Der zweite Faktor ist die Flexibilität. Die Daten sind zu jeder Zeit, von jedem Ort und von jedem Gerät, inklusive Laptops, Tablets und Smartphones, abrufbar. Doch je mehr die Cloud genutzt wird, desto größer wird auch die Zahl der Sicherheitsbedrohungen, die sich gegen sie richten. Erstens bilden die Datenzentren der Cloud-Provider ein attraktives Ziel für Cyber-Kriminelle. „Die Cloud“ mag als Konzept luftig und komfortabel erscheinen, aber man darf darüber nicht vergessen, dass wir hier über Daten sprechen, die auf einem realen Server in einer physischen Welt gespeichert sind. 23 Aus der Sicht eines Cyber-Kriminellen bieten sie einen potenziellen Single-Point-of-Failure. Sie enthalten eine große Menge an persönlichen Daten an einem einzigen Ort, die auf einen Schlag gestohlen werden können, wenn der Provider Opfer eines erfolgreichen Angriffs wird. Zweitens ist es sehr wahrscheinlich, dass Cyber-Kriminelle die Cloud vermehrt nutzen werden, um ihre Malware unterzubringen und zu verbreiten – typischerweise über gestohlene Accounts. Drittens sollten wir nicht vergessen, dass auf in der Cloud gespeicherte Daten von einem Gerät zugegriffen wird, das sich außerhalb der Cloud befindet. Gelingt es Cyber-Kriminellen also, Zugang zu diesem Gerät zu bekommen, so haben sie auch Zugriff auf diese Daten, wo auch immer sie gespeichert sind. Die weit verbreitete Nutzung mobiler Geräte, so segensreich sie auch für die Geschäftswelt sein mögen, erhöht andererseits auch die Risiken, denn Cloud-Daten sind über Geräte verfügbar, die unter Umständen nicht so gut geschützt sind wie traditionelle Endgeräte. Wird ein und dasselbe Gerät sowohl privat als auch geschäftlich genutzt, so ist das Risiko umso höher. 24 6. Alter, wo ist meine Privatsphäre?! Die Aushöhlung oder der Verlust der Privatsphäre ist zu einem heiß diskutierten Problem in der IT-Sicherheit geworden. Das Internet durchdringt unser Leben und viele Menschen erledigen ganz selbstverständlich ihre Bankgeschäfte online, kaufen im Internet ein und pflegen soziale Kontakte am Computer. Jedes Mal, wenn wir uns einen Online-Account einrichten, müssen wir Informationen über uns preisgeben, und Unternehmen auf der ganzen Welt sammeln Daten über ihre Kunden. Die Privatsphäre wird auf zwei Arten bedroht. Zum einen sind die Daten in Gefahr, wenn die Lieferanten der Waren oder Dienstleistungen, mit denen wir Geschäfte machen, gehackt werden. Es vergeht kaum eine Woche ohne neue Geschichten über ein Unternehmen, das Hackern zum Opfer gefallen ist und die persönlichen Daten seiner Kunden bloßgelegt werden. Die weitere Entwicklung der Cloud-basierten Services wird dieses Problem nur noch verschlimmern. Zum anderen sammeln und nutzen Unternehmen die Informationen, die sie über uns haben, zu Werbezwecken, manchmal selbst ohne dass wir davon wissen, und nicht immer ist klar, wie man sich aus diesem Prozess ausklinken kann. Der Wert persönlicher Daten wird künftig noch steigen – für Cyber-Kriminelle und die legitime Geschäftswelt – und damit wird auch die potenzielle Bedrohung unserer Privatsphäre steigen. 25 7. Wem trauen wir? Wenn jemand an Ihre Haustür klopft und um Einlass bittet, so werden Sie vermutlich zögern ihn hereinzubitten, wenn derjenige nicht in der Lage ist, sich irgendwie auszuweisen. Aber was ist, wenn der fremde Gast sich ausweisen kann und wenn der Ausweis nicht gefälscht ist, sondern von einer legitimen Stelle ausgegeben wurde. Doch was passiert, wenn sich später herausstellt, dass das Dokument gar nicht dem Eindringling gehört? Das würde den Vertrauensprozess schwächen, auf den wir uns alle verlassen, um uns in der realen Welt vor Betrug zu schützen. Das Gleiche gilt für die Online-Welt. Wir alle sind darauf gepolt, mit einem Sicherheitszertifikat versehenen Webseiten zu vertrauen, das von einer offiziellen Zertifikatsstelle (Certificate Authority, CA) ausgegeben wurde, oder einer Anwendung mit einem gültigen digitalen Zertifikat. Leider waren Cyber-Kriminelle nicht nur in der Lage, Zertifikate für ihre Malware zu fälschen, wobei sie so genannte selbstsignierte Zertifikate nutzten. Sie haben es sogar geschafft, in die Systeme verschiedener CAs einzudringen und gestohlene Zertifikate zum Signieren ihres Codes zu nutzen. Auch in Zukunft werden sie gefälschte und gestohlene Zertifikate verwenden. Das Problem wird von einer anderen Entwicklung weiter verschlimmert. 26 In den letzten Jahren haben Sicherheitsanbieter das Whitelisting in ihr Arsenal aufgenommen. Das heißt, sie gleichen nicht nur ab, ob der Code als schädlich bekannt ist, sondern sie prüfen auch, ob er als sauber bekannt ist. Doch wenn bösartige Anwendungen es auf eine Weiße Liste schaffen, sind sie in der Lage, „unter dem Radar“ der Sicherheitsprogramme hindurchzufliegen und so unentdeckt zu bleiben. Das kann auf unterschiedliche Weise passieren. Die Malware kann mit einem gestohlenen Zertifikat signiert sein: Wenn die Whitelist-Anwendung die von der Organisation signierte Software automatisch als vertrauenswürdig einstuft, so gilt das infizierte Programm ebenfalls als vertrauenswürdig. Alternativ könnten sich Cyber-Kriminelle (beziehungsweise irgendjemand innerhalb eines Unternehmens) Zugriff auf das Verzeichnis oder die Datenbank verschaffen, die die Weiße Liste enthalten und ihre Malware einfach hinzufügen. Ein vertrauenswürdiger Insider, ob nun in der realen oder in der digitalen Welt, ist immer in einer guten Position, um die Sicherheit zu untergraben. 27 8. Cyber-Erpressung Im Jahr 2012 hat die Zahl der Ransomware-Trojaner zugenommen, solcher Schädlinge also, die Geld von ihren Opfern erpressen, indem sie entweder Daten auf der Festplatte verschlüsseln oder den Zugriff auf das System blockieren. Noch bis vor kurzer Zeit war diese Art der Cyberkriminalität weitestgehend auf Russland und andere ehemalige Sowjetländer begrenzt. Doch nun ist sie zu einem weltweiten Phänomen geworden, allerdings mit leicht variierendem Modus Operandi. In Russland zum Beispiel erklären die Trojaner, die den Zugriff auf das System blockieren, dass sie eine unlizenzierte Software auf dem Computer des Opfers entdeckt hätten und verlangen daraufhin eine Zahlung. In Europa, wo Piratensoftware weniger gängig ist, ist dieser Ansatz nicht so erfolgreich. Hier tarnen sich die Schädlinge vielmehr als Popup-Nachrichten von Strafverfolgungsbehörden, die vermeintlich Kinderpornografie oder andere illegale Inhalte auf dem Computer gefunden haben. Das wird von der Forderung nach einer Strafzahlung begleitet. Solche Angriffe lassen sich recht einfach umsetzen und wie im Fall von Phishing-Attacken scheint es an potenziellen Opfern nicht zu mangeln. Daher werden wir es vermutlich auch künftig mit einer steigenden Zahl solcher Angriffe zu tun haben. 28 9. Mac OS-Malware Entgegen fest verwurzelten Vorstellungen sind Macs nicht immun gegen Malware. Verglichen mit der Flut von Schädlingen für Windows ist die Menge der Mac-basierten Malware natürlich gering. Trotzdem ist die Zahl der Mac-Schadprogramme in den letzten zwei Jahren beständig gestiegen und es wäre naiv von Mac-Usern anzunehmen, dass sie nicht zum Opfer von Cyberkriminalität werden könnten. Dabei stellen nicht nur die allgemeinen Attacken – so wie das 700.000 Computer starke FlashfakeBotnetz – eine Gefahr dar. Wir hatten es auch mit zielgerichteten Angriffen auf spezielle Gruppen oder Einzelpersonen zu tun, von denen bekannt ist, dass sie Mac-Nutzer sind. Die Bedrohung von Macs ist real und wird vermutlich größer werden. 29 10. Mobile Malware Die Menge der mobilen Malware ist in den letzten 18 Monaten explodiert. Der Löwenanteil greift Android-basierte Geräte an – mehr als 90 Prozent richten sich gegen dieses Betriebssystem. Android OS erfüllt für Cyber-Kriminelle alle Kriterien: Es ist weit verbreitet, man kann problemlos Anwendungen für dieses Betriebssystem entwickeln, und die Nutzer des Systems können sich Programme (unter anderem auch Schadprogramme) aus jeder Ecke des Internets herunterladen. Aus diesem Grund ist es kaum anzunehmen, dass die Entwicklung für schädliche Android-Apps zurückgefahren wird. Bisher wurde der größte Teil der Android-Schädlinge entwickelt, um Zugriff auf ein Gerät zu erhalten. In Zukunft werden wir es vermutlich mit der Ausnutzung von Sicherheitslücken zu tun bekommen, die das Betriebssystem angreifen sowie mit der darauf basierenden Entwicklung von „Drive-by-Downloads“. Es ist zudem höchstwahrscheinlich, dass der erste Massenwurm für Android auf der Bildfläche erscheinen wird, der in der Lage ist, sich selbst über Textnachrichten zu verbreiten und Links auf sich selbst an Online-App-Stores versendet. Außerdem wird es vermutlich mehr mobile Botnetze geben, so wie jenes, das unter Verwendung des Backdoors RootSmart im ersten Quartal 2012 aufgebaut wurde. iOS ist das absolute Gegenteil von Android – ein geschlossenes, beschränktes Dateisystem, das den 30 Download und die Verwendung von Apps aus nur einer einzigen Quelle gestattet, dem App Store. Das bedeutet ein geringeres Sicherheitsrisiko: Um ihren Code zu verbreiten, müssten Virenschreiber einen Weg finden, ihn in den App Store einzuschleusen. Das Auftauchen der App „Find and Call“ hat gezeigt, dass es unerwünschten Anwendungen gelingen kann, durch dieses Netz zu schlüpfen. Doch aller Wahrscheinlichkeit nach wird Android das Hauptziel der Cyber-Kriminellen bleiben. Die Bedeutung der „Find and Call“-App liegt darin, dass sie das Problem des Datenschutzes, der Datenlecks und der möglichen Rufschädigung aufgezeigt hat: Diese App wurde entwickelt, um die Kontaktliste der Anwender hochzuladen und um SMS-Spam zu versenden. 31 11. Sicherheitslücken und Exploits Eine der wichtigsten Methoden, die Cyber-Kriminelle nutzen, um Schadprogramme auf Computern zu installieren, ist die Ausnutzung von nicht gepatchten Sicherheitslücken in verwundbaren Programmen. Diese Methode stützt sich auf die Existenz von Schwachstellen und das Versäumnis einzelner Anwender oder Unternehmen, ihre Software rechtzeitig zu aktualisieren. Auf Java-Sicherheitslücken entfallen derzeit mehr als 50 Prozent aller Schwachstellen, während Adobe Reader für weitere 25 Prozent verantwortlich ist. Erstaunlich ist das nicht, denn Cyber-Kriminelle richten ihre Aufmerksamkeit typischerweise auf populäre Anwendungen, bei denen die Wahrscheinlichkeit hoch ist, dass sie für lange Zeit ungepatcht bleiben – womit ein ausreichendes Zeitfenster verbleibt, um die illegalen Ziele zu erreichen. Java ist nicht nur auf vielen Computern installiert (laut Oracle auf 1,1 Milliarden), sondern auch die Updates werden nur auf Anforderung statt automatisch installiert. Aus diesem Grund werden Online-Verbrecher Java in den kommenden Jahren auch weiterhin ausnutzen. Vermutlich wird das auch bei Adobe Reader der Fall sein, allerdings in geringerem Maße, da die neusten Versionen einen automatischen Update-Mechanismus enthalten. 32 Statistik für das Jahr 2012 Yury Namestnikov Denis Maslennikov Die vorliegende Statistik ist Teil des Kaspersky Security Bulletin 2012 und beruht auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet wurden. Das KSN verwendet eine Cloud-Architektur in den Kaspersky-Produkten für Heimanwender und Unternehmen und zählt zu den wichtigsten Technologien von Kaspersky Lab. Kaspersky Security Network ermöglicht es unseren Experten, schnell und in Echtzeit neue Schadprogramme aufzuspüren, für die es bisher noch keine Signatur-basierte oder heuristische Erkennungsmöglichkeit gibt. KSN erleichtert die Identifizierung der Verbreitungsquelle von Schadprogrammen im Internet und verhindert damit, dass Anwender auf diese zugreifen. Gleichzeitig ermöglicht das KSN eine äußerst schnelle Reaktion auf neue Bedrohungen – wir können ein Schadprogramm innerhalb weniger Sekunden blockieren, nachdem es auf dem Computer eines KSN-Teilnehmers entdeckt wurde, und zwar ohne dazu wie sonst üblich die Datenbanken aktualisieren zu müssen. Die Statistiken im Jahresbericht basieren auf Daten von Kaspersky Lab-Produkten, deren Anwender ihre Zustimmung zur Übermittlung von statistischen Informationen gegeben haben. Mobile Bedrohungen Die Entwicklung der mobilen Bedrohungen im Jahr 2012 verlief unter dem Motto „Alles dreht sich um Android“ und so konzentrierten sich die Virenschreiber in diesem Jahr im Wesentlichen auf den „grünen Roboter“. Bewahrheitet haben sich auch unsere Vorhersagen bezüglich der Entwicklung mobiler Bedrohungen, die den Aufbau mobiler Botnetze, zielgerichtete Attacken unter Verwendung mobiler Schädlinge und die „mobile“ Spionage betreffen. 33 Schadprogramme für Android Im Jahr 2012 investierten die Virenschreiber ihre Energien vor allem in die Entwicklung von Schadprogrammen für Android. Das führte sowohl zu einer quantitativen als auch qualitativen Zunahme von mobilen Schädlingen für diese Plattform. 99 Prozent der von Kaspersky Lab monatlich entdeckten Schädlinge für mobile Plattformen richteten sich gegen Android. Android J2ME Symbian Andere Erscheinungsdynamik neuer mobiler Schadprogramme nach Monaten im Jahr 2012 Verteilung der mobilen Schädlinge nach Plattformen im Jahr 2012 Top 10 der Android-Schädlinge 34 Die am weitesten verbreiteten erkannten Objekte auf Android-Smartphones lassen sich in drei Hauptgruppen einteilen: SMS-Trojaner, Werbemodule und Exploits zum Erhalt von Root-Privilegien auf dem Smartphone. Mengenmäßig lagen hier die SMS-Trojaner vorn, die sich vorrangig gegen Anwender aus Russland richten. Erstaunlich ist das nicht, wenn man bedenkt, wie beliebt derartige Schadprogramme schon seit Langem unter russischen Virenautoren sind. Die kostenintensiven SMS-Nachrichten bleiben die Einnahmequelle Nr. 1 unter den „mobilen“ Cyber-Kriminellen. Die zweite Gruppe der mobilen Bedrohungen aus den Top 10 bilden die Werbemodule Plangton und Hamob. Die erstgenannte Familie wird nicht umsonst als Trojaner erkannt. Plangton kommt in kostenlosen Anwendungen vor und zeigt auch tatsächlich Werbung an, allerdings kann der Schädling auch die Startseite des Browsers ändern, ohne den Nutzer vorher zu warnen oder seine Zustimmung abzuwarten, was als schädliches Verhalten gilt. Was Hamob betrifft, so kategorisieren wir solche Anwendungen als AdWare.AndroidOS.Hamob, die sich als nützliche Programme ausgeben, dem Anwender tatsächlich aber nur Werbung anzeigen. Schließlich die dritte Gruppe. Zu ihr gehören verschiedene Modifikationen von Exploits zur Erlangung von Root-Privilegien auf Smartphones, die unterschiedliche Versionen des Betriebssystems Android einsetzen. Die Popularität der Exploits hängt insbesondere damit zusammen, dass vielfältige Modifikationen von Backdoors aus verschiedenen Familien, deren Zahl im letzten Jahr gestiegen ist, ein und dieselben Modifikationen von Exploits verwenden, um Root-Rechte auf dem Gerät zu erhalten. Mehr Schadprogramme in offiziellen App-Stores Obwohl Google das Antiviren-Modul Google Bouncer eingeführt hat, das alle neuen Anwendungen auf Google Play (ehemals Android Market) automatisch überprüft, gab es keine wesentlichen Veränderungen in der durchschnittlichen Zahl der Vorfälle oder in deren Ausmaß. 35 Die Aufmerksamkeit der Öffentlichkeit ziehen meist diejenigen Fälle auf sich, bei denen die meisten Infektionen auftreten, wie beispielsweise der Vorfall mit dem Schadprogramm Dougalek, das zehntausende Anwender (hauptsächlich aus Japan) herunterluden. Das führte zu einem massenhaften Diebstahl persönlicher Informationen, und zwar aufgrund einer Infektion mobiler Geräte. Allerdings sollte man darüber nicht die mehreren hundert anderer Vorfälle vergessen, bei der es geringere Opferzahlen gab. Erwähnenswert ist zudem, dass erstmals ein Schädling im Apple App Store entdeckt wurde. Anfang Juli erschien eine verdächtige Anwendung mit der Bezeichnung „Find and Call“ sowohl im App Store als auch im Android Market. Hatte ein Anwender dieses Programm geladen und gestartet, wurde er zur Registrierung aufgefordert und sollte dazu seine E-Mail-Adresse und Telefonnummer angeben. Nach der Registrierung wurden die eingegebenen Daten sowie die Kontaktliste des Opfers unbemerkt an einen entfernten Server gesendet. „Find and Call“- Schadprogramm: Teil der Übermittlungs-Prozedur der Kontaktliste an einen entfernten Server 36 An jede gestohlene Nummer aus der Kontaktliste geht nach einer gewissen Zeit eine Spam-SMS mit der Aufforderung, einem Link zu folgen und anschließend die Anwendung „Find and Call“ herunterzuladen. Erste mobile Botnetze Der erste Hinweis darauf, dass mobile Botnetze existieren, war die Entdeckung eines IRC-Bots für Android mit dem Namen Foncy zu Beginn des Jahres, der mit einem SMS-Trojaner desselben Namens interagierte. Dieser IRC-Bot war in der Lage, das Smartphone nach der Infektion zu steuern. Neben dem SMS-Trojaner enthielt der APK-Dropper auch ein Root-Exploit, das zur Erhöhung der Privilegien im infizierten System eingesetzt wurde. Nachdem sich der Bot mit dem Steuerungsserver verbunden hatte, konnte er Shell-Befehle entgegennehmen und ausführen. Faktisch bildeten alle mit dem IRC-Bot Foncy infizierten Smartphones ein vollwertiges Botnetz und waren fähig, auf Befehl ihres „Herren“ jede beliebige Aktion durchzuführen. Chinesischen Virenschreibern gelang es, ein Botnetz aufzubauen, in dem zwischen 10.000 und 30.000 Geräte aktiv waren, wobei die Gesamtzahl der infizierten Smartphones in die Hunderttausende ging. Die Grundlage dieses Botnetzes bildete der Backdoor RootSmart, der über eine breit gefächerte Funktionalität zur entfernten Steuerung von mobilen Geräten unter dem Betriebssystem Android verfügt. Um RootSmart zu verbreiten, setzten die Cyber-Kriminellen auf eine bekannte und bewährte Methode: Sie tarnten den Schädling als legales Programm und hinterlegten es auf der Webseite eines nicht offiziellen, aber in China sehr populären App-Shops für Android. Infolgedessen erhielten Anwender, die sich angeblich ein Programm zur Konfiguration des Telefons heruntergeladen hatten, einen Backdoor, der ihr Gerät in ein Botnetz integrierte. Das Ausmaß der RootSmart-Infektionen ermöglichte es den Kriminellen, das von ihnen aufgebaute Netz aus infizierten Telefonen effektiv zu Geld zu machen. 37 Zu diesem Zweck griffen sie auf das unter „mobilen“ Cyberverbrechern beliebteste Mittel zurück – den Versand von kostenpflichtigen SMS an Kurzwahlnummern. Die Gauner verwendeten dabei die günstigsten Nummern, damit die Opfer so lange wie möglich den Verlust ihres Geldes nicht bemerkten. Die vollständige Kontrolle über die mobilen Geräte gab den Cyber-Kriminellen die Möglichkeit, die Existenz eines Schadprogramms auf dem Telefon sehr lange vor dem Nutzer zu verbergen und so über einen längeren Zeitraum Geld von dessen Konto zu stehlen. Zielgerichtete Attacken unter Verwendung von mobilen Schädlingen Im Jahr 2012 wurden einige neue Schädlinge für andere Betriebssysteme als Android bei zielgerichteten Attacken eingesetzt. Ein krasses Beispiel für derartige Angriffe sind die Attacken unter Verwendung von ZitMo und SpitMo (Zeus- und SpyEye-in-the-Mobile). Regelmäßig erschienen neue Versionen von ZitMo und SpitMo sowohl für Android als auch für andere Betriebssysteme. Die Virenschreiber setzen noch immer dieselben Methoden zur Tarnung der Schädlinge ein wie bereits vor zwei Jahren: Entweder werden sie als „Sicherheitszertifikate“ ausgegeben oder als Software zum Schutz von Smartphones. 38 Traditionelle Tarnungen von ZitMo/SpitMo Auch wenn andere Betriebssysteme bei weitem nicht so populär sind wie Android, so heißt das noch lange nicht, dass sie gar nicht mehr attackiert werden. Virenschreiber scheren sich beispielsweise nicht um die Gerüchte über das baldige Aussterben der Plattform Blackberry. Im Jahr 2012 erschienen neue ZitMo-Versionen auch für diese Plattform, wobei die Cyber-Kriminellen in einer Angriffswelle sowohl Schädlinge für Blackberry als auch für Android einsetzten. Zumindest waren die Nummern für die Steuerungsserver (C&C) in ihnen identisch. 39 Spionage unter Einsatz mobiler Schadprogramme Im vergangenen Jahr nahmen wir an, dass der Datendiebstahl von Mobiltelefonen und das Verfolgen einer Person mit Hilfe ihres Telefons und standortbezogener Dienste im Jahr 2012 weit verbreitet sein wird und über die Grenzen der üblichen Anwendungsgebiete dieser Technologien durch Strafverfolgungsbehörden und einzelner Sicherheitsunternehmen hinausgeht. Leider ist es genau so gekommen. Die Zahl der Schadprogramme, die ihrem Verhalten nach entweder Spionage-Trojaner oder Backdoors sind, hat sich verhundertfacht. Auch der Zuwachs kommerzieller Überwachungsprogramme ist an dieser Stelle zu erwähnen, denn sie sind manchmal nur schwer von Schadprogrammen zu unterscheiden. Als bestes Beispiel für Spionage unter Verwendung von mobilen Schadprogrammen dient der Vorfall mit dem Programmmodul FinSpy. Dieses Modul wurde von dem britischen Unternehmen Gamma International entwickelt, das auf Überwachungssoftware für Regierungsorganisationen spezialisiert ist. Faktisch verfügt dieses Programm über die Funktionalität eines Spionage-Trojaners. Im August 2012 entdeckte die Firma The Citizen Lab mobile Versionen von FinSpy. Es wurden Modifikationen des Trojaners unter Android, iOS, Windows Mobile und Symbian gefunden. Zweifellos gibt es zwischen ihnen Unterschiede, doch sie alle sind in der Lage, praktisch jede Aktion des Anwenders auf dem infizierten Gerät zu protokollieren, verdeckte Anrufe zu tätigen und Informationen an einen entfernten Server zu senden. Über die Auftraggeber der FinSpy-Attacke und die konkreten Opfer weiß man derzeit noch nichts, und auch in Zukunft wird sich das kaum ändern. Doch selbst ohne diese Informationen wird mit dem Auftauchen von FinSpy ein neues Kapitel in der Geschichte der mobilen Malware aufgeschlagen: Mobile Geräte werden ebenso zu Zielscheiben von punktgenauen Angriffen und Spionageattacken wie gewöhnliche Computer auch. 40 Mac-Schädlinge Im Jahr 2012 wurden alle Mythen über die Sicherheit von Macs zerstört. Dieses Jahr hat gezeigt, dass Mac-Schädlinge tatsächlich eine ernsthafte Bedrohung für die Sicherheit der Computer sind. Anfang des Jahres wurde das 700.000 infizierte Rechner umfassende Botnetz Flashfake entdeckt, das ausschließlich aus Mac-Computern bestand. Eine vollständige englischsprachige Analyse dieses Trojan-Downloaders finden Sie hier. Auf Flashfake folgten keine weiteren Epidemien, doch im Laufe des gesamten Jahres nutzten Cyber-Kriminelle Mac-Schädlinge zur Durchführung zielgerichteter Attacken. Das hängt in erster Linie damit zusammen, dass die Produkte von Apple bei vielen einflussreichen Politikern und Geschäftsleuten beliebt sind und sich eine bestimmte Kategorie von Cyber-Kriminellen sehr für die auf den Geräten dieser Leute gespeicherten Informationen interessiert. Im Jahr 2012 fügten unsere Antiviren-Experten den Datenbanken von Kaspersky Lab 30 Prozent mehr Signaturen zur Erkennung verschiedener Mac-Trojaner hinzu als im Jahr 2011. Verglichen mit dem Jahr 2010 hat sich die Anzahl der pro Jahr hinzugefügten Signaturen versechsfacht. Anzahl der jährlich neu hinzugefügten Virensignaturen zur Erkennung von Mac OS X-Schädlingen Der am weitesten verbreitete Mac-Schädling des Jahres ist zweifellos Flashfake, dessen erste Versionen bereits im Jahr 2011 entdeckt wurden. Nach den Ergebnissen des ersten Halbjahres 2012 war Flashfake unangefochtener Spitzenreiter. 41 Schauen wir uns im Folgenden einmal an, welche Mac OS X-Schädlinge im zweiten Halbjahr 2012 am weitesten verbreitet waren. Top 10 der Schadprogramme für Mac OS X im 2. Halbjahr 2012 Platz eins belegt Trojan.OSX.FakeCo.a (52 %). Dieses Schadprogramm tarnt sich als Installationsdatei eines Videocodecs. Nach der Installation erscheinen allerdings keinerlei Codecs im System, sondern das Programm benimmt sich wie ein Programm der Kategorie AdWare, indem es für das Marketing wichtige Informationen über den Anwender sammelt und diese an die Cyber-Kriminellen weiterleitet. Auf Position zwei landete der bereits seit vier Jahren bekannte Trojaner Jahlav (8 %). Auch dieser Schädling tarnt sich als Installationsdatei eines Videocodecs. Anstelle des Codecs wird auf dem Computer ein Schadprogramm installiert, das sich für den User 42 unbemerkt mit einem Server der Cyber-Kriminellen verbindet und von dort andere Dateien auf den infizierten Rechner laden kann. In der Regel versucht dieses von Kaspersky Lab als Trojan.OSX.Dnscha detektierte Schadprogramm einen Trojaner zu laden, der die Adressen in den DNS-Einstellungen gegen die Server-Adressen der Cyber-Kriminellen austauscht. Auf dem vierten und fünften Platz positionierten sich Programme der Familie Trojan-Downloader.OSX. FavDonw, die insgesamt 7 Prozent aller Vorfälle ausmachen. Die Programme dienen nur einem Ziel: Nach der Installation auf einem Mac laden sie gefälschte Antiviren-Programme auf den Rechner. Platz 7 und 8 der Top 10 werden von Fake-AV-Programmen der Familie Trojan-FakeAV.OSX.Defma belegt, die vom Anwender Geld für die Entfernung angeblich entdeckter Schadprogramme erpressen. Rang 9 belegt das Exploit.OSX.Smid.b, das eine Sicherheitslücke in Java ausnutzt und es Verbrechern ermöglicht, beliebigen Code auf einem Rechner mit nicht aktualisiertem Java auszuführen. Nach der Entdeckung des Botnetzes Flashfake beschäftigte sich Apple intensiver mit der Sicherheit seines Betriebssystems. Als Beispiele können die Veröffentlichung von kritischen Patches für Oracle Java dienen, die zeitgleich mit den entsprechenden Windows-Versionen erschienen, sowie die neuen Schutzfunktionen in Mac OS X Mountain Lion: Das Betriebssystem erlaubt in der Standardeinstellung nur die Installation von Programmen aus dem offiziellen App Store. Weitere Schutzmaßnahmen sind unter anderem das Sandboxing für Programme, die aus dem App Store geladen wurden, sowie die automatische Installation von Updates. 43 Schadprogramme im Internet (Attacken über das Web) Die Anzahl der Attacken über den Webbrowser stieg innerhalb eines Jahres von 946.393.693 auf 1.595.587.670. Das heißt, unsere Produkte schützten die Anwender beim Surfen im Netz durchschnittlich 4.371.473 Mal pro Tag. Verglichen mit dem Vorjahr hat sich die Geschwindigkeit, mit der die Attacken zugenommen haben, praktisch nicht geändert. Die Zahl der im Jahr 2012 abgewehrten Internet-Attacken übersteigt den Wert für das Jahr 2011 um das 1,7-Fache, während es im Jahr 2011 ein Zuwachs um das 1,6-Fache war. Die Hauptangriffsmethode mit Hilfe von Exploit-Packs garantiert Cyber-Kriminellen praktisch die Infektion von Computern, wenn auf ihnen kein Schutz installiert ist, dafür aber mindestens eine populäre und angreifbare (nicht aktualisierte) Anwendung. Von Cyber-Kriminellen ausgenutzte angreifbare Anwendungen Wenn wir das Jahr 2011 als Jahr der Sicherheitslücken bezeichnet haben, so kann man das Jahr 2012 mit Fug und Recht zum Jahr der Java-Sicherheitslücken erklären: In diesem Jahr richtete sich die Hälfte aller unter Verwendung von Exploits registrierten Attacken gegen Sicherheitslücken in Oracle Java. Heute ist Java auf mehr als 3 Milliarden Geräten installiert, die verschiedene Betriebssysteme verwenden. Folglich müssen für manche Fehler in Java plattformübergreifende Exploits entwickelt werden. Im Laufe des Jahres registrierten wir Massenangriffe unter Verwendung von Exploit-Packs sowie zielgerichtete Attacken gegen PC und Macs, in denen Java-Exploits eingesetzt wurden. 44 Oracle Java Adobe Acrobat Reader Windows components and Internet Explorer Adobe Flash Player Android Allgemein/Andere Anwendungen, deren Sicherheitslücken im Jahr 2012 durch Web-Exploits ausgenutzt wurden Im Jahr 2012 waren Exploits für Adobe Reader weniger populär – mit ihnen standen 28 Prozent aller Vorfälle in Verbindung. Adobe Reader belegte unter dem Strich den zweiten Platz im Rating. Dabei ist anzumerken, dass sich der Hersteller dem Problem der Sicherheitslücken in den jüngsten Versionen vom Adobe Reader stärker angenommen hat und verschiedene Mechanismen umgesetzt wurden, die die Anwendung vor der Ausführung eines Exploits schützen. Solche Maßnahmen erschweren die Entwicklung effektiver Exploits nachhaltig. Auf dem dritten Platz positionierten sich Programme, die Sicherheitslücken in Komponenten von Windows und dem Internet Explorer ausnutzen. Im Laufe des Jahres wurden aktiv Exploits zu Schwachstellen ausgenutzt, die bereits im Jahr 2010 entdeckt wurden: MS10-042 im Windows Hilfe- und Supportcenter und MS04-028, die mit einer falschen Verarbeitung von jpeg-Dateien zusammenhängt. Mit einem Anteil von 2 Prozent belegten Exploits für die mobile Plattform Android OS Position 4. Cyber-Kriminelle nutzen diese Exploits, um Root-Privilegien zu erhalten, die ihnen praktisch uneingeschränkte Möglichkeiten zur Manipulation des Systems eröffnen. 45 Windows XP Windows 7 Windows Vista Windows 7 Windows XP Windows Vista Andere Verteilung bei Anwendern installierten Windows-Versionen Der Anteil von Windows 7 an allen installierten Windows-Versionen stieg innerhalb eines Jahres von 30 Prozent auf 50 Prozent. Obwohl Windows 7 regelmäßig automatisch aktualisiert wird, gehen die Angriffe auf die Computer von Windows-Nutzern weiter: Wie bereits oben erwähnt erfolgt die Einschleusung von Schädlingen im Wesentlichen nicht über Windows-Komponenten, sondern über installierte Anwendungen anderer Hersteller. 46 Top 20 der Schadprogramme im Internet Von allen Schadprogrammen, die an Internet-Attacken beteiligt waren, haben wir nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 96 Prozent aller Web-Attacken. * Von Kaspersky Web-Antivirus erkannte Objekte. Die Informationen stammen von Anwendern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben. ** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden. 47 Schädliche Webseiten, die mit Hilfe heuristischer Methoden, also ohne Aktualisierung der klassischen Antiviren-Datenbanken erkannt werden, belegen den ersten Platz des Ratings. Die Entwicklung neuer, auf den Möglichkeiten des KSN basierender Erkennungstechnologien hat dazu geführt, dass sich der Anteil der Bedrohungen, die mittels dieser Technologien entdeckt werden, von 75 Prozent auf 87 Prozent erhöht hat. Ein wesentlicher Teil der Detektionen von gefährlichen URL-Adressen entfällt auf Webseiten mit Exploits. Position zwei belegen schädliche Skripte, die von Online-Kriminellen mit Hilfe spezieller Programme in den Code gehackter legitimer Webseiten eingeschleust werden. Das zeigt, dass es auf vielen legalen Seiten Einschleusungen von Schadcode in Form von nicht abgebildeten „iframe“-Tags gibt. Solche Skripte leiten den Browser im Zuge von Drive-by-Attacken unbemerkt vom Anwender auf schädliche Webressourcen um. Schädliche Skripte dieser Art platzierten sich auf den Rängen 13 und 14. Die Plätze 3 bis 5 entfallen auf verschiedene heuristisch erkannte schädliche Skripte und ausführbare PE-Dateien, die sich in zwei Kategorien einteilen lassen. Die Schädlinge der ersten Kategorie laden andere Schadprogramme und führen sie aus. Die schädlichen Objekte der zweiten Kategorie tragen die schädliche Fracht selbst – sie stehlen unter anderem Online-Banking-Daten und Accounts bei sozialen Netzwerken oder Dienstleistern. Auf Platz 9 befindet sich Trojan-Downloader.SWF.Voleydaytor.h, der auf verschiedenen Webseiten der Kategorie „nur für Erwachsene“ auftaucht. Getarnt als Update für einen Videoplayer transportiert er verschiedene Schadprogramme auf den Computer. Im Rating sind zudem zwei Exploits vertreten: Exploit.Script.Generic, dessen Download in fast 3 Millionen Fällen blockiert wurde, und Exploit.Script.Bloker mit 4,5 Millionen blockierten Download-Versuchen. In den allermeisten Fällen haben es die Nutzer nicht mit einzelnen Exploits zu tun, sondern mit Exploit-Sammlungen. 48 Sie sind heute ein nicht mehr wegzudenkender Bestandteil von Drive-by-Attacken. Wichtig dabei ist, dass Exploit-Packs sehr schnell modifiziert und aktualisiert werden, um Exploits für neue Sicherheitslücken hinzuzufügen und sich den Schutzlösungen erfolgreich zu widersetzen. Drei Positionen der Top 20 belegten Werbeprogramme der Familien iBryte und ScreenSaver. Das Programm AdWare.Win32.IBryte.x wird als Downloader populärer kostenloser Anwendungen verbreitet. Nach dem Start lädt das Programm die vom Nutzer gewünschte Anwendung und installiert gleichzeitig ein Werbemodul. Um das zu vermeiden, sollte man die Anwendung von der offiziellen Webseite des Anbieters herunterladen. Im letzten Jahr gab es doppelt so viele Vertreter der Kategorie AdWare. Der Rückgang des Anteils derartiger Programme hängt mit ihrer allmählichen Verdrängung durch verschiedene effektivere und – was noch wichtiger ist – legale Reklamemethoden zusammen, zum Beispiel Kontextwerbung in Suchmaschinen und sozialen Netzwerken. Im Gegensatz zum Jahr 2011 sind im Rating keine Programme vom Typ Hoax.Win32.ArchSMS vertreten, die zum Betrug mit Kurznummern genutzt werden. Es handelt sich dabei um Programme, die für die Entschlüsselung einer vom Nutzer heruntergeladenen Archiv-Datei den Versand einer SMS an eine Kurzwahlnummer fordern. Im Jahr 2011 erstellten Betrüger Webseiten, die gewöhnlichen Online-Speichern glichen, allerdings war der angegebene Inhalt nicht in den angebotenen Archiven enthalten. 2012 produzierten Online-Betrüger eifrig Webseiten, die ein ähnliches Betrugsschema erlauben, ohne dass dazu der Download von Dateien auf die Festplatte nötig wäre. Derartige Seiten setzen die Produkte von Kaspersky Lab automatisch auf die Schwarze Liste. 49 Top 20 der Länder, auf deren Webressourcen Schadprogramme untergebracht sind Zur Durchführung der 1.595.587.670 Attacken über das Internet verwendeten die Cyber-Kriminellen 6.537.320 Domains, eine halbe Million mehr als im Vorjahr. Die Server, auf denen der Schadcode untergebracht war, wurden in 202 Ländern und Gebieten der Welt lokalisiert. 96,1 Prozent aller von Kaspersky Lab im Netz registrierten schädlichen Hostings waren auf Servern in zwanzig Ländern untergebracht. Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Web-Antivirus. Die Daten wurden von KL-Anwendern zur Verfügung gestellt, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben. * Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP). ** Gesamtzahl der von Kaspersky Lab registrierten einzelnen Attacken von Webressourcen, die in dem jeweiligen Land untergebracht sind. 50 Die ersten beiden Plätze belegen die USA (25,5 %) und Russland (19,6 %). Die Niederlande (16,8 %) und Deutschland (11,4 %) halten sich stabil in den Top 5 und erreichen das dritte Jahr in Folge die Positionen 3 respektive 4. Während der Anteil der USA im Laufe des Jahres insgesamt nur um 0,1 Prozentpunkte gestiegen ist, nahm der Anteil der schädlichen Hostings in Russland (plus 5 Prozentpunkte), den Niederlanden (plus 7 Prozentpunkte) und Deutschland (plus 2,7 Prozentpunkte) deutlich zu. Bis zum Jahr 2010 belegte China den ersten Platz in dieser Hitliste. Auf die chinesischen Server entfielen über 50 Prozent der schädlichen Hostings weltweit. Im Jahr 2010 gelang es den chinesischen Behörden, den größten Teil der schädlichen Hostings aus dem lokalen Cyberspace zu entfernen. Gleichzeitig wurden die Vorschriften für die Registrierung von Domains in der Zone .cn verschärft. Daraufhin ging der Anteil der schädlichen Hostings in China drastisch zurück und wir beobachten nun eine schrittweise Konsolidierung der Hostings in den USA, in Russland, den Niederlanden und in Deutschland. Der stetige Anstieg des russischen Anteils hat zwei Gründe. Erstens werden immer mehr legitime Webseiten gehackt, darunter auch diejenigen großer Portale in der Zone .ru. Das Ziel dieser Angriffe ist die Infektion von Computern über Exploits. Der zweite Grund liegt in der Tatsache, dass sich russische Cyber-Kriminelle im russischen Cyberspace sehr wohl und sicher fühlen und eine Vielzahl von schädlichen Webseiten erstellen. Nach russischem Gesetz ist die Strafe für Cyberverbrechen recht milde, denn in den meisten Fällen erhalten Cyber-Kriminelle Bewährungsstrafen. In Russland kommt es auch nicht sehr häufig vor, dass Steuerungsserver von Botnetzen offline genommen werden. Wenn der Anteil schädlicher Hostings, die auf russische Server entfallen, weiterhin im gleichen Tempo zunimmt, könnte Russland nach Anzahl der schädlichen Hostings bereits im nächsten Jahr die weltweite Spitzenposition einnehmen. In den Niederlanden und Deutschland gehen die Cyber-Kriminellen da schon akkurater vor – sie registrieren oder hacken eine enorme Anzahl von Webseiten und verschieben die schädlichen Inhalte sofort von einem Server auf den anderen, wenn die Adressen der schädlichen Webseiten auf den Schwarzen Listen der Provider landen. 51 Lokale Bedrohungen Die Statistik der lokalen Infektionen von Computern ist von besonderer Bedeutung, denn sie berücksichtigt alle Objekte, die nicht über das Web, via E-Mail oder über Netzwerk-Ports in die Rechner eingedrungen sind. Unsere Antiviren-Lösungen haben fast 3 Milliarden Virenvorfälle auf den Computern der KSNTeilnehmer entdeckt. Dabei wurden 2,7 Millionen verschiedene schädliche und potenziell unerwünschte Programme registriert. Top 20 der auf den Computern entdeckten Schädlingen Bei den Schadprogrammen aus den Top 20 handelt es sich um die am weitesten verbreiteten Bedrohungen des Jahres 2012. 52 Die Statistik basiert auf Daten von Kaspersky Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt. * Prozentualer Anteil der Computer, auf denen Kaspersky Web-Antivirus einen Schädling erkannt hat, an allen Computern mit Kaspersky-Produkten, auf denen Web-Antivirus Alarm geschlagen hat. Mit verschiedenen heuristischen Methoden haben wir auf insgesamt 13,5 Millionen Computern Versuche einer Infizierung registriert, die sich auf folgende Schadprogramme verteilen: Trojan.Win32.Generic (1. Platz), Virus.Win32.Generic (8. Platz), HiddenObject.Multi.Generic (12. Platz) und Trojan-Dropper.Script.Generic (19. Platz). Den zweiten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien entdeckt und als DangerousObject.Multi.Generic eingeordnet wurden. Cloud-Technologien greifen dann, wenn in den Datenbanken bisher noch keine Signaturen enthalten sind und eine heuristische Erkennung eines Schadprogramms nicht möglich ist, dafür aber in der Cloud von Kaspersky Lab bereits Informationen über das Objekt existieren. Auf diese Weise werden die allerneusten Schadprogramme erkannt. Mit Hilfe des Urgent Detection Systems (UDS), das zum Kaspersky Security Network gehört, wurden mehr als 9,6 Millionen Computer in Echtzeit geschützt. Acht Programme aus den Top 20 besitzen entweder einen Selbstverbreitungsmechanismus oder werden als Element von Würmern verwendet: Trojan.Win32.Starter.yy (4. Platz), Net-Worm.Win32.Kido. ih (6. Platz), Net-Worm.Win32.Kido.ir (7. Platz), Virus.Win32.Sality.aa (8. Platz), Virus.Win32.Nimnul.a (11. Platz), Virus.Win32.Sality.ag (15. Platz) und Virus.Win32.Suspic.gen (16. Platz). 53 Im Jahr 2012 waren mehr als 2 Millionen Anwender von Betrugsversuchen mit kurzen SMS-Nummern betroffen (Hoax.Win32.ArchSMS.gen, 9. Platz). Unter verschiedenen Vorwänden, meist indem der Zugriff auf ein Archiv oder eine Installationsdatei für ein Spiel, Buch oder ähnliches versprochen wird, versuchen die Cyber-Kriminellen, den Anwender dazu zu bringen, eine SMS an eine Premium-Nummer zu schicken. In den meisten Fällen erhält dieser nach dem Senden der Mitteilung keinerlei Gegenleistung. Hinter Trojan.WinLNK.Runner.bl (13. Platz) und Worm.Win32.AutoRun.hxw (14. Platz) verbergen sich schädliche Dateiverknüpfungen (lnk-Dateien). In den lnk-Dateien dieser Familien wird die Ausführung von cmd.exe mit dem Startparameter der schädlichen exe-Datei durchgeführt. Sie werden aktiv von Würmern zur Verbreitung über USB-Sticks eingesetzt. Ein interessanter Vertreter im Rating ist Trojan.Win32.Patched.dj (17. Platz), der exe- und dll-Dateien infiziert. Die schädliche Funktionalität besteht darin, dass der Virenschreiber per E-Mail von dem Schädling über die Infektion des Computers informiert wird, woraufhin das Programm einen Port auf dem Computer öffnet und auf Befehle des Hackers wartet, der dann unter anderem Dateien laden, starten und auf dem Computer laufende Programme stoppen kann. Im Endeffekt wird der Schädling zum Aufbau von Botnetzen verwendet. Die Infektionsmethoden werden aktiv weiterentwickelt und es fällt auf, dass nicht eine einzige neue Virus- und Wurm-Familie in der Hitliste vertreten ist: Sality, Virut, Nimnul und Kido bestimmen weiterhin den Kurs. Online-Verbrecher haben sich massenweise auf den Aufbau von Botnetzen verlegt und infizieren dazu Rechner über das Internet unter Verwendung von Exploits. Die Techniken zur Infektion ausführbarer Dateien sind unter kommerziell orientierten Virenschreibern nicht sonderlich beliebt, da der Selbstausbreitungsprozess von Viren und Würmern nur sehr schwer zu kontrollieren ist und große Botnetze die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen. 54 Weltkarte Um einschätzen zu können, in welchen Ländern die Anwender am häufigsten Cyberbedrohungen ausgesetzt waren, haben wir für jedes Land berechnet, wie häufig Kaspersky Antivirus dort im Laufe des Jahres 2012 Alarm geschlagen hat. Die so erhaltenen Daten spiegeln den Grad des Infektionsrisikos wider, dem die Computer in den verschiedenen Ländern der Welt ausgesetzt sind. Sie sind gleichzeitig ein Indikator für die Aggressivität der Umgebung, in der die Computer laufen. Web-Bedrohungen Am interessantesten ist der Grad des Infektionsrisikos über das Internet, das in den meisten Ländern der Welt die Hauptquelle für Schadobjekte ist. 55 Die Statistik basiert auf Daten von Kaspersky Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky LabProdukten vergleichsweise gering ist (weniger als 10.000). *Prozentualer Anteil der einzelnen Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Computern mit Kaspersky-Produkten im entsprechenden Land. Das zweite Jahr in Folge führt Russland das Rating an. Für die russischen Computer hat sich das Risiko einer Infektion beim Surfen im Laufe des Jahres von 55,9 Prozent auf 58,6 Prozent erhöht. Leider wird im russischen Internet-Segment eine Vielzahl an Cyber-Kriminellen Schemata umgesetzt. Da im Land sowohl unter Heimanwendern als auch unter Unternehmern das Online-Banking immer populärer wird, verbreiteten Internet-Gangster im Jahr 2012 aktiv die entsprechenden Schädlinge. Ein weiteres, im Runet recht weit verbreitetes Schema ist der Betrug mit kostenpflichtigen SMS: Die Kriminellen fordern den Anwender auf, eine Ware oder Dienstleistung mit Hilfe von SMS zu bezahlen, doch der Käufer erhält nie die gewünschte Gegenleistung. Tadschikistan machte mit einem Wert von 58,5 Prozent einen Sprung von Position 17 auf den 2. Platz des Ratings. Platz drei belegte Aserbaidschan mit 57,1 Prozent aller angegriffenen KSN-Teilnehmer und stieg damit im Vergleich zum Vorjahr um drei Positionen auf. Die letzten drei Positionen der Länder-Top 20 belegten im Jahr 2012 Italien, die USA und Spanien. Die USA, die im Vorjahr noch den dritten Platz belegten, landeten im Jahr 2012 auf Position 19: Der Anteil der attackierten Computer ging in den Vereinigten Staaten von 50,1 Prozent auf 45,1 Prozent zurück. Diese Entwicklung hängt mit dem erfolgreichen Kampf gegen Cyberkriminalität und der Schließung einiger großer Botnetze zusammen, darunter DNSChanger, Hlux sowie einige ZeuS (Zbot)-Botnetze. Italien und Spanien sind erstmals in diesen Top 20 vertreten. 56 In beiden Ländern war die Zahl der Vorfälle im Laufe des gesamten Jahres recht hoch, was in erster Linie Attacken durch Bank-Trojaner zuzuschreiben ist. Nach dem Grad des Infektionsrisikos beim Surfen im Web lassen sich alle Länder in verschiedene Gruppen einteilen: 1. Gruppe mit erhöhtem Risiko Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 31 Länder. Neben den Ländern aus den Top 20 sind das Australien (44,4 %), Indonesien (44,2 %), Kanada (42,8 %), Georgien (42,3 %) und Großbritannien (41,1 %). 2. Risikogruppe In dieser Gruppe mit Werten zwischen 21 und 40 Prozent sind 110 Länder vertreten, darunter die Türkei (39,9 %), Frankreich (39,8 %), Chile (39.4 %), China (38,4 %), Polen (37,1 %), Litauen (35,3 %), Schweden (34,1 %), Österreich (34 %), Ecuador (33,3 %), Deutschland (31,8 %), Finnland (27,9 %), Norwegen (27,3 %), Japan (22,8 %) und Dänemark (21,6 %). 3. Gruppe der beim Surfen im Internet sichersten Länder (0 bis 20 %) Im Jahr 2012 zählten zu dieser Gruppe insgesamt 10 Länder: Gabun (20,6 %), Togo (20,5 %), Réunion (20,2 %), Niger (19,6 %), Mauritius (18 %), Guadeloupe (17,8 %), Martinique (17,7 %), Benin (17,2 %), Burundi (16,9 %) und Kongo (16,7 %). In der ersten Gruppe sind neun Länder hinzugekommen. Einen großen Teil der Gruppe stellen Staaten aus dem postsowjetischen Raum sowie asiatische Länder. Bedenklich ist, dass innerhalb des Jahres auch mehr europäische Länder hinzugekommen sind. In der Gruppe der beim Surfen im Web sichersten Länder sind keine europäischen Staaten mehr vertreten, sie besteht nun ausschließlich aus afrikanischen Ländern. Die Länder aus der sichersten Gruppe fallen beim Surfen hinsichtlich lokaler Bedrohungen in die Gruppe mit dem höchsten Infektionsniveau. Dass sie dennoch zu der Gruppe der beim Surfen sichersten Länder gehören, erklärt sich durch die Verbreitungsart von Dateien in diesen Ländern: 57 Das Internet ist dort bisher noch nicht sehr weit entwickelt, daher verwenden die User verschiedene mobile Datenträger für den Austausch von Dateien. Als Folge erscheinen diese Länder bezüglich der Internet-Bedrohungen praktisch gar nicht auf unserem Radar, doch eine Unmenge von Anwendern hat hier mit Viren und Würmern auf ihren Rechnern zu kämpfen, die sich zum Beispiel über USB-Sticks oder über infizierende Dateien verbreiten. Im Schnitt ist das Niveau der Infektionsgefahr im Internet das zweite Jahr in Folge gestiegen. Im Jahr 2012 betrug es 34,7 Prozent und liegt 2,4 Prozentpunkte höher als im Vorjahr. Jeder dritte Internetnutzer auf der Welt ist damit mindestens einmal pro Jahr einem Computerangriff ausgesetzt. 58 Lokale Bedrohungen Neben den Bedrohungen über das Internet sind auch die Zahlen über die Erkennung von Schadprogrammen interessant, die direkt auf Computern oder daran angeschlossenen Wechselmedien gefunden werden, etwa auf USB-Sticks, Speicherkarten, Telefonen oder externen Festplatten. Diese Statistik spiegelt das Infektionsniveau von PCs in verschiedenen Ländern der Welt wider. Die Statistik basiert auf Daten von Kaspersky Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000). *Prozentualer Anteil der einzelnen Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Computern mit Kaspersky-Produkten im entsprechenden Land. 59 Die Top 20 des Jahres 2012 setzen sich aus Ländern Afrikas und Asiens zusammen. Innerhalb des Jahres hat sich die Situation in den Ländern an der Spitze des Ratings nicht zum Besseren gewendet. Wie bereits im Jahr zuvor waren die Computer im Sudan und in Bangladesch im Laufe von zwölf Monaten mindestens einmal mit einem Schadprogramm infiziert. Die bisher noch unzureichende Verwendung von Antiviren-Programmen und die nur oberflächlichen Kenntnisse der Anwender über mögliche Computer-Bedrohungen machen die Rechner in diesen Ländern zu einer leichten Beute für Schadprogramme. Auch bei den lokalen Bedrohungen lassen sich die Länder der Welt in verschiedene Kategorien einteilen. 1. Maximales Infektionsniveau (über 75 %): Sieben Länder aus Asien und Afrika, darunter auch Indien (75,2 %) und Bangladesch (99,7 %), gehören zur Gruppe der beim Surfen im Internet unsichersten Länder. 2.Hohes Infektionsniveau (56 bis 75 %): 41 Länder der Welt, darunter Indonesien (64,7 %), Äthiopien (58,2 %) und Kenia (58 %). 3. Mittleres Infektionsniveau (35 bis 55 %): 67 Länder, unter anderem China (52,7 %), Kasachstan (52,6 %), Russland (48,7 %), die Türkei (48,67 %), Brasilien (43,5 %), Südkorea (39,8 %), Spanien (39,8 %), Portugal (35,8 %) und Litauen (35,7 %). 4. Geringstes Infektionsniveau (0 bis 35 %): 38 Länder, darunter die USA (33,3 %), Frankreich (32,8 %), Großbritannien (30,9 %), Lettland (31,4 %) und Belgien (27,2 %). Die Zahl der Länder in der zweiten Gruppe ist im Vergleich zum Vorjahr um das 2,7-Fache gestiegen. Im vergangenen Jahr waren insgesamt nur 14 Länder vertreten. In erster Linie hängen diese Veränderungen mit dem langsamen Aussterben der klassischen Viren und Autorun-Würmer zusammen. 60 Top 10 der Länder mit minimalen Computer -Infektionsraten In der Gruppe der sichersten Länder der Welt wurden durchschnittlich 25,4 Prozent der Computer angegriffen. Gegenüber dem Vorjahr hat dieser Wert um 4 Prozentpunkte abgenommen. Fazit 2012 war geprägt vom Interesse Cyber-Krimineller an neuen Plattformen, in erster Linie an Mac OS X und Android OS. Online-Verbrecher werden stets von der Möglichkeit angezogen, problemlos eine große Zahl von Computern und Endgeräten zu infizieren und die Zahl der Attacken auf Mac- und Android-Nutzer wächst. Zu Beginn des Jahres wurde ein riesiges Botnetz auf Basis des Programms Flashfake entdeckt, das 700.000 Macs umfasste, auf denen die Online-Gangster beliebige zusätzliche Schadmodule installieren konnten. Eines dieser Module tauscht den Traffic im Browser aus. Doch die Geschichte der Mac-Schädlinge ist nicht auf Massenattacken beschränkt. 61 Im Laufe des gesamten Jahres entdeckten wir zielgerichtete Attacken unter Verwendung von Backdoors, die sich gegen Mac-User richteten. Diese Tendenz schlug sich auch in unseren Daten nieder – die Zahl der erstellten Antiviren-Einträge unter Mac OS X stieg im Vergleich zu 2011 um 30 Prozentpunkte. Die Epidemie des Mac-Trojaners und die endlose Reihe von Android-Schädlingen haben das Thema „Schutz neuer Plattformen“ an die Spitze der Tagesordnung befördert. Die Notwendigkeit eines solchen Schutzes ist für den größten Teil der weltweiten Internet-Gemeinschaft offensichtlich geworden. Der Mythos der Unverwundbarkeit von Macs wurde endgültig zerstört. Die Hersteller widmen dem Schutz der Plattformen nun größere Aufmerksamkeit: In der neuen Version von Mac OS X wurden einige Funktionen umgesetzt, die die Sicherheit erhöhen. Google hat seinem App Store einen Anwendungsscan hinzugefügt. Auch die Antiviren-Industrie legte die Schutz-Messlatte höher und ist daher für derartige Ereignisse besser gerüstet. Seit einiger Zeit werden bereits Lösungen in der Art von Kaspersky ONE Universal Security angeboten, die den Schutz des gesamten Gerätespektrums abdecken – vom PC über den Mac bis hin zu mobilen Telefonen und Tablets. Doch leider stieg ungeachtet der Erfolge im Kampf gegen die Cyberkriminalität der Anteil der über das Internet angegriffenen Computer auch im Jahr 2012 weiter an und betrug insgesamt 34 Prozent. Nicht ein einziges europäisches Land ist in der Gruppe der Länder vertreten, in denen der Anteil der beim Surfen im Netz angegriffenen Rechner unter 20 Prozent liegt. Wenn wir das Jahr 2011 zum Jahr der Sicherheitslücken ausgerufen haben, so erklären wir das Jahr 2012 hiermit zum Jahr der Java-Sicherheitslücken. Unserer Statistik zufolge entfiel 2012 die Hälfte der Attacken unter Verwendung von Exploits auf Sicherheitslücken in Java. Nicht weniger bemerkenswert dabei ist, dass Cyber-Kriminelle diese Sicherheitslücken sowohl in massenhaften als auch in zielgerichteten Attacken ausnutzten und die Exploits gleichsam auf dem PC und dem Mac liefen. 62 | viruslist.com/de | kaspersky.com/de | [email protected] Kaspersky Labs GmbH Despag-Straße 3 85055 Ingolstadt Deutschland Tel.: +49 (0) 841 98 18 90 Fax:+49 (0) 841 98 189 100 V.i.S.d.P.: Stefan Rojacher © 2012 Kaspersky Labs GmbH. Copyright bzw. Copyright-Nachweis für alle Beiträge bei der Kaspersky Labs GmbH. Reproduktion jeglicher Art – auch auszugsweise – nur mit schriftlicher Genehmigung der Kaspersky Labs GmbH. Namentlich gekennzeichnete Beiträge geben nicht unbedingt die Meinung der Redaktion oder der Kaspersky Labs GmbH wieder. Alle Markennamen sind in der Regel eingetragene Warenzeichen der entsprechenden Hersteller oder Organisationen.