Der Security Threat Report 2013 von Sophos beleuchtet die aktuellen und zukünftigen Sicherheitsrisiken in den IT-Abteilungen von Unternehmen. Zusammengetragen werden die Ergebnisse im Jahres-Rhythmus von den SophosLabs, die sich mit der Analyse und der Suche von neuen Security-Bedrohungen beschäftigen.
Die Malware-Autoren übertrafen sich im letzten Jahr selbst, indem sie neue Geschäftsmodelle und Software-Muster für noch gefährlichere und ausdauernde Angriffe entwickelten. So kündigten beispielsweise die Entwickler des Malware-Toolkits Blackhole eine neue und noch effektivere Version an. Zu den "privaten" Cyberkriminellen gesellten sich allem Anschein nach vermehrt auch staatliche Beteiligte, die hoch entwickelte Angriffe gegen strategische Ziele organisierten.
Zwischen Oktober 2011 und März 2012 stammten fast 30 Prozent der von den SophosLabs erkannten Bedrohungen entweder direkt von Blackhole oder waren Redirects von veränderten Blackhole-Webseiten, die zuvor seriösen Inhalt hatten. Blackhole ist besonders erfolgreich und gleichzeitig nutzen die Angreifer es als eine Art von Geschäftsmodell, das einem cloudbasierten Softwareangebote nahe kommt. Auffallend ist, dass die Entwickler die wochenabhängigen Mietkosten zusammen mit den Zusatzgebühren für die Domain-Dienstleistungen in einer Read-Me-Datei angeben, die zusammen mit dem Kit ausgeliefert wird. Vergleichbar mit normalen Anbietern von Geschäft-Software sind auch bei Blackhole die Update-Kosten für die Dauer des Abonnements inkludiert.
Gefährliche Java-Schwachstellen
Die normalen Hacker fuhren hingegen fort, Tausende, schlecht konfigurierte Webseiten und Datenbanken anzugreifen, um an Passwörter zu gelangen und Malware in Umlauf zu bringen. Dabei sollten Passwortschwächen die absolute Ausnahme sein. Denn zum Erstellen, Verwenden und Speichern sicherer Passwörter existieren einfache Regeln, die Einzelpersonen und Unternehmen gleichermaßen schützen können. 2012 mussten die Security-Experten jedoch einen Passwort-Hack nach dem anderen beobachten, darunter immer wieder bekannte Großkonzerne.
So war für Java 2012 browsertechnisch kein einfaches Jahr. Java-Browser-Plugins wurden immer wieder von Schwachstellen geplagt, so dass Unternehmen mehr und mehr dazu übergehen, im Browser möglichst ganz auf Java zu verzichten. Java ist allerdings nicht die einzige Plugin-Plattform, die in puncto IT-Sicherheit Kopfzerbrechen bereitet. Auch Adobe Flash wurde in den letzten Jahren verstärkt von Exploits heimgesucht. Glücklicherweise werden Browser-Plugins wie Flash immer seltener benötigt.
Gleichzeitig bahnte sich eine neue Malware-Generation ihren Weg und konfrontierte Opfer mit überraschenden Zahlungsaufforderungen. Die Ursache hierfür sind Social Engineering-Attacken wie Fake Anti-Virus oder Ransomware.
Aktuelle Ransomware bedient sich modernerer Methoden. Dazu gehören vor allem mit Social Engineering manipulierte E-Mails und kompromittierte Webseiten. Eine Variante der Ransomware friert "lediglich" Ihren PC ein und stellt dann Geldforderungen.
Ihre Dateien bleiben in diesem Fall intakt. Diese Infektionen sind zwar störend, können jedoch im Normalfall schnell behoben werden. Die zweite und aggressivere Ransomware-Art sorgt für absolutes Chaos auf Ihrem Rechner. Die Folgen sind ebenso katastrophal wie der Verlust des Laptops oder ein kompletter Festplattenausfall.
Android-Plattform als neues Hackerziel
Allein im 2. Quartal 2012 wurden 100 Milionen Android-Telefone ausgeliefert. Und eine in den USA im September 2012 durchgeführte Umfrage ermittelte einen Android-Marktanteil von 52,2 Prozent. Angriffsziele solcher Größenordnung sind für Malware-Entwickler einfach unwiderstehlich.so nehmen Angriffe auf Android rasend schnell zu.
Heutzutage besteht das beliebteste Geschäftsmodell für Android-Malware-Attacken darin, gefälschte Apps zu installieren, die heimlich teure Nachrichten an Premium-SMS-Dienste senden. Weitere Malware-Highlights sind Fake-Versionen von Angry Birds Space oder Instagram sowie gefälschte Virenschutzsoftware für Android.
Foto: Sophos
Momentan ist eine einzige Android-Malwarefamilie namens Andr/Boxer für knapp ein Drittel aller von den Experten beobachteten Android-Malware-Samples verantwortlich. Andr/ Boxer ist an .ru-Domains mit Host in der Ukraine gekoppelt und verbreitet wahllos russische Meldungen.
In den meisten Unternehmensumgebungen sind die von Android ausgehenden Gefahren für die IT-Sicherheit noch vergleichsweise gering. Das Risiko steigt jedoch. Google hat seine Plattform mittlerweile zwar gegen offensichtliche Bedrohungen gesichert, aber ständig tauchen neue Angriffe auf. Einige Sicherheitsexperten befürchten zum Beispiel eine starke Zunahme des Gefahrenpotenzials durch Near Field Communication (NFC). Dank dieser Technik sollen Android- Geräte in Zukunft wie Kreditkarten funktionieren.
Neue Gefahrenquellen: OS X und Mac
2012 ging eine schier unendliche Schädlingsflut auf die Mac-Community nieder, hinter der die Malware-Familie MacDefender steckte. Diese Malware war die erste bedeutende Fake-Anti-Virus Attacke auf den Mac. Sie wurde über kompromittierte, legitime Seiten in Umlauf gebracht.
Im Frühjahr 2012 gelang es den Entwicklern des Flashback Botnets (OSX/Flshplyr) mit einer Mischung aus altbekannten MacDefender-Tricks und trickreichen, selbst entwickelten Verfahren, über 600.000 Macs zu infizieren. Zwar konnten sowohl MacDefender als auch Flashback in ihre Schranken verwiesen werden. Die Beispiele zeigen jedoch, dass die Mac-Malware zunehmend an Schlagkraft gewinnt.
Foto: Sophos
Bei der meisten auf Macs gefundenen Malware handelt es sich um Windows-Malware. In der Vergangenheit haben Mac-User diesem Umstand wenig Beachtung geschenkt, da sie davon ausgingen, dass diese Malware ihrem System nichts anhaben kann. Dabei vergessen sie aber schlicht, dass sie durchaus Windows-Computer gefährden können. Dieses Bewusstsein ist bei IT-Administratoren, die Umgebungen mit zahlreichen unterschiedlichen Plattformen verwalten, ganz anders ausgeprägt. Darüber hinaus können Windows-Partitionen von Dual-Boot-Macs sowie virtualisierte Windows-Sitzungen, die unter Parallels, VMware, VirtualBox oder dem Open Source-Programm WINE ausgeführt werden, sehr wohl infiziert werden.
Ausblick auf die IT-Security 2013
Laut Sophos werden zukünftig traditionelle Sicherheitslösungen mit nur einer Sicherheitsebne von Cyberkriminellen leicht überwunden. Da diese Angriffe den Benutzern oft als Business-Modelle mit Geld-zurück-Garantie verkauft werden, gehen die Experten davon aus, das diese 2013 weiter anwachsen werden und langfristige Attacken auf Unternehmen mit entsprechend mehr Schaden auf der Tagesordnung stehen. Als Reaktion hierauf werden bei den Herstellern von Security-Lösungen mehrschichtige Sicherheits- und Erkennungsmechanismen im nächsten Jahr wieder verstärkt in den Mittelpunkt rücken.
Im Folgenden haben wir die wichtigsten Trends die Sophos 2013 prognostiziert zusammengefasst:
Zunahmen von Webserver-Fehlern: 2012 wurde einen Anstieg von SQL Injection-Hacks bei Webservern und Datenbanken festgestellt. Die Folge waren Millionen gestohlene Benutzernamen und Passwörter. Solche Attacken auf Anmeldeinformationen werden weiter zunehmen.
Anstieg irreversibler Malware: 2012 wurde ein starker Anstieg in der Beliebtheit und Qualität von Ransomware-Malware beobachten, die Daten verschlüsselt und ein Lösegeld zur Freischaltung fordert. Die Verfügbarkeit von Public Key-Kryptographie inklusive raffinierter Steuerungs- und Befehlsmechanismen gestaltet eine Schadensbehebung äußerst schwierig und ist in vielen Fällen ganz unmöglich. Im Laufe des kommenden Jahres erwarten die Sicherheitsexperten mehr solcher Angriffe. Die IT-Abteilungen sollten ihren Fokus daher zunehmend auf Verhaltensschutzmechanismen sowie Systemhärtung und Backup-/Wiederherstellungsvorgänge verlagern.
Angriffs-Toolkits: In den letzten Monaten haben Cyberkriminelle verstärkt in Toolkits wie Blackhole investiert. Solche Tools verfügen über Funktionen wie skriptfähige Webdienste, APIs, Plattformen zur Qualitätssicherung der Malware, antiforensische Features, intelligente Reportservices und Selbstschutzeinrichtungen. Im kommenden Jahr werden diese Kits wahrscheinlich noch ausgereifter und sind dann mit zahlreichen neuen Funktionen ausgestattet.
Vom Schwachstellen-Exploit zu Social Engineering-Attacken: Auch wenn die Schwachstellenanzahl 2012 in Java-Plugins angestiegen ist, wird die Ausnutzung diese Sicherheitslecks zunehmend schwieriger, da Betriebssysteme immer sicherer werden. Die Einführung von DEP, ASLR, Sandboxing, beschränkten Mobilplattformen sowie neue, vertrauenswürdige Boot-Mechanismen macht die Ausnutzung von Sicherheitslücken immer anspruchsvoller. Auch wenn die Experten nicht davon ausgehen, dass diese Exploits völlig von der Bildfläche verschwinden, wird es einen erheblichen Rückgang geben. Dieser könnte aber von einem starken Anstieg im Bereich Social Engineering-Attacken über verschiedenste Plattformen hinweg mehr als ausgeglichen werden.
Integration, Datenschutz und Herausforderungen bei der Sicherheit: Mobilgeräte und Anwendungen wie Social Media Apps sind nicht mehr aus dem Alltag wegzudenken. Die Kombination dieser Plattformen und Services mit neuen Technologien wie zum Beispiel Near Field Communication oder GPS eröffnete Cyberkriminellen neue Möglichkeiten für Angriffe auf unsere Sicherheit und Privatsphäre. Dieser Trend lässt sich nicht nur auf Mobilgeräten, sondern auf Computern allgemein beobachten.
Fazit
Nach Meinung von Experten beschränkt sich die IT-Security nicht nur auf Microsoft-Produkte sondern ist vielschichtiger. Dabei bleibt der PC die Nummer eins als Ziel für Malware-Angriffe. Allerdings nutzen Kriminelle längst brauchbare und effektive Fake Anti-Virus-Attacken für Macs.
In den Focus der Malware-Designer rücken mehr und mehr Mobilgeräte. Sie verfügen über noch "neue" und noch relativ unbekannte Betriebssysteme, die dadurch besonders von Kriminellen angreifbar sind. Darüber hinaus besitzen die Geräte unterschiedliche Sicherheitskonzepte, die Angreifer ausnutzen, um an die sensiblen geräteinternen Informationen des Benutzers zu gelangen. Ein weiteres Risiko für die Gerätebesitzer ist es zudem, dass die Entwickler von Sicherheitssoftware es besonders schwer haben, für diese Systeme entsprechende Abwehrprogramme zeitnah zu entwickeln.
Den gesamten Sophos Security Threat Report 2013 können Sie auf der Sophos-Webseite downloaden. (hal)