IT-Security

Die gefährlichste Malware 2015

Angler Exploit Kit

Exploit Kits gelangen über schadhafte Websites in das Netzwerk. Sie suchen nach Schwachstellen auf Webservern und nutzen diese zur Platzierung von Ransomware. Im Dezember letzten Jahres richteten die Check Point-Experten die IPS-Protection gegen das Angler Exploit Kit aus. Nur zwei Tage, nachdem die Schutzmaßnahmen fertig waren, beobachtete das Unternehmen schwere Angriffe auf einige seiner Managed-Service-Kunden, unter anderem eine führende Bank und ein Krankenhaus in den USA. Die Attacken waren über deren IPS-Blade aufgezeichnet worden. Problematisch ist hierbei, dass Exploit Kits ihre Landing Page häufig wechseln, um IPS-Detection zu vermeiden. Es ist durch die Untersuchung großer Datensätze aber gelungen, einige dieser URLs ausfindig zu machen.

Exploit Kits wie "Angler" spähen Webserver gezielt nach Verwundbarkeiten aus.
Exploit Kits wie "Angler" spähen Webserver gezielt nach Verwundbarkeiten aus.
Foto: Check Point Software 2015

Volatile Cedar

Volatile Cedar (explosive Zeder) ist wahrscheinlich eine im Libanon verwurzelte Hacker-Gruppe. Als Hintergrund ihres Handels können politische Gründe angenommen werden. Bereits seit 2012 attackiert die Malware-Kampagne Einzelpersonen, Unternehmen und Institute weltweit. Unter den Opfern sind Rüstungskonzerne, Telekommunikations- und Medienunternehmen sowie Bildungseinrichtungen. Besonders häufig verwendet Volatile Cedar einen Remote Access Trojaner namens Explosive. Das Hauptziel dieser Malware ist, sensible Informationen zu sammeln und Cyberspionage zu betreiben. Zusätzlich wurden eine File-Deletion-Funktion und ein Arbitrary Code Execution eingebaut.

AAEH/Beebone

Es handelt sich hierbei um Schadsoftware, die weitere Malware nachlädt. Darunter befinden sich unter anderem Password Stealers, Rootkits, gefälschte Antivirus-Programme und Ransomware. AAEH wird unter anderem über Netzwerke, bewegliche Datenträger oder .zip- und .rar-Dateien verbreitet. Die Schadsoftware ändert ihre Form, sobald sie einmal installiert wurde und verteilt sich mit großer Geschwindigkeit über das gesamte System. Sie stiehlt Zugangsdaten für Online-Services wie Bank-Accounts und erpressen mit Datenverschlüsselung Geld von den Betroffenen.

Wandlungsfähig wie ein Chamäleon: AAEH/Beebone.
Wandlungsfähig wie ein Chamäleon: AAEH/Beebone.
Foto: www.shutterstock.com - Andrew M. Allport

AAEH/Beebone wurde Anfang April 2015 in einer gemeinsamen Operation von Europol, den holländischen Behörden und dem FBI stillgelegt. Nach wie vor können die von Beebone infizierten Systeme Antivirus-Programme außer Kraft setzen, indem sie die Verbindung zu den IP-Adressen der Hersteller unterbrechen. Deswegen empfiehlt es sich, die infizierten Maschinen aus dem Netzwerk und die Infektion zu entfernen. Auf Shadowserver sind verschiedene Reparations-Tools erhältlich.

Simda

Das Simda Botnet ist ein Netzwerk von infizierten Computern. Malware aus diesem Botnet verbreitet sich selbstständig. Bereits 770.000 Geräte wurden weltweit angegriffen. Allein im Januar und Februar 2015 wurden 90.000 neue Beeinträchtigungen festgestellt - und das nur in den USA. Seit 2009 attackieren Cyber-Kriminelle einzelne Geräte mit Schwachstellen und infizieren sie mit der Simda-Malware. Diese leitet Benutzer auf schädliche Websites weiter und lädt zusätzliche Malware herunter.

Die Hacker steuern das kompromittierte System von außen und führen weitere Attacken aus oder verkaufen die Steuerung an andere Cyber-Kriminelle. Die Zugänge zur Systemsteuerung verändern sich stündlich. Sie sind somit für Anti-Viren-Programme schwer aufzuspüren und können frei im gehackten Netzwerk agieren. Einen kleinen Fortschritt gibt es jedoch: Im vergangenen April wurden in einer weltweiten Aktion zehn Kontrollserver in den Niederlanden stillgelegt. Weitere Erfolge wurden in den USA, Russland, Luxemburg und Polen erzielt.