:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ad/0d/ad0d263e64f9b554d2729072a61ba429/0110347950.jpeg "Angreifer nutzen Fehlkonfigurationen, schwache Kennwörter, Fehler und andere Schwachstellen aus, um ihnen den Zugriff auf geschützte Assets zu ermöglichen. (Bild: NicoElNino - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/4e/f64e844d9677a0ce82d3d48b1008e10c/0110331365.jpeg "Microsoft bringt zum Patchday im März 2023 74 Updates. Sechs der Schwachstellen sind als kritisch eingestuft! Besonders betroffen sind Windows und Office, mit existierenden Exploits und öffentlich bekannten Lücken. (Logo:Microsoft)")
:quality(80)/p7i.vogel.de/wcms/d7/a7/d7a74fc125765e3aaa4a1cd46952f036/0109587894.jpeg "Checkmarx Supply Chain Threat Intelligence kombiniert Threat Intelligence mit Machine Learning, Retro Hunting und Cross-Language Hunting. (Bild: Checkmarx)")
:quality(80)/p7i.vogel.de/wcms/d6/32/d63226d47fb28c9e31bd3b019621723f/0110317549.jpeg "Mit dem Aufkommen des vernetzten Internet of Medical Things (IoMT) nehmen auch Cyberbedrohungen zu (© MQ-Illustrations - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/99/0f998fe4c793c2a3004a18956f25511c/0110347017.jpeg "„Eine KI ist in erster Linie ein Werkzeug, welches weder „gut“ noch „böse“ ist. Gut oder böse wird ein Werkzeug erst durch seine Anwender und den Zweck, zu dem sie es einsetzen.“, sagt Tim Berghoff, Security Evangelist bei G DATA CyberDefense. (Bild: Supatman - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/83/cb/83cbc8b48e4cbb70cf7ec5bd5880d9cc/0110309438.jpeg "Mit einem Zero-Trust-Konzept, einem intensiven Monitoring aller Datenströme und einer Single Sign-On (SSO)-Authentifizierungsmethode lassen sich die neuen Anforderungen der Arbeitswelt mit denen der IT-Security in Einklang bringen. (Bild: peshkov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7e/67/7e67a44843941beee4d1a47ad333a80b/0109769083.jpeg "Im Projekt entwickeln die Forscher Technologien zur drahtlosen Quantenkommunikation zwischen mehreren Geräten innerhalb eines Raumes. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/cc/4cccb0da2d73a5ae0728d58e59140aaf/0110379345.jpeg "Native Cloud-Technologien ermöglichen es Unternehmen, die Flexibilität zu nutzen, die erforderlich ist, um in der aktuellen Wettbewerbslandschaft mithalten und neue Geschäftsmodelle entwickeln zu können. (Bild: kanpisut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5c/9e/5c9ee5f6c2154429c4adebfebd62c98b/0110293361.jpeg "Um Angriffe auf die Software-Supply-Chain und Cloud-Native-Infrastrukturen zu verhindern, brauchen Unternehmen den richtigen Sicherheitsansatz, basierend auf Best-Practice-Methoden. (Bild: thodonal - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/94/29/942929c3785964880e17ce7285b47044/0109553991.jpeg "Auch wenn der Quellcode für die ganze Welt offen ist, ist Open-Source-Code nicht frei von Nutzungsbeschränkungen. (Bild: © – cacaroot – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e0/8be0b0e53654d7be413a4b4759cdc68d/0110330903.jpeg "Multi-Faktor-Authentifizierung trägt definitiv zur Sicherheit in Unternehmen bei und erschwert Phishing-Angriffe. Aber nur wenn auch die MFA-Lösung selbst Phishing-sicher ist, bietet sie nachhaltig Sicherheit. (Bild: Anya - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/cf/fc/cffcdb017034d5478cacf1bcb30a7665/0109349789.jpeg "Um die Sicherheit von Daten und Systemen zu erhöhen und das Risiko von Angriffen oder Datenverlust zu reduzieren sollten Berechtigungen auf das absolut notwendige Minimum beschränkt werden. (Bild: frei lizenziert Fernando Arcos - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/2a/52/2a5232e8e490e419cef61ed451773e7d/0110347855.jpeg "Der Cyber Resilience Act führt Regeln zum Schutz digitaler Produkte ein, die von keinen früheren Regelungen erfasst wurden. Security-by-Design wird dabei zum neuen Standard und erweitert somit auch das Verständnis von kritischer Infrastruktur. (Bild: artjazz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/26/49/26492b67229c580696cf2eaa9995ddc3/0110317608.jpeg "Eine umfassende IT-Abwehr können KMU aufgrund geringer Personalressourcen oft nicht leisten. (Bild: Gunnar Assmy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/48/084856af2569f600d6a8ddc908e286b4/0110345761.jpeg "„Unternehmen, die in ihre Mitarbeiter investieren, haben immer die Nase vorn, besonders in schwierigen Zeiten.“ sagt Erik Gaston, VP Global Executive Engagement bei Tanium. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Schattenwirtschaft Malware-Entwicklung als Service
Cybercrime ist ein Wachstumsmarkt. Doch die meisten Vorfälle sind nicht auf Hacking-Spezialisten zurückzuführen. Im Bereich der Schattenwirtschaft tummeln sich immer mehr Laien, die sich das schnelle Geld erhoffen. Dieser Beitrag bietet einen Vorgeschmack auf F-Secures Vortrag im Rahmen der IT-SECURITY MANAGEMENT & TECHNOLOGY Conference 2015.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107800/107800/65.jpg "SonicWall_Registered-2C.JPG ()")
:fill(fff,0)/p7i.vogel.de/companies/60/50/60506ac0f0156/cohesity-2-color-black-logo.png "Cohesity_2_Color_Black_Logo.png (Cohesity)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/62/53/6253dca7c4ba3/square-keeper-coin-color-2x.jpeg "square-keeper-coin-color-2x (https://www.keepersecurity.com/de_DE/)")
Wenn es nach dem Threat Report von F-Secure geht, dann zeigte sich das Jahr 2014 wahrhaft erpresserisch: Wir verzeichneten einen Anstieg der Online-Attacken mit Ransomware, bei denen es nur darum ging, die Daten der potenziellen Opfer zu verschlüsseln und ein Lösegeld zu erpressen.
Für Endbenutzer ist Ransomware heute die bekannteste Art der digitalen Bedrohung. Und durch virtuelle Währungen wie etwa Bitcoin wird es immer einfacher für Kriminelle, an die Ransomware zu gelangen und es auf ihre Opfer anzuwenden, was die Sache für sie profitabler und nützlicher macht.
In diesem Zusammenhang macht seit Kurzem auch der Ransom Trojaner CTB-Locker von sich reden. Dieser Trojaner ist zum einen deswegen so heimtückisch, weil er für jedes Opfer seinen Hash-Wert neu generiert und damit signaturbasierte Virenscanner keine Chancen gibt, ihn zu erkennen. Zum anderen aber weil es bislang gibt es keine Möglichkeit, die Verschlüsselung von CTB-Locker aufzuheben.
Das „C“ in CTB steht für „Curve“ und ist die persistente Kryptographie auf Basis elliptischer Kurven, die die betroffenen Dateien mit einem einzigartigen RSA-Schlüssel verschlüsselt. Deswegen steht der Schadcode bei Cyber-Kriminellen auch so hoch im Kurs.
Wenn Laien mit Erfolgen prahlen
Der User redditCTB stellte sich im Februar 2015 einem „Ask me anyhing“ auf Reddit und behauptete, dass er mit CTB-Locker innerhalb weniger Wochen bis zu 300.000 US-Dollar machen konnte – ohne großes Risiko erwischt zu werden. Warum? Er habe das Lösegeld so gering gewählt, dass die Opfer bereit waren, zu bezahlen. Der finanzielle Schaden jedes Einzelnen ist überschaubar gewesen, wirklich hinterfragt wurde die Aktion nicht.
Dass redditCTB offensichtlich nicht der eigentliche Entwickler von CTB-Locker war, stellte sich während der Fragerunde schnell heraus. Er ist nichts anderes als ein Kunde, der den Trojaner sowie ein Exploit Kit gekauft hat. Bei den Entwicklern handelt es sich um eine russische Gang, die den Trojaner vertrieben hatte. Warum treten die Entwickler mit einem Affiliate-Programm auf? Weil sie das entsprechende Know-How haben und fast keine Gesetze brechen.
Mit der Entwicklung und dem Vertrieb einer Malware macht man sich – zumindest in Russland – nur unwesentlich strafbar. Wer den Trojaner entwickelt, infiziert damit zunächst einmal keine Rechner, verschlüsselt keine Daten und verlangt auch kein Lösegeld. Er verkauft das Produkt lediglich an Menschen, die das eigentliche Verbrechen begehen.
So distanzieren sich die Entwickler von der eigentlichen Cyber-Kriminalität. Dieses Affiliate-Modell ist aber bekanntlich nicht neu. Ein Trojaner, der genauso wie CTB-Locker aus Russland kommt und auf die gleiche Weise vertrieben wird, ist der Banking-Trojaner Zeus. Das gleiche gilt im Übrigen für viele Exploit Kits.
Die Geschäftsmodelle im Allgemeinen
Die Entwicklungen der Payloads der vergangenen Jahre zeigen, dass Malware, die Daten mutwillig zerstört, äußerst selten geworden ist. Die reine Zerstörung von Daten bedeutet nämlich keinen greifbaren Gewinn für den Angreifer.
Kommt es zu einem malwarebedingten Datenverlust oder zum Anzeigen von Meldungen, so ist die Infektion außerdem einfach zu erkennen. Entfernt das Opfer die Malware, können von diesem Computer keine weiteren Infektionen ausgehen – ein nicht wünschenswerter Zustand für den Angreifer.
Keines der Top-Schadprogramme hat ab dem Jahr 2004 noch das Ziel der Datenzerstörung verfolgt. Vielmehr tauchte hier erstmals Malware zum Zwecke des Datendiebstahls auf. Angreifer versuchen nun, mit Hilfe von Malware an jede Art von Daten zu gelangen, die für sie selbst oder Dritte einen Wert darstellen könnten. Diese Daten lassen sich auf mehreren Wegen zu Geld machen.
Profitorientierten Malware-Autoren ist es möglich, flexibler zu reagieren. Mit dem dadurch verdienten Geld können sie weitere legale und illegale Dienstleistungen in Anspruch nehmen, um ihr Geschäftsmodell weiter voran zu treiben. Für einen Malware-Autoren, der es nicht auf das Anbieten eines Affiliate-Modells abgesehen hat, ist dies nur durch das Akzeptieren von Verlusten möglich, da kein Einkommen durch die Malware zu erwarten ist.
Das Tor zur illegalen Handelsplattform
Für die Bezahlung der illegalen Waren oder der zugekauften Malware verwenden die Akteure verschiedene online verfügbare Bezahlsysteme. Da die Parteien möglichst anonym bleiben möchten, werden natürlich Zahlungsmöglichkeiten bevorzugt, welche ohne Identitätsprüfung verwendet werden können.
Im Falle des CTB-Lockers, wobei das „B“ darin für Bitcoin steht und „T“ für Tor, sagt auch schon aus, in welcher Währung und über welchen Kanal gezahlt werden kann. Die Abwicklung der Transaktion erfolgt deswegen meistens über das Tor-Netzwerk, da die User nur sehr schwer zurückverfolgt werden kann und es somit eine gewisse Anonymität bietet.
Angreifer würden alles attackieren, wenn es sich lohnt
In einer Welt, in der Alltagsgeräte wie Toaster, Waschmaschinen oder Autos untereinander vernetzt sind, ergeben sich erstaunliche Möglichkeiten. Aber ein „intelligentes“ Gerät bedeutet nur ein weiteres Gerät, das für unlautere Zwecke ausgenutzt werden kann.
Doch wieso sollte ein Angreifer smarte Autos oder smarte Uhren ins Visier nehmen? Hauptsächlich geht es wie immer um den finanziellen Profit. Angreifer könnten die Elektronik im Auto blockieren, die Insassen darin einsperren und erst wieder freigeben, wenn diese ein Lösegeld bezahlt haben.
Dieses Beispiel klingt vielleicht noch nach Science Fiction, ist aber gar nicht mal so unrealistisch. Ein solcher Fall könnte wohlmöglich in der nahen Zukunft bald eintreffen – auf Basis eines Affiliate Modells. Angreifer würden auch intelligente Toaster oder Kühlschränke angreifen, wenn sie finanziell davon profitieren würden.
Dem Angreifer nicht die Breitseite zeigen
Ein immer wichtigerer Teil der Internet-Sicherheit ist es, die Motive der Angreifer zu verstehen. So wird ersichtlich, warum bestimmte Angreifer bestimmte Kombinationen von Malware und Taktiken verwenden. Man wird sich nur schwer verteidigen können, wenn nicht klar ist, wer die Angreifer sind.
Die Zuordnung von Attributen zu den Angreifern ist eines der wichtigsten Dinge, damit Unternehmen sich schützen und die Angriffsfläche gering halten können. Die schlechte Nachricht ist: Wenn ein Hacker sich Zugang zu einen Firmennetz oder den heimischen Computer verschaffen will, dann wird er das auch erreichen. Es ist nur eine Frage des Aufwands.
Die gute Nachricht ist aber: Viele Angriffe erfolgen genau nach dem erwähnten Schema. Cyber-Kriminelle kaufen sich Trojaner sowie Exploit Kits und wenden es großflächig an – in der Hoffnung, dass möglichst viele Computer verschlüsselt werden und ein paar Opfer das Lösegeld zahlen. Und wie der Fall des Users redditCTB gezeigt hat, waren es immerhin fünf bis sieben Prozent, die Tribut entrichteten. Ein Geschäft, das sich für redditCTB ausgezahlt hat.
* Rüdiger Trost ist Sicherheitsexperte von F-Secure.
(ID:43349512)
:quality(80)/images.vogel.de/vogelonline/bdb/1935900/1935901/original.jpg "Wir ziehen Bilanz von REvil, einer der bis zu ihrer Zerschlagung erfolgreichsten Ransomware-as-a-Service-Kampagnen. (Gorodenkoff - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1923600/1923698/original.jpg "Berichte von IT-Sicherheitsbehörden wie ENISA liefern Beispiele für schwerwiegende Security-Vorfälle und Bedrohungen, die in Kundengesprächen den Security-Bedarf unterstreichen können. (Thomas - stock.adobe.com)")