Ransomware: Angriffswelle mit Locky & Co im November 2016

Publiziert am 16. Dezember 2016 von Günter Born

Letzten Monat hatte ich ja einige Male über Ransomware-Angriffe berichtet. Aber wie stark ist die Bedrohung, und welche Trends gibt es? Hier ein paar Daten.

Anzeige

Bei heise.de kann man aktuell den Beitrag "Statistisch gesehen": Verschlüsselungstrojaner – ein Millionengeschäft einsehen, der nahelegt, dass die Cyber-Kriminellen mit Ransomware Geld einnehmen. Unabhängig davon werten Sicherheitsanbieter weltweit die Bedrohungen durch Cyber-Kriminalität aus.

Der israelische Cybersicherheitsanbieter Check Point beobachtet den Markt für Schadsoftware, um seinen Schutzlösungen für Firmen die Abwehr von Angriffen zu ermöglichen. Ich bekomme von Check Point daher immer wieder eine Zusammenfassung der Bedrohungsszenarien der näheren Vergangenheit.

Globales Wachstum der Ransomware-Angriffe

Check Point stellt (im November 2016) ein globales Wachstum der Ransomware-Angriffe mit den bekannten Schädlingen Locky und Cryptowall um jeweils 10 Prozent fest. Dies zeigt die monatliche Analyse des Global Threat Index, ein Ranking der wichtigsten aktiven Malware-Familien.

Zudem finden sich in der Top-10 für Deutschland zwei neue Schädlinge. Die Forscher sehen eine besonders hohe Aktivität des Botnetzes Kelihios und der Malware Adwind:

  • Kelihos (auch unter dem Namen Hlux bekannt) ist ein Peer-to-Peer Botnetzwerk, dass hauptsächlich zum Diebstahl und Mining von Bitcoins genutzt wird. Zusätzlich dient es zum Versand von Spam-E-Mails. Das Botnet ist zudem in der Lage mit anderen PCs zu kommunizieren, sensible Informationen abzufangen und weiteren Schadcode in Systeme einzuschleusen. Neuere Versionen verbreiten sich via Social Media, insbesondere Facebook.
  • Adwind öffnet Backdoors in Java (runtime)-Umgebungen Der Schädling sendet Informationen über das Zielsystem aus und führt Aktionen von Angreifern per Fernzugriff aus. Diese können dann URLs aufrufen, Systemnachrichten aussenden, Malware herunterladen / aktvieren und weitere Aktionen triggern. Besonders gefährlich sind einschleusbare Plugins, die das Potenzial der Malware deutlich erweitern können. Die Fernsteuerung von Geräten und die Ausführung von Shell Command sind möglich.

Beide Schädlinge habe ich hier im Blog bisher nicht thematisiert – die Information ist also neu.

Zunahme der Angriffe mit Locky

Besorgniserregend ist, laut Check Point, auch die erneute Zunahme der Angriffe mit Locky, da hier bereits im Oktober 2016 ein zweistelliges Wachstum verbucht wurde. Dies deutet daraufhin, dass die Attacken immer noch sehr lukrativ sind und viele Opfer das Lösegeld bezahlen.

Mobile Malware

Im Bereich mobile Malware bleibt die Gefahr durch HummingBad weiter bestehen. Zum achten Mal in Folge ist auch diesen Monat keine Malware für mehr Infektionen von Mobilgeräten verantwortlich.

Eine kommende Bedrohung geht vom Ramnit Banking Trojaner aus, der zum ersten Mal unter den 10 größten Malwarefamilien auftaucht. Im November 2016 waren vor allem Indien, Türkei, Indonesien, Brasilien und die USA betroffen. Die Schadsoftware stiehlt Zugangsdaten, FTP-Passwörter, Session Cookies und persönliche Daten, um Zugang zu Bankkonten der Opfer zu bekommen. Es ist noch nicht sicher, ob die Angriffe auch auf Deutschland übergreifen.

Anzeige

Opfer offenbar zahlungswillig

Nathan Shuchami, Head of Threat Prevention bei Check Point, erläutert: „Ransomware findet immer noch zu leicht zahlungswillig Opfer – daher steigt die Zahl der Attacken. Es ist zu einfach hohe Profite abzuschöpfen. Organisationen kämpfen aktuell gegen die Bedrohung durch solche Cyberattacken. Vielen fehlt es an den technischen Mitteln und einige haben nicht das nötige Personal. Der Mangel an Know-How ist ein Türöffner für Kriminelle."

Lösungen für Unternehmen

Shuchami rät Unternehmen fortschrittliche Threat Prevention Mechanismen für Netzwerke, Endpunkte und mobile Geräte einzusetzen, um Infektionen schon frühzeitig zu erkennen und Angriffe abzuwehren.  Lösungen wie SandBlast™ Zero-Day Protection, Threat Extraction und Mobile Threat Prevention von Check Point bieten einen mehrschichtigen Schutz vor Attacken.

Check Points Bedrohungsindex basiert auf der Threat Intelligence, die der Anbieter aus seiner ThreatCloud World Cyber Threat Map zieht. Hier werden weltweite Cyberangriffe in Echtzeit aufgezeigt. Die Threat Map wird von Check Point's ThreatCloudTM Intelligence betrieben, das größte kollaborative Netzwerk im Kampf gegen Cybercrime. Die ThreatCloud-Datenbank enthält über 250 Millionen auf Bot untersuchte Adressen, über 11 Millionen Malware-Signaturen und mehr als 5,5 Millionen infizierte Webseiten. Darüber hinaus identifiziert sie täglich Millionen Malware-Typen. Weitere Informationen zu Check Points Threat Prevention-Forschungen finden Sie hier.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.