Was Sicherheitsexperten derzeit den Schlaf raubt

Die EM geht in die heisse Phase. Die Entscheidung steht bevor. Der Stürmer schiesst. Der Ball fliegt. Der Goalie hechtet. Und dann ist das Bild weg. Ersetzt durch einen Sperrbildschirm, der ein Lösegeld fordert. Dabei handelt es sich leider nicht mehr um einen hypothetischen Fall.

Dahinter steckt die Ransomware Flocker, die bisher ihr Unwesen lediglich auf Desktop-PCs und mobilen Geräten trieb. Nun schaffte eine der 7000 Varianten von Flocker den Sprung auf Smart TVs, wie die Sicherheitsexperten von Trend Micro mitteilen.

Das Schadprogramm hat es ausschliesslich auf Geräte mit dem Betriebssystem Android TV abgesehen. Einmal im Gerät eingenistet, verschlüsselt Flocker die Daten und zeigt nur einen Sperrbildschirm und fordert 200 US-Dollar – in Form von iTunes-Gutscheinen.

Auf dem Sperrbild gibt sich die Ransomware als US-Cyber-Polizei oder eine vergleichbare Instanz aus. Flocker komme vermutlich über bösartige Links auf die Smart TVs, heisst es in der Mitteilung.

Interessanterweise überprüft die Ransomware zunächst, ob der befallene Fernseher in einem der folgenden Länder steht: Armenien, Aserbaidschan, Bulgarien, Georgien, Kasachstan, Russland, Ukraine, Ungarn oder Weissrussland. Die Fernseher in diesen Ländern verschont Flocker.

Adware arbeitet mit VW-Tricks

Fortinet hat derweil auf Smartphones herumgefischt. Sie warfen einen genaueren Blick auf die Feiwo-Adware. Die Adware-Familie sei nicht neu, schreibt das Unternehmen. Der untersuchte Stamm sei aber bislang noch unentdeckt gewesen.

Mit Adware werden in der Regel unerwünschte Applikationen klassifiziert, die das Endgerät mit aggressiver Werbung zumüllen. Feiwo ist gemäss der Mitteilung aber besonders gewieft und fies. So sendet die Malware etwa auch die Telefonnummer und Informationen zu den installierten Apps an Remote Server.

Feiwo versteckt zudem seine Spuren – ähnlich wie auch VW dies tat. Die Adware erkennt, ob sie in einer Testumgebung läuft oder auf einem echten Smartphone. Das tut sie, indem sie die IMEI-Seriennummer, die International Mobile Equipment Identity, prüft. Ist diese gefälscht, verursacht die Adware keinen verdächtigen Traffic.

Security hinkt in EMEA-Region hinterher

Im globalen Schnitt dauert es 146 Tage, bis Unternehmen merken, dass ein Hacker in ihr System eingedrungen ist. Es sei denn, das Unternehmen sitzt in der Region EMEA. Hier liegt der Mittelwert mehr als drei Mal höher: 469 Tage. Zum Vergleich: Der Ruag-Hack blieb weit über 400 Tage unentdeckt.

Die Durchschnittswerte kommen aus einer Studie von Mandiant, einem Unternehmen von Fireeye. Gemäss Mandiants M-Trends Report 2016 mangelt es den Unternehmen in der Region an Reife, wenn es um Security-Themen geht. Die meisten würden sich lediglich auf Antiviren-Tools verlassen.

Während die Unternehmen aber auf ihrer bestehenden Abwehr hocken, entwickeln sich die Angreifer weiter. Wie es im Bericht heisst, verwenden sie ungebremst Methoden wie Backdoors, Web Shells oder VPN-Zugänge. Oft wird die Malware spezifisch für den Angriff geschrieben. Traditionelle Antiviren-Tools können diese nicht erkennen.

Zudem würden Unternehmen die interne Kommunikation nur mangelhaft überwachen – wenn überhaupt. Einmal im System, nutzen die Hacker legitime Tools, um sich als Insider mit gültigen Berechtigungen zu tarnen. Die Malware, die sie brauchten, um einzudringen, beseitigen sie dann wieder. Spurlos.

Und Gartner kennt die Zukunft

Gartner hat seine Glaskugel angeworfen und blickte gen morgen. Der IT-Analyst listete die 10 wichtigsten Technologien der Security-Branche für 2016 auf. Wollen Sicherheitsverantwortliche weiterhin erfolgreich sein, müssen sie mit den technologischen Trends mitgehen, wie Gartner schreibt. Die Technologien für 2016 sind:

• Cloud Access Security Brokers: Diese ermöglichen etwa Chief Information Officers den Überblick über alle Security-Belange zu behalten bei der wachsenden Anzahl an Cloud-Dienstleistungen.
• Erkennung und Reaktion an Endpoints: Der Markt für den Endpoint-Schutz wächst rasant. Mit Verhaltensanalyse und Machine Learning könnte die Effizienz der Lösungen weiter gesteigert werden.
• Nichtsignaturbasierte Ansätze für den Endpoint-Schutz: Ein Malware-Schutz, der nur Signaturen erkennt, ist nicht effizient. Derzeit kommen gemäss Gartner verschiedene Techniken auf, die andere Ansätze verfolgen.
• Verhaltensanalysen von Nutzern und Geräten: Mit Daten zu Nutzern und Geräten werden die Analysen um ein Vielfaches genauer. Genauere Analysen bedeuten einen effizienteren Schutz.
• Mikrosegmentierung und Transparenz: Sind Hacker mal im System, können sie sich in der Regel ungehindert bewegen. Eine Unterteilung des Systems könnte dies verhindern.
• Security-Testing für Devops: Security muss zu einem Bestandteil der Arbeitsabläufe von Devops werden. So könnten Schwachstellen bereits während der Entwicklung adressiert werden.
• Intelligente SOCs (Security Operations Centers): Intelligente SOCs sollen mehr als nur präventive Analysen betreiben. Der Trend gehe in Richtung Automation, schreibt Gartner.
• Remote Browser: Die meisten Attacken erfolgen über den Browser, wenn dieser schädliche Websites aufruft. Remote Browser könnten eine Lösung bieten. Dabei laufen die Browsersitzungen auf einem Server und nicht am Endpoint. Dieser sichtet die Sitzung nur.
• Deception: Mit gefälschten Schwachstellen oder Cookies könnten Angreifer auf die falsche Fährte gelockt werden. Diese Ablenkungen dienen zugleich als Warnung, dass ein Angriff erfolgt.
• Pervasive Trust Services: Skalierbarkeit ist das Thema. Gewisse aktuelle Ansätze verfolgen dafür Distributed-Trust-Modelle oder Architekturen, die an Blockchain erinnern.