Woche 26

Was Sicherheitsexperten derzeit den Schlaf raubt

Uhr | Aktualisiert
von Coen Kaat

Alte Malware schlägt neue Abwehr, Schweizer mögen unsichere Netzwerke und Neues von den Locky-Machern. Die Redaktion hat die Neuigkeiten der Woche zu Cybercrime und Cybersecurity zusammengefasst.

(Quelle: Pixabay / CC0 Public Domain)
(Quelle: Pixabay / CC0 Public Domain)

Vor einem Jahr hatte die kriminelle Gruppierung DD4BC versucht, Zürcher Finanzinstitute zu erpressen. Per E-Mail drohte die Gruppe den Instituten, ihre Server lahmzulegen, sollten sie nicht binnen 24 Stunden ein Lösegeld in Bitcoins bezahlen.

Nun ist Europol – in Zusammenarbeit mit dem Zürcher Kompetenzzentrum Cybercrime – ein Schlag gegen die Gruppe geglückt. Wie die Zürcher Staatsanwaltschaft mitteilt, wurde in Bosnien und Herzegowina ein Hacker verhaftet. Dieser soll an den Erpressungsversuchen beteiligt gewesen sein.

Das Strafverfahren wurde gemäss Mitteilung am 11. Mai 2015 eröffnet – damals noch ein Strafverfahren gegen Unbekannt. Der Hacker soll auch ausländische Institute erpresst haben. Daher kooperierte das Zürcher Kompetenzzentrum mit ausländischen Strafverfolgungsorganen. Die Koordination übernahm Europol im Rahmen der Operation Pleiades.

Keine Sicherheitsbedenken im Reisegepäck

Kaspersky Lab hat derweil das Surfverhalten der Schweizer im Urlaub analysiert. Mehr als die Hälfte (59 Prozent) der Befragten müssen im Urlaub so dringend ins Netz, dass sie bereits im Flieger online gehen. Nur 5 Prozent verzichten — freiwillig oder gezwungenermassen — während der Ferien ganz auf das Internet.

"Dagegen ist nichts einzuwenden", lässt sich Holger Suhl, General Manager DACH bei Kaspersky Lab, in einer Mitteilung zitieren. "Allerdings sollte man sich bewusst machen, dass die gängigen Cybersicherheitsregeln gerade auch im Urlaub gelten."

Den Sicherheitsaspekt, wie die Umfrage zeigt, vernachlässigen die Schweizer in den Ferien. Wohl aufgrund der potenziell hohen Roaming-Kosten nutzen über drei Viertel der Befragten auch kostenlose öffentliche WLAN-Netzwerke. Nur etwa die Hälfte gab an, passwortgeschützte Netzwerke zu verwenden.

Dabei nutzt mehr als jeder dritte Befragte auch im Ausland kritische Funktionen über WLAN-Netzwerke. Dazu zählen etwa Online-Banking (36,8 Prozent der Befragten) und -Shopping (40,4 Prozent). Kaspersky empfiehlt: Vor dem Urlaub unbedingt eine ordentliche Portion gesunden Menschenverstand einpacken.

Ein Trojaner der etwas anderen Art

Intrusion-Detection, Endpoint-Schutz und brandneue Firewalls. Drei Spitäler in den USA wähnten sich hinter ihren modernen Security-Bollwerken in Sicherheit. Doch die Sicherheitsmassnahmen versagten nicht nur daran, die Angreifer aufzuhalten. Sie bemerkten die Attacken nicht einmal.

Die Abwehr der Spitäler wäre wohl mit jeder aktuell kursierenden Bedrohung zurechtgekommen. Doch die Cyberkriminellen bewiesen wieder Kreativität. Sie schickten uralte Malware in die Bresche. Die veralteten Schadprogramme lösten in den neuen Systemen keine Alarme aus.

Die alte Malware steckte jedoch voll komplexer Funktionen. So konnten die Kriminellen rund um den Jahreswechsel von 2015 zu 2016 ungestört einen Brückenkopf in den Netzwerken der Krankenhäuser errichten. Den Backdoor-Zugriff nutzten sie dann für weitere Kampagnen.

Dem Angriff auf die Schliche kam schliesslich das kalifornische Sicherheitsunternehmen Trapx. In seinem Bericht Medjack.2: Hospitals under Siege beschreiben sie die Angriffe. Das Ausmass des Schadens ist gemäss Bericht nicht ganz klar. Die Kriminellen haben aber wohl Daten gestohlen und sich Zugriff zur Röntgen- und Radiologieapparatur verschafft.

Und die Macher von Dridex und Locky zeigen etwas Neues

Die Sicherheitsexperten von Proofpoint haben eine neue Crypto-Ransomware entdeckt. Dahinter stecken die Autoren von Dridex und Locky, wie sie mitteilen. Sie gaben der neuen Malware den Namen Bart – nach der schelmischen Figur aus der Zeichentrickserie "The Simpsons".

Die Ransomware kommt via E-Mail auf den Rechner. Die Mails haben alle das Wort "Photos" im Betreff und die Datei photos.zip im Anhang. Darin steckt jedoch kein Bild sondern Javascript-Code. Klickt der Empfänger darauf, installiert er unwissentlich das Zwischenprogramm Rockloader. Dieses installiert wiederum Bart. Rockloader kam auch schon bei Locky zum Einsatz.

Wie jede Crypto-Ransomware verschlüsselt Bart anschliessend den Rechner. Was den Neuling so gefährlich macht: Hierzu benötigt die Malware jedoch keine Verbindung zu seinem Command-and-Control-Server, um seine Marschbefehle zu erhalten. Firewalls blockieren derartigen Traffic. Da Bart selbstständig operiert, könnte das Schadprogramm also auch vermeintlich geschützte PC-Systeme verschlüsseln.

Ist der Rechner infiziert, sieht der Nutzer nur noch einen Sperrbildschirm. Dieser fordert den Nutzer auf, drei Bitcoins zu zahlen. Das entspricht etwa 1987 Franken. Zunächst stellt Bart aber die Sprache des Systems fest.

Denn die Zahlungsanweisungen hält die Malware ausser auf Englisch auch auf Deutsch, Französisch, Italienisch und Spanisch bereit. Ist der Rechner aber auf Russisch, Ukrainisch oder Weissrussisch eingestellt, verschlüsselt Bart ihn nicht.

Die Security-Beitragsreihe nimmt nach dieser Ausgabe eine kurze Auszeit. Ab August fasst die Redaktion aber wieder jede Woche die Neuigkeiten zu Cybercrime und Cybersecurity zusammen.

Webcode
8938