Was Sicherheitsexperten den Schlaf raubt

Woche 8: Wenn Drohnen nach Daten schnüffeln

Uhr
von Coen Kaat

GOVCERT erklärt Dridex, Ransomware-Attacken nehmen zu und Cloudflare verteilt sensible Daten. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)
(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)

Der Sicherheitsexperte Tavis Ormandy von Googles Project Zero hat vergangenen Freitag einen alarmierenden Tweet veröffentlicht. Darin bat er das Unternehmen Cloudflare, ihn schnellstmöglich zu kontaktieren.

 

Cloudflare ist ein sogenannter CDN-Anbieter. Die Abkürzung steht für Content-Delivery-Network und beschreibt ein Netz Servern, die über das Internet verbunden sind. Zahlreiche Websites nutzen diesen Dienst von Cloudflare. Darunter auch Dienste wie Uber und OK-Cupid, wie Golem berichtet.

Der Tweet schreckte nicht nur den CDN-Anbieter auf. Travis Ormandy hatte einen schwerwiegenden Bug bei Cloudflare entdeckt. Dieser führte gemäss Golem dazu, dass sehr sensible Daten von unzähligen Nutzern im Internet verteilt wurden. Verschlüsselungscodes, Cookies, HTTPS-Requests und Passwörter. Die Details beschreibt Ormandy auf Project Zero.

Wie Cloudflare in einem Blogeintrag schreibt, behob das Unternehmen das Problem diese Woche. Wie Golem schreibt, ist es aber unklar, wohin die sensiblen Daten überall verteilt wurden.

 

GOVCERT vertieft sich in Dridex

Vergangene Woche hat das Schweizer Computer Emergency Response Team der Schweizer Regierung (GOVCERT) vor dem E-Banking-Trojaner Dridex gewarnt. Cyberkriminelle versuchen demnach gerade Schweizer Nutzer zu infizieren - getarnt als Swisscom-Rechnungen.

 

Aus gegebenem Anlass veröffentlichte GOVCERT nun einen detaillierten Hintergrundbericht zum Trojaner Dridex. Der Trojaner sei besonders hartnäckig, heisst es in dem Bericht. So habe er schon verschiedene Versuche überlebt, ihn aus dem Verkehr zu ziehen. Etwa als das FBI 2015 mehrere Personen mit Verbindungen zu Dridex festnahm.

Dridex infiziert seine Opfer in erster Linie über Spam-Mails. Um ihren Trojaner zu verbreiten, nutzen die Kriminellen jedoch keine Botnetze. Stattdessen mieten sie ihre Infrastruktur ein. Da der Absender daher legitim zu sein scheint, haben viele Spamfilter mühe, die infizierten E-Mails zu identifizieren.

Auch bei Dridex gibt es jedoch verschiedene Merkmale, die auf kriminelle Machenschaften hinweisen. Dies zeigte auch die jüngste Kampagne mit den gefälschten Swisscom-Rechnungen. Die Cyberkriminellen kennen keine Umlaute und verwenden "ß" statt "ss". Für einen Schweizer Muttersprachler wäre dies äussert ungewöhnlich.

Der vollständige Bericht findet sich auf der Website von GOVCERT.

 

Anzahl Ransomware-Attacken verdoppelt

Der Sicherheitsanbieter Check Point hat seinen Security-Bericht für das erste Halbjahr 2016 veröffentlicht. Der Bericht zeigt einen klaren Trend: Ransomware-Angriffe verdoppelten sich in der zweiten Jahreshälfte 2016. Im Juli wurde Ransomware bei 5,5 Prozent aller Malware-Attacken verwendet. Im Dezember waren es bereits 10,5 Prozent.

Der Grund dafür sei einfach: "Sie funktionieren und generieren enorme Einnahmen für die Angreifer", sagt Maya Horowitz, Threat Intelligence Group Manager bei Check Point.

Zudem wurden gemäss dem Bericht im vergangenen Jahr Tausende neuer Ransomware-Varianten beobachtet. Das Geschäft mit den Erpresserprogrammen zeige aber einen Trend zur Zentralisierung: Seit einigen Monaten dominieren einige wenige Ransomware-Familien.

Die häufigsten Varianten sind Locky, Cryptowall und die Ransomware-as-a-Service Cerber. 41 Prozent der Attacken wurden mit dem Erpresserprogramm Locky ausgeübt. Cryptowall steckt hinter 27 Prozent und Cerber hinter 23 Prozent. Den vollständigen Bericht veröffentlichte Check Point auf seiner Website.

Die Kollegen von Eset untersuchten derweil Ransomware-Angriffe auf mobile Geräte. 2016 sei die Anzahl Attacken auf Android-Geräte um 50 Prozent gewachsen gegenüber dem Vorjahr. Die vollständige Analyse präsentiert das Unternehmen im Whitepaper "Trends in Android Ransomware".

 

Und eine Drohne liest Daten aus Blinklichtern

Künftig genügt es nicht mehr, nur die Webcam auf dem Rechner abzukleben. Will man seine Daten für sich behalten, sollte man auch die Indikator-LED verdunkeln. Diese blinkt, wenn die HDD aktiv ist. Auch darüber könnten gewiefte Cyberkriminelle Informationen stehlen, wie The Register berichtet.

Wie das gehen soll, demonstrierte der Sicherheitsexperte Mordechai Guri und das Cyber Security Research Center der israelischen Ben-Gurion-Universität des Negev. Das Team kreierte eine Malware, die auf die Status-LED zugreifen kann.

Da PCs nicht über Schnittstellen verfügen, die das Blinklicht zu kontrollieren, wählten die Sicherheitsexperten einen anderen Weg. Sie entwickelten ein Stück Code, das Daten auf der Harddisk lesen und schreiben kann. Zudem kreierten sie ein Protokoll für ein optisches Empfangsgerät, damit dieses die Lichtsignale versteht.

Als Empfangsgerät taugt so ziemlich jede Art von Kamera. Entscheidend ist die Anzahl Bilder pro Sekunde. Je höher desto besser. Kombiniert man die Kamera mit einer Drohne, hat man ein äusserst effektives Spionagewerkzeug. Das Prinzip demonstrieren die Sicherheitsexperten in einem Video.

 

Webcode
DPF8_28199