Was Sicherheitsexperten den Schlaf raubt

Woche 17: Ätherische Malware im Arbeitsspeicher

Uhr
von Coen Kaat

Link-11 warnt vor DDoS-Erpressern, Ransomware-Angriffe nehmen zu und die Lösegeldforderungen ebenfalls. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)
(Quelle: Ciolanescu / Shutterstock.com / Netzmedien)

Die Sicherheitsexperten von Symantec sind alarmiert. Der Grund: Cyberkriminelle fordern immer höhere Lösegeldbeiträge. Im vergangenen Jahr stieg die durchschnittliche Summe um 266 Prozent im Vergleich zum Vorjahr. 2016 verlangten Kriminelle im Schnitt rund 1077 US-Dollar.

Die Zahlen zeigen, wie lukrativ das Ransomware-Geschäft für Cyberkriminelle ist. Ransomware sind Schadprogramme, die infizierte Rechner verschlüsseln. Manche dieser Programme sperren nur einzelne Dateien, andere ganze Festplatten oder auch verknüpfte Cloud-Speicher. Will der Nutzer seine Daten wiederhaben, muss er ein Lösegeld zahlen.

Und das geforderte Geld erhalten sie oft. Jedes dritte Opfer weltweit zahle das Lösegeld. In den USA würden gar zwei Drittel aller Opfer zahlen. Den schnellen Anstieg der Beträge führen die Sicherheitsexperten von Symantec auf die Zahlungsbereitschaft der Opfer zurück.

Die Zahlen stammen aus dem aktuellen jährlichen Bedrohungsbericht von Symantec. Den vollständigen Bericht können Interessierte auf der Website von Symantec beziehen.

 

Ransomware-Attacken nehmen zu

Die steigende Beliebtheit von Ransomware hat auch Verizon festgestellt. Das Unternehmen hielt seine Erkenntnisse im aktuellen Data Breach Investigations Report 2017 fest. Im Vergleich zum Vorjahr nahm die Anzahl der Ransomware-Attacken um 50 Prozent zu.

Das Problem werde zwar – unter anderem auch durch die gestiegene mediale Präsenz – immer bekannter. Dennoch würden viele Unternehmen sich weiterhin auf veraltete Sicherheitsmassnahmen verlassen. Firmen würden eher einer Lösegeldforderung nachgeben, als in Sicherheitsdienstleistungen zu investieren.

Eine weitere Taktik, die stark zunehme, sei das sogenannte Pretexting. Die Masche gehört zum Bereich Social Engineering. Der Begriff leitet sich vom Englischen Wort für Vorwand ab - Pretext. Unter Vorspiegelung einer falschen Identität verschaffen sich Kriminelle von ihren Opfern dabei sensible Informationen von Dritten.

Den vollständigen Bericht können Interessierte auf der Website des Unternehmens einsehen.

 

Link11 warnt vor DDoS-Erpressern

Wird man nach einer DDoS-Attacke durch eine Gruppe kontaktiert, die Penetrationstests anbietet, ist das kein glücklicher Zufall und auch kein tolles Timing. Tatsächlich ist es gar kein gutes Zeichen, sondern viel eher ein Betrugsversuch. So auch bei XMR Squad.

Vor dieser Erpressergruppe warnt derzeit der Sicherheitsanbieter Link-11. Die Gruppe lege zuerst Webauftritte und Onlinedienste von Unternehmen mit DDoS-Attacken lahm. Anschliessend meldet sie sich bei ihrem Opfer. Der Angriff sei ein Penetrationstest gewesen. Dafür verlangt die Gruppe dann eine Gebühr von 250 Euro, wie Link-11 schreibt.

Das Vorgehen erinnere an andere Erpresserbanden. Link-11 erwähnt in dem Zusammenhang etwa DD4BC, Kadyrovtsy und Stealth Raves. Diese würden mit Demo-Attacken ebenfalls Druck bei ihren Opfern erzeugen.

 

Und eine ätherische Malware versteckt sich im Arbeitsspeicher

Malware findet immer neue Wege, Rechner zu infizieren. Gelangen infizierte Dateien per Mail-Anhang oder über kompromittierte Websites auf den Rechner, ist das quasi schon antik. Auch wenn die Methoden noch rege verwendet werden.

Die israelische Ben Gurion Universität wurde diese Woche jedoch Opfer einer dateilosen Malware-Attacke. Die besonders fiesen Angriffe verstecken sich im Arbeitsspeicher eines Rechners. Der Infektionscode existiert dabei nur im RAM. Eine Antivirus-Lösung kann da nichts ausrichten, da keine Überbleibsel oder ausführbare Dateien auf der Festplatte bleiben.

Die Attacke auf die Universität diente wohl der Spionage, wie das britische Onlineportal The Register berichtet. Von der Universität aus verschickte sich die Malware per E-Mail an weitere Adressen in Israel. Das israelische Start-up Morphisec vermutet, dass der Angriff vom Iran ausging.

Derartige dateilose Attacken nehmen derzeit zu, wie es weiter im Bericht heisst. Zwischen dem ersten und letzten Quartal 2016 stieg die Anzahl solcher Angriffe um 33 Prozent gemäss dem Sicherheitsanbieter Carbon Black.

Webcode
DPF8_38520