Kreative Ransomware und spurlose Schadprogramme

IT-Sicherheitsanbieter Kaspersky Lab hat diese Woche die Presse zum Mittagsessen eingeladen. Das Unternehmen feiert dieses Jahr sein 20-jähriges Bestehen. Gesprächsthema im Zunfthaus zur Zimmerleuten war jedoch nicht das bevorstehende Jubiläum, sondern aktuelle Trends im Bereich Cybersecurity.

Zu diesem Zweck hatte das Unternehmen Marco Preuss in die Schweiz geholt. Preuss leitet das europäische Forschungs- und Analyseteam von Kaspersky Lab. Dieses ist Teil von Great – dem Global Research & Analysis Team. Kasperskys Elite-Forschungsteam, wie sie es selbst beschreiben.

Kaspersky stellte einen extremen Anstieg von Ransomware fest

Preuss wies insbesondere auf zwei aktuelle Trends hin: Advanced Persistent Threats (APTs) und Ransomware. Letzteres sind besonders fiese Schadprogramme. Denn nachdem sie einen Rechner infiziert haben, verschlüsseln sie alle Dateien oder auch ganze Festplatten. Will der Nutzer auf seine Daten zugreifen, sieht er nur einen Sperrbildschirm mit der Aufforderung, ein Lösegeld zu zahlen.

Die Sicherheitsexperten von Kaspersky verzeichneten im vergangenen Jahr gemäss Preuss einen "extremen Anstieg von Ransomware". Dieser Trend werde wohl noch andauern, unter anderem weil Opfer und betroffene Unternehmen dazu neigen, das Geforderte Lösegeld zu zahlen – "wovon wir immer abraten", sagte Preuss.

Cyberkriminelle erpressen gleich doppelt

Zudem profitieren Cyberkriminelle gleich doppelt: Sie können zunächst ein Lösegeld fordern, damit die Opfer wieder an ihre Daten kommen. Und anschliessend noch mehr Geld, dass sie die betroffenen Daten und Firmengeheimnisse nicht veröffentlichen.

Die neueren Ransomware-Proben zeugen zudem von der Kreativität der Cyberkriminellen. So präsentierte Preuss etwa Telecrypt als Beispiel. Dieses Erpresserprogramm nutzt eine Schnittstelle zum Messaging-Dienst Telegram.

Ransomware nutzt Telegram-Schnittstelle

So implementierten die Drahtzieher eine Live-Chat-Funktion. Über diese können Opfer direkt mit den Kriminellen kommunizieren, falls sie etwa Fragen zur Zahlungsabwicklung haben. Wie The Register berichtet, war die zugrundeliegende Verschlüsselung von dieser Ransomware jedoch recht schwach. Ein Monat nachdem die Ransomware erstmals gesichtet wurde, konnten Sicherheitsanbieter die Verschlüsselung bereits knacken.

Ransomware tauche zudem vermehrt auf mobilen Geräten auf. Auch entdeckte Kaspersky nach eigenen Angaben erste Gehversuche von Ransomware auf Smart-TVs und vernetzten Thermostaten. Dabei handle es sich vornehmlich noch um Machbarkeitsnachweise. Es sei aber absehbar, dass sich dies demnächst ändere.

Seriöse Bedrohungen mächtiger Drahtzieher

Das zweite Schwerpunktthema von Preuss’ Vortrag waren Advanced Persistent Threats, kurz APTs. Dabei handelt es sich um komplexe Operationen, die langfristig geplant werden, von hoher Kompetenz auf der Entwicklerseite zeugen und für betroffene Unternehmen eine seriöse Bedrohung darstellen.

Dahinter stecken in der Regel Nationen oder verfeindete Unternehmen. Die eigentliche Arbeit delegieren sie oft an professionelle Gruppen. Als Beispiel nannte Preuss die Spionageplattform Projectsauron, die Kaspersky im August vergangenen Jahres entdeckt hatte.

Das AP von APT verschwindet

"Hin und wieder kommt es vor, dass dabei Geld von den betroffenen Unternehmen gestohlen wird", sagte Preuss. In den meisten Fällen gehe es aber darum, die Opfer auszuspionieren. In anderen Fällen sollen derartige Attacken die infizierte Infrastruktur sabotieren. Etwa wenn ein sogenannter Wiper sämtliche Daten auf den betroffenen Rechnern löscht.

Das AP in APT verschwinde aber langsam. Da der Trend weg von "advanced" und weg von "persistent" gehe. Die Drahtzieher hinter diesen professionellen Attacken wollen ihre Spuren möglichst verwischen. So nutzen sie oft simplere Malware, damit es wie das Werk gewöhnlicher Cyberkriminelle wirke, statt wie ein grossangelegter und zielgerichteter Angriff.

Eine weitere Methode, die Spuren zu verwischen, ist sogenannte dateilose Malware. Die Attacken finden nur noch im Arbeitsspeicher der betroffenen Rechner statt. Startet das Opfer seine Maschine neu, sind sämtliche Spuren verschwunden, da keine Datei und keine Logs zurückbleiben.

APTs nehmen zu

Früher entdeckten Sicherheitsforscher drei bis vier derartige Bedrohungen pro Jahr. Nun tauchen neue APTs aber fast schon wöchentlich auf, wie Jean-Claude Paquier, Corporate Account Manager Switzerland bei Kaspersky Lab, sagte.

Unter anderem um dem entgegenzuwirken, lancierte Kaspersky eine neue Version der Kaspersky Anti Targeted Attack Platform (Kata). Sie wurde in drei Bereichen verbessert, wie das Unternehmen in einer Mitteilung schreibt.

Auch für KMUs erschwinglich

Laut Mitteilung verbesserte Kaspersky etwa die Skalierbarkeit der Plattform. Die Infrastruktur wurde dezentralisiert, wodurch sie sich leichter an die Bedürfnisse der Kunden anpassen lasse. Das Unternehmen erneuerte auch das Dashboard. So sollen Nutzer detaillierte Informationen zum Stand der Sicherheitsprüfungen und den jüngsten Ereignissen erhalten.

Zudem verbesserte Kaspersky nach eigenen Angaben die Integration in die Endpoint-Lösungen. Denn diese brauche es noch immer. Etwas Anderes zu behaupten, sei fahrlässig, sagte Walter Jäger, Country Manager Austria & Switzerland bei Kaspersky Lab. "Denn überall, wo ich keinen Schutz habe, habe ich offene Tore für Cyberkriminelle."

Das Unternehmensangebot soll auch für KMUs erschwinglich sein. So sei es etwa denkbar, den klassischen Endpoint-Schutz mit einem Monitoring-Dienst von Kaspersky zu ergänzen.

Das Mittagessen fand im Zunfthaus zur Zimmerleuten in Zürich statt. (Quelle: Netzmedien)