Malware: Zahl von befallenen Geräten hat sich verdoppelt

McAfee hat auf dem MWC in Barcelona unter anderem auch den Mobile Threats Report vorgelegt und dabei unter anderen auch eine deutlich steigende Zahl von Smartphones festgestellt, die mit Schadsoftware befallen waren. Das Unternehmen spricht von etwa 16 Millionen Geräten im dritten Quartal 2017 – das sind doppelt so viele wie im Vergleichszeitraum im Vorjahr. Mobile Endgeräte und vor allem moderne Smartphones geraten damit immer stärker in den Fokus von Angriffen mit Malware.

„Es ist für Unternehmen von entscheidender Bedeutung, gemeinsam der signifikanten Zunahme von Sicherheitsbedrohungen entgegenzuwirken“, sagt John Giamatteo, Executive Vice President, Consumer Business Group, McAfee. „Kein Unternehmen kann es alleine schaffen. Unsere Partner teilen unsere Überzeugung, dass Sicherheit von Anfang an eingebaut und priorisiert werden muss, um alle Geräte und Netzwerke zu überprüfen“.

Neben der zunehmenden Zahl der Angriffe auf Handys und Smartphones registrieren die Sicherheitsexperten auch, dass sich die Software zunehmen diversifiziert und professionalisiert. Neben den privaten Nutzern sind Smartphones mittlerweile auch vor allem als Schnittstellen zu Unternehmen und Unternehmensdaten interessant und natürlich spielen auch Kryptowährungen an dieser Stelle eine immer größere Rolle. Laut McAfee sind zunehmen folgende Punkte im Fokus von Angreifern:

  • Gezieltere Angriffe: Weltweiter Anstieg von Bankentrojanern, die sich gegen große multinationale Unternehmen und kleine regionale Banken richteten.
  • Virtuelle Banküberfälle: Mit dem wachsenden Interesse an Krypto-Währungen versuchen Cyber-Kriminelle virtuelle Banküberfälle, indem sie gefälschte mobile Geldbörsen verteilen und die Krypto-Währungsindustrie ins Visier nehmen.​
  • Staaten, die Malware verwenden: Nordkoreanische Dissidenten und Journalisten, die die beliebte südkoreanische Chat-App KakaoTalk verwenden, wurden kürzlich zum Ziel eines staatlich initiierten Malware-Angriffs mit dem Ziel, Spyware auf dem Gerät des Opfers zu installieren.

Vor diesem Hintergrund ist es ein zunehmendes Problem, dass viele Android Geräte auf dem Markt nach wie vor mit einer veralteten Software laufen und daher ein leichtes Ziel für Angriffe sind, da bei diesen Modellen noch viele Sicherheitslücken bestehen, die mehr oder weniger leicht ausgenutzt werden können. Google will mit dem Project Trebble das Updaten von Software vereinfachen, das betrifft aber in erster Linie neue Modelle und hat keinen Einfluss auf bestehende Geräte mit veralteter Android-Software.

 

Meltdown und Spectre Sicherheitslücken – ist mein Android Handy betroffen?

Update: Mittlerweile kann man auch testen ob das eigene Smartphone von den Sicherheitslücken betroffen ist und auch, ob es dafür ein Update geben wird oder nicht. Der Test dazu ist hier möglich: https://www.ricompro.it/smartphone-security-check-android-iphone-iOS/

Darüber hinaus gibt es auch eine erweiterbare Liste von betroffenen Modellen.


In den Nachrichten macht derzeit eine größere Sicherheitslücke die Runde, die einen Großteil von elektronischen Geräten mit CPUs betrifft und damit auch für die Besitzer von Handys und Smartphones interessant ist. Unter dem Namen Spectre und Meltdown gibt es dazu mittlerweile zwei Verfahren, wie man diese Sicherheitsprobleme ausnutzen kann. Angreifen können so unter Umständen Zugriff auf geschützte Daten wie Passwörter oder Bankingdaten bekommen, die normalerweise hinter Sicherheitssystemen liegen.

Derzeit gibt es noch keine Fälle, in denen diese Sicherheitslücke aktiv ausgenutzt wurde. Das hört sich erstmal positiv an, aber mit der Veröffentlichung dieses Exploits werden sicher auch die Angriffe auf diese Lücke kommen und daher ist es auf jeden Fall wichtig, dieses Sicherheitsproblem zu beseitigen.

Leider gibt es derzeit für Android Geräte noch keine Liste mit betroffenen Prozessoren oder Modellen, die ebenfalls diese Sicherheitslücke aufweisen. Da der Fehler aber in der Hardware liegt und in fast allen Prozessoren zu finden ist, sollte man davon ausgehen, dass auch das eigene Gerät betroffen ist. Die gute Nachricht dabei: Google hat die Zeit genutzt (die Lücke ist immerhin schon seit Mitte 2017 bekannt) und stellt inzwischen eine Sicherheitsupdate zur Verfügung. Wer den neusten Sicherheitspatch von Google auf den Geräten installiert hat (von Januar 2018) ist damit vor diesen Problemen geschützt. Man sollte den neusten Sicherheitspatch daher so schnell wie möglich installieren.

Google selbst schreibt zum Sicherheitsstatus bei Android Geräten:

 

  • Devices with the latest security update are protected. Furthermore, we are unaware of any successful reproduction of this vulnerability that would allow unauthorized information disclosure on ARM-based Android devices.
  • Supported Nexus and Pixel devices with the latest security update are protected.

Das Problem dabei: noch haben nicht alle Hersteller diesen Sicherheitspatch für ihre Geräte umgestellt und es kann (je nach Hersteller und Modell) noch ein bis zwei Monate dauern, bis der jeweilige Hersteller diesen Patch umsetzt. Dazu wird es sicher auch viele ältere Modelle geben, für die es gar keinen Support mehr gibt und die dann diesen Sicherheitspatch gar nicht mehr bekommen werden. Diese Handys und Smartphones mit Android werden dann dauerhaft über diese Lücke angreifbar sein.

Wer noch keinen Sicherheitspatch bekommen hat (und bei Geräten, bei denen es kein Update geben wird) sollte man daher davon ausgehen, dass diese unsicher sind. Daher sollten diese Modelle nicht für sensible Anwendungen wie Banking genutzt werden und da in der Regel eine kompromittierte App dafür notwendig ist, um die Lücke auszunutzen, sollte man bei diesen Handys und Smartphones neue Apps nur aus dem offiziellen Storen und auch nur von bekannten Anbietern laden. So minimiert man das Risiko, dass eventuell eine App mit Malware installiert wird.

Immer auf den Laufenden bleiben: Tech News und Meldungen direkt auf das Handy oder in den Sozialen Netzwerken: Appdated Telegramm Channel | Appdated bei Facebook | Appdated bei Twitter

Meltdown und Spectre Sicherheitslücken – ist mein iPhone oder iPad betroffen?

Update: Mittlerweile kann man auch testen ob das eigene Smartphone von den Sicherheitslücken betroffen ist und auch, ob es dafür ein Update geben wird oder nicht. Der Test dazu ist hier möglich: https://www.ricompro.it/smartphone-security-check-android-iphone-iOS/

Darüber hinaus gibt es auch eine erweiterbare Liste von betroffenen Modellen.


In den Nachrichten macht derzeit eine größere Sicherheitslücke die Runde, die einen Großteil von elektronischen Geräten mit CPUs betrifft und damit auch für die Besitzer von Handys und Smartphones interessant ist. Unter dem Namen Spectre und Meltdown gibt es dazu mittlerweile zwei Verfahren, wie man diese Sicherheitsprobleme ausnutzen kann. Angreifen können so unter Umständen Zugriff auf geschützte Daten wie Passwörter oder Bankingdaten bekommen, die normalerweise hinter Sicherheitssystemen liegen.

Derzeit gibt es noch keine Fälle, in denen diese Sicherheitslücke aktiv ausgenutzt wurde. Das hört sich erstmal positiv an, aber mit der Veröffentlichung dieses Exploits werden sicher auch die Angriffe auf diese Lücke kommen und daher ist es auf jeden Fall wichtig, dieses Sicherheitsproblem zu beseitigen.

Apple selbst hat sich bereits zu diesem Problem geäußert und nach Angaben des Unternehmens sind derzeit ALLE iPhone und iPad Modelle von dieser Sicherheitslücke betroffen. Offiziell heißt es dazu in einem Statement:

Security researchers have recently uncovered security issues known by two names, Meltdown and Spectre. These issues apply to all modern processors and affect nearly all computing devices and operating systems. All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store. 

Mit iOS 11.2 hat man aber bereits eine Version veröffentlicht, die gegen Meltdown schützen soll. Wer bereits ein Update auf iOS 11.2 durchgeführt hat, ist also vor dieser Lücke geschützt. Dazu soll es in den nächsten Tagen noch weitere Updates geben, mit denen man auch die Spectre-Lücke absichern will, wann genau dieses Patches erscheinen ist aber bisher noch nicht sicher.

Unklar ist auch, was mit Geräten passiert, die kein iOS 11 Update mehr bekommen können. Es sind nach wie vor eine ganze Reihe von iPhones und iPads auf dem Markt, die zu alt sind und daher nicht mehr mit der neusten iOS Version versorgt werden. Es wäre ein Update außer der Reihe für ältere iOS Versionen denkbar, ob Apple hier etwas plant ist aber unbekannt.

Prinzipiell sollte man daher ältere Geräte, die nicht mit iOS 11.2 oder höher versorgt werden könne, vorerst als unsicher betrachten und keine sensiblen Anwendungen (wie beispielsweise Mobile Banking) darauf laufen lassen. Dazu ist für einen Angriff nach aktuellem Stand Malware auf dem Gerät notwendig und diese wird meistens per Apps aufgespielt. Daher rät Apple, Apps nur aus sicheren Quellen zu installieren und auch nur auf bekannte Anbieter zu setzen. Damit ist zumindest das Risiko etwas geringer, das Schadsoftware auf die Geräte kommt, die dann unter Umständen die Sicherheitslücken ausnutzt.

34C3 – mobiles Banking auf Handys und Smartphones nach wie vor unsicher

Auch auf dem 34. Chaos Communication Congress hat Sicherheitsforscher Vincent Haupert wieder das Thema Sicherheit beim Mobile Banking in den Vordergrund gespielt und auch in diesem Jahr konnte er wieder zeigen, das Überweisungen und anderen Transaktionen auf dem Handy nach wie vor deutliche Lücken ausweisen, die es eventuellen Angreifern einfach machen, Zugriff zu bekommen.

Das Problem dabei: die meisten Apps deutscher Banken (davon gibt es auf dem Markt sehr viele) setzen bei der Sicherheit auf einen Hersteller. Kann man dessen Systeme aushebeln, hat man Zugriff auf gleich eine ganze Reihe von Apps. Im vorliegenden Fall waren es gleich 31 Apps von verschiedenen Banken und Instituten, die auf diese Weise angreifbar wurden.

Im Interview bei Netzpolitik heißt es dazu:

Der Großteil der relevanten deutschen Banking-Apps setzt auf das gleiche Produkt des norwegischen Herstellers Promon, weshalb es eine besondere Relevanz hat. Aufgrund der gleichartigen Funktionsweise der Lösung bei verschiedenen Apps war es uns möglich, ein Programm zu entwickeln, dass die durch Promon eingeführten Sicherungsmaßnahmen automatisiert deaktivieren kann. Im Anschluss waren Angriffe, wie zum Beispiel eine Transaktionsmanipulation, ohne große Mühen zu realisieren.

Das Problem ist dabei immer wieder, dass auf dem Handy die Sicherheit des Bankings auch sehr vom Handy selbst abhängt. Ist dieses angreifbar durch Sicherheitslücken, ist auch das Banking unsicher und wurde ein Gerät übernommen, nützt auch die 2 Faktoren Sicherung nicht mehr viel, weil diese zwei Sicherheitsfaktoren auf einem Gerät zusammenlaufen und damit auch über ein Gerät angreifbar sind. Daher sind zwei Geräte für das mobile Banking ein wichtiger Schritt hin zu mehr Sicherheit und natürlich sollte man auch das Android auf dem neusten Stand halten (so das möglich ist und der Hersteller Updates liefert).

Erfreulich ist dabei, dass es bisher nur wenige Schadensfälle aus diesen Sicherheitsproblemen gegeben hat. Allerdings ist Mobile Banking (also Transaktionen per Handy abzuwickeln) auch noch eher wenig verbreitet. Sollte sich die Nutzung erhöhen (und danach sieht es aus) werden Handys zunehmend ein lukratives Ziel und dann dürfte auch die Zahl von Angriffen und Schadensfällen zunehmen.

Der Vortrag im Original (auf die Katze klicken)

Loapi – neuer Trojaner kann Smartphones zerstören

Die Sicherheitsexperten von Kasperksy weisen darauf hin, dass derzeit im Bereich der Android Handys und Smartphones ein neuer Trojaner sein Unwesen treibt, der sehr aggressiv ist und dazu in der Lage ist, auf den betroffenen Geräten fast alle möglichen Funktionen auszuführen. Der neue Virus hört dabei auf die Bezeichnung Loapi und wurde mittlerweile schon auf einigen Geräten gefunden. Er kann sic auch tarnen und nutzt verschiedene Möglichkeiten zur Verschleierung um sowohl vom Nutzer als auch von Sicherheitsprogrammen nicht so leicht als Schadsoftware erkannt zu werden. Das Arsenal des neuen Schädlings ist dabei sehr umfangreich und man kann davon ausgehen, dass wohl die Möglichkeit für Dritte besteht, einzelne Funktionen zu buchen und die entsprechenden Angriffe ausführen zu lassen:

  • ein Adware-Modul für aggressive Werbeeinblendungen auf dem Gerät des Nutzers;
  • ein SMS-Modul für Aktionen auf Basis von SMS-Nachrichten;
  • ein Web-Crawler-Modul, das den Nutzer heimlich bei Bezahldiensten anmeldet. Das SMS-Modul verbirgt Nachrichten vor dem Nutzer, beantwortet diese gegebenenfalls und entfernt dann wieder alle Spuren;
  • ein Proxy-Modul, mit dem das Gerät HTTP-Zugriffe für DDoS-Attacken ausführen kann;
  • ein Monero-Mining-Modul zum Mining der Kryptowährung Monero (XMR).

Besonders das letzte Modul dürfte aktuell sehr interessant sein, denn durch den hohen Kurs der Bitcoin Krypto-Währung ist es auch wesentlich lukrativer geworden, per Malware-Angriff diese Währung schürfen zu lassen. Durch die weitgehend anonyme Struktur von Bitcoin lassen sich solche Transaktionen auch nur extrem schwer bis zum tatsächlichen Verursacher zurück verfolgen.

Kaspersky Lab hat zudem eine sehr ungewöhnliche, weitere Eigenschaft von Loapi entdeckt. Auf einem zufällig ausgewählten Gerät erzeugte die Malware eine derartige Auslastung, dass sich dessen Akku bis zu seiner Deformation aufheizen kann. Vermutlich war dieser selbstschädigende Nebeneffekt von den Initiatoren der Malware nicht beabsichtigt, trotzdem ist die natürlich für die Nutzer ein echtes Problem, denn damit kann der Virus befallene Geräte auch physisch zerstören. Im schlimmsten Fall ist dann ein mehrere hundert Euro teures Smartphone komplett zerstört. Selbst wenn dies keine Hauptfunktion der neuen Malware ist – eine beunruhigende Entwicklung ist es auf jeden Fall, wenn auf einmal die Funktionsfähigkeit der Geräte selbst im Vordergrund steht. Viele Viren verschlüsselten die Geräte um nur gegen Bezahlung den Zugriff auf die Daten wieder frei zu geben. Nun kann man sich diese Form der Erpressung auch direkt mit der Hardware vorstellen: Entweder zahlen oder das Gerät wird zerstört.

„Loapi ist ein interessantes Beispiel für eine Android-Malware, denn das Design des Trojaners erlaubt nahezu jede Funktionalität“, erklärt Nikita Buchka, Sicherheitsexperte bei Kaspersky Lab. „Der Grund dafür ist simpel: Das Gerät muss nur einmal infiziert werden und kann dann für ganz unterschiedliche schädliche und betrügerische Aktionen genutzt werden. Äußerst überraschend ist allerdings die Tatsache, dass Loapi die Möglichkeit hat, das Gerät zu zerstören. Selbst von einem ausgeklügelten Android-Trojaner würde man so etwas nicht erwarten.“

Kaspersky selbst empfiehlt zu Schutz (natürlich) die Nutzung von Sicherheitssoftware, darüber hinaus gegen die Experten aber auch den Tipp keine Apps aus unsicheren Quellen zu installieren und jeweils die neusten Sicherheitsupdates zu nutzen.

BankBot-Trojaner fälscht Apps von Citibank, Comdirekt, Commerzbank, DKB und Postbank

Wer das mobile Banking per App auf seinem Android-Smartphone nutzt, sollte prüfen, ob er in den letzten Tagen und Wochen eine manipulierte App aus dem PlayStore von Google herunter geladen hat. In mehreren unverdächtig wirkenden Apps hatte sich der Trojaner BankBot versteckt und das wurde durch Google auch nicht sofort bemerkt.

Der Trojaner installiert dabei bei mehreren verbreiteten Banking-Apps (unter anderem Citibank, Comdirekt, Commerzbank, DKB und Postbank) eine neue Benutzeroberfläche, die täuschend echt wirkt. Der Kunde glaubt, seinen normalen Bankgeschäfte abzuwickeln und stattdessen werden die Daten aus der App direkt an die Hintermänner des Trojaners geschickt. Dazu werden auch SMS abgefangen um so an die TANs zu kommen – auf diese Weise haben die Macher des Trojaner Zugriff auf den Account und können selbst Transaktionen durchführen.

Die Sicherheitsexperten von Avast schreiben dazu:

Google entfernte erst kürzlich ältere Versionen des BankBot aus dem Play Store; mehrere Versionen blieben jedoch bis zum 17. November 2017 aktiv. Dies genügte, um Tausende von Nutzern zu infizieren. Google hat auch Scan- und Prüfmaßnahmen für alle Apps eingeführt, die in den Play Store übermittelt werden, um sicherzustellen, dass in Zukunft keine schädlichen Programme in den Play Store gelangen. In letzter Zeit haben die Autoren von Mobile-Banking-Trojanern jedoch begonnen, spezielle Techniken anzuwenden, um die automatischen Erkennungsdienste von Google zu täuschen. So führt BankBot beispielweise bereits zwei Stunden, nachdem ein Nutzer der App Administratorrechte für das Gerät erteilt, schädliche Aktivitäten durch. Außerdem veröffentlichten die Cyberkriminellen die Apps unter verschiedenen Entwicklernamen, was eine gängige Taktik zur Umgehung der Überprüfung durch Google ist.

Der Trojaner hat sich dabei in verschiedenen anderen Apps versteckt. So gab es den bankBot als Taschenlampen-Apps aus, danach als Solitaire-Spiele und als Cleaner-App – alles Apps, die häufig und meistens ohne Verdacht installiert werden. Google hat zwar an sich Sicherheitssperren, um solche Tricks zu enttarnen, aber auch hier nutzte der Trojaner verschiedene Techniken, um diese Sicherheitssysteme zu umgehen. So wurde die App auf Handys beispielsweise erst nach 2 Stunden aktiv und erregte so weniger Aufmerksamkeit.

Der Trojaner wurde dabei zum ersten Mal am 13. Oktober entdeckt und von Google in der letzten Version erst am 17. November aus dem Store entfernt. Die manipulieren Apps waren also eine längere Zeit online. Wer in dieser Zeit Apps dieser Form geladen hat, sollte prüfen, ob diese noch online zu finden sind und sie unter Umständen durch Versionen ersetzen, die es nach wie vor im Google Play Store gibt.

Browser Sicherheit: Chrome vorn, 17 Lücken im Safari

Das Google Project Zero Team hat die aktuellen Browser auf dem Markt einem kleinen Sicherheitstest unterzogen und geprüft, wie diese Browser auf mehr oder weniger zufällig generierten Code reagierten. Dabei setzen die Sicherheitsforscher einen sogenannten Fuzzer ein, der die Browser innerhalb von bestimmten Regeln mit sinnlosen Code konfrontierte und dann wird geprüft, wie die Browser darauf reagierten bzw. ob es zu Störungen oder Problemen kam.

Die Macher schreiben zum Setup des Tests:

Wir haben 5 Browser mit dem höchsten Marktanteil getestet: Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge und Apple Safari. Wir haben jedem Browser etwa 100.000.000 Iterationen mit dem Fuzzer gegeben und die Abstürze aufgezeichnet. (Wenn wir einige Browser für längere als 100.000.000 Iterationen verwirrten, wurden nur die Bugs, die innerhalb dieser Anzahl von Iterationen gefunden wurden, in den Ergebnissen gezählt.)

Insgesamt konnte das Team auf diese Weise so 31 Sicherheitslücken finden. Die meisten davon gab es (mit großen Abstand) im Safari Browser:

Anbieter
Browser
Motor
Anzahl der Bugs
Projekt Zero Bug IDs
Google
Chrome
Blink
2
994, 1024
Mozilla
Firefox
Gecko
4 **
1130, 1155, 1160, 1185
Microsoft
Internet Explorer
Trident
4
1011, 1076, 1118, 1233
Microsoft
Rand
EdgeHtml
6
1011, 1254, 1255, 1264, 1301, 1309
Apfel
Safari
WebKit
17
999, 1038, 1044, 1080, 1082, 1087, 1090, 1097, 1105, 1114, 1241, 1242, 1243, 1244, 1246, 1249, 1250

Insgesamt waren die Tester aber durchaus zufrieden. Die Zahl der Bugs war bei den meisten Browser eher gering und die Anfälligkeit für Fuzzer-Code damit nicht sehr hoch (auch wenn natürlich jeder Fehler eine zu viel ist). Ein klarer Ausreißer war dabei Safari, der deutlich mehr Fehler produzierte als alle anderen Browser zusammen. Die Macher weisen hier vor allem darauf hin, das Apple-Sicherheitslücken mittlerweile die höchsten Preise auf dem Markt erzielen und es daher durchaus zu befürchten ist, dass die Lücken früher oder später auch gezielt ausgenutzt werden.

Staatstrojaner: Avira wird auch diese Schadsoftware blockieren

Der Staatstrojaner in Deutschland ist mittlerweile beschlossene Sache und damit dürfen die Behörden die Systeme von potentiellen Straftätern infiltrieren und überwachen. Das Ganze erfolgt mit einer Software, die Staatstrojaner oder Bundestrojaner genannt wird und bereits für Windows vorliegt.

Der Anti-Viren Hersteller Avira hat mittlerweile auf die neuen Möglichkeiten der Gesetzgebung reagiert und angekündigt, dass man die staatliche Malware genau so behandeln wird, wie alle anderen Trojaner auch. Es ist also auch ein Ziel des Unternehmens, den Trojaner zu erkennen und unschädlich zu machen.

„Wir betrachten die gesetzliche Grundlage für einen ‚Bundestrojaner‘ mit großer Sorge. Für Avira ist IT-Sicherheit und Privatsphäre ein Recht, nicht nur ein Privileg, das je nach Bedarf entzogen werden kann. Die Sicherheit und das Vertrauen unserer Nutzer stehen für uns an oberster Stelle und sind für uns nicht verhandelbar“, sagt Travis Witteveen, CEO von Avira. „Es ist unsere gemeinsame Verantwortung die Sicherheitsstandards für digitale Geräte, Internet-Services, Anwendungen und Software zu verbessern. Wenn wir das nicht tun, werden Cyberkriminelle mehr und mehr Schaden anrichten. Wir betrachten jede Software, die versucht Schwachstellen mit Exploits auszunutzen und Geräte zu infizieren, als Schadsoftware – egal ob sie von nichtstaatlichen oder staatlichen Akteuren kommt. Wir werden sie löschen, entfernen und davon abhalten, Schaden anzurichten.“

Das Unternehmen verweist hier auch auf die Verantwortung von Behörden und Regierungen, Schwachstellen weiter zu melden und schließen zu lassen und eben nicht für eigene Zwecke zu nutzen. Das birgt die Gefahr, dass diese Schwachstellen auch von Dritten ausgenutzt werden. Beispiele dafür sind die vor kurzem erfolgten Attacken durch die Erpressungstrojaner WannaCry und Petya auf Privatanwender, Krankenhäuser, Bahnhöfe und multinationale Konzerne. Diese Schadsoftware nutzte für ihre Angriffe den EternalBlue-Exploit, der ursprünglich von der NSA entwickelt und für ähnliche Überwachungsmaßnahmen genutzt wurde, wie sie wohl auch der Bundestrojaner ausführen kann. EternalBlue wurde im Rahmen der Vault7-Veröffentlichungen von WikiLeaks publiziert und ermöglichte es Cyberkriminellen, diese Schwachstelle auch für WannaCry und Petya auszunutzen.

„Wir sind der Meinung, dass Software-Hersteller über jede entdeckte Schwachstelle sofort informiert werden sollten, um diese im Interesse der Sicherheit der Anwender unverzüglich schließen zu können. Jeder ist hier in der Pflicht, Schwachstellen nicht geheim zu halten, da diese sonst von Cyberkriminellen genutzt werden können, um die Geräte von Nutzern mit Schadsoftware zu infizieren“, ergänzt Travis Witteveen.

Der Bundestrojaner selbst wurde in einer frühen Version (unter dem Titel „Ozapft is“) ebenfalls bereits veröffentlicht und es ist wohl nur eine Frage der Zeit bis auch eine aktuelle Version des Trojaners ihren Weg in die Öffentlichkeit oder zumindest in die Hände Dritte fällt. Damit wäre dann die Nutzung von staatlichen Angriffstools auch für andere Nutzer möglich.

Notlandung wegen Erpressungs-Trojaner

Wir hatten gestern bereits davon berichtet, dass der aktuelle Petya-Trojaner, der die Windows Systeme verschlüsselt, gerade in vielen Ländern die technische Infrastruktur angreift. Mittlerweile gehen die Probleme aber noch weiter und es sind auch die ersten Fälle bekannt geworden, wonach Petya auch Flugzeuge befallen hat. Dabei wurde nicht nur die Unterhaltungselektronik angegriffen, sondern das Flugzeug musste notlanden, was dafür spricht, dass auch die reguläre Bordelektronik betroffen war.

Auf Twitter heißt es dazu:

Betroffenen von Petya sind derzeit vor allem Russland und die Ukraine. Es ist aber natürlich nicht auszuschließen, dass die Software (oder eine veränderte Version davon) früher oder später auch auf andere Länder übergreift. Die Sicherheitsexperten von Avira haben auch bereits in anderen Ländern Fälle beobachtet. Nach ihren Zahlen (von 27. Juni 16 Uhr) gab es folgende Vorfälle:

  • Russland: 1.512
  • Ukraine: 918
  • Portugal: 13
  • England: 7
  • Deutschland: 2
  • Frankreich: 1

Mittlerweile dürfte die Zahl noch höher liegen. Bei McAfee sieht man deutlich Parallelen zur WannaCry Infektion, aber die Ziele liegen bei Petya anders. Hier sind nicht private Nutzer im Fokus, stattdessen sucht sich Petya vor allem Industrie und Behörden. Die Experten von McAfee schreiben dazu:

Steve Grobman, CTO bei McAfee:

„Wir glauben, dass die heutigen Vorkommnisse Teil der natürlichen Evolution der Ransomware-Technologie sind, aber auch ein Testlauf für einen viel größeren und ausgeprägteren Angriff in der Zukunft.

Das einzigartige Element von Petya ist, dass es auf der Wurm-basierten Technik aufbaut, die WannaCry etabliert hat und ein neues Element hinzugefügt hat, das die Infektion von eigentlich sicheren Maschinen ermöglicht. Es stiehlt Anmeldeinformationen von infizierten Maschinen und verwendet diese, um Maschinen, die auf dem neuesten Sicherheitsstandard sind, zu infizieren. Dieser Hybridansatz verstärkt drastisch den Einfluss und das Ausmaß des Angriffs.

Raj Samani, Head of Strategic Intelligence bei McAfee:

„Dieser Ausbruch scheint nicht so groß wie WannaCry zu sein, aber die Zahl der betroffenen Unternehmen ist bedeutsam. Jeder, der Betriebssysteme ausführt, die nicht für die Sicherheitsanfälligkeit gepatched sind und die durch WannaCry bereits genutzt wurden, könnten anfällig für diesen Angriff sein.“

Petya basiert wie auch WannaCry auf einer Sicherheitsheitlücke in Windows (auch ältere Systeme sind betroffen) die EternalBlue genannt wird. EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird.

Cyberangriffe in der Ukraine – Avast geht von Petya Trojaner aus

Derzeit laufen besonders in der Ukraine (aber auch in anderen Ländern) wieder Angriffe auf Unternehmen und die behördliche Infratstuktur, bei denen die Rechner verschlüsselt werden und nur gegen ein Lösegeld in Höhe von 300 US Dollar wieder freischaltbar sind. Das Geld muss dabei in Bitcoin überwiesen werden. Betroffen sind auch Banken und Energieunternehmen, so dass man durchaus von einem Angriff auf die Infrastruktur der betroffenen Länder reden kann.

Sicherheitsexperten gegen mittlerweile davon aus, dass es sich bei der Malware um eine Version des Erpressungstrojaner Petya handelt, der sich auf Sicherheitslücken in ungepatchten Windows Systemen spezialisiert hat. Jakub Kroustek, Threat Lab Team Lead bei Avast, meint dazu im Original:

This modification of Petya seems to be spreading using the EternalBlue vulnerability, which was the same vulnerability used to spread WannaCry. We have seen 12,000 attempts today by malware to exploit EternalBlue, which we detected and blocked. Data from Avast’s Wi-Fi Inspector, which scans networks and can detect if an Avast PC or another PC connected to the same network is running with the EternalBlue vulnerability, shows that 38 million PCs that were scanned last week have not patched their systems and are thus vulnerable. The actual number of vulnerable PCs is probably much higher. We strongly recommend Windows users, regardless if consumer or business users to update their systems with any available patches as soon as possible, and ensure their antivirus software is also up to date.

EternalBlue ist ein Exploit, der auf eine Entwicklung des us-amerikanischen Geheimdienstes NSA zurück geht und speziell dafür entwickelt wurde, Windows System zu infiltrieren. Dieser Exploit wurde Anfang 2017 im Zuge der Shadow Brokers geleakt und kann damit mittlerweile von vielen Gruppen eingesetzt werden. Mittlerweile hat Mircosoft dafür auch bereits einen Patch veröffentlicht, aber es gibt immer noch viele Systeme, bei denen dieser Patch nicht eingespielt wurde. Die entsprechenden Rechner sind damit immer noch anfällig für Angriffe mit dem Exploit.

Wer genau hinter den aktuellen Angriffen steckt ist allerdings unklar. Auch die Sicherheitsexperten von Avast können dies nicht sagen. Stattdessen weist man darauf hin, dass im Internet diese Technik mittlerweile auch als eine Art Service angeboten wird. Man kann also Angriffe mit Ransomware auch mieten:

While we don’t know who is behind this specific cyber attack, we know that one of the perfidious characteristics of Petya ransomware is that its creators offer it on the darknet with an affiliate model which gives distributors a share of up to 85% of the paid ransom amount, while 15% is kept by the malware authors. The malware authors provide the whole infrastructure, C&C servers, and money transfer method. This type of model is called “ransomware  as a service (RaaS)”, which allows malware authors to win over non-tech savvy customers to distribute their ransomware.