McAfee Labs Threats-Report

Transkript

1 McAfee Labs Threats-Report März 218 STATISTISCHE BEDROHUNGSDATEN Malware Zwischenfälle Internet- und Netzwerkbedrohungen 1 McAfee Labs Threats-Report: März 218

2 Die Zahl der von McAfee Labs im 4. Quartal erfassten neuen Malware-Varianten erreichte mit 63,4 Millionen einen historischen Höchstwert. Einführung Willkommen beim McAfee Labs Threats-Report vom März 218. In dieser Ausgabe stellen wir Neuigkeiten und Statistiken vor, die von den Teams von McAfee Advanced Threat Research und McAfee Labs im 4. Quartal 217 erstellt wurden. Wir haben ein bemerkenswertes Jahresende hinter uns bemerkenswert nicht nur im Hinblick auf die in diesem Bericht vorgestellten Bedrohungsstatistiken, sondern auch in Bezug auf die Erkenntnisse aus unseren jüngsten Untersuchungen. Dieser Bericht wurde recherchiert und geschrieben von: Alex Bassett Christiaan Beek Niamh Minihane Eric Peterson Raj Samani Craig Schmugar ReseAnne Sims Dan Sommer Bing Sun Eine der schwerwiegendsten Entwicklungen im Bereich Cyber-Kriminalität ist der wachsende Anteil bei der Kaperung von Kryptowährungen, der mit dem zunehmenden Marktinteresse an digitalen Währungen einhergeht. Als der Bitcoin-Wert im Dezember des letzten Jahres kurzzeitig mehr als 19. US-Dollar pro Coin erreichte, dehnten viele Akteure ihre Aktivitäten auf das Kapern von Bitcoin- und Monero-Geldbörsen aus. Dieser Schwenk zeigt noch einmal deutlich, dass Cyber- Kriminelle stets nach den größten Gewinnen in der kürzesten Zeit und mit dem geringsten Risiko streben. Sicherheitsforscher entdeckten vor Kurzem zudem einige Android-Apps, die heimlich Kryptowährungen schürfen. Aktuell verfolgen wir Diskussionen in Untergrundforen, die einen Wechsel von Bitcoin zu Litecoin nahelegen, da letztere auf ein sichereres Modell setzt und weniger Möglichkeiten zur Rückverfolgung bietet. Einige Cyber-Kriminelle arbeiten weiterhin an Botnets, die das Internet der Dinge missbrauchen, und kopieren bzw. entwickeln dazu neuen Code. Bislang werden diese Botnets in erster Linie für Denial-of-Service-Angriffe genutzt. Die Herausforderung für die Sicherheitsbranche besteht darin, solchen mit zunehmender Bandbreite und Häufigkeit erfolgenden Angriffen adäquat zu begegnen. 2 McAfee Labs Threats-Report: März 218

3 Wichtige Trends: Cyber-Kriminelle wenden sich neuen Strategien und Taktiken zu Im 4. Quartal 217 registrierte McAfee Labs im Durchschnitt 8 Malware-Varianten pro Sekunde eine Zunahme von 4 Exemplaren pro Sekunde in 3. Quartal. Insgesamt war das Quartal von neueren Tools und Vorgehensweisen geprägt, z. B. PowerShell-Malware und dem Schürfen von Kryptowährung, die parallel zum Bitcoin-Wert zunahmen. PowerShell: Im Jahr 217 entwickelte sich PowerShell- Malware nach Beobachtungen von McAfee Labs zu einem bevorzugten Hilfsmittel für Cyber-Kriminelle und nahm im 4. Quartal um 267 % sowie über das ganze Jahr gesehen um 432 % zu. Die Skript-Sprache bietet für Angreifer zahlreiche Vorteile und wird dazu genutzt, aus Microsoft Office-Dateien heraus die erste Stufe der Attacke zu starten. Im Dezember wurde Operation Gold Dragon mit eine Malware-Kampagne aufgedeckt, die auf die Winterolympiade 218 abzielte. Diese Kampagne ist ein weiteres Beispiel für die Implementierung von PowerShell-Malware bei einem Angriff. Schürfen von Kryptowährungen: Online-Währungen sind die Triebkraft für einen Großteil der Cyber- Kriminalität, z. B. Malware-Käufe und Ransomware- Zahlungen. Cyber-Kriminelle nutzen lieber externe Verarbeitungsressourcen, anstatt in eigene Technik zu investieren, da spezialisierte Geräte zum Schürfen der Kryptowährungen mehr als 5. US-Dollar kosten können. Im 4. Quartal nahmen Analysten des McAfee Advanced Threat Research-Teams diese Wachstumsbranche unter die Lupe und zeigten, dass Cyber-Kriminelle häufig Malware einsetzen, die entweder die Rechenleistung des angegriffenen Computers für das Schürfen von Coins nutzt oder einfach nur die Kryptowährung des Benutzers sucht und stiehlt. Ransomware: Im Jahr 217 registrierte McAfee Labs über das Jahr gesehen eine Zunahme von 59 % bei Ransomware, wobei allein im 4. Quartal ein Anstieg von 35 % verzeichnet wurde. Diese Aktivitäten waren mit der Einführung neuer kreativer Methoden verbunden, mit denen die Cyber-Kriminellen nicht nur wie bisher üblich Geld erpressten, sondern ganze Unternehmensnetzwerke lahm legten. Die Akteure entwickelten Strategien, um ihre Aktivitäten hinter Nebelkerzen zu verbergen und die Verteidiger von den eigentlichen Angriffen abzulenken. Ein Beispiel dafür war der Einsatz von Pseudo-Ransomware wie bei NotPetya oder einem Bankraub in Taiwan. Trotz des kontinuierlichen Wachstums von Ransomware verzeichneten Strafverfolgungsbehörden im 4. Quartal einige Erfolge gegen die Netzwerke von Cyber-Kriminellen, beispielsweise die Verhaftung der Akteure, die für die Verbreitung der Ransomware CTB Locker verantwortlich sein sollen. 3 McAfee Labs Threats-Report: März 218

4 Das Gesundheitswesen im Visier: Im Jahr 217 stieg im Gesundheitswesen die Anzahl bekannt gewordener Sicherheitsvorfälle im Vergleich zu 216 um 21 %, obwohl deren Zahl im 4. Quartal um 78 % sank. Bei der Analyse der Angriffe kamen die Experten von McAfee Advanced Threat Research zu dem Schluss, dass viele Angriffe auf mangelhafte Einhaltung empfohlener Sicherheitsverfahren oder auf die fehlende Behebung von Schwachstellen in medizinischer Software zurückzuführen waren. Necurs und Gamut: Im 4. Quartal gingen 97 % des Spam-Botnet-Datenverkehrs auf lediglich zwei Botnets zurück, die von Cyber-Kriminellen gemietet werden können. Necurs, ein neuer Verteiler von Spam mit einsamen Mädchen, Pump and Dump -Aktien-Spam sowie Locky-Ransomware-Downloadern, zog an Gamut vorbei und gilt aktuell als am weitesten verbreitetes Spam-Botnet. Bei Gamut handelt es sich um einen Versender von Phishing- s mit Jobangeboten und Angeboten als Geldwäsche- Kurier. STATISTIK McAfee Global Threat Intelligence Wie jedes Quartal ermöglicht das Cloud- Dashboard von McAfee Global Threat Intelligence uns die Erkennung und Analyse realer Angriffsmuster, wodurch wir unseren Kunden besseren Schutz bieten können. Diese Informationen liefern Details zu den Angriffshäufigkeiten bei unseren Kunden. Im Durchschnitt analysierte McAfee GTI täglich 4. URLs und 8. Dateien. Im 4. Quartal erlebten unsere Kunden folgende Angriffsintensität: QQ QQ QQ QQ McAfee GTI erhielt im 4. Quartal täglich durchschnittlich 48 Milliarden Anfragen. Die Zahl der von McAfee GTI erfassten böswilligen Dateien stieg von 4 Millionen pro Tag im 3. Quartal auf 45 Millionen pro Tag im 4. Quartal. Die von McAfee GTI blockierten gefährlichen URLs gingen von 99 Millionen pro Tag im 3. Quartal auf 57 Millionen pro Tag im 4. Quartal zurück, obwohl die Zahl hochriskanter URLs nach dem 19. Dezember einen steilen Anstieg verzeichnete. Die Zahl der von McAfee GTI erfassten riskanten IP-Adressen sank von 48 Millionen pro Tag im 3. Quartal auf 84 Millionen pro Tag im 4. Quartal. 4 McAfee Labs Threats-Report: März 218

5 Wichtige Kampagnen: Asymmetrische Cyber Kriegsführung eskaliert weiter Anfang 217 sagten McAfee-Analysten die schwer überwindbaren Probleme der Cyber-Sicherheitsbranche im kommenden Jahr voraus, insbesondere die Asymmetrie der Informationen. Kurz zusammengefasst haben die Kriminellen den Vorteil, auf Untersuchungen der Experten- Community zurückgreifen zu können. Zudem stehen ihnen Open-Source-Tools für ihre Kampagnen zur Verfügung. Im Gegensatz dazu haben die Verteidiger erheblich geringeren Einblick in die Aktivitäten der Cyber-Kriminellen, und die Aufdeckung neuer Taktiken findet häufig erst nach dem Start der böswilligen Kampagnen statt. Große Attacken im 4. Quartal zeigten, dass die Asymmetrie in der Cyber-Kriegsführung immer stärker wird. November 217: APT28, auch als Fancy Bear bekannt, nutzte die in Microsoft Office enthaltene Technik Dynamic Data Exchange für dynamischen Datenaustausch aus, die erst wenige Wochen zuvor für eine Phishing- - Kampagne verwendet wurde und die Terroranschläge in New York City als Aufmacher nutzte. Dezember 217: Bei Angriffen auf Unternehmen, die mit den Olympischen Winterspielen in Pyeongchang in Verbindung stehen, kamen Steganografie sowie das nur wenige Tage vor dem Angriff veröffentlichte Tool Invoke-PSImage zum Einsatz. Operation Gold Dragon erlangte eine dauerhafte Präsenz auf den angegriffenen Computern und gab den Angreifern die Möglichkeit, beliebige auf dem Gerät oder in verbundenen Cloud- Konten gespeicherte Daten zu suchen und abzurufen. Wenn Sie bei unseren Untersuchungen auf dem neuesten Stand bleiben möchten, finden Sie in unserem Social-Media-Kanal Analysen neuer Kampagnen sowie Vorstellungen neuer Tools, mit denen Sie Ihre Umgebung besser schützen können. Raj Samani, Chief Scientist und McAfee Fellow, Advanced Threat Research Team 5 McAfee Labs Threats-Report: März 218

6 Statistische Bedrohungsdaten 7 Malware 14 Zwischenfälle 16 Internet- und Netzwerkbedrohungen 6 McAfee Labs Threats-Report: März 218

7 Malware Neue Malware-Varianten Gesamtanzahl aller Malware-Varianten Malware-Daten stammen aus der McAfee Sample Database, die von Malware- Spam-Fallen, Crawlern und Benutzereinsendungen sowie anderen Branchenquellen erfasste böswillige Dateien umfasst. Eine der größten Bedrohungen in diesem Quartal war Waboot Quelle: McAfee Labs, 218. Quelle: McAfee Labs, Neue Malware-Varianten für Mac Gesamtanzahl aller Malware-Varianten für Mac Zwei häufige Mac-Malware- Varianten in diesem Quartal waren Flashback, das Kennwörter und andere Daten über den Browser erfasst, und Longage, mit dem Hacker die Kontrolle über ein System übernehmen können Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

8 Neue Mobilgeräte-Malware-Varianten Gesamtanzahl aller Mobilgeräte-Malware-Varianten Das Wachstum bei Android- Ransomware, die den Smartphone-Bildschirm sperrt, ging in diesem Quartal erheblich zurück (siehe separates Kreisdiagramm auf Seite 9). Auch die Verbreitung des Trojaner-Droppers Piom ging deutlich zurück. Quelle: McAfee Labs, 218. Quelle: McAfee Labs, % 2 % 15 % 1 % 5 % % Regionale Infektionsraten für Mobilgeräte-Malware (Anteil der Mobilgerätekunden, die eine Infektion melden) Afrika Asien Australien Europa Nordamerika Südamerika 1. Q Q Q Q % 12 % 1 % 8 % 6 % 4 % 2 % % Weltweite Infektionsraten für Mobilgeräte-Malware (Anteil der Mobilgerätekunden, die eine Infektion melden) Die weltweiten Infektionsraten gingen in den letzten drei Quartalen leicht zurück, obwohl sie in Australien sowie in Nord- und Südamerika anstiegen. Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

9 Neue Ransomware-Varianten Gesamtanzahl aller Ransomware-Varianten Einen großen Anteil am Ransomware-Wachstum hatte Ransom:Win32/Genasom Quelle: McAfee Labs, 218. Quelle: McAfee Labs, Neue Android-Sperrbildschirm- Malware-Varianten Gesamtzahl aller Android-Sperrbildschirm- Malware-Varianten Diese Ransomware-Variante begann im Jahr 216 ihren langsamen Weg nach oben, schaffte jedoch im vergangenen Jahr einen steilen Anstieg Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

10 Neue böswillige signierte Binärdateien 25.. Gesamtanzahl aller böswilligen signierten Binärdateien Quelle: McAfee Labs, 218. Quelle: McAfee Labs, 218. Zertifizierungsstellen stellen digitale Zertifikate bereit, die Informationen online übermitteln, sobald eine Anwendung oder Binärdatei signiert oder vom Dienstanbieter dem Besitzer der Inhalte validiert wird. Dieses Vertrauensmodell wird untergraben, wenn Cyber-Kriminelle an Zertifikate für böswillige signierte Binärdateien oder böswillige Anwendungen gelangen, die Angriffe erheblich vereinfachen. 1 McAfee Labs Threats-Report: März 218

11 Neue Exploit-Malware-Varianten Gesamtanzahl aller Exploit-Malware-Varianten Quelle: McAfee Labs, 218. Quelle: McAfee Labs, 218. Exploits nutzen Programmfehler und Schwachstellen in Software und Hardware aus. Zero-Day-Angriffe sind Beispiele für erfolgreiche Exploits. Ein aktuelles Beispiel ist der McAfee Labs-Beitrag Analyzing Microsoft Office Zero-Day Exploit CVE : Memory Corruption Vulnerability (Analyse des Zero-Day-Exploits für Microsoft Office: CVE , Schwachstelle bezüglich Speicherbeschädigung). 11 McAfee Labs Threats-Report: März 218

12 Neue Makro-Malware-Varianten Gesamtanzahl aller Makro-Malware-Varianten Makro-Malware gelangt meist in einem Word- oder Excel- Dokument, das in einer Spam- oder einem gepackten Anhang enthalten ist, auf den angegriffenen Computer. Gefälschte aber überzeugend klingende Dateinamen motivieren die Opfer, die Dokumente zu öffnen, was bei aktivierten Makros zu einer Infektion führt. Quelle: McAfee Labs, 218. Quelle: McAfee Labs, Neue Faceliker-Malware-Varianten Gesamtanzahl aller Faceliker-Malware-Varianten Der Trojaner Faceliker manipuliert Facebook-Klicks, um die Likes bestimmter Inhalte künstlich zu erhöhen. Weitere Informationen hierzu finden Sie in diesem Beitrag von McAfee Labs Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

13 Neue PowerShell- Malware-Varianten Gesamtanzahl aller PowerShell-Malware-Varianten Durch einen Anstieg bei Downloadern stieg die Zahl der PowerShell-Bedrohungen im 4. Quartal sprunghaft an. Weitere Informationen zu PowerShell- und JavaScript- Bedrohungen finden Sie im McAfee Labs Threats-Report vom September Quelle: McAfee Labs, 218. Quelle: McAfee Labs, Neue JavaScript-Malware-Varianten Gesamtanzahl aller JavaScript-Malware-Varianten Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

14 Zwischenfälle Öffentlich bekannt gegebene Sicherheitsvorfälle nach Region (Anzahl der öffentlich bekannt gegebenen Vorfälle) 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q. 3. Q Afrika Nord- und Lateinamerika Asien Europa Mehrere Ozeanien 4. Q Unbekannt Top 1 der Angriffsvektoren für 216 und 217 (Anzahl der öffentlich bekannt gegebenen Vorfälle) Malware Kontokaperung Leak DDoS Code-Injektion Entstellung/ Verunstaltung Schwachstelle W-2-Scam Nicht autorisierter Zugriff Daten zu Sicherheitsvorfällen werden aus mehreren Quellen zusammengestellt, darunter hackmageddon.com, privacyrights.org/databreaches, haveibeenpwned.com und databreaches.net. Die Angriffsvektoren sind überwiegend unbekannt oder werden nicht veröffentlicht. Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

15 Am häufigsten gezielt angegriffene Branchen in Nord- und Südamerika (Anzahl der öffentlich bekannt gegebenen Vorfälle) Top 1 der angegriffenen Branchen für 216 und 217 (Anzahl der öffentlich bekannt gegebenen Vorfälle) Öffentlicher Sektor Gesundheitswesen Bildungseinrichtungen Finanzsektor Technologie 1. Q Q Q Q. 217 Einzelhandel Unterhaltung Gastgewerbe Online-Dienste Einzelpersonen Öffentlicher Sektor Einzelpersonen Gesundheitswesen Bildungseinrichtungen Finanzsektor Mehrere Online-Dienste Einzelhandel Unterhaltung Software-Entwicklung Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

16 Internet- und Netzwerkbedrohungen Neue verdächtige URLs Neue böswillige URLs Quelle: McAfee Labs, 218. Quelle: McAfee Labs, 218. Die McAfee TrustedSource Web Database enthält URLs (Webseiten), die anhand der Web-Reputation in Kategorien unterteilt sind und für Filterrichtlinien verwendet werden, mit denen der Web-Zugriff gesteuert wird. Die Zahl der verdächtigen URLs umfasst alle Webseiten mit der Einstufung Hohes Risiko oder Mittleres Risiko. Böswillige Webseiten übertragen Code, der die Einstellungen oder Aktivitäten eines Computers kontrollieren soll. Diese Kategorie umfasst selbstinstallierende Anwendungen (ausführbare Drive by -Dateien), Trojaner und andere Malware- Formen, die Schwachstellen in Browsern oder anderen Anwendungen ausnutzen. 16 McAfee Labs Threats-Report: März 218

17 Neue böswillige Download-URLs Neue Phishing-URLs Quelle: McAfee Labs, 218. Quelle: McAfee Labs, 218. Böswillige Downloads stammen von Webseiten, auf denen Benutzer unabsichtlich schädlichen oder lästigen Code herunterlädt. Diese Kategorie umfasst Bildschirmschoner, Symbolleisten und Programme zum Datentausch, die Adware, Spyware, Viren und anderen schädlichen Code enthalten. Manchmal wird die Malware ohne Wissen des Benutzers hinzugefügt, z. B. wenn sie auf Ja oder Ich stimme zu klicken, ohne sich die vollständigen Allgemeinen Geschäftsbedingungen durchgelesen zu haben. Zu den Auswirkungen zählen beeinträchtigte Leistung, Kennwortdiebstahl und Verlust oder Beschädigung persönlicher Dateien. Phishing-URLs sind Webseiten, die üblicherweise über gefälschte s verteilt werden, um Benutzerkonten- Informationen zu stehlen. Diese Webseiten geben sich als legitime Unternehmens-Webseiten aus und haben es auf Benutzerdaten abgesehen, um Betrug oder Diebstahl zu begehen. 17 McAfee Labs Threats-Report: März 218

18 Am weitesten verbreitete Malware mit Verbindungen zu Kontroll-Servern (4. Quartal) 3 % 3 % 5 % 5 % 21 % 5 % 7 % 51 % Wapomi Ramnit OnionDuke China Chopper Muieblackcat Mirai Maazben Andere 37 % Verbreitung von Spam-Botnets im 4. Quartal, nach Aufkommen 1 %1 %1 % Necurs Gamut Lethic Darkmailer 6 % Andere Necurs, ein neuer Verteiler von Spam mit einsamen Mädchen, Pump and Dump - Aktien-Spam sowie Locky- Ransomware-Downloadern, und Gamut, ein Versender von Phishing- s mit Jobangeboten und Angeboten als Geldwäsche- Kurier in englischer, deutscher und italienischer Sprache, waren im 4. Quartal für 97 % des Spam-Botnet-Datenverkehrs verantwortlich. Quelle: McAfee Labs, 218. Quelle: McAfee Labs, 218. Länder mit den meisten Botnet-Kontroll-Servern (4. Quartal) Häufigste Netzwerkangriffe im 4. Quartal 28 % Deutschland 35 % Niederlande 3 % 3 % 3 % 3 % 3 % 3 % 19 % USA Japan Russland China Südkorea Frankreich Andere 4 % 5 % 8 % 1 % 14 % 15 % 44 % Server Message Block Browser Denial-of-Service Brute Force Malware Domain Name System Andere Quelle: McAfee Labs, 218. Quelle: McAfee Labs, McAfee Labs Threats-Report: März 218

19 Informationen zu McAfee McAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheitsunternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber- Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber- Kriminelle. Davon profitieren alle. Über McAfee Labs McAfee Labs, unter der Leitung von McAfee Advanced Threat Research, ist eine der weltweit führenden Quellen für Bedrohungsforschung sowie -daten und ein Vordenker in Bezug auf Cyber-Sicherheit. Dank der Daten von Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web, Nachrichten und Netzwerke) bieten McAfee Labs und McAfee Advanced Threat Research Echtzeit-Bedrohungsdaten, wichtige Analysen und Expertenwissen für besseren Schutz und Risikominimierung. Ohmstr Unterschleißheim Deutschland McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright 218 McAfee LLC. 378_318 MÄRZ McAfee Labs Threats-Report: März 218