Kaspersky Security Bulletin /

Transkript

1 Kaspersky Security Bulletin / Teil 1: Entwicklung der IT-Bedrohungen Teil 2: Malware-Statistik Teil 3: Spam w w w. k a s p e r s k y. d e

2 2

3 Kaspersky Security Bulletin 2010/2011 Teil 1: Entwicklung der IT-Bedrohungen : Das Jahr der Sicherheitslücken...4 Ergebnisse...4 Zunahme der Attacken über Filesharing-Netze...5 Kampf um Traffic...5 Epidemien und zunehmende Komplexität von Schadprogrammen...5 Rückgang der gefälschten Antiviren-Programme...5 Angriffe auf und in Google Wave...6 Attacken auf das iphone und Android...6 Zielgerichtete Attacken auf Unternehmen und Industrieobjekte...6 Digitale Zertifikate...6 Die bedeutendsten Ereignisse des Jahres...7 Aurora...7 Erpresser-Trojaner...7 Stuxnet...7 TDSS...8 Zahlreiche Vorfälle bei Twitter und Facebook...8 Verhaftungen von Cyberkriminellen und Schließung von Botnetzen...9 Prognosen für Daten, Daten, Daten: Cyberattacken Der ultimative Datenklau...10 Methoden...10 Neue Organisatoren und neue Ziele...10 Spyware Zusammenfassung der Haupttrends Infos zum Kaspersky Security Network (KSN) Teil 2: Malware-Statistik Schadprogramme im Internet (Attacken über das Web) Top 20 der Schadprogramme im Internet...12 Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind Web-Attacken, aufgeschlüsselt nach Ländern...14 Netzattacken...14 Lokale Infizierungen...15 Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern...16 Die Weltkarte...16 Web-Bedrohungen...16 Lokale Bedrohungen...17 Sicherheitslücken...18 Teil 3: Spam Kampf gegen Spam und den Versand von Schadcode im Jahr Schädlicher Spam...20 Schließung von Botnetzen: Eine Chronologie...20 Spam und das Gesetz...21 Spam-Statistiken...21 Spam-Anteile im -Traffic...22 Spam-Herkunftsländer...22 Verteilung der Spam-Quellen nach Regionen...23 Thematische Zusammensetzung von Spam...24 Methoden und Tricks der Spammer...25 Schädliche Anhänge...26 Phishing...27 Prognosen

4 Kaspersky Security Bulletin 2010/2011 Teil 1: Entwicklung der IT-Bedrohungen Mit dem vorliegenden Bericht setzt Kaspersky Lab die Serie seiner alljährlichen Analysen fort. Betrachtet werden die wichtigsten Probleme, die private User sowie Nutzer in Unternehmen betreffen, und mit dem Einsatz von schädlichen, potentiell unerwünschten und betrügerischen Programmen sowie mit Spam, Phishing und Hackeraktivitäten zusammenhängen. Die Analyse wurde von den Experten des Global Research & Analysis Team (GReAT) in Zusammenarbeit mit den Unterabteilungen Content & Cloud Technology Research und Anti-Malware Research von Kaspersky Lab erstellt. 2010: Das Jahr der Sicherheitslücken Betrachtet man die Malware-Landschaft im Jahr 2010, so zeichnen sich etliche Parallelen zum Vorjahr ab. Denn die allgemeine Ausrichtung der Angriffe hat sich nicht drastisch geändert; allerdings haben viele Attacken ein neues qualitatives Niveau erreicht. Der Anteil neuer Schadprogramme, die innerhalb eines Monats entdeckt wurden, hält sich auf dem Level des Jahres 2009, und bei einigen Malware-Typen wurde sogar ein Rückgang der Aktivität registriert. Attacken auf Browser und Botnetze waren nach wie vor die größte Bedrohung. Bereits in unserem letzten Jahresbericht sind wir auf diese Stabilisierung im Malware-Strom eingegangen. Die Gründe dafür sind gleich geblieben: die zurückgehende Aktivität einer Reihe von Trojanern (Game-Trojaner) sowie der aktive Kampf der Strafverfolgungsbehörden, Antiviren-Anbieter und Telekommunikations-Unternehmen gegen kriminelle Services und Cyberkriminellen-Gruppierungen. Zudem hat die erwartete mengenmäßige Abnahme von gefälschten Antiviren-Programmen zur Stabilisierung der Zahl neuer Schädlinge beigetragen. Allerdings kann man die Stabilisierung der Zahl neuer Schadprogramme nicht mit einer Stabilisierung der Zahl von Attacken gleichsetzen. Erstens werden die Schädlinge immer komplizierter ihr technisches Niveau ist im Vergleich zum Vorjahr sogar wieder wesentlich gestiegen. Und zweitens werden die meisten Attacken zunächst über den Browser geführt mit Hilfe vieler Sicherheitslücken in den Browsern und den mit ihnen interagierenden Anwendungen. Das führt dazu, dass sich häufig ein und dasselbe Schadprogramm mit Hilfe dutzender unterschiedlicher Sicherheitslücken ausbreiten kann, was wiederum eine proportionale Zunahme der Angriffe nach sich zieht. Betrachtet man die Attacken als die Gesamtheit der von uns registrierten Vorfälle, so zeichnen sich ganz klar vier grundlegende Typen von Malware-Vorfällen ab: Attacken über das Internet (registriert mit Hilfe von Web-Anti-Virus) lokale Vorfälle (auf den Anwender-Computern registriert) Netzattacken (mit Hilfe von IDS registriert) Vorfälle im -Verkehr Erstmals seit Beginn unserer Untersuchungen überstieg die Anzahl der ersten beiden von uns registrierten Angriffstypen 1,9 Milliarden! Angriffe über den Browser machten über 30 Prozent aller Vorfälle aus (mehr als abgewehrte Attacken). Eine detaillierte Analyse dieser Daten finden Sie im zweiten Teil Malware-Statisik des Kaspersky Security Bulletin. Sicherheitslücken waren das Top-Thema im Jahr Sie kamen vor allem in den Produkten der Firma Adobe vor und wurden zum Haupteinfallstor für Malware. Nach wie vor geht der Trend weg von der Ausnutzung von Schwachstellen in Microsoft-Produkten und hin zur Ausnutzung von Sicherheitslücken in Produkten von Adobe und Apple (Safari, Quicktime, itunes). Das Schlüsselelement bei solchen Angriffen ist ein Bündel von Exploits, die verschiedene Sicherheitslücken in Browsern und den dazugehörigen Plug-ins ausnutzen. Die absoluten Spitzenreiter des Jahres 2010 nach Anzahl der registrierten Vorfälle waren Exploits, die Fehler in den Produkten der Firma Adobe ausnutzen. Während Cyberkriminelle Sicherheitslücken früher in erster Linie nur dazu ausnutzten, um in ein System einzubrechen, so wurden im Jahr 2010 einige Schadprogramme entdeckt, die sich verschiedene Schwachstellen auf allen Etappen ihrer Arbeit zu Nutze machen. Einige dieser Programme wie zum Beispiel der Wurm Stuxnet nutzen auch Zero-Day-Schwachstellen aus. Ergebnisse Anzahl der in den Datenbanken von Kaspersky Lab neu erfassten Schadprogramme In unserem Jahresbericht 2009 versuchten wir, die Entwicklungen innerhalb der Cybercrime-Szene und deren Angriffsarten für das Jahr 2010 vorherzusagen. Nach Ablauf des Jahres können wir nun, wie im Folgenden ausführlich erläutert, das Fazit ziehen, dass sich unsere Prognosen größtenteils bewahrheitet haben. 4

5 Zunahme der Attacken über Filesharing-Netze P2P-Netze beziehungsweise Filesharing-Netze erwiesen sich im Jahr 2010 tatsächlich als beliebtes Einfallstor für Malware. Diese Angriffe haben sich nach Browser-Attacken an der zweiten Stelle positioniert. Über Filesharing-Netze wurden praktisch alle Arten von Schadprogrammen verbreitet: Datei-Viren, gefälschte Antiviren-Lösungen, Backdoors und alle nur erdenklichen Würmer. Außerdem wurden solche Netze zum Hauptverbreitungsweg für neue Bedrohungen wie zum Beispiel ArchSMS. Die Zunahme der cyberkriminellen Aktivität in P2P- Netzen wurde auch von Sicherheits-Experten anderer Unternehmen registriert. So weist zum Beispiel die Firma Cisco in ihrem Bericht für das erste Halbjahr 2010 ( direkt auf den signifikanten Anstieg der Attacken in den drei populärsten P2P-Netzen BitTorrent, edonkey und Gnutella hin. Die Malware-Epidemie über P2P-Netze begann im März 2010, als die Zahl der mit Hilfe des Kaspersky Security Networks registrierten Vorfälle erstmals 2,5 Millionen im Monat überstieg. Zum Ende des Jahres registrierte Kaspersky Lab 3,2 Millionen Attacken dieser Art. Kampf um Traffic So genannte Partnerprogramme spielen nach wie vor eine überaus wichtige Rolle, wenn es um die Wechselbeziehungen zwischen Cyberkriminellen und Diensten zum Aufbau neuer Botnetze sowie zur Steuerung und Umverteilung bestehender Botnetz-Kapazitäten auf neue Einsatzgebiete geht. Neben ihren offensichtlich kriminellen Arbeitsgebieten, wie etwa der Infizierung von legalen Webseiten und von Anwendercomputern mittels Drive-by-Downloads, bedienten sich die Partnerprogramme im Jahr 2010 zunehmend auch so genannter grauer Einnahmequellen. Dazu zählen verschiedene Tricks, um den Anwender dazu zu bringen, sich freiwillig Dateien auf seinen Computer zu laden, die Verwendung von abgefangenen Ressourcen zur Black SEO (verbotene Methoden der Suchmaschinenoptimierung), Attention- Grabbing-Links und die Verbreitung von Adware sowie die Umleitung des Traffics auf verschiedene Ressourcen. Mehr über die aktuellen Arbeitsmethoden solcher Partnerprogramme erfahren Sie in der Analyse The Perils of the Internet ( /The_Perils_of_the_Internet). Epidemien und zunehmende Komplexität von Schadprogrammen Keine Epidemie war im letzten Jahr in Bezug auf Ausbreitungsgeschwindigkeit, Ausmaß und der ihr entgegengebrachten Aufmerksamkeit mit der des Wurms Kido (Conficker) aus dem Jahr 2009 vergleichbar. Betrachtet man die aufgezählten Faktoren im Einzelnen, so können allerdings 2010 viele Schadprogramme zweifellos zur Gattung der Epidemien (globalen Ausmaßes) gezählt werden. Die Botnetze Mariposa, ZeuS, Bredolab, TDSS, Koobface, Sinowal und Black Energy 2.0 waren im Jahr 2010 immer wieder Gegenstand von gerichtlichen Untersuchungen, und ihre Namen tauchten ständig in der Berichterstattung auf. Jedes dieser Botnetze steht für Millionen von infizierten Computern auf der ganzen Welt, und sie zählen zu den technisch kompliziertesten Schadprogrammen. Dabei wurden die Bots nicht nur mit konventionellen Mitteln wie in Umlauf gebracht. Die Cyberkriminellen setzten hier auch auf moderne Verbreitungsplattformen wie soziale Netzwerke und Dateitauschbörsen. Bei diesen Bedrohungen wurden zum Teil erstmals Schadprogramme für 64-Bit-Plattformen umgesetzt, viele verbreiteten sich mit Hilfe von Zero-Day- Schwachstellen. Ganz oben auf der Liste der Malware-Trends 2010 steht leider ein negatives Meisterstück, der Wurm Stuxnet. Stuxnet war das IT-Sicherheitsthema im zweiten Halbjahr Die Berichterstattung zu diesem Schädling, seinen möglichen Zielen und seinen Funktionsarten stellte alles vorher dagewesene in den Schatten. Der Fall Stuxnet zeigt, dass die am weitesten verbreiteten Programme auch immer die technisch kompliziertesten Bedrohungen darstellen. Damit wird die Messlatte auch für die Antiviren-Industrie höher gehängt, denn sie befindet sich in einem ständigen technologischen Wettstreit mit den Virenschreibern. Rückgang der gefälschten Antiviren-Programme Diese Vorhersage war überaus strittig selbst unter Kollegen gingen die Meinungen bei diesem Thema auseinander. Damit sie sich bewahrheitete, musste noch eine Reihe zusätzlicher Faktoren eintreffen, wie beispielsweise die Änderung der wichtigsten Einnahmemethoden für die Betreiber und Teilnehmer an Partnerprogrammen, die Gegenwehr seitens der Antiviren-Unternehmen und der Strafverfolgungsbehörden, sowie eine ernsthafte Konkurrenz unter den verschiedenen Gruppen von Cyberkriminellen, die sich mit der Entwicklung und Verbreitung von gefälschten Antiviren- Programmen beschäftigen. Stützt man sich am Ende des Jahres auf die mit Hilfe von KSN gewonnenen statistischen Daten um ein Fazit zu ziehen, so kommt man zu dem Schluss, dass die Anzahl von gefälschten Antiviren-Lösungen weltweit insgesamt tatsächlich abgenommen hat. Während in den Monaten Februar und März 2010 der Höhepunkt der Aktivität registriert wurde (etwa Vorfälle pro Monat), ging deren Verbreitung Ende des Jahres 2010 um das Vierfache zurück. Zudem ließ sich eine starke regionale Ausrichtung der bestehenden falschen Antiviren-Programme feststellen. Die Cyber-Betrüger konzentrierten sich lieber auf eine kleine Anzahl von Ländern und hier in erster Linie auf die USA, Frankreich, Deutschland und Spanien. 5

6 Angriffe auf und in Google Wave Das Projekt Google Wave wurde Mitte des Jahres 2010 von Google verworfen, so dass es gar nicht erst in vollem Ausmaß in Betrieb genommen werden und keine große Zahl an Teilnehmern an sich binden konnte. Aus diesem Grund hat sich die Vorhersage bezüglich der Attacken auf diesen Service und seine Kunden nicht bewahrheitet. Attacken auf das iphone und Android Im Jahr 2009 wurden die ersten Schadprogramme für das iphone sowie ein Spionageprogramm für Android entdeckt. Wir vermuteten, dass die Cyberkriminellen diesen Plattformen im Jahr 2010 wesentlich mehr Aufmerksamkeit widmen würden. Was das iphone betrifft, so gab es keine Vorfälle mit echten Schadprogrammen, die etwa mit dem Wurm Ike aus dem Jahr 2009 vergleichbar sind. Allerdings wurden im vergangenen Jahr einige Konzept-Programme für diese Plattform entwickelt, die demonstrieren, welche Waffen die Cyberkriminellen in ihr Arsenal aufnehmen könnten. Durchaus erwähnenswert ist hier das Programm Spy- Phone, das von Schweizer Forschern entwickelt wurde und sich unerlaubten Zugriff auf Informationen über den Aufenthaltsort, die Interessen, die Passwörter und den Suchverlauf im Internet sowie über den Beruf und die Freunde des iphone-anwenders verschaffen kann. Diese Informationen können daraufhin unbemerkt an einen entfernten Server geschickt werden. Eine solche Funktionalität kann erfolgreich in einer harmlos erscheinenden Anwendung verborgen werden. Früher waren vor allem die Endnutzer gefährdet, die zur Installation von Anwendungen aus beliebiger Quelle einen Jailbreak für ihr Telefon durchführten. Doch die Zeiten haben sich geändert: Heute sind Angriffe theoretisch vor allem dann möglich, wenn sich Anwender die vielgeliebten Apps aus dem Apple Store auf ihr Smartphone laden. Einige Vorfälle mit legalen Anwendungen sind bereits bekannt, bei denen unbemerkt Nutzerdaten gesammelt und diese an ihre Entwickler weitergeleitet werden. Die oben beschriebene Gefahrenlage für iphone-nutzer trifft auch auf Android zu mit einer wichtigen Ergänzung: Für diese Plattform wurden Schadprogramme gefunden, die eine eindeutig kriminelle Ausrichtung haben. Sie funktionieren nach der bereits erprobten Methode mobiler Trojaner und verschicken SMS-Nachrichten an kostenpflichtige Nummern. Der Schädling Trojan-SMS.AndroidOS.FakePlayer, für den offensichtlich russische Virenautoren verantwortlich sind, wurde im September 2010 von Kaspersky Lab entdeckt und ist die erste reale Android-Malware. Obgleich der Trojaner nicht über den Android Market (die offizielle Plattform zum Erwerb von Android-Anwendungen), sondern über betrügerische Websites verbreitet wurde, halten wir es für äußerst wahrscheinlich, dass auch im Android Market schädliche Anwendungen auftauchen werden. Außerdem gibt es eine Vielzahl legaler Anwendungen, die bei der Installation auf dem Telefon den Anwender um Zugriff auf private Daten, SMS-Sendefunktionen und Anrufdetails bitten. In den meisten Fällen leisten die Endnutzer diesen Bitten Folge Anlass, an der Zuverlässigkeit des Sicherheitskonzepts von Android insgesamt zu zweifeln. Zielgerichtete Attacken auf Unternehmen und Industrieobjekte Die unter dem Namen Aurora bekannte Attacke vom Anfang des Jahres 2010 betraf nicht nur das Unternehmen Google. Zwar war Google das Hauptziel der Angreifer, dennoch traf es auch eine Reihe anderer Konzerne überall auf der Welt. Der Vorfall deckte ernsthafte Sicherheitslücken in den Sicherheitssystemen auf und zeigte, wo die potentiellen Ziele für Cyberspionage und den Diebstahl sensibler kommerzieller Informationen sind. Auch in Zukunft werden Großunternehmen im Visier zielgerichteter Attacken stehen. Der Wurm Stuxnet ist nicht nur wegen seiner außergewöhnlichen Komplexität interessant, sondern in erster Linie aufgrund seines Ziels. Er hat speicherprogrammierbare Steuerungen (SPS) im Visier, die in der industriellen Produktion verwendet werden. Stuxnet markiert das erste allgemein bekannt gewordene Beispiel für industrielle Cyber-Spionage und -Sabotage, durch die ernsthafte Schäden verursacht werden können. Die frühere Grenze zwischen der virtuellen und der realen Welt ist praktisch verschwunden, was uns alle vor völlig neue Aufgaben stellt, die es in nächster Zeit zu lösen gilt. Digitale Zertifikate Digitale Zertifikate und Signaturen gehören zu den Säulen, auf denen das Vertrauen zu verschiedenen Objekten in der Computerwelt fußt. Selbstverständlich spielt das Vorhandensein einer Signatur in einer Datei auch bei der Entwicklung von Antiviren-Lösungen eine wichtige Rolle. So werden von vertrauenswürdigen Herstellern signierte Dateien als sauber bewertet. Diese Technologie ermöglicht es den Entwicklern von Antiviren-Programmen, die Zahl von False-Positives zu reduzieren und gleichzeitig Ressourcen beim Scan des Anwendercomputers auf Infizierungen einzusparen. Die Ereignisse des Jahres 2010 haben gezeigt, dass Cyberkriminelle, wie jeder andere Softwareentwickler, auf völlig legalem Weg an digitale Zertifikate kommen können. Etwa indem sie offiziell eine Software zur Remote-Steuerung ohne GUI entwickeln, bei der es sich in Wahrheit um eine Backdoor handelt. Vor allem Entwickler von AdWare, RiskWare und gefälschten Antiviren-Programmen bevorzugen diese Methode, um die eigene Malware vor Entdeckung durch eine Antiviren-Lösung zu schützen. Haben die Kriminellen erst einmal den notwendigen Schlüssel vom Zertifizierungsdienstanbieter erhalten, können Sie damit ohne großen Aufwand ihre Schadprogramme signieren. Man kann nun mit Fug und Recht behaupten, dass die Idee der Signatur von Programmen ernsthaft in Misskredit geraten ist. Nicht nur, dass unbescholtene Zertifizierungsdienstanbieter in Misskredit geraten es sind die Cyberkriminellen selbst, die derartige Dienste anbieten. 6

7 Außerdem ist ein Zertifikat oder genauer ausgedrückt sein geheimer Schlüssel nichts anderes als eine Datei, die wie jedes andere virtuelle Eigentum auch gestohlen werden kann. Die entdeckten Komponenten des Wurms Stuxnet waren mit Hilfe von Zertifikaten der Firmen Realtek Semiconductors und JMicron signiert. Wie genau der geheime Schlüssel in die Hände der Cyberkriminellen gelangte, ist nicht bekannt. Doch offensichtlich gibt es hier verschiedene Möglichkeiten, um an echte Zertifikate zu kommen. Womöglich haben die Hintermänner von Stuxnet diese wichtigen Dateien Insidern abgekauft oder sie mit Hilfe einer Backdoor oder eines ähnlichen Schadprogramms gestohlen. Der Diebstahl von Zertifikaten ist zum Beispiel eine der Funktionen des weit verbreiteten Trojaners Zbot (ZeuS). Die bedeutendsten Ereignisse des Jahres Aurora Die Attacke der Operation Аurora in den ersten Monaten des Jahres 2010 erregte nicht nur unter Sicherheitsexperten Aufmerksamkeit, sondern fand auch in den Massenmedien große Beachtung. Wie bereits oben erwähnt, standen große Unternehmen im Visier der Angreifer, darunter auch Google und Adobe. Die Cyberkriminellen, die hinter diesen Angriffen steckten, wollten nicht nur vertrauliche Anwenderdaten stehlen, sondern auch an die Quellcodes verschiedener Unternehmensprojekte gelangen. Das wichtigste Werkzeug bei den Angriffen war ein Exploit zu der Sicherheitslücke CVE im Internet Explorer. Als diese erstmals durch Cyberkriminelle ausgenutzt wurde, verfügte Microsoft noch nicht über einen entsprechenden Patch, um diese Lücke zu schließen. So wurde Aurora zu einem weiteren krassen Beispiel für die Ausnutzung von Zero-Day- Schwachstellen. Erpresser-Trojaner Anfang und Mitte 2010 wurde eine Vielzahl von Infizierungen mit verschiedenen Modifikationen so genannter SMS-Blocker für User in Russland und einigen anderen osteuropäischen Ländern zu einem ernsthaften Problem. Diese Schadprogramme wurden auf verschiedene Arten verbreitet, mit Hilfe von Drive-by-Downloads unter anderem über populäre russischsprachige soziale Netzwerke sowie über Filesharing-Netze. Auf den infizierten Computern blockierten sie Betriebssystem- Funktionen oder auch den Zugriff auf das Internet. Anschließend forderten sie den Anwender auf, eine SMS an eine kostenpflichtige Premium-Nummer zu senden, um so den entsprechenden Freischalt-Code zu erhalten. Das Problem und die Zahl der betroffenen User nahmen derartige Ausmaße an, dass nicht nur Strafverfolgungsbehörden darauf aufmerksam wurden, sondern auch die russischen Massenmedien ausführlich darüber berichteten. Das geschah sowohl online als auch im Fernsehen. Auch die Mobilfunkanbieter leisteten ihren Beitrag im Kampf gegen die Erpresser, indem sie neue Regeln bei der Registrierung und Arbeit mit Kurzwahlnummern einführten, laufend die betrügerischen Accounts sperrten und ihre Kunden über den SMS- Betrug informierten. Ende August wurden in Moskau mehrere Personen verhaftet und wegen der Programmierung von SMS- Blockern angeklagt. Angaben des Innenministeriums der Russischen Föderation zufolge belaufen sich die illegalen Einnahmen dieser Gruppe auf etwa 500 Millionen Rubel (zirka 12,5 Millionen Euro). Aus der Welt geschafft ist dieses Problem damit noch nicht. Cyberkriminelle haben andere Wege eingeschlagen, um das Geld der Betroffenen für die Entsperrung abzukassieren, beispielsweise mittels Überweisung über elektronische Bezahlsysteme und ähnlicher Methoden. Überdies wurden Ende des Jahres neue Vorfälle von Verschlüsselungs-Trojanern nach Art von Gpcode registriert, die Daten mit Hilfe der widerstandsfähigen Algorithmen RSA oder AES chiffrieren und ebenfalls Geld für die Wiederherstellung der entsprechenden Informationen fordern. Stuxnet Die Entdeckung des Wurms Stuxnet im Sommer 2010 war bezüglich seines Einflusses auf die Branche eines der wichtigsten Ereignisse und zwar nicht nur des Jahres Schon die erste Analyse des Wurms brachte zwei entscheidende Faktoren zutage, die eine eingehendere Untersuchung unumgänglich machten. Erstens wurde festgestellt, dass der Wurm auf Windows-Betriebssystemen sofort eine Zero-Day-Sicherheitslücke ausnutzt, die mit der fehlerhaften Bearbeitung von LNK-Dateien zu tun hat (CVE ). Diese Sicherheitslücke wird dazu verwendet, Schaddateien von mobilen USB-Speichern aus zu starten. Auch andere Cyberkriminelle wurden sehr schnell auf diese Schwachstelle aufmerksam, und bereits im Juli registrierten wir andere Schadprogramme, die ebenfalls die entsprechende Sicherheitslücke ausnutzten. Insbesondere stellten wir fest, dass die Schädlingsverbreiter Sality und Zbot (ZeuS) einen Exploit für diese Schwachstelle einsetzten. Allein im dritten Quartal 2010 waren 6 Prozent aller Mitglieder des Kaspersky Security Network (KSN) von Angriffen betroffen, die auf dem Exploit zur Sicherheitslücke CVE basieren. Zweitens verwendete der Wurm legale digitale Zertifikate der Firma Realtek. Interessant ist zudem, dass nach einer gewissen Zeit eine schädliche Stuxnet- Komponente entdeckt wurde, die mit einem Zertifikat der Firma JMicron signiert war. Die Original-Trägerdatei (Dropper), die diese Komponente vermutlich installiert hatte, konnte dagegen bisher nicht gefunden wer- 7

8 den. Die Herkunft dieser Komponente ist eine weitere Unbekannte in der ohnehin schon überaus rätselhaften Stuxnet-Geschichte. Die eingehende Analyse förderte außerdem zutage, dass der Wurm drei weitere Exploits für Zero-Day- Schwachstellen in Windows einsetzt. Der erste dient der Verbreitung des Wurms im lokalen Netzwerk und nutzt eine Sicherheitslücke im Druckdienst aus. Diese Schwachstelle wurde von Kaspersky Lab entdeckt, und Microsoft veröffentlichte den entsprechenden Patch im September Mit zwei weiteren Sicherheitslücken erhöhte der Wurm seine Privilegien im System über die Komponente win32k.sys und mit Hilfe des Task Scheduler. An der Entdeckung der erstgenannten Schwachstelle waren ebenfalls Experten von Kaspersky Lab beteiligt. Stuxnet nutzt insgesamt fünf Schwachstellen aus, plus einer Sicherheitslücke in der Software Siemens WinCC, die mit den standardmäßig eingestellten Zugriffspasswörtern zu tun hat. Das ist allerdings nicht die bemerkenswerteste Eigenschaft des Wurms. Die destruktive Aktivität von Stuxnet richtet sich gegen Systeme mit einer bestimmten Konfiguration von SIMA- TIC WinCC/PCS7, die und das ist das Entscheidende auf spezielle Modelle von speicherprogrammierbaren Steuerungen (SPS) sowie auf Frequenzumrichter von bestimmten Herstellern zugreifen können. Die vom Wurm installierte dynamische Bibliothek fängt einen Teil der Systemfunktionen ab und kann dementsprechend Einfluss auf die Systemoperationen zur Steuerung des Industrieobjektes nehmen. Die wichtigste Aufgabe des Wurms besteht darin, die Funktionslogik der Controller in den Frequenzumformern zu ändern. Diese Controller überwachen die Drehgeschwindigkeit von Motoren. Dabei funktionieren sie nur mit Motoren mit einer sehr hohen Drehgeschwindigkeit, für die es nur wenige Einsatzgebiete gibt, zum Beispiel in Zentrifugen. TDSS Unter den klassischen Schadprogrammen gebührt dem Schädling TDSS im Jahr 2010 der Siegerkranz. Das Attribut klassisch ist dem Auftauchen des oben beschriebenen gefährlichen Wurms Stuxnet geschuldet, bei dem es sich zweifellos um eine absolute Neuheit in der Computerviren-Szene handelt, und der nicht das Werk gewöhnlicher Cyberkrimineller sein kann. Der Backdoor TDSS war bereits mehr als einmal Thema in unseren Analysen aus den Jahren 2009 und Auch bei den Analysten anderer Antiviren-Anbieter ist dieser Schädling auf großes Interesse gestoßen, denn abgesehen von Stuxnet handelt es sich bei TDSS um den derzeit kompliziertesten Schadcode überhaupt. In TDSS werden nicht nur ständig neue Methoden umgesetzt, um seine Anwesenheit im System zu verbergen und um das Botnetz zu steuern. Seine Autoren nutzen auch immer wieder verschiedene Sicherheitslücken aus, sowohl bereits gepatchte als auch Zero-Day-Schwachstellen. Im Jahr 2010 lief TDSS erstmals auch auf 64-Bit-Systemen. Die entsprechende Modifikation wurde im August des vergangenen Jahres entdeckt und erhielt die interne Nummer TDL-4. Zur Umgehung des Systemschutzes von Windows setzten die TDSS-Autoren auf eine Infizierung des MBR, die in ähnlicher Form auch Sinowal verwendet ein anderer Trojaner. Bei erfolgreicher Infizierung des MBR wird der Schadcode noch vor dem Start des Betriebssystems ausgeführt und kann die Bootparameter dahingehend ändern, dass im System nicht signierte Treiber registriert werden können. Der Downloader des Rootkits, der bestimmt, ob der Schädling unter einem 32-Bit- oder 64-Bit-System laufen soll, legt den Treibercode im Speicher ab und registriert diesen im System. Danach erfolgt der Start des Betriebssystems mit dem bereits integrierten Schadcode. Dabei ändert das Rootkit nicht den Kernbereich des Betriebssystems, den Windows mit der Technologie PatchGuard schützt. Die Firma Microsoft wurde von unseren Experten über das Problem informiert, stufte diese Besonderheit jedoch nicht als ein und klassifizierte sie nicht als Sicherheitslücke, da der Trojaner für die Registrierung im Bootsektor bereits über administrative Privilegien im System verfügen muss. Um derartige Privilegien zu erhalten, setzt TDSS verschiedene Tricks ein und wird fortwährend perfektioniert. So entdeckten wir Anfang Dezember eine weitere Zero-Day-Schwachstelle, die TDSS ausnutzt, um seine Privilegien zu erhöhen. Diese Sicherheitslücke im Task Scheduler kam erstmals in Stuxnet zum Einsatz und wurde erst Mitte Dezember 2010 von Microsoft geschlossen. Zahlreiche Vorfälle bei Twitter und Facebook Zwei der populärsten und sich am schnellsten entwickelnden sozialen Netzwerke standen 2010 im Zentrum zahlreicher Attacken. Diese Angriffe fanden nicht nur vor dem Hintergrund statt, dass Cyberkriminelle in diesen Netzen eine weitere Möglichkeit sahen, um ihre Schadprogramme zu verbreiten. Die Attacken nutzten auch in diesen Netzwerken entdeckte Sicherheitslücken aus, die ihnen den Vertrieb erleichterten. Unter den Schädlingen für soziale Netzwerke waren die zahlreichen Varianten des Wurms Koobface am aktivsten. Sie richteten sich im Wesentlichen gegen Twitter, wo Links auf trojanische Programme über gehackte User-Accounts verbreitet wurden. Wie effizient Versendungen innerhalb sozialer Netzwerke sind, zeigt die Statistik. Allein im Verlauf einer eher unbedeutenden Attacke auf Twitter erhielten innerhalb einer Stunde mehr als 2000 Anwender den entsprechenden Link. Eine mit der Popularität des iphones zusammenhängende und bezeichnende Geschichte ereignete sich im Mai im sozialen Netzwerk Twitter. Am 19. Mai kündigten die Betreiber von Twitter offiziell die neue Applikation Twitter für iphone an. Cyberkriminelle entschlossen 8

9 sich, auf der Diskussionswelle mitzusurfen, die sich nach Veröffentlichung der Bekanntmachung aufbaute. Weniger als eine Stunde nach Erscheinen dieser Neuigkeit wurde Twitter von Mitteilungen überschwemmt, in denen immer wieder die Wortkombination twitter iphone application auftauchte, und die zudem Links auf das Schadprogramm Worm.Win32.VBNA.b enthielten. Zudem nutzten manche Malware-Autoren Twitter auch beispielsweise dazu, neue Domainnamen für Botnetz- Steuerungszentren zu generieren. Einige im Jahr 2010 bei Twitter entdeckte XSS-Sicherheitslücken wurden ebenfalls aktiv von Cyberkriminellen ausgenutzt. Besonders bemerkenswert waren die im September durchgeführten Attacken. Einige XSS-Würmer wurden auf das soziale Netzwerk losgelassen und verbreiteten sich ohne Beteiligung der User es genügte bereits, eine infizierte Mitteilung anzuschauen. Wir schätzen, dass im Zuge dieser Epidemien mehr als eine halbe Million Twitter-User angegriffen wurden. Im Mai etablierte sich bei Facebook eine ganz neue Angriffsart, die mit der neu eingeführten Funktion like ( gefällt mir ) zusammenhängt. Wie sich unschwer erraten lässt, ist diese Funktion für die Liste dessen verantwortlich, was dem Inhaber des jeweiligen Accounts gefällt. Tausende Anwender fielen der Attacke zum Opfer, die analog zu clickjacking den Namen likejacking erhielt. Auf Facebook wurden zudem Köder-Links platziert, die zum Beispiel die Fußball-WM 2010 in hoher Auflösung oder die 101 attraktivsten Frauen der Welt versprachen. Die Links führten auf eine speziell erstellte Seite, auf der per Javascript direkt unter dem Mauspfeil ein unsichtbarer gefällt mir -Button platziert wurde. Der Button folgte dem Mauspfeil, so dass der User unausweichlich die Schaltfläche klickte und so automatisch den Link auf seine Pinnwand kopierte. Anschließend wurden die Freunde des Anwenders darüber informiert, dass ihm dieser Link gefällt. Nun funktionierte die Attacke nach dem Schneeballsystem: Die Freunde des Users folgten dem Link, daraufhin die Freunde der Freunde, dann deren Freunde und so weiter. Nachdem der Link auf die Pinnwand kopiert wurde, gelangte der Anwender auf die Seite mit den anfangs versprochenen Informationen, zum Beispiel Fotos junger Mädchen. Hinter der der Attacke verbarg sich eine illegale Einnahmequelle: Auf dieser Seite befand sich nämlich ein kleines Javascript eines Werbeunternehmens, das den Organisatoren der Attacke für jeden Besucher der Seite eine kleine Geldsumme zahlte. Verhaftungen von Cyberkriminellen und Schließung von Botnetzen In den Jahren 2008 bis 2009 führte der Kampf der Aufsichtsbehörden, der Telekommunikationsunternehmen sowie der Antiviren-Industrie gegen kriminelle Internet- Hostings und -Services zu gewissen Erfolgen. Den Anfang machte Ende 2008 die Schließung verschiedener Dienste wie McColo, Atrivo oder EstDomains. Im Jahr 2009 wurden die Aktionen fortgesetzt und führten zur Beendigung der Tätigkeiten von UkrTeleGroup, Real- Host und 3FN. Für die Strafverfolgungsbehörden in verschiedenen Ländern wurde 2010 zum erfolgreichsten Jahr im Kampf gegen die Cyberkriminalität. Wir erwähnten bereits, dass einige Autoren von SMS-Blockern in Russland inhaftiert wurden, doch das ist nur ein kleiner Teil einer weltweiten Kampagne, um die Verbrecher zur Rechenschaft zu ziehen. Anfang 2010 wurde ein Teil der Steuerungsserver desjenigen Botnetzes abgeschaltet, das mit Hilfe des Schädlings -worm.Win32.Iksmas alias Waledac aufgebaut worden war. Das Zombienetz war aufgrund massiver Spam-Attacken mit bis zu 1,5 Milliarden E- Mails in 24 Stunden bekannt geworden. Außerdem integrierte es aktuelle Themen in seine Mitteilungen, verschickte s mit Links auf Iksmas und setzte bei seinen Bots serverseitigen Polymorphismus sowie die Fast Flux-Technologie ein. Im Sommer verhaftete die spanische Polizei die Betreiber von Mariposa, einem der größten Botnetze überhaupt. Dieses Zombienetz wurde mit Hilfe des Wurms P2P-worm.Win32.Palevo aufgebaut. Der Wurm verbreitet sich über Peer-to-Peer-Kanäle, Instant-Messaging-Systeme und über die Autorun-Funktion, das heißt über beliebige mobile Geräte wie Fotoapparate oder USB-Sticks. Die wichtigste Einnahmemethode von Palevo war der Verkauf und die Verwendung gestohlener Userdaten: Anmeldeinformationen und Passwörter verschiedener Dienste, in erster Linie Online-Banking. Später wurden in Slowenien vier junge Leute verhaftet, die beschuldigt werden, den Wurm- Schadcode im Auftrag spanischer Kunden entwickelt zu haben. Nach Einschätzungen von Experten hat das Botnetz Mariposa bis zu 12 Millionen Rechner umfasst, was es zu einem der größten in der Geschichte des Internets macht. Im Frühjahr 2010 wurde in Russland einer der Organisatoren des so genannten RBS hack festgenommen und im September verurteilt. Im Jahr 2009 wurde ausführlich darüber berichtet, dass Unbekannte mehr als neun Millionen Dollar aus Hunderten von Bankautomaten rund um den Globus gestohlen hatten. Ungeachtet der Schwere des Verbrechens und der Höhe der Summe verurteilte ein Gericht in Sankt Petersburg den Angeklagten zu sechs Jahren Freiheitsentzug auf Bewährung. Andere Organisatoren dieser Attacke wurden in Estland verhaftet und an die USA ausgeliefert, wo sie jetzt auf ihren Prozess warten. Zwei weitere an dem Angriff Beteiligte wurden ebenfalls inhaftiert, einer in Frankreich, der andere in Russland. Im Herbst wurden viele Kriminelle verhaftet, die mit dem Einsatz des Schadprogramms ZeuS zu tun hatten. Ende September wurden 20 aus Russland, der Ukraine und anderen osteuropäischen Ländern stammende Personen verhaftet. Bei ihnen handelte es sich um Money Mules: Wäscher von Geld, das mit Hilfe dieses Trojaners gestohlen worden war. Gleichzeitig wurde in 9

10 Großbritannien eine Gruppe von Personen aufgrund eines ähnlichen Tatbestandes festgenommen. Kurz darauf erklärte der mutmaßliche Autor von ZeuS in verschiedenen Foren, in denen Vertreter der russischsprachigen Cyberkriminellen-Szene verkehren, dass er sich aus dem Geschäft zurückziehen und den Quellcode des Trojaners und seiner Module an einen anderen Entwickler weitergeben werde. Mitte Oktober wurde auch die Geschichte eines weiteren bekannten Botnetzes beendet, das auf dem trojanischen Programm Bredolab basierte. Tatsächlich ist hier nicht von einem einzelnen Zombienetz die Rede, sondern gleich von mehreren, deren Steuerung Hunderte zentraler Server übernahmen. Sie alle wurden infolge einer Aktion der holländischen und französischen Cyberpolizei abgeschaltet. Zum Zeitpunkt seiner Schließung bestand das größte Segment des Botnetzes aus über infizierten Rechnern. Der Betreiber des Botnetzes ist Armenier. Er wurde mehrere Monate observiert und nachdem die Server abgeschaltet waren bei seiner Ankunft aus Moskau am Flughafen Jerewan festgenommen. Es ist anzunehmen, dass er in Russland illegalen Geschäften mit anderen Cyberkriminellen nachgegangen ist. Verschiedenen Quellen zufolge ist er bereits seit fast einem Jahrzehnt im Cyberkriminellen-Business aktiv und zudem verantwortlich für eine Reihe Aufsehen erregender DDoS-Attacken und Spam-Versendungen. Eine weitere illegale Einnahmequelle bestand in der Vermietung und dem Verkauf von Teilen des Zombienetzes an andere Kriminelle. Prognosen für 2011 Daten, Daten, Daten: Cyberattacken Der ultimative Datenklau Bei früheren Prognosen haben wir uns ausschließlich аuf die Methoden der Cyberangriffe konzentriert, wie zum Beispiel Attacken auf mobile Plattformen, Sicherheitslücken und ähnliches. Das hängt damit zusammen, dass das einzige Ziel der Cyberkriminellen immer nur Geld war. Die Entwicklung des letzten Jahres hat allerdings gezeigt, dass die Welt der Cyberkriminalität sich im Wandel befindet und wir im Jahr 2011 zusätzlich zu den Methoden nun auch die Bereiche Organisatoren von Cyberattacken und deren Ziele eingehender betrachten müssen. Man kann diese Entwicklung mit dem Verschwinden von Schadprogrammen vergleichen, die just for fun geschrieben wurden und mit dem darauffolgenden Aufkommen der modernen Cyberkriminalität. Methoden Zum Einstieg in diesen Abschnitt sei erwähnt, dass die Methoden der Cyberattacken nicht von ihren Organisatoren und Zielen abhängen. Sie spiegeln vielmehr die technischen Möglichkeiten wider, die moderne Betriebssysteme, das Internet und seine Services Cyberkriminellen heute bieten. Rückblickend kann gesagt werden, dass 2010 das Jahr der Sicherheitslücken war. Wir gehen davon aus, dass sich im neuen Jahr dieses Problem weiter verschärfen wird. Programmfehler werden wohl noch häufiger als schon geschehen ausgenutzt werden. Diese Entwicklung wird begünstigt durch die Entdeckung neuer Sicherheitslücken in gängigen Produkten (Windows, Office, Produkte von Adobe und Apple). Stichwort Zero-Day-Schwachstelle : Vor wenigen Jahren war die Ausnutzung von Zero-Day-Schwachstellen ein einzigartiges Phänomen im ausgehenden Jahr jedoch keine Seltenheit mehr. Und wir gehen davon aus, dass diese Tendenz sich fortsetzen und die Zero-Day-Bedrohungen weiter zunehmen werden. Zudem werden künftig nicht nur die unter Cyberkriminellen so beliebten Sicherheitslücken der Klasse remote code execution ausgenutzt werden, sondern auch die bisher kaum beachteten Schwachstellen zur Erhöhung der Systemprivilegien, der Datenmanipulation und der Umgehung der Schutzmechanismen des Systems. Aber auch auf der menschlichen Seite hat sich einiges getan, und so werden die immer professioneller agierenden Cyberkriminellen schneller denn je auf ihre Aufdeckung und Entdeckung reagieren können. Nach wie vor werden die wichtigsten illegalen Einnahmequellen im Diebstahl von Online-Banking-Accounts, Spamversand, der Organisation von DDoS-Attacken, Erpressung und Betrug liegen. Um diese Ziele zu erreichen, werden mehr oder weniger häufig dieselben Methoden wie heute auch angewendet werden. Ohne Zweifel wird die Zahl der Bedrohungen für 64-Bit- Plattformen zunehmen. Da das Leben sich zunehmend in sozialen Netzwerken abspielt, wird auch im neuen Jahr die Zahl der Angriffe auf Nutzer sozialer Netzwerke zunehmen. Dabei werden die meisten Attacken Sicherheitslücken ausnutzen und über den Browser realisiert werden. DDoS-Attacken bleiben eines der wichtigsten Probleme des Internets. Zudem müssen wir uns auf neuartige Angriffe auf mobile Geräte und Betriebssysteme einstellen. In erster Linie wird das neue Jahr für Android recht gefährlich werden. Doch all das wird nur der Hintergrund sein vor einer sich grundlegend gewandelten Landschaft, die geprägt sein wird von dem Auftreten neuer Organisatoren und neuer Ziele der Cyberattacken. Neue Organisatoren und neue Ziele Wie eingangs erwähnt, waren die letzten Jahre hinsichtlich des Zwecks der Cyberattacken recht überschaubar, ging es doch größtenteils um Geld. Das Auftreten von Stuxnet allerdings läutete eine neue Ära ein, denn hier wurden gewisse moralische und technische Grenzen überschritten. Die Angriffe des Wurms haben der ganzen Welt eindrucksvoll gezeigt, dass es Cyberwaffen gibt, denen man nicht ohne Weiteres, ganz im Gegenteil nur mit äußerster Anstrengung Widerstand leisten kann. Nachdem die erste Stuxnet-Welle für die Cyberkriminellen so erfolgreich gelaufen ist, ist es nicht ausgeschlossen, dass zukünftig auch Cyber-Nachrichtendienste und kommerzielle Unternehmen ihr Wissen und ihre Möglichkeiten in Stuxnet-ähnliche Programme 10

11 stecken werden. Traditionelle Cyberangriffe werden natürlich nach wie vor Standard sein und somit die Basis der Kriminalität im Web bilden. Der normale Nutzer wird auch höchstwahrscheinlich nicht von Stuxnetartigen Schädlingen betroffen sein. Das Szenario wird vielmehr einem unsichtbaren Kampf gleichen, dessen Episoden nur äußerst selten und wenn, dann zufällig ins Blickfeld der Massenmedien geraten. Die meisten Opfer werden daher nie erfahren, wie und von wem ihnen Schaden zugefügt wurde. Dabei ist die Rede noch nicht einmal unbedingt von Cyberspionage, wie Stuxnet sie betrieben hat. Das generelle Ziel dieser Art von Angriffen werden Informationen jeglicher Art sein. Stuxnet hat eine neue Ära der Cyberbedrohungen eingeläutet. Wir gehen davon aus, dass diese Entwicklung im Jahr 2011 nur ihren Anfang nimmt und erst in den darauffolgenden Jahren zur vollen Entfaltung kommt. Allerdings ist schon jetzt klar, dass durch diese neue Qualität der Attacken und derer, die sie vorbereiten, der Kampf gegen Cyberbedrohungen wesentlich schwerer wird. Spyware 2.0 Die Zeit ist reif für ein neues Konzept: Spyware 2.0 löst das alte Konzept der Malware 2.0 ab. Neben Spamversand und Organisation von DDoS-Attacken besteht die Hauptfunktionalität moderner Schadprogramme im Diebstahl von Anwender-Accounts. Im Fokus stehen hier Banken, , soziale Netzwerke und vieles mehr. Doch Account-Daten sind bei Weitem nicht alles, und vor allem nicht das Wertvollste, was beim Anwender zu holen ist. Im Jahr 2011 erwarten wir eine neue Klasse von Spionageprogrammen, deren Funktionalität schlicht und einfach darin besteht, alles zu stehlen, was es zu stehlen gibt. Diese Art der Spyware wird sich für den Anwender selbst interessieren Wohnort, Arbeit, Hobbys, Bekannte, Familienstand und Familie, Haarfarbe, Augenfarbe, Dokumente, Fotos und so weiter. Nichts auf dem infizierten Computer wird vor ihnen sicher sein. Derartige Daten werden schon jetzt von sozialen Netzwerken und Verkäufern von Internetwerbung gesammelt, denn der Markt dafür existiert. Und wo ein Markt ist, gibt es Nachfrage, lässt sich Geld verdienen. Dabei ist die weitere Verwertung dieser Daten nicht einmal wichtig. Die Hauptsache bei Nachfrage und Angebot besteht darin, dass sich hier Cyberkriminellen eine neue Einnahmequelle eröffnet. Informationen sind der größte Wert in der heutigen Zeit. Der Interessensbereich derer, die solche Angriffe initiieren, wird sich signifikant erweitern wird also auch das Jahr von universellen Allround-Dieben werden. Cyberkriminelle haben in den letzten Jahren einen regelrechten Professionalisierungsprozess durchlaufen. Früher waren neben den Heimanwendern ausschließlich Finanzinstitute und verschiedene Bezahlsysteme für die Cyberkriminellen attraktiv. Heute sind sie technisch so weit fortgeschritten, dass sie sich auf den Markt der Industriespionage, des Betrugs und der Erpressung vorwagen können. Zusammenfassung der Haupttrends 2011 Der Ausblick auf das Jahr 2011 lässt Schlimmes ahnen. Sicherlich war zu erwarten, dass Cyberkriminalität nicht abnehmen wird aber nun erreichen die Attacken eine neue Qualität, und wir sehen uns einer neuen Professionalität der Cyberkriminellen gegenüber. Hier die Tendenzen im Überblick: Bei der Entwicklung von Schadprogrammen und der Organisation von Cyberattacken treten neue, professionellere Spieler auf den Plan. Schädliche Programme werden nicht mehr nur entwickelt, um damit Geld zu verdienen, sondern vermehrt, um Informationen jeglicher Art zu erhalten. Informationen werden zum Hauptziel von Cyberattacken und gleichzeitig zu einer neuen Einnahmequelle der traditionellen Cyberkriminalität. Sicherheitslücken gehören weiterhin zu den wichtigsten Methoden zur Durchführung von Cyberattacken, wobei sowohl das Spektrum der Schwachstellen erweitert als auch die Ausnutzungs- Geschwindigkeit erhöht werden. Mit Spyware 2.0 wird eine neue Klasse von Schadprogrammen auf den Diebstahl von persönlichen Anwenderdaten (Identitätsdiebstahl) spezialisiert sein, aber auch auf den Diebstahl von allen nur erdenklichen Daten. Spyware 2.0 wird nicht nur ein Werkzeug in den Händen der traditionellen Cyberkriminellen sein, sondern auch von den neuen Profis für Attacken eingesetzt werden. Unternehmen werden vermehrt Opfer von Cyberkriminalität werden. Infos zum Kaspersky Security Network (KSN) Das Kaspersky Security Network (KSN) ist eine der wichtigsten Funktionen in den Heimanwender-Produkten, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen. Mit Hilfe des KSN können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren. Gleichzeitig verbessert KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig. 11

12 Kaspersky Security Bulletin 2010/2011 Teil 2: Malware-Statistik Die vorliegenden Daten wurden mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet. Das KSN setzt in den Produkten für Heimanwender und Unternehmen eine Cloud-Architektur ein und gehört zu den wichtigsten Technologien von Kaspersky Lab. Das Kaspersky Security Network ermöglicht es unseren Experten, in Echtzeit selbst solche Schadprogramme aufzuspüren, für die es bisher noch keine Signaturen oder heuristische Erkennungsmethoden gibt. Mit Hilfe des KSN können wir die Verbreitungsquellen von Schadprogrammen im Internet identifizieren und Anwender vor dem Zugriff auf diese Quellen schützen. Gleichzeitig ermöglicht das KSN eine sehr schnelle Reaktion auf neue Bedrohungen innerhalb weniger Sekunden nach seiner Entdeckung auf dem Computer des Anwenders wird das Schadprogramm blockiert, und zwar ohne die sonst übliche Aktualisierung der Antiviren-Datenbanken. Die häufigsten Schadprogramme im Internet 2010 Platz Name Anzahl der Angriffe Anteil 1 Blocked ,94% 2 Trojan.Script.Iframer ,45% 3 Trojan.Script.Generic ,38% 4 Trojan-Downloader.Script.Generic ,39% 5 Trojan.Win32.Generic ,64% 6 Exploit.Script.Generic ,57% 7 Exploit.JS.Agent.bab ,54% 8 AdWare.Win32.Shopper.l ,45% 9 Trojan-Clicker.JS.Iframe.bb ,40% 10 Trojan-Dropper.JS.Hexzone.bu ,37% 11 Trojan.JS.Agent.bhr ,35% 12 Trojan.Win32.StartPage ,28% 13 Trojan.HTML.Fraud.bl ,27% 14 AdWare.Win32.FunWeb.q ,25% 15 Trojan-Spy.Win32.Agent.bdpj ,22% 16 Exploit.Java.CVE a ,21% 17 Trojan.JS.Iframe.fe ,19% 18 Trojan-Downloader.Win32.Generic ,18% 19 AdWare.Win32.HotBar.dh ,18% 20 Trojan-Downloader.Win32.Zlob.aces ,17% Die im Jahresbericht vorgestellten Statistiken basieren auf Daten von Kaspersky Lab-Produkten, deren Anwender zugestimmt haben, dass die Software statistische Informationen sammeln und zu Auswertungszwecken an Kaspersky Lab schicken darf. Schadprogramme im Internet (Attacken über das Web) Seit der Veröffentlichung unseres letzten Jahresberichts hat sich die Situation bezüglich der Attacken über den Browser wesentlich verschlechtert. Während im Jahr 2008 noch Browser-Attacken auf KSN-Mitglieder stattfanden und deren Zahl im letzten Jahr auf wuchs, so zählten wir im Jahr 2010 ganze Angriffe. Dieser Zuwachs hängt mit der Verbreitung von Exploit- Sammlungen zusammen, die Angriffe per Drive-by- Download einleiten. Unter diesen Sammlungen sind Eleonore und Neosploit besonders erwähnenswert. Cyberkriminelle setzen sie insbesondere zur Verbreitung von Malware über Partnerprogramme nach dem Schema PPI (Pay Per Install) ein. Auch die sich selbst verbreitenden Web-Infektionen wie zum Beispiel Gumblar oder Pegel dürfen nicht außer Acht gelassen werden. Diese Systeme verwenden von Cyberkriminellen gestohlene Passwörter für den Zugriff auf Webressourcen und sind in der Lage, Webseiten automatisch zu infizieren. Web-Botnetze, die ihren Pool an Zombie-Computern ständig aktualisieren, gehören zu den komplexesten Problemen der modernen IT-Sicherheit. Der erste Schritt zur Verbreitung der Bots läuft hauptsächlich über gehackte legitime Webseiten, deren Zusammensetzung sich immer wieder ändert. Die Attacken über den Browser waren im Jahr 2010 die wichtigste Eindringungsmethode von Malware auf die Computer der Anwender, und für die nähere Zukunft sehen wir keinerlei Anzeichen dafür, dass sich diese Situation ändert. Sicherheitslücken in Browsern (in erster Linie im Internet Explorer) und auch in Browser- Anwendungen wie Adobe Flash Player und PDF Reader tauchen weiterhin praktisch jeden Monat auf, und jede von ihnen wird dann innerhalb kürzester Zeit von Cyberkriminellen ausgenutzt. Im Jahr 2010 haben wir das Kaspersky Security Network um neue Algorithmen zur Erkennung potentiell gefährlicher Webseiten und Anwendungen im Netz erweitert. Zusammen mit dem System zur Entdeckung von Phishing-Seiten ermöglichen uns diese Technologien, über 60 Prozent der Web-Attacken im allerfrühsten Stadium zu identifizieren. Das geschieht ganz ohne Verwendung traditioneller signaturbasierter Erkennungsmethoden und ohne Aktualisierung der Antiviren-Datenbanken durch die Anwender. Top 20 der Schadprogramme im Internet In der Tabelle links sind die 20 aktivsten Schadprogramme aufgeführt, die im Jahr 2010 an Internet-Attacken auf die Computer der Anwender beteiligt waren. Jede dieser 20 Bedrohungen wurde von Kaspersky Lab mehr als eine Million Mal registriert, und mehr als 80 Prozent ( ) aller registrierten Malware- Vorfälle entfielen auf diese Schädlinge. 12

13 Den ersten Platz im Rating belegen Bedrohungen, die mit Hilfe spezieller Algorithmen zur Entdeckung potentiell gefährlicher Seiten, Links und bereits erwähnter Anwendungen blockiert wurden. Auf Position zwei befinden sich heuristisch erkannte schädliche Links, die von Hackern oder häufig von den Schadprogrammen selbst in den Code der gehackten Seiten eingeschleust werden. Diese Links rufen im Browser heimlich eine andere Seite auf, die in der Regel die eigentliche Exploit- Sammlung enthält, welche Sicherheitslücken in Browsern und Anwendungen ausnutzt. Weitere Programme dieser Art und zwar die am weitesten verbreiteten IFrame-Bedrohungen landeten auf den Plätzen 9 und 17. In diesen Fällen handelt es sich jedoch um signaturbasierte Erkennung. Im Jahr 2009 befanden sich in den Top 5 der Web- Bedrohungen die Skripte Gumblar und die Adware Boran.z. Im Jahr 2010 belegten Schadprogramme, die Kaspersky Anti-Virus heuristisch aufgespürt hat, die Plätze 2 bis 6. Mit Gumblar und Boran.z vergleichbare Programme wie Agent.bab und Shopper.l belegten die Plätze 7 und 8. Der Schädling Exploit.JS.Agent.bab trat im Mai 2010 erstmals in Erscheinung und wurde in seinem ersten Lebensmonat mehr als Mal entdeckt. Der Exploit nutzt die Sicherheitslücke CVE aus und lädt verschiedene Schadprogramme auf den betroffenen Computer. Die Zusammenstellung dieser Schädlinge weist eindeutig auf die chinesische Herkunft des Exploits hin: Trojan-Downloader.Win32.Geral und Backdoor.Win32.Hupigon, Trojan-GameTheif. Win32.Maganiz, Trojan-GameTheif.Win32.WOW und so weiter. Das Werbeprogramm Adware.Win32.Shopper.l verhält sich äußerst aggressiv, versucht auf verschiedene Arten in den Computer einzudringen und installiert eine Erweiterung für den Microsoft Internet Explorer. Neben Shopper schafften es zwei weitere Werbeprogramme in die Hitliste der Web-Schädlinge: Funweb.q (Platz 14) und HotBar.dh (Platz 19). Nahezu alle anderen Vertreter der Top 20 sind entweder Exploits oder werden bei Attacken eingesetzt, die Sicherheitslücken mit Exploits ausnutzen. Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind Im Jahr 2010 hat Kaspersky Lab Attacken registriert, die von Internet-Ressourcen in 201 Ländern ausgingen. Etwa 90 Prozent aller von uns im Netz erfassten Schadprogramme stammten aus zwanzig Ländern (siehe Tabelle rechts unten). Zur Bestimmung der geografischen Ursprünge der Attacken wurden Domainname und reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht war. Außerdem wurde die geografische Herkunft (GEOIP) der jeweiligen IP-Adresse bestimmt. Bei der Analyse dieser Statistik muss man unbedingt berücksichtigen, dass es hier nicht nur um von Cyberkriminellen aufgebaute und unterhaltene schädliche Hosting-Services geht, sondern auch um legale Webseiten, die gehackt und als Obdach für Schadcode ausgenutzt wurden. Eine falsche Auslegung dieser Daten könnte dazu führen, dass einem Land die Schuld für die Attacken gegeben wird und solche Beschuldigungen gab es bereits. Doch das ist grundlegend falsch. Die Statistik zeigt vielmehr, dass sich die Länder in der Opferrolle befinden, weil deren Cyberspace von Kriminellen ausgenutzt wird. Im Jahr 2010 hat sich die Geografie der Web-Bedrohungen drastisch verändert. Noch 2009 führte China das Ranking mit dem unglaublich hohen Wert von 52 Prozent an. Im Jahr 2010 ergriffen die chinesischen Behörden Maßnahmen zur Verbesserung der Situation und konnten viele schädliche Hosting-Services, die von Cyberkriminellen auf der ganzen Welt genutzt wurden, aus dem lokalen Cyberspace entfernen. Zudem wurden die Vorschriften zur Registrierung von Domains in der Zone.cn verschärft. All das führte dazu, dass China (13 Prozent) nun nicht mehr das Hauptherkunftsland von Web-Bedrohungen ist und seine Vorreiterrolle an die USA (26 Prozent) und Russland (15 Prozent) abgetreten hat. Der Anteil der USA steigt mit jedem Jahr (7 Prozent im Jahr 2008, 19 Prozent im Jahr 2009, 26 Prozent im Jahr 2010) eine beunruhigende Entwicklung. Selbst nach einer Reihe spektakulärer Schließungen illegaler Hosting-Dienste hat sich die Situation nicht verändert. Wir haben es hier ganz klar mit einer Vielzahl von Infizierungen legaler Webseiten zu tun. Länder/Gebiete, die Malware hosten Platz Land Anteil 1 USA 25,98% 2 Russland 15,13% 3 China 13,07% 4 Niederlande 6,66% 5 Deutschland 5,95% 6 Spanien 4,21% 7 Ukraine 3,84% 8 Großbritannien 3,52% 9 Schweden 2,60% 10 Lettland 1,78% 11 Frankreich 1,72% 12 Kanada 1,44% 13 Britische Jungferninseln 1,03% 14 Polen 0,73% 15 Moldawien 0,71% 16 Philippinen 0,49% 17 Türkei 0,45% 18 Vietnam 0,36% 19 Hong Kong 0,36% 20 Australien 0,36% TOP 20 insgesamt 90,39% 13

14 Nach den USA und China folgten im Ranking üblicherweise Deutschland, Holland und Russland, dessen höchste Positionierung bisher Platz fünf war. Im Jahr 2010 landete allerdings Russland auf dem zweiten Platz. Der prozentuale Anteil von Attacken aus russischen Internet-Ressourcen stieg innerhalb eines Jahres von 2,6 auf 15,1 Prozent. Die Zunahme der Web- Ressourcen mit schädlichen Inhalten in Russland steht in engem Zusammenhang mit den bereits erwähnten Ereignissen in China. Die russischen Cyberkriminellen zählten zu den wichtigsten Nutzern der illegalen Hosting-Dienste in China. Nach der Schließung dieses Marktes waren sie gezwungen, auf russische Ressourcen auszuweichen. Web-Attacken, aufgeschlüsselt nach Ländern Der nächste zu analysierende Wert beschreibt, in welchen Ländern und Regionen User am häufigsten zur Zielscheibe von Web-Attacken wurden. Etwa 82 Prozent aller registrierten Infizierungsversuche entfielen auf die Computer der Einwohner aus zwanzig Ländern (siehe Tabelle unten). Verglichen mit 2009 gibt es auch bei der geografischen Verteilung der angegriffenen Computer wesentliche Veränderungen. Web-Attacken auf User Platz Land Anteil 1 China 19,05% 2 Russland 17,52% 3 USA 10,54% 4 Indien 5,56% 5 Deutschland 3,16% 6 Ukraine 2,66% 7 Vietnam 2,60% 8 Großbritannien 2,56% 9 Frankreich 2,55% 10 Italien 2,39% 11 Spanien 2,06% 12 Saudi-Arabien 1,77% 13 Malaysia 1,62% 14 Türkei 1,60% 15 Brasilien 1,49% 16 Mexiko 1,47% 17 Kanada 1,31% 18 Thailand 1,15% 19 Polen 1,09% 20 Ägypten 1,02% TOP 20 insgesamt 83,17% Obwohl chinesische User nach wie vor am häufigsten im Visier der Angreifer stehen, hat sich der Wert für dieses Land innerhalb eines Jahres mehr als halbiert und ist von 46,8 auf 19,1 Prozent gesunken. Russland und die USA haben die Plätze getauscht, und in beiden Ländern nahm die Zahl der Angriffe zu wir registrierten einen Anstieg von 5,8 auf 17,5 Prozent respektive von 6,6 auf 10,5 Prozent. Der Anteil der russischen Anwender ist vor allem auf Grund der Attacken, die über populäre russische soziale Netzwerke durchgeführt wurden, so drastisch gestiegen. Anteil daran haben auch die mit diesen Angriffen zusammenhängenden Epidemien verschiedener SMS-Blocker, auf die wir bereits im ersten Teil des Jahresberichts eingegangen sind. Deutschland und Indien behielten ihre Positionen in den Top 5 der am häufigsten über Web-Attacken angegriffenen Länder. Die Gründe für die Zunahme der Angriffe auf User in der Ukraine von 0,9 Prozent im Jahr 2009 auf 2,7 Prozent im Jahr 2010 sind größtenteils mit den für Russ land geltenden Gründen identisch, denn die Überschneidung des Cyberspace dieser zwei Länder führt zu ähnlichen Problemen. Der im Jahr 2009 beobachtete Rückgang der Attacken auf Anwender in der Türkei, Ägypten und Vietnam hat sich nur bei den ersten beiden Ländern fortgesetzt. Für die Internet-User in Vietnam hat sich die Situation dagegen verschlechtert. Das Land ist in unserem Rating auf den 7. Platz geklettert. Netzattacken Ein Grundelement jedes modernen Schutzprogramms ist die Firewall. Sie kann Angriffe von außen, die nicht über den Browser laufen, blockieren, und sie wehrt Versuche ab, Anwenderdaten vom Computer zu stehlen. Kaspersky Internet Security verfügt über eine Firewall mit IDS (Intrusion Detection System), die eingehende Pakete erkennt. Bei diesen handelt es sich häufig um Exploits, die Sicherheitslücken in den Netzdiensten der Betriebssysteme ausnutzen. Auf diese Weise können Cyberkriminelle uneingeschränkt auf das System zugreifen. Im Jahr 2010 hat das IDS-System Netzattacken abgewehrt (siehe Tabelle auf der rechten Seite oben). Der Vorjahreswert lag bei etwa 220 Millionen Vorfällen. Im Vergleich zum Jahr 2009 haben die Spitzenreiter dieses Ratings die Plätze miteinander getauscht. Nach Anzahl der Attacken belegte NETAPI.buffer-overflow. exploit den ersten Platz ein Schädling, der die Sicherheitslücke MS ausnutzt und in Würmern der Familie Kido zur Anwendung kommt. Die Besetzung der restlichen Top-5-Positionen blieb unverändert. Nach wie vor sind hier schädliche Pakete der Würmer Helkern (Slammer) und Exploits zu der Sicherheitslücke MS zu finden, die beispielsweise im Jahr 2003 der Wurm Lovesan ausnutzte. Von besonderem Interesse ist die Netzattacke CVE a (Platz 19), die vom Wurm Stuxnet unter Ausnutzung der Sicherheitslücke MS10-61 durchgeführt und schließlich von KasperskyExperten aufgedeckt wurde. Über eine Schwachstelle im Windows- Druckdienst konnte sich dieser Wurm über lokale Netzwerke ausbreiten. Zum Zeitpunkt der Entdeckung der Schwachstelle handelte es sich um eine Zero-Day- Attacke. Nach nur fünf Monaten gelang ihr der Sprung in die Top 20. Stuxnet ist nach wie vor das einzige Schadprogramm, das diese Sicherheitslücke ausnutzt. 14

15 Vom IDS in Kaspersky Internet Security erkannte Netzwerkattacken Platz Name Anzahl Anteil 1 Intrusion.Win.NETAPI.buffer-overflow.exploit ,49% 2 DoS.Generic.SYNFlood ,54% 3 Intrusion.Win.MSSQL.worm.Helkern ,02% 4 Scan.Generic.UDP ,46% 5 Intrusion.Win.DCOM.exploit ,08% 6 Intrusion.Generic.TCP.Flags.Bad.Combine.attack ,81% 7 Scan.Generic.TCP ,40% 8 Intrusion.Win.LSASS.exploit ,39% 9 Intrusion.Win.LSASS.ASN1-kill-bill.exploit ,25% 10 DoS.Generic.ICMPFlood ,18% 11 DoS.Win.IGMP.Host-Membership-Query.exploit ,13% 12 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit ,11% 13 Intrusion.Win.PnP.exploit ,04% 14 Intrusion.Win.EasyAddressWebServer.format-string.exploit ,03% 15 Intrusion.Win.SMB.CVE exploit ,02% 16 Intrusion.Win.WINS.heap-overflow.exploit ,01% 17 DoS.Win.ICMP.BadCheckSum ,01% 18 Intrusion.Generic.FTPD.format-string.attack ,01% 19 Intrusion.Win.CVE a.exploit ,01% 20 Intrusion.Win.MSFP2000SE.exploit ,004% TOP 20 insgesamt ,99% Lokale Infizierungen Lokale Infizierungen sind von besonderer Bedeutung, denn zu diesen zählen insbesondere die Objekte, die nicht über das Netz, oder Netzwerk-Ports in Computer eingedrungen sind. Die Antiviren-Lösungen von Kaspersky Lab haben fast 1,5 Milliarden ( ) Virenvorfälle auf den Computern der Anwender, die zum Kaspersky Security Network gehören, entdeckt. Insgesamt wurden dabei verschiedene schädliche oder potentiell unerwünschte Programme registriert. Die Top 20 der am weitesten verbreiteten Bedrohungen des Jahres 2010 setzen sich wie aus der Tabelle rechts ersichtlich zusammen. Auf mehr als 14 Millionen Rechnern wurden Infizierungsversuche blockiert, die das KSN erfolgreich mit Hilfe universaler heuristischer Methoden erkannt hat. (Trojan.Win32.Generic, Worm.Win32.Generic, Trojan. Win32.Invader, Exploit.Script.Generic, Trojan-Downloader.Win32.Generic). Über 8 Millionen Computer wurden mit Hilfe des im Kaspersky Security Network integrierten Urgent Detection System (UDS) in Echtzeit geschützt. Neue Schaddateien wurden operativ als DangerousObject.Multi.Generic registriert. Der Wurm Kido bleibt das am weitesten verbreitete Schadprogramm, das auf den Computern der Anwender blockiert wurde, obwohl es Ende 2010 bereits seinen zweiten Geburtstag feierte. Leider ist auch kein Verbreitetste Bedrohungen 2010 Platz Gefundenes Objekt Anzahl infizierter Rechner 1 Trojan.Win32.Generic DangerousObject.Multi.Generic Net-Worm.Win32.Kido.ih Virus.Win32.Sality.aa Net-Worm.Win32.Kido.ir Virus.Win32.Virut.ce Worm.Win32.Generic Worm.Win32.FlyStudio.cu Net-Worm.Win32.Kido.iq P2P-Worm.Win32.Palevo.fuc HackTool.Win32.Kiser.il Trojan.Win32.Invader Trojan.Win32.Pakes.Katusha.o Worm.Win32.VBNA.b Trojan.JS.Agent.bhr Trojan-Dropper.Win32.Flystud.yo Exploit.Script.Generic Trojan-Downloader.Win32.Generic Worm.Win32.Mabezat.b Virus.Win32.Sality.bh

16 Rückgang der durch diesen Wurm verursachten Vorfälle zu beobachten. Vielmehr registrierten wir im Jahr 2010 eine Zunahme um mehr als das Doppelte. Offensichtlich wird die Bedrohung durch Kido sowie durch den Virus Sality (Spitzenreiter 2008) mindestens noch das gesamte Jahr 2011 gleich hoch bleiben, und auf ein völliges Verschwinden dieser beiden Bedrohungen aus den Ratings braucht man vermutlich in den nächsten zwei bis drei Jahren nicht zu hoffen. Auf dem 10. Platz befindet sich eine Variante des Wurms Palevo, der für den Aufbau des Botnetzes Mariposa verantwortlich ist. Über die Verhaftung des Virenautors und Botnetz-Inhabers berichten wir im ersten Teil unseres Jahresberichts. Die Position von Palevo im Ranking zeugt von seiner weiten Verbreitung. Nach all dem zu urteilen, sind die Vermutungen über 12 Millionen mit Palevo infizierter Computer vollkommen gerechtfertigt. Die bereits vor einem Jahr beschriebenen Schadprogramme, die mit Hilfe der Skript-Sprache FlyStudio entwickelt wurden, sind nach wie vor in den Top 20 vertreten (Plätze 8 und 16). Auch das Verpacken und die Tarnung von Schadprogrammen mit Hilfe speziell entwickelter Packer erfreuen sich weiterhin großer Beliebtheit. An die Stelle einiger Packer, die im Jahr 2009 von Cyberkriminellen verwendet wurden, traten im Jahr 2010 die Packer Katusha und VBNA. Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern Die eben beschriebenen lokalen Infizierungen wurden bei Anwendern in praktisch jedem Land der Welt registriert. Die Top 20 der Länder, auf die 80 Prozent aller einmaligen Computer-Infizierungen entfallen, sind mit dem Ranking der am häufigsten von Web-Attacken betroffenen Länder nahezu identisch (siehe Tabelle links unten). Die Weltkarte Die Statistiken jedes Antiviren-Unternehmens basieren in erster Linie auf den Informationen seiner Kunden. Die Popularität der Produkte eines Unternehmens in den verschiedenen Ländern hat dabei natürlich einen großen Einfluss auf die Zusammensetzung dieser Daten. Um das Infizierungsrisiko, dem die Computer in den verschiedenen Ländern ausgesetzt sind, möglichst genau einzuschätzen, haben wir für jedes Land berechnet, wie häufig bei den Usern im jeweiligen Land im Laufe des Jahres 2010 ein Antiviren-Programm Alarm geschlagen hat. Web-Bedrohungen In der Tabelle unten sehen Sie die Top 20 der Länder, deren Einwohner am häufigsten von Web-Attacken betroffen waren. Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer Lokale Infizierungen Platz Land Anteil 1 China 19,86% 2 Russland 15,53% 3 Indien 7,35% 4 USA 5,72% 5 Vietnam 4,44% 6 Ukraine 2,59% 7 Deutschland 2,36% 8 Mexiko 2,18% 9 Italien 2,08% 10 Malaysia 2,07% 11 Frankreich 2,00% 12 Saudi-Arabien 1,92% 13 Türkei 1,91% 14 Spanien 1,88% 15 Brasilien 1,77% 16 Großbritannien 1,67% 17 Ägypten 1,66% 18 Thailand 1,58% 19 Polen 1,26% 20 Indonesien 1,12% TOP 20 insgesamt 80,95% Web-Bedrohungen Platz Land Anteil 1 Irak 61,84% 2 Oman 56,19% 3 Russland 53,69% 4 Weißrussland 48,03% 5 USA 46,15% 6 Sudan 45,93% 7 Kuwait 44,24% 8 Armenien 44,20% 9 Kasachstan 43,20% 10 Angola 42,99% 11 Ukraine 42,63% 12 China 41,36% 13 Aserbaidschan 40,98% 14 Indien 40,61% 15 Turkmenistan 39,97% 16 Bangladesh 39,85% 17 Libyen 39,79% 18 Sri Lanka 39,58% 19 Saudi-Arabien 38,72% 20 Dschibuti 37,78% 16

17 von Kaspersky-Lab-Produkten relativ gering ist (weniger als ). Im Irak wurden im Jahr 2010 beispielsweise fast zwei von drei Internet-Nutzern über das Netz angegriffen, in Russland gut jeder zweite User. Insgesamt lassen sich alle Länder in mehrere Gruppen einteilen. In die Gruppe mit dem höchsten Risiko, also einem Wert von mehr als 60 Prozent über das Web attackierter Anwender, fällt nur ein einziges Land der Irak. In die Gruppe mit erhöhtem Risiko und Werten zwischen 41 Prozent und 60 Prozent gehören die auf den Irak folgenden 11 Länder aus den Top 20. Die geringer gefährdete Risikogruppe wird von Ländern mit Werten zwischen 21 Prozent und 40 Prozent gestellt. Im Jahr 2010 fielen insgesamt 116 Länder der Welt in diese Gruppe. Die Werte der letzten Gruppe liegen zwischen 0 Prozent und 20 Prozent. Es handelt sich hierbei um die vergleichsweise sichersten Länder, und die insgesamt fünf Vertreter dieser Gruppe sind Deutschland, Japan, Luxemburg, Österreich und Norwegen. Ihre Werte schwanken zwischen 19 und 20,8 Prozent. Lokale Bedrohungen Eine ähnliche Statistik lässt sich für die Entdeckung lokaler Bedrohungen erstellen solchen, die auf einem Computer entdeckt werden und schon auf irgendeine andere Art und Weise vorher auf das System gelangt sind, beispielsweise über das lokale Netzwerk oder über mobile Datenträger (siehe Tabelle unten). Diese Zahlen spiegeln wider, wie hoch die durchschnittliche Infizierungsrate von Computern in den verschiedenen Ländern der Welt ist. Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Lab-Produkten relativ gering ist (weniger als ). Dass es sich bei den in diesem Ranking aufgeführten Ländern ausschließlich um Entwicklungsländer in Afrika und Asien handelt, lässt sich mit dem stetigen Vormarsch des Internets in diesen Regionen erklären. Damit einher gehen ein niedriges Niveau der Computerkenntnisse bei den Anwendern und fehlende Erfahrungen im Kampf gegen Cyberbedrohungen. Auch bei den lokalen Bedrohungen ist es sinnvoll, die Länder in verschiedene Gruppen einzuteilen. Zur Gruppe mit der höchsten Infizierungsrate gehören die ersten zwölf Länder der Top 20. In der zweiten Gruppe (41 bis 60 Prozent) sind 66 Länder vertreten, in der dritten 45 Länder (21 bis 40 Prozent). Die saubersten Computer (0 bis ca. 20 Prozent) befinden sich in insgesamt 16 Ländern (siehe Tabelle rechts unten). Diese Werte sind selbstverständlich relativ, da sie sich wie bereits mehrfach erwähnt allein auf die Anwender von Kaspersky- Produkten beziehen. Auch in diesem Rating sind fünf der in Bezug auf Web- Attacken sichersten Länder vertreten: Österreich, Deutschland, Luxemburg, Norwegen und Japan. Dass diese Länder in beiden Rankings aufgelistet sind, kann man als Zeichen eines hohen Schutzniveaus der Computer in diesen Ländern werten. Lokale Bedrohungen Platz Land Anteil 1 Irak 79,26% 2 Sudan 70,42% 3 Ruanda 69,18% 4 Nigeria 67,77% 5 Tansania 67,68% 6 Bangladesh 67,27% 7 Angola 66,01% 8 Burkina Faso 62,58% 9 Afghanistan 62,50% 10 Uganda 62,02% 11 Oman 61,95% 12 Turkmenistan 61,25% 13 Dschibuti 60,80% 14 Nepal 60,44% 15 Mongolei 60,10% 16 Kamerun 59,66% 17 Kenia 59,49% 18 Malediven 58,29% 19 Sambia 58,24% 20 Mali 58,00% Länder mit minimalen Infizierungsraten Platz Land Anteil 1 Japan 8,65% 2 Deutschland 10,79% 3 Luxemburg 11,79% 4 Österreich 12,87% 5 Schweiz 10,15% 6 Dänemark 13,15% 7 Finnland 15,91% 8 Norwegen 16,20% 9 Schweden 16,61% 10 Großbritannien 17,43% 11 Kanada 18,28% 12 Niederlande 18,31% 13 Neuseeland 19,73% 14 Estland 20,00% 15 USA 20,06% 16 Irland 20,09% 17

18 Sicherheitslücken In den letzten fünf bis sechs Jahren wurde alljährlich ungefähr die gleiche Menge an Sicherheitslücken entdeckt. Das änderte sich im Jahr Der Statistik von CVE (cve.mitre.org) zufolge wurden in Microsoft-Produkten und populären Windows-Anwendungen anderer Anbieter um einiges mehr Schwachstellen entdeckt als im Jahr Auch wenn sich die Zahl der entdeckten Sicherheitslücken nur unwesentlich ändert, nutzen Cyberkriminelle Schwachstellen Jahr für Jahr aktiver zu ihren Zwecken aus. Im Jahr 2010 erregte das Sicherheitslücken-Problem in gängigen Programmen mehr als einmal die Aufmerksamkeit der Computersicherheitsexperten und Journalisten. Unter Ausnutzung von Sicherheitslücken wurden Attacken durchgeführt, die auch in den Massenmedien hohe Wellen schlugen: die Operation Aurora und die Stuxnet-Attacke. Der Effekt dieses öffentlichen Interesses hat zwei Seiten. Einerseits begannen auch andere Cyberkriminelle die bekannt gemachten Schwachstellen auszunutzen, andererseits beeilten sich die Hersteller, die Löcher in ihrer Software zu stopfen. Früher gehörten die Komponenten des Betriebssystems Windows und andere Microsoft-Produkte zu den interessantesten Objekten von Cyberkriminellen und Forschern, die nach Sicherheitslücken suchen. Doch Am weitesten verbreitete Schwachstellen 2010 Platz Nr. Name Anteil Prio Auswirkung Datum Microsoft Office OneNote URI Handling Vulnerability 26,98% Hoch Systemzugriff Microsoft Office Word Two Vulnerabilities 26,64% Hoch Systemzugriff Microsoft Office Excel Multiple Vulnerabilities 24,98% Hoch Systemzugriff Sun Java JDK / JRE Multiple Vulnerabilities 23,18% Hoch Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit Adobe Flash Player Domain Sandbox Bypass Vulnerability 17,41% Mäßig Umgehung der Systemsicherheit Microsoft PowerPoint OutlineText- RefAtom Parsing Vulnerability 15,87% Extrem Systemzugriff Adobe Reader/Acrobat Multiple Vulnerabilities 14,46% Extrem Systemzugriff, Cross-Site-Scripting Microsoft Outlook "mailto:" URI Handling Vulnerability 12,96% Hoch Systemzugriff Adobe Reader / Acrobat SING "uniquename" Buffer Overflow Vulnerability 12,63% Extrem Systemzugriff Adobe Reader / Acrobat Multiple Vulnerabilities 12,55% Hoch Systemzugriff, Cross-Site-Scripting Adobe Flash Player Multiple Vulnerabilities 12,38% Extrem Systemzugriff, Cross-Site-Scripting Microsoft XML Core Services Multiple Vulnerabilities 12,27% Hoch Systemzugriff, Cross-Site-Scripting, DoS Adobe Flash Player Multiple Vulnerabilities 11,99% Extrem Systemzugriff, Aufdecken sensibler Daten, Umgehung der Systemsicherheit Sun Java JDK / JRE / SDK Multiple Vulnerabilities 11,21% Hoch Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit Microsoft PowerPoint Multiple Vulnerabilities 10,33% Hoch Systemzugriff Adobe Flash Player Multiple Vulnerabilities 9,99% Hoch Systemzugriff ACDSee Products Image and Archive Plug-ins Buffer Overflows 9,88% Hoch Systemzugriff Adobe Reader/Acrobat Two Vulnerabilities 9,50% Hoch Systemzugriff, Umgehung der Systemsicherheit Sun Java JDK / JRE Multiple Vulnerabilities 9,03% Hoch Systemzugriff, DoS, Aufdecken sensibler Daten, Umgehung der Systemsicherheit Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability 8,51% Hoch Systemzugriff

19 das ständig steigende Sicherheitsniveau dieses Betriebssystems und die Entwicklung eines Moduls zum automatischen Update haben dazu geführt, dass die meisten Anwender ihre Microsoft-Produkte nun ausreichend schnell aktualisieren. Daher gelingt es Cyberkriminellen nicht allzu lange, Schwachstellen in dieser Software auszunutzen. Das wiederum zwingt Online- Kriminelle dazu, nach Lücken in Programmen zu suchen, deren Hersteller der Sicherheit keine derart große Aufmerksamkeit widmen. So haben sich Schwachstellen in gängigen Anwendungen von anderen Anbietern gefunden, die nicht zur Windows-Standardausstattung gehören. In der Regel hat jeder User auf seinem Rechner zwei Dutzend solcher Anwendungen installiert, auf deren Aktualisierung nicht allzu sehr geachtet wird. Dass nun in erster Linie Programme im Fokus stehen, die nicht zum Betriebssystem Windows gehören, zeigt auch unsere Statistik: Im ersten Quartal 2010 gehörten noch 6 der 10 am weitesten verbreiteten Sicherheitslücken zu Microsoft-Produkten, im vierten Quartal war es nur noch eine von 10! Bei allen übrigen handelt es sich um Schwachstellen in populären Anwendungen wie Playern, Programmen zum Lesen elektronischer Dokumente, Browser und virtuellen Maschinen. Noch ein Jahr zuvor belegten Microsoft-Produkte mit recht großem Abstand die Führungsposition in dieser Kategorie. Im Jahr 2010 hat sich das Bild grundlegend gewandelt: Den ersten Platz in den Top 20 nach Anzahl der entdeckten Sicherheitslücken teilen sich Produkte von Microsoft und Adobe. Eine nicht unwesentliche Rolle spielte dabei der Umstand, dass in den Top 20 des Jahres 2009 nur Sicherheitslücken des Adobe Flash Player vertreten waren und im Jahr 2010 vier von acht Schwachstellen in Adobe-Produkten auf den Adobe Reader entfielen, der zu einem der Lieblingsziele von Cyberkriminellen avanciert ist. Die anfälligsten Anwendungen auf Windows-Plattformen waren im Jahr 2010 Programme aus dem Microsoft Office-Paket, der Adobe Reader und der Adobe Flash Player. Auch der Anteil entdeckter Sicherheitslücken in Sun (Oracle) Java JDK/JRE nimmt stetig zu. Gleichzeitig waren in den Top 20 dieses Mal keine Schwachstellen im Apple QuickTime Player vertreten, auf den im Jahr 2009 noch 70 Prozent aller entdeckten Schwachstellen entfielen. Kategorisiert man die Top 20 der auf den Computern der KSN-Nutzer entdeckten Sicherheitslücken nach ihren Auswirkungen auf das System, so ergibt sich die folgende Verteilung: Verteilung der Top-10-Sicherheitslücken Microsoft Adobe Oracle Mozilla Apple HP Q Q Q Q Im Jahr 2010 erkannte unser System zur Analyse von Sicherheitslücken 510 verschiedene Schwachstellen auf den Computern der KSN-Nutzer. Kaspersky Lab hat die 20 häufigsten Sicherheitslücken des Jahres 2010 analysiert, auf die 89,6 Prozent aller erkannten Schwachstellen entfallen. Bemerkenswert ist, dass es sich bei fast der Hälfte der hier aufgeführten Schwachstellen um Fehler in der Software handelt, die bereits vor 2010 bekannt waren. Zwei dieser alten Sicherheitslücken (welche sich in Microsoft XML Core Services und ACDSee Products Image and Archive Plug-in befanden) wurden bereits im Jahr 2007 (!) entdeckt. Im Jahr 2010 verteilen sich die 20 am häufigsten in Anwendungen gefundenen Schwachstellen auf die Produkte von vier Unternehmen: Microsoft, Adobe, Oracle und ACDSee: Das Hauptziel der Kriminellen ist es natürlich, entfernten Zugriff auf das System des Anwenders zu erhalten. Wie auch im Vorjahr ermöglichen 19 von 20 Schwachstellen Online-Betrügern praktisch uneingeschränkten Zugriff auf das System (Auswirkungstyp System access Systemzugriff). Interessant dabei ist, dass 6 dieser 19 Sicherheitslücken Cyberkriminellen außerdem dabei helfen, die Systemsicherheit zu umgehen. Das höchste Gefahrenpotential (Extrem ) wiesen je zwei Schwachstellen im Adobe Reader und Adobe Flash Player sowie eine in Microsoft PowerPoint auf. Leider ist es so, dass nicht alle Anbieter Update- Mechanismen für ihre Produkte entwickeln und sie in die Software integrieren. So wird die Sorge um die Aktualisierung des Systems meist den Usern überlassen. Die meisten Anwender sind allerdings nicht sonderlich an der Aktualisierung der Anwendungen interessiert, sofern diese nicht mit einem neuen Feature verbunden ist. All das hat dazu geführt, dass populäre Programme, die noch nie aktualisiert wurden, auf Millionen von Computern existieren. Diese Computer öffnen Cyberkriminellen Tür und Tor. 19

20 Kaspersky Security Bulletin 2010/2011 Teil 3: Spam Kaspersky Lab analysiert täglich etwa 1,5 Millionen Spam-Mails. Als Material für die Analyse dienen Querschnitte aus qualitativ und quantitativ unterschiedlichen Mail-Strömen unserer Kunden und Partner sowie Spam, der in bestimmten Fallen hängen bleibt. Der gesamte Spam wird automatisch klassifiziert und ein Teil der eingehenden Mails zusätzlich manuell analysiert. Eine einzigartige Klassifizierungstechnologie ermöglicht es uns, die prozentuale und thematische Verteilung der unerwünschten Nachrichten zu ermitteln. Kampf gegen Spam und den Versand von Schadcode im Jahr 2010 Der Kampf gegen Spam war im Jahr 2010 auf verschiedenen Ebenen nahezu revolutionär. Vor allem die Erfolge der Strafverfolgungsbehörden verschiedener Länder im Kampf gegen die Cyberkriminalität, unter anderem gegen den Versand von Spam, sind bemerkenswert. Im vergangenen Jahr wurden Steuerungszentren von Spam-Botnetzen wie Waledac, Pushdo/Cutwail, Lethic und Bredolab abgeschaltet, mehrere große Prozesse gegen mutmaßliche Cyberverbrecher geführt, und das Spam-Partnerprogramm SpamIt stellte seine Tätigkeit ein. Als Folge dieser Ereignisse änderte sich die geografische Verteilung der wichtigsten Spam-Quellen sowie die thematische Zusammensetzung der unerwünschten Nachrichten. So nahm zum Ende des Jahres der Anteil der aus den USA stammenden Spam- Menge dramatisch ab, der Spam-Anteil aus Osteuropa stieg hingegen an. Erstmals seit Beginn unserer Untersuchungen beobachten wir eine stetige Abnahme des Spam-Anteils im gesamten -Verkehr. Allerdings gibt es auch eine schlechte Nachricht: Spam ist um einiges gefährlicher geworden. Wir haben bereits über die Kriminalisierung von Spam berichtet darüber, wie kleine und mittlere Unternehmen langsam aus dieser Nische der illegalen Werbung verschwinden und diese immer mehr zum Werkzeug von Betrügern und Verkäufern imitierter oder illegaler Produkte wird. Im Jahr 2010 wurde Spam zudem zur Quelle zahlreicher schädlicher Attacken: Innerhalb des Jahres stieg der Anteil schädlicher Anhänge in Spam- s um das 2,6-fache an. Schädlicher Spam Im Jahr 2010 erreichte der Anteil schädlicher Mitteilungen im -Verkehr 2,2 Prozent (der Vorjahreswert lag bei 0,85 Prozent). Auf dem Höhepunkt der Attacken im August betrug die Menge der s mit schädlichen Anhängen 6,29 Prozent des gesamten Verkehrs. Möglicherweise lenkten gerade diese gehäuften Angriffe die Aufmerksamkeit der Strafverfolgungsbehörden auf den Spam. Die effektivsten Methoden und Tricks setzten die Spammer insbesondere in Versendungen ein, mit deren Hilfe sie Malware verbreiteten. Die Mitteilungen in solchen Versendungen waren geschickt als offizielle Mitteilungen populärer Webressourcen wie zum Beispiel soziale Netzwerke, Online-Shops, Banken und Web-Hoster getarnt. Dabei wurden auch Social-Engineering-Methoden verwendet. Klickte ein Anwender auf einen in solchen s enthaltenen Link, so wurde dessen Browser beispielsweise auf eine Website mit Viagra-Werbung umgeleitet und gleichzeitig heimlich auf eine schädliche Webseite gelotst. Zum Ende des Jahres änderte sich das Angriffsziel der Verbreiter schädlichen Spams: Unter den Empfängern befanden sich immer mehr Einwohner von Entwicklungsländern. Der Grund dafür liegt sehr wahrscheinlich im aktiven Kampf gegen Botnetze in den USA und in Westeuropa. Die Cyberkriminellen weiteten nun ihre Botnetze aus, indem sie die Computer der Anwender in Ländern angriffen, in denen die Strafverfolgungsbehörden dem Kampf gegen Cyberkriminalität nicht die gebührende Aufmerksamkeit widmen. Schließung von Botnetzen: Eine Chronologie Anfang Januar 2010 wurde das Botnetz Lethic geschlossen. Leider hatte das fast keinen Einfluss auf die Spam-Menge im -Verkehr, und bereits im Februar war Lethic wiederhergestellt. Ende Februar wurden 277 Domains geschlossen, die mit dem Steuerungssystem des Botnetzes Waledac zusammenhingen, und in der ersten Märzhälfte ging der Spam-Anteil im -Verkehr um 3,1 Prozentpunkte zurück. Allerdings erreichte die Spam-Menge im Mai wieder ihr altes Niveau. Im August wurden etwa 20 Steuerungszentren des Botnetzes Pushdo/Cutwail geschlossen, die nach verschiedenen Einschätzungen für 10 Prozent des weltweiten Spam-Aufkommens verantwortlich waren. Verglichen mit August führte das im September zu einem Rückgang der Spam-Menge um 1,5 Prozentpunkte. Der letzte und zugleich auch effektivste Schlag gegen Spammer gelang mit der Abschaltung von 143 Control & Command-Servern des Botnetzes Bredolab am 25. Oktober Nach Angaben der holländischen Polizei umfasste das Zombie-Netz zum Zeitpunkt der Schließung seiner Steuerungszentren etwa 30 Millionen Computer von Anwendern in verschiedenen Ländern. Das Botnetz diente zum Versand pharmazeutischen Spams und zur Verbreitung von Schädlingen aller Art mit Hilfe von Spam. In unserem Bericht zum dritten Quartal des Jahres 2010 haben wir bereits ausführlich über die Spam-Versendungen berichtet. Die Schließung des Botnetzes Bredolab hat sich deutlich auf die Spam-Menge im -Verkehr ausgewirkt. Nach der Abschaltung ging der Spam-Anteil sofort kurzzeitig um zirka 8 bis 9 Prozentpunkte zurück. Allerdings war der Durchschnittswert auch im Oktober niedrig und betrug 77,4 Prozent rund 3,6 Prozent- 20