McAfee stellt dramatische Zunahme von Ransomware fest

McAfee hat seinen Bericht zur Bedrohungslage (PDF) im dritten Quartal 2013 veröffentlicht. Darin diagnostizieren die Security-Spezialisten 20 Millionen neue Schadsoftware-Exemplare. Darunter befinden sich auch 700.000 neue Varianten von Android-Malware. Erwähnenswert ist dabei vor allem ein Exploit, der die sogenannte Master-Key-Sicherheitslücke des mobilen Betriebssystems ausnutzt. Aufgrund dieser Schwachstelle können Angreifer die Signaturprüfung für Apps umgehen.

Generell verwenden McAfee zufolge immer mehr Schädlinge valide, digitale Zertifikate für die Kompromittierung von Systemen. Die größte Bedrohung sieht McAfees Europa-Präsident Gert-Jan Schenk allerdings in erpresserischer Ransomware wie dem BKA-Trojaner. Weiterhin konstatieren die Spezialisten der Intel-Tochter in ihrem Report einen sprunghaften Anstieg an Spam-E-Mails (um 125 Prozent). Der Quartalsbericht zeigt zudem, dass Cyberkriminelle immer häufiger Online-Währungen wie Bitcoins für illegale Transaktionen und Internet-Geldwäsche verwenden.

Android – ein beliebtes Angriffsziel

Im dritten Quartal gab es laut dem McAfee-Threat-Report 700.000 neue Malware-Varianten, die eigens für die Android-Plattform entwickelt wurden. Das entspricht einer Zunahme um 30 Prozent. Diesen Anstieg, der höchste seit dem vierten Quartal 2012, führt Schenk primär auf die weite Verbreitung des mobilen Betriebssystems zurück. Gleichzeitig verweist er darauf, dass auf über 90 Prozent aller mobilen Geräte keine Security-Software installiert ist.

Auffällig war im dritten Quartal laut dem McAfee-Bericht vor allem die Ausbreitung eines Android-Exploits, der die sogenannte Master-Key-Schwachstelle im Google-OS ausnutzt. Dabei wird eine App-Installationsdatei um Schadcode erweitert, ohne dass die Signatur ihres digitalen Zertifikats hierdurch ungültig wird.

Auf diese Weise übersteht der manipulierte Dateicontainer die Signaturprüfung und die böswillige App installiert sich auf dem System. Diese kann daraufhin unter anderem Informationen, wie die IMEI-Nummer des Mobiltelefons, stehlen.

Die McAfee-Forscher entdeckten im abgelaufenen Quartal darüber hinaus eine neue Klasse von Android-Malware. Dabei handelt es sich um einen Trojaner, dessen Funktionalität sich auf zwei Komponenten verteilt. Das macht es für Antivirensoftware schwieriger, ihn zu erkennen. Sein erster Bestandteil gibt vor, eine Röntgen-App zu sein und verlangt vom Nutzer die nachträgliche Installation einer Systembibliothek. Statt dieser lädt sich bei Zustimmung des Users allerdings der zweite Teil des Trojaners herunter. Der ist dann wiederum in der Lage, Anwenderdaten auszuspähen und sie an den Angreifer zu senden.

Signierte Malware

Ein neuer Trend ist – nicht nur im mobilen Bereich – die Verwendung signierter Malware. Die Firewalls vieler Unternehmen beinhalten spezifische Regeln zur Erkennung digital signierter Binärdateien. Dies machen sich Cyberkriminelle zunutze, indem sie ihre Schadsoftware mit digitalen Zertifikaten signieren, welche entweder gestohlen wurden oder von unzulässigen Zertifizierungsstellen stammen.

Die McAfee Labs haben in ihrem Quartalsbericht nun festgestellt, dass es mehr als fünf Millionen signierte Malware-Varianten gibt, die die Filtertechnik der Firewalls auf diese Weise umgehen können. Wie der Master-Key-Exploit zeigt, wird das auf mobilen Plattformen besonders deutlich. Den Experten zufolge sind nahezu ein Viertel aller bekannten Android-Malware-Gattungen mit gültigen digitalen Zertifikaten ausgestattet.

Ransomware die größte Bedrohung

Insgesamt umfasst die McAfee-Datenbank nun über 170 Millionen registrierte Schädlinge. Unter den erfassten Exemplaren sticht nach Ansicht von Europa-Chef Schenk Ransomware als derzeit größte Bedrohung für Unternehmen und Privatpersonen hervor. Hierbei erwirkt ein erpresserischer Trojaner eine Nutzungssperre des Betriebssystems und fordert unter Vorspiegelung der Identität einer Institution wie dem BKA einen bestimmten Lösegeldbetrag für dessen Freigabe. Oftmals werden dabei auch Daten auf der Festplatte verschlüsselt und der Stream einer integrierten Webcam abgegriffen.

Spam wieder auf dem Vormarsch

Das weltweite Spam-Aufkommen steigt laut McAfee im dritten Quartal um 125 Prozent an. Die Security-Experten sehen die sogenannten “Snowshoe-Spammer” (Schleppnetz-Spammer) als ursächlich für das massiv erhöhte Spam-Volumen an. Diese erwerben laut McAfee-Spezialist Adam Wosotowsky Mailinglisten, zum Beispiel von Webseiten, auf welchen Botnet- und Malware-Autoren E-Mail-Adressen aus kompromittierten Adressbüchern und Accounts anbieten.

Marketing-Unternehmen kaufen die Listen wiederum von den Spammern, die die Junk-Mails von wechselnden IP-Adressen aus versenden, um den Spamfiltern der Provider zu entgehen. Daher rührt auch der Name “Snowshoe-Spammer” – unter Verwendung unterschiedlicher E-Mail-Domains verteilen sie ihre Spam-Ladung auf immer neue IP-Adressen an verschiedenen Standorten.

Missbrauch virtueller Währungen

Ein Problem ist dem McAfee-Bericht zufolge auch der aktuelle Rummel um virtuelle Währungen wie Bitcoins. Diese erlauben das anonyme Bezahlen im Internet, ohne dass der Nutzer den Einschränkungen einer Geld- oder Kreditkarte unterliegt. Diese Vorteile – vor allem die Anonymität – werden von Kriminellen verstärkt für den Online-Handel mit illegalen Waren und Dienstleistungen genutzt.

Als Beispiel nennt der McAfee-Report hier der inzwischen geschlossene Online-Marktplatz Silk Road, auf welchem nicht nur Drogen, sondern auch das Hacken von Geldautomaten angeboten wurde. Zudem wird laut McAfee in den virtuellen Wechselstuben digitale Geldwäsche mit illegal erwirtschafteten Summen betrieben. Darüber hinaus versuchten Kriminelle bereits seit längerem, mit Hilfe kompromittierter Systeme und einer entsprechenden Mining-Software immer neue Bitcoins zu erzeugen- und damit die Geldfälscherei auf die virtuelle Welt zu übertragen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de