Security Bulletin 2010/2011 - Kaspersky Lab – Newsroom Europe.
Transcription
Security Bulletin 2010/2011 - Kaspersky Lab – Newsroom Europe.
Kaspersky Security Bulletin 2 0 1 0 / 2 0 1 1 Teil 1: Entwicklung der IT-Bedrohungen Teil 2: Malware-Statistik Teil 3: Spam w w w . k a s p e r s k y . d e 2 Kaspersky Security Bulletin 2010/2011 Teil 1: Entwicklung der IT-Bedrohungen................. 4 Teil 2: Malware-Statistik.......................................... 12 2010: Das Jahr der Sicherheitslücken...................................4 Ergebnisse............................................................................4 Zunahme der Attacken über Filesharing-Netze.....................5 Kampf um Traffic...................................................................5 Epidemien und zunehmende Komplexität von Schadprogrammen................................................................5 Rückgang der gefälschten Antiviren-Programme..................5 Angriffe auf und in Google Wave...........................................6 Attacken auf das iPhone und Android...................................6 Zielgerichtete Attacken auf Unternehmen und Industrieobjekte.....................................................................6 Digitale Zertifikate..................................................................6 Die bedeutendsten Ereignisse des Jahres............................7 Aurora....................................................................................7 Erpresser-Trojaner................................................................7 Stuxnet..................................................................................7 TDSS.....................................................................................8 Zahlreiche Vorfälle bei Twitter und Facebook........................8 Verhaftungen von Cyberkriminellen und Schließung von Botnetzen..............................................................................9 Prognosen für 2011.............................................................10 Daten, Daten, Daten: Cyberattacken 2011 Der ultimative Datenklau.....................................................10 Methoden............................................................................10 Neue Organisatoren und neue Ziele...................................10 Spyware 2.0........................................................................ 11 Zusammenfassung der Haupttrends 2011.......................... 11 Infos zum Kaspersky Security Network (KSN).................... 11 Schadprogramme im Internet (Attacken über das Web).....12 Top 20 der Schadprogramme im Internet............................12 Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind.......13 Web-Attacken, aufgeschlüsselt nach Ländern....................14 Netzattacken.......................................................................14 Lokale Infizierungen............................................................15 Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern......................................................................16 „Die Weltkarte“.....................................................................16 Web-Bedrohungen..............................................................16 Lokale Bedrohungen...........................................................17 Sicherheitslücken................................................................18 Teil 3: Spam.............................................................. 20 Kampf gegen Spam und den Versand von Schadcode im Jahr 2010........................................................................20 Schädlicher Spam...............................................................20 Schließung von Botnetzen: Eine Chronologie.....................20 Spam und das Gesetz.........................................................21 Spam-Statistiken.................................................................21 Spam-Anteile im E-Mail-Traffic............................................22 Spam-Herkunftsländer........................................................22 Verteilung der Spam-Quellen nach Regionen.....................23 Thematische Zusammensetzung von Spam.......................24 Methoden und Tricks der Spammer....................................25 Schädliche Anhänge............................................................26 Phishing...............................................................................27 Prognosen...........................................................................28 3 Kaspersky Security Bulletin 2010/2011 Teil 1: Entwicklung der IT-Bedrohungen Mit dem vorliegenden Bericht setzt Kaspersky Lab die Serie seiner alljährlichen Analysen fort. Betrachtet werden die wichtigsten Probleme, die private User sowie Nutzer in Unternehmen betreffen, und mit dem Einsatz von schädlichen, potentiell unerwünschten und betrügerischen Programmen sowie mit Spam, Phishing und Hackeraktivitäten zusammenhängen. Die Analyse wurde von den Experten des Global Research & Analysis Team (GReAT) in Zusammenarbeit mit den Unterabteilungen Content & Cloud Technology Research und Anti-Malware Research von Kaspersky Lab erstellt. 2010: Das Jahr der Sicherheitslücken Betrachtet man die Malware-Landschaft im Jahr 2010, so zeichnen sich etliche Parallelen zum Vorjahr ab. Denn die allgemeine Ausrichtung der Angriffe hat sich nicht drastisch geändert; allerdings haben viele Attacken ein neues qualitatives Niveau erreicht. Der Anteil neuer Schadprogramme, die innerhalb eines Monats entdeckt wurden, hält sich auf dem Level des Jahres 2009, und bei einigen Malware-Typen wurde sogar ein Rückgang der Aktivität registriert. Attacken auf Browser und Botnetze waren nach wie vor die größte Bedrohung. Bereits in unserem letzten Jahresbericht sind wir auf diese Stabilisierung im Malware-Strom eingegangen. Die Gründe dafür sind gleich geblieben: die zurückgehende Aktivität einer Reihe von Trojanern (Game-Trojaner) sowie der aktive Kampf der Strafverfolgungsbehörden, Antiviren-Anbieter und Telekommunikations-Unternehmen gegen kriminelle Services und Cyberkriminellen-Gruppierungen. Zudem hat die erwartete mengenmäßige Abnahme von gefälschten Antiviren-Programmen zur Stabilisierung der Zahl neuer Schädlinge beigetragen. Allerdings kann man die Stabilisierung der Zahl neuer Schadprogramme nicht mit einer Stabilisierung der Zahl von Attacken gleichsetzen. Erstens werden die Schädlinge immer komplizierter – ihr technisches Niveau ist im Vergleich zum Vorjahr sogar wieder wesentlich gestiegen. Und zweitens werden die meisten Attacken zunächst über den Browser geführt – mit Hilfe vieler Sicherheitslücken in den Browsern und den mit ihnen interagierenden Anwendungen. Das führt dazu, dass sich häufig ein und dasselbe Schadprogramm mit Hilfe dutzender unterschiedlicher Sicherheitslücken ausbreiten kann, was wiederum eine proportionale Zunahme der Angriffe nach sich zieht. Betrachtet man die Attacken als die Gesamtheit der von uns registrierten Vorfälle, so zeichnen sich ganz klar vier grundlegende Typen von Malware-Vorfällen ab: ►Attacken über das Internet (registriert mit Hilfe von Web-Anti-Virus) ►lokale Vorfälle (auf den Anwender-Computern registriert) ►Netzattacken (mit Hilfe von IDS registriert) ►Vorfälle im E-Mail-Verkehr Erstmals seit Beginn unserer Untersuchungen überstieg die Anzahl der ersten beiden von uns registrierten Angriffstypen 1,9 Milliarden! Angriffe über den Browser machten über 30 Prozent aller Vorfälle aus (mehr als 500.000.000 abgewehrte Attacken). Eine detaillierte Analyse dieser Daten finden Sie im zweiten Teil „Malware-Statisik“ des Kaspersky Security Bulletin. Sicherheitslücken waren das Top-Thema im Jahr 2010. Sie kamen vor allem in den Produkten der Firma Adobe vor und wurden zum Haupteinfallstor für Malware. Nach wie vor geht der Trend weg von der Ausnutzung von Schwachstellen in Microsoft-Produkten und hin zur Ausnutzung von Sicherheitslücken in Produkten von Adobe und Apple (Safari, Quicktime, iTunes). Das Schlüsselelement bei solchen Angriffen ist ein Bündel von Exploits, die verschiedene Sicherheitslücken in Browsern und den dazugehörigen Plug-ins ausnutzen. Die absoluten Spitzenreiter des Jahres 2010 nach Anzahl der registrierten Vorfälle waren Exploits, die Fehler in den Produkten der Firma Adobe ausnutzen. Während Cyberkriminelle Sicherheitslücken früher in erster Linie nur dazu ausnutzten, um in ein System einzubrechen, so wurden im Jahr 2010 einige Schadprogramme entdeckt, die sich verschiedene Schwachstellen auf allen Etappen ihrer Arbeit zu Nutze machen. Einige dieser Programme wie zum Beispiel der Wurm Stuxnet nutzen auch „Zero-Day-Schwachstellen“ aus. Ergebnisse Anzahl der in den Datenbanken von Kaspersky Lab neu erfassten Schadprogramme 4 In unserem Jahresbericht 2009 versuchten wir, die Entwicklungen innerhalb der Cybercrime-Szene und deren Angriffsarten für das Jahr 2010 vorherzusagen. Nach Ablauf des Jahres können wir nun, wie im Folgenden ausführlich erläutert, das Fazit ziehen, dass sich unsere Prognosen größtenteils bewahrheitet haben. Zunahme der Attacken über Filesharing-Netze P2P-Netze beziehungsweise Filesharing-Netze erwiesen sich im Jahr 2010 tatsächlich als beliebtes Einfallstor für Malware. Diese Angriffe haben sich nach Browser-Attacken an der zweiten Stelle positioniert. Über Filesharing-Netze wurden praktisch alle Arten von Schadprogrammen verbreitet: Datei-Viren, gefälschte Antiviren-Lösungen, Backdoors und alle nur erdenklichen Würmer. Außerdem wurden solche Netze zum Hauptverbreitungsweg für neue Bedrohungen wie zum Beispiel ArchSMS. Die Zunahme der cyberkriminellen Aktivität in P2PNetzen wurde auch von Sicherheits-Experten anderer Unternehmen registriert. So weist zum Beispiel die Firma Cisco in ihrem Bericht für das erste Halbjahr 2010 (www.net-security.org/secworld.php?id=9641) direkt auf den signifikanten Anstieg der Attacken in den drei populärsten P2P-Netzen BitTorrent, eDonkey und Gnutella hin. Die Malware-Epidemie über P2P-Netze begann im März 2010, als die Zahl der mit Hilfe des Kaspersky Security Networks registrierten Vorfälle erstmals 2,5 Millionen im Monat überstieg. Zum Ende des Jahres registrierte Kaspersky Lab 3,2 Millionen Attacken dieser Art. Kampf um Traffic So genannte Partnerprogramme spielen nach wie vor eine überaus wichtige Rolle, wenn es um die Wechselbeziehungen zwischen Cyberkriminellen und Diensten zum Aufbau neuer Botnetze sowie zur Steuerung und Umverteilung bestehender Botnetz-Kapazitäten auf neue Einsatzgebiete geht. Neben ihren offensichtlich kriminellen Arbeitsgebieten, wie etwa der Infizierung von legalen Webseiten und von Anwendercomputern mittels Drive-by-Downloads, bedienten sich die Partnerprogramme im Jahr 2010 zunehmend auch so genannter „grauer“ Einnahmequellen. Dazu zählen verschiedene Tricks, um den Anwender dazu zu bringen, sich freiwillig Dateien auf seinen Computer zu laden, die Verwendung von „abgefangenen“ Ressourcen zur Black SEO (verbotene Methoden der Suchmaschinenoptimierung), AttentionGrabbing-Links und die Verbreitung von Adware sowie die Umleitung des Traffics auf verschiedene Ressourcen. Mehr über die aktuellen Arbeitsmethoden solcher Partnerprogramme erfahren Sie in der Analyse „The Perils of the Internet“ (www.securelist.com/en/analysis/ 204792137/The_Perils_of_the_Internet). Epidemien und zunehmende Komplexität von Schadprogrammen Keine Epidemie war im letzten Jahr in Bezug auf Ausbreitungsgeschwindigkeit, Ausmaß und der ihr entgegengebrachten Aufmerksamkeit mit der des Wurms Kido (Conficker) aus dem Jahr 2009 vergleichbar. Betrachtet man die aufgezählten Faktoren im Einzelnen, so können allerdings 2010 viele Schadprogramme zweifellos zur Gattung der Epidemien (globalen Ausmaßes) gezählt werden. Die Botnetze Mariposa, ZeuS, Bredolab, TDSS, Koob face, Sinowal und Black Energy 2.0 waren im Jahr 2010 immer wieder Gegenstand von gerichtlichen Untersuchungen, und ihre Namen tauchten ständig in der Berichterstattung auf. Jedes dieser Botnetze steht für Millionen von infizierten Computern auf der ganzen Welt, und sie zählen zu den technisch kompliziertesten Schadprogrammen. Dabei wurden die Bots nicht nur mit konventionellen Mitteln wie E-Mail in Umlauf gebracht. Die Cyberkriminellen setzten hier auch auf moderne Verbreitungsplattformen wie soziale Netzwerke und Dateitauschbörsen. Bei diesen Bedrohungen wurden zum Teil erstmals Schadprogramme für 64-Bit-Plattformen umgesetzt, viele verbreiteten sich mit Hilfe von Zero-DaySchwachstellen. Ganz oben auf der Liste der Malware-Trends 2010 steht leider ein negatives „Meisterstück“, der Wurm Stuxnet. Stuxnet war das IT-Sicherheitsthema im zweiten Halbjahr 2010. Die Berichterstattung zu diesem Schädling, seinen möglichen Zielen und seinen Funktionsarten stellte alles vorher dagewesene in den Schatten. Der Fall Stuxnet zeigt, dass die am weitesten verbreiteten Programme auch immer die technisch kompliziertesten Bedrohungen darstellen. Damit wird die Messlatte auch für die Antiviren-Industrie höher gehängt, denn sie befindet sich in einem ständigen technologischen Wettstreit mit den Virenschreibern. Rückgang der gefälschten Antiviren-Programme Diese Vorhersage war überaus strittig – selbst unter Kollegen gingen die Meinungen bei diesem Thema auseinander. Damit sie sich bewahrheitete, musste noch eine Reihe zusätzlicher Faktoren eintreffen, wie beispielsweise die Änderung der wichtigsten Einnahmemethoden für die Betreiber und Teilnehmer an Partnerprogrammen, die Gegenwehr seitens der Antiviren-Unternehmen und der Strafverfolgungsbehörden, sowie eine ernsthafte Konkurrenz unter den verschiedenen Gruppen von Cyberkriminellen, die sich mit der Entwicklung und Verbreitung von gefälschten AntivirenProgrammen beschäftigen. Stützt man sich am Ende des Jahres auf die mit Hilfe von KSN gewonnenen statistischen Daten um ein Fazit zu ziehen, so kommt man zu dem Schluss, dass die Anzahl von gefälschten Antiviren-Lösungen weltweit insgesamt tatsächlich abgenommen hat. Während in den Monaten Februar und März 2010 der Höhepunkt der Aktivität registriert wurde (etwa 200.000 Vorfälle pro Monat), ging deren Verbreitung Ende des Jahres 2010 um das Vierfache zurück. Zudem ließ sich eine starke regionale Ausrichtung der bestehenden falschen Antiviren-Programme feststellen. Die Cyber-Betrüger konzentrierten sich lieber auf eine kleine Anzahl von Ländern und hier in erster Linie auf die USA, Frankreich, Deutschland und Spanien. 5 Angriffe auf und in Google Wave Das Projekt Google Wave wurde Mitte des Jahres 2010 von Google verworfen, so dass es gar nicht erst in vollem Ausmaß in Betrieb genommen werden und keine große Zahl an Teilnehmern an sich binden konnte. Aus diesem Grund hat sich die Vorhersage bezüglich der Attacken auf diesen Service und seine Kunden nicht bewahrheitet. Attacken auf das iPhone und Android Im Jahr 2009 wurden die ersten Schadprogramme für das iPhone sowie ein Spionageprogramm für Android entdeckt. Wir vermuteten, dass die Cyberkriminellen diesen Plattformen im Jahr 2010 wesentlich mehr Aufmerksamkeit widmen würden. Was das iPhone betrifft, so gab es keine Vorfälle mit echten Schadprogrammen, die etwa mit dem Wurm Ike aus dem Jahr 2009 vergleichbar sind. Allerdings wurden im vergangenen Jahr einige Konzept-Programme für diese Plattform entwickelt, die demonstrieren, welche Waffen die Cyberkriminellen in ihr Arsenal aufnehmen könnten. Durchaus erwähnenswert ist hier das Programm SpyPhone, das von Schweizer Forschern entwickelt wurde und sich unerlaubten Zugriff auf Informationen über den Aufenthaltsort, die Interessen, die Passwörter und den Suchverlauf im Internet sowie über den Beruf und die Freunde des iPhone-Anwenders verschaffen kann. Diese Informationen können daraufhin unbemerkt an einen entfernten Server geschickt werden. Eine solche Funktionalität kann erfolgreich in einer harmlos erscheinenden Anwendung verborgen werden. Früher waren vor allem die Endnutzer gefährdet, die zur Installation von Anwendungen aus beliebiger Quelle einen Jailbreak für ihr Telefon durchführten. Doch die Zeiten haben sich geändert: Heute sind Angriffe theoretisch vor allem dann möglich, wenn sich Anwender die vielgeliebten Apps aus dem Apple Store auf ihr Smartphone laden. Einige Vorfälle mit legalen Anwendungen sind bereits bekannt, bei denen unbemerkt Nutzerdaten gesammelt und diese an ihre Entwickler weitergeleitet werden. Die oben beschriebene Gefahrenlage für iPhone-Nutzer trifft auch auf Android zu – mit einer wichtigen Ergänzung: Für diese Plattform wurden Schadprogramme gefunden, die eine eindeutig kriminelle Ausrichtung haben. Sie funktionieren nach der bereits erprobten Methode mobiler Trojaner und verschicken SMS-Nachrichten an kostenpflichtige Nummern. Der Schädling Trojan-SMS.AndroidOS.FakePlayer, für den offensichtlich russische Virenautoren verantwortlich sind, wurde im September 2010 von Kaspersky Lab entdeckt und ist die erste reale Android-Malware. Obgleich der Trojaner nicht über den Android Market (die offizielle Plattform zum Erwerb von Android-Anwendungen), sondern über betrügerische Websites verbreitet wurde, halten wir es für äußerst wahrscheinlich, dass auch im Android Market schädliche Anwendungen auftauchen werden. Außerdem gibt es eine Vielzahl legaler Anwendungen, die bei der Installation auf dem Telefon den Anwender um Zugriff auf private Daten, SMS-Sendefunktionen 6 und Anrufdetails bitten. In den meisten Fällen leisten die Endnutzer diesen Bitten Folge – Anlass, an der Zuverlässigkeit des Sicherheitskonzepts von Android insgesamt zu zweifeln. Zielgerichtete Attacken auf Unternehmen und Industrieobjekte Die unter dem Namen „Aurora“ bekannte Attacke vom Anfang des Jahres 2010 betraf nicht nur das Unternehmen Google. Zwar war Google das Hauptziel der Angreifer, dennoch traf es auch eine Reihe anderer Konzerne überall auf der Welt. Der Vorfall deckte ernsthafte Sicherheitslücken in den Sicherheitssystemen auf und zeigte, wo die potentiellen Ziele für Cyberspionage und den Diebstahl sensibler kommerzieller Informationen sind. Auch in Zukunft werden Großunternehmen im Visier zielgerichteter Attacken stehen. Der Wurm Stuxnet ist nicht nur wegen seiner außergewöhnlichen Komplexität interessant, sondern in erster Linie aufgrund seines Ziels. Er hat speicherprogrammierbare Steuerungen (SPS) im Visier, die in der industriellen Produktion verwendet werden. Stuxnet markiert das erste allgemein bekannt gewordene Beispiel für industrielle Cyber-Spionage und -Sabotage, durch die ernsthafte Schäden verursacht werden können. Die frühere Grenze zwischen der virtuellen und der realen Welt ist praktisch verschwunden, was uns alle vor völlig neue Aufgaben stellt, die es in nächster Zeit zu lösen gilt. Digitale Zertifikate Digitale Zertifikate und Signaturen gehören zu den Säulen, auf denen das Vertrauen zu verschiedenen Objekten in der Computerwelt fußt. Selbstverständlich spielt das Vorhandensein einer Signatur in einer Datei auch bei der Entwicklung von Antiviren-Lösungen eine wichtige Rolle. So werden von vertrauenswürdigen Herstellern signierte Dateien als sauber bewertet. Diese Technologie ermöglicht es den Entwicklern von Antiviren-Programmen, die Zahl von False-Positives zu reduzieren und gleichzeitig Ressourcen beim Scan des Anwendercomputers auf Infizierungen einzusparen. Die Ereignisse des Jahres 2010 haben gezeigt, dass Cyberkriminelle, wie jeder andere Softwareentwickler, auf völlig legalem Weg an digitale Zertifikate kommen können. Etwa indem sie offiziell eine „Software zur Remote-Steuerung ohne GUI“ entwickeln, bei der es sich in Wahrheit um eine Backdoor handelt. Vor allem Entwickler von AdWare, RiskWare und gefälschten Antiviren-Programmen bevorzugen diese Methode, um die eigene Malware vor Entdeckung durch eine Antiviren-Lösung zu schützen. Haben die Kriminellen erst einmal den notwendigen Schlüssel vom Zertifizierungsdienstanbieter erhalten, können Sie damit ohne großen Aufwand ihre Schadprogramme signieren. Man kann nun mit Fug und Recht behaupten, dass die Idee der Signatur von Programmen ernsthaft in Misskredit geraten ist. Nicht nur, dass unbescholtene Zertifizierungsdienstanbieter in Misskredit geraten – es sind die Cyberkriminellen selbst, die derartige Dienste anbieten. Außerdem ist ein Zertifikat oder genauer ausgedrückt sein geheimer Schlüssel nichts anderes als eine Datei, die wie jedes andere virtuelle Eigentum auch gestohlen werden kann. Die entdeckten Komponenten des Wurms Stuxnet waren mit Hilfe von Zertifikaten der Firmen Realtek Semiconductors und JMicron signiert. Wie genau der geheime Schlüssel in die Hände der Cyberkriminellen gelangte, ist nicht bekannt. Doch offensichtlich gibt es hier verschiedene Möglichkeiten, um an echte Zertifikate zu kommen. Womöglich haben die Hintermänner von Stuxnet diese wichtigen Dateien Insidern abgekauft oder sie mit Hilfe einer Backdoor oder eines ähnlichen Schadprogramms gestohlen. Der Diebstahl von Zertifikaten ist zum Beispiel eine der Funktionen des weit verbreiteten Trojaners Zbot (ZeuS). Die bedeutendsten Ereignisse des Jahres Aurora Die Attacke der „Operation Аurora“ in den ersten Monaten des Jahres 2010 erregte nicht nur unter Sicherheitsexperten Aufmerksamkeit, sondern fand auch in den Massenmedien große Beachtung. Wie bereits oben erwähnt, standen große Unternehmen im Visier der Angreifer, darunter auch Google und Adobe. Die Cyberkriminellen, die hinter diesen Angriffen steckten, wollten nicht nur vertrauliche Anwenderdaten stehlen, sondern auch an die Quellcodes verschiedener Unternehmensprojekte gelangen. Das wichtigste Werkzeug bei den Angriffen war ein Exploit zu der Sicherheitslücke CVE-2010-0249 im Internet Explorer. Als diese erstmals durch Cyberkriminelle ausgenutzt wurde, verfügte Microsoft noch nicht über einen entsprechenden Patch, um diese Lücke zu schließen. So wurde „Aurora“ zu einem weiteren krassen Beispiel für die Ausnutzung von Zero-DaySchwachstellen. Erpresser-Trojaner Anfang und Mitte 2010 wurde eine Vielzahl von Infizierungen mit verschiedenen Modifikationen so genannter SMS-Blocker für User in Russland und einigen anderen osteuropäischen Ländern zu einem ernsthaften Problem. Diese Schadprogramme wurden auf verschiedene Arten verbreitet, mit Hilfe von Drive-by-Downloads unter anderem über populäre russischsprachige soziale Netzwerke sowie über Filesharing-Netze. Auf den infizierten Computern blockierten sie BetriebssystemFunktionen oder auch den Zugriff auf das Internet. Anschließend forderten sie den Anwender auf, eine SMS an eine kostenpflichtige Premium-Nummer zu senden, um so den entsprechenden „Freischalt-Code“ zu erhalten. Das Problem und die Zahl der betroffenen User nahmen derartige Ausmaße an, dass nicht nur Strafverfolgungsbehörden darauf aufmerksam wurden, sondern auch die russischen Massenmedien ausführlich darü- ber berichteten. Das geschah sowohl online als auch im Fernsehen. Auch die Mobilfunkanbieter leisteten ihren Beitrag im Kampf gegen die Erpresser, indem sie neue Regeln bei der Registrierung und Arbeit mit Kurzwahlnummern einführten, laufend die betrügerischen Accounts sperrten und ihre Kunden über den SMSBetrug informierten. Ende August wurden in Moskau mehrere Personen verhaftet und wegen der Programmierung von SMSBlockern angeklagt. Angaben des Innenministeriums der Russischen Föderation zufolge belaufen sich die illegalen Einnahmen dieser Gruppe auf etwa 500 Millionen Rubel (zirka 12,5 Millionen Euro). Aus der Welt geschafft ist dieses Problem damit noch nicht. Cyberkriminelle haben andere Wege eingeschlagen, um das Geld der Betroffenen für die „Entsperrung“ abzukassieren, beispielsweise mittels Überweisung über elektronische Bezahlsysteme und ähnlicher Methoden. Überdies wurden Ende des Jahres neue Vorfälle von Verschlüsselungs-Trojanern nach Art von Gpcode registriert, die Daten mit Hilfe der widerstandsfähigen Algorithmen RSA oder AES chiffrieren und ebenfalls Geld für die Wiederherstellung der entsprechenden Informationen fordern. Stuxnet Die Entdeckung des Wurms Stuxnet im Sommer 2010 war bezüglich seines Einflusses auf die Branche eines der wichtigsten Ereignisse – und zwar nicht nur des Jahres 2010. Schon die erste Analyse des Wurms brachte zwei entscheidende Faktoren zutage, die eine eingehendere Untersuchung unumgänglich machten. Erstens wurde festgestellt, dass der Wurm auf Windows-Betriebssystemen sofort eine Zero-Day-Sicherheitslücke ausnutzt, die mit der fehlerhaften Bearbeitung von LNK-Dateien zu tun hat (CVE-2010-2568). Diese Sicherheitslücke wird dazu verwendet, Schaddateien von mobilen USB-Speichern aus zu starten. Auch andere Cyberkriminelle wurden sehr schnell auf diese Schwachstelle aufmerksam, und bereits im Juli registrierten wir andere Schadprogramme, die ebenfalls die entsprechende Sicherheitslücke ausnutzten. Insbesondere stellten wir fest, dass die Schädlingsverbreiter Sality und Zbot (ZeuS) einen Exploit für diese Schwachstelle einsetzten. Allein im dritten Quartal 2010 waren 6 Prozent aller Mitglieder des Kaspersky Security Network (KSN) von Angriffen betroffen, die auf dem Exploit zur Sicherheitslücke CVE-2010-2568 basieren. Zweitens verwendete der Wurm legale digitale Zertifikate der Firma Realtek. Interessant ist zudem, dass nach einer gewissen Zeit eine schädliche StuxnetKomponente entdeckt wurde, die mit einem Zertifikat der Firma JMicron signiert war. Die Original-Trägerdatei (Dropper), die diese Komponente vermutlich installiert hatte, konnte dagegen bisher nicht gefunden wer- 7 den. Die Herkunft dieser Komponente ist eine weitere Unbekannte in der ohnehin schon überaus rätselhaften Stuxnet-Geschichte. Die eingehende Analyse förderte außerdem zutage, dass der Wurm drei weitere Exploits für Zero-DaySchwachstellen in Windows einsetzt. Der erste dient der Verbreitung des Wurms im lokalen Netzwerk und nutzt eine Sicherheitslücke im Druckdienst aus. Diese Schwachstelle wurde von Kaspersky Lab entdeckt, und Microsoft veröffentlichte den entsprechenden Patch im September 2010. Mit zwei weiteren Sicherheits lücken erhöhte der Wurm seine Privilegien im System – über die Komponente win32k.sys und mit Hilfe des Task Scheduler. An der Entdeckung der erstgenannten Schwachstelle waren ebenfalls Experten von Kaspersky Lab beteiligt. Stuxnet nutzt insgesamt fünf Schwachstellen aus, plus einer Sicherheitslücke in der Software Siemens WinCC, die mit den standardmäßig eingestellten Zugriffspasswörtern zu tun hat. Das ist allerdings nicht die bemerkenswerteste Eigenschaft des Wurms. Die destruktive Aktivität von Stuxnet richtet sich gegen Systeme mit einer bestimmten Konfiguration von SIMATIC WinCC/PCS7, die – und das ist das Entscheidende – auf spezielle Modelle von speicherprogrammierbaren Steuerungen (SPS) sowie auf Frequenzumrichter von bestimmten Herstellern zugreifen können. Die vom Wurm installierte dynamische Bibliothek fängt einen Teil der Systemfunktionen ab und kann dementsprechend Einfluss auf die Systemoperationen zur Steuerung des Industrieobjektes nehmen. Die wichtigste Aufgabe des Wurms besteht darin, die Funktionslogik der Controller in den Frequenzumformern zu ändern. Diese Controller überwachen die Drehgeschwindigkeit von Motoren. Dabei funktionieren sie nur mit Motoren mit einer sehr hohen Drehgeschwindigkeit, für die es nur wenige Einsatzgebiete gibt, zum Beispiel in Zentrifugen. TDSS Unter den „klassischen“ Schadprogrammen gebührt dem Schädling TDSS im Jahr 2010 der Siegerkranz. Das Attribut „klassisch“ ist dem Auftauchen des oben beschriebenen gefährlichen Wurms Stuxnet geschuldet, bei dem es sich zweifellos um eine absolute Neuheit in der Computerviren-Szene handelt, und der nicht das Werk gewöhnlicher Cyberkrimineller sein kann. Der Backdoor TDSS war bereits mehr als einmal Thema in unseren Analysen aus den Jahren 2009 und 2010. Auch bei den Analysten anderer Antiviren-Anbieter ist dieser Schädling auf großes Interesse gestoßen, denn abgesehen von Stuxnet handelt es sich bei TDSS um den derzeit kompliziertesten Schadcode überhaupt. In TDSS werden nicht nur ständig neue Methoden umgesetzt, um seine Anwesenheit im System zu verbergen und um das Botnetz zu steuern. Seine Autoren nutzen auch immer wieder verschiedene Sicherheitslücken aus, sowohl bereits gepatchte als auch Zero-Day-Schwachstellen. 8 Im Jahr 2010 lief TDSS erstmals auch auf 64-Bit-Systemen. Die entsprechende Modifikation wurde im August des vergangenen Jahres entdeckt und erhielt die interne Nummer TDL-4. Zur Umgehung des Systemschutzes von Windows setzten die TDSS-Autoren auf eine Infizierung des MBR, die in ähnlicher Form auch Sinowal verwendet – ein anderer Trojaner. Bei erfolgreicher Infizierung des MBR wird der Schadcode noch vor dem Start des Betriebssystems ausgeführt und kann die Bootparameter dahingehend ändern, dass im System nicht signierte Treiber registriert werden können. Der Downloader des Rootkits, der bestimmt, ob der Schädling unter einem 32-Bit- oder 64-Bit-System laufen soll, legt den Treibercode im Speicher ab und registriert diesen im System. Danach erfolgt der Start des Betriebssystems mit dem bereits integrierten Schadcode. Dabei ändert das Rootkit nicht den Kernbereich des Betriebssystems, den Windows mit der Technologie PatchGuard schützt. Die Firma Microsoft wurde von unseren Experten über das Problem informiert, stufte diese „Besonderheit“ jedoch nicht als kritisch ein und klassifizierte sie nicht als Sicherheitslücke, da der Trojaner für die Registrierung im Bootsektor bereits über administrative Privilegien im System verfügen muss. Um derartige Privilegien zu erhalten, setzt TDSS verschiedene Tricks ein und wird fortwährend perfektioniert. So entdeckten wir Anfang Dezember eine weitere Zero-Day-Schwachstelle, die TDSS ausnutzt, um seine Privilegien zu erhöhen. Diese Sicherheitslücke im Task Scheduler kam erstmals in Stuxnet zum Einsatz und wurde erst Mitte Dezember 2010 von Microsoft geschlossen. Zahlreiche Vorfälle bei Twitter und Facebook Zwei der populärsten und sich am schnellsten entwickelnden sozialen Netzwerke standen 2010 im Zentrum zahlreicher Attacken. Diese Angriffe fanden nicht nur vor dem Hintergrund statt, dass Cyberkriminelle in diesen Netzen eine weitere Möglichkeit sahen, um ihre Schadprogramme zu verbreiten. Die Attacken nutzten auch in diesen Netzwerken entdeckte Sicherheitslücken aus, die ihnen den Vertrieb erleichterten. Unter den Schädlingen für soziale Netzwerke waren die zahlreichen Varianten des Wurms Koobface am aktivsten. Sie richteten sich im Wesentlichen gegen Twitter, wo Links auf trojanische Programme über gehackte User-Accounts verbreitet wurden. Wie effizient Versendungen innerhalb sozialer Netzwerke sind, zeigt die Statistik. Allein im Verlauf einer eher unbedeutenden Attacke auf Twitter erhielten innerhalb einer Stunde mehr als 2000 Anwender den entsprechenden Link. Eine mit der Popularität des iPhones zusammenhängende und bezeichnende Geschichte ereignete sich im Mai im sozialen Netzwerk Twitter. Am 19. Mai kündigten die Betreiber von Twitter offiziell die neue Applikation „Twitter für iPhone“ an. Cyberkriminelle entschlossen sich, auf der Diskussionswelle mitzusurfen, die sich nach Veröffentlichung der Bekanntmachung aufbaute. Weniger als eine Stunde nach Erscheinen dieser Neuigkeit wurde Twitter von Mitteilungen überschwemmt, in denen immer wieder die Wortkombination „twitter iPhone application“ auftauchte, und die zudem Links auf das Schadprogramm Worm.Win32.VBNA.b enthielten. 2009 wurden die Aktionen fortgesetzt und führten zur Beendigung der Tätigkeiten von UkrTeleGroup, RealHost und 3FN. Zudem nutzten manche Malware-Autoren Twitter auch beispielsweise dazu, neue Domainnamen für BotnetzSteuerungszentren zu generieren. Für die Strafverfolgungsbehörden in verschiedenen Ländern wurde 2010 zum erfolgreichsten Jahr im Kampf gegen die Cyberkriminalität. Wir erwähnten bereits, dass einige Autoren von SMS-Blockern in Russland inhaftiert wurden, doch das ist nur ein kleiner Teil einer weltweiten Kampagne, um die Verbrecher zur Rechenschaft zu ziehen. Einige im Jahr 2010 bei Twitter entdeckte XSS-Sicherheitslücken wurden ebenfalls aktiv von Cyberkriminellen ausgenutzt. Besonders bemerkenswert waren die im September durchgeführten Attacken. Einige XSS-Würmer wurden auf das soziale Netzwerk losgelassen und verbreiteten sich ohne Beteiligung der User – es genügte bereits, eine infizierte Mitteilung anzuschauen. Wir schätzen, dass im Zuge dieser Epidemien mehr als eine halbe Million Twitter-User angegriffen wurden. Anfang 2010 wurde ein Teil der Steuerungsserver desjenigen Botnetzes abgeschaltet, das mit Hilfe des Schädlings Email-worm.Win32.Iksmas alias Waledac aufgebaut worden war. Das Zombienetz war aufgrund massiver Spam-Attacken mit bis zu 1,5 Milliarden EMails in 24 Stunden bekannt geworden. Außerdem integrierte es aktuelle Themen in seine Mitteilungen, verschickte E-Mails mit Links auf Iksmas und setzte bei seinen Bots serverseitigen Polymorphismus sowie die Fast Flux-Technologie ein. Im Mai etablierte sich bei Facebook eine ganz neue Angriffsart, die mit der neu eingeführten Funktion „like“ („gefällt mir“) zusammenhängt. Wie sich unschwer erraten lässt, ist diese Funktion für die Liste dessen verantwortlich, was dem Inhaber des jeweiligen Accounts gefällt. Tausende Anwender fielen der Attacke zum Opfer, die analog zu „clickjacking“ den Namen „likejacking“ erhielt. Im Sommer verhaftete die spanische Polizei die Betreiber von Mariposa, einem der größten Botnetze überhaupt. Dieses Zombienetz wurde mit Hilfe des Wurms P2P-worm.Win32.Palevo aufgebaut. Der Wurm verbreitet sich über Peer-to-Peer-Kanäle, Instant-Messaging-Systeme und über die Autorun-Funktion, das heißt über beliebige mobile Geräte wie Fotoapparate oder USB-Sticks. Die wichtigste Einnahmemethode von Palevo war der Verkauf und die Verwendung gestohlener Userdaten: Anmeldeinformationen und Passwörter verschiedener Dienste, in erster Linie Online-Banking. Später wurden in Slowenien vier junge Leute verhaftet, die beschuldigt werden, den WurmSchadcode im Auftrag spanischer „Kunden“ entwickelt zu haben. Nach Einschätzungen von Experten hat das Botnetz Mariposa bis zu 12 Millionen Rechner umfasst, was es zu einem der größten in der Geschichte des Internets macht. Auf Facebook wurden zudem Köder-Links platziert, die zum Beispiel die „Fußball-WM 2010 in hoher Auflösung“ oder die „101 attraktivsten Frauen der Welt“ versprachen. Die Links führten auf eine speziell erstellte Seite, auf der per Javascript direkt unter dem Mauspfeil ein unsichtbarer „gefällt mir“-Button platziert wurde. Der Button folgte dem Mauspfeil, so dass der User unausweichlich die Schaltfläche klickte und so automatisch den Link auf seine „Pinnwand“ kopierte. Anschließend wurden die Freunde des Anwenders darüber informiert, dass ihm dieser Link gefällt. Nun funktionierte die Attacke nach dem Schneeballsystem: Die Freunde des Users folgten dem Link, daraufhin die Freunde der Freunde, dann deren Freunde und so weiter. Nachdem der Link auf die „Pinnwand“ kopiert wurde, gelangte der Anwender auf die Seite mit den anfangs versprochenen Informationen, zum Beispiel Fotos junger Mädchen. Hinter der der Attacke verbarg sich eine illegale Einnahmequelle: Auf dieser Seite befand sich nämlich ein kleines Javascript eines Werbeunternehmens, das den Organisatoren der Attacke für jeden Besucher der Seite eine kleine Geldsumme zahlte. Verhaftungen von Cyberkriminellen und Schließung von Botnetzen In den Jahren 2008 bis 2009 führte der Kampf der Aufsichtsbehörden, der Telekommunikationsunternehmen sowie der Antiviren-Industrie gegen kriminelle InternetHostings und -Services zu gewissen Erfolgen. Den Anfang machte Ende 2008 die Schließung verschiedener Dienste wie McColo, Atrivo oder EstDomains. Im Jahr Im Frühjahr 2010 wurde in Russland einer der Organisatoren des so genannten „RBS hack“ festgenommen und im September verurteilt. Im Jahr 2009 wurde ausführlich darüber berichtet, dass Unbekannte mehr als neun Millionen Dollar aus Hunderten von Bankautomaten rund um den Globus gestohlen hatten. Ungeachtet der Schwere des Verbrechens und der Höhe der Summe verurteilte ein Gericht in Sankt Petersburg den Angeklagten zu sechs Jahren Freiheitsentzug auf Bewährung. Andere Organisatoren dieser Attacke wurden in Estland verhaftet und an die USA ausgeliefert, wo sie jetzt auf ihren Prozess warten. Zwei weitere an dem Angriff Beteiligte wurden ebenfalls inhaftiert, einer in Frankreich, der andere in Russland. Im Herbst wurden viele Kriminelle verhaftet, die mit dem Einsatz des Schadprogramms ZeuS zu tun hatten. Ende September wurden 20 aus Russland, der Ukraine und anderen osteuropäischen Ländern stammende Personen verhaftet. Bei ihnen handelte es sich um Money Mules: Wäscher von Geld, das mit Hilfe dieses Trojaners gestohlen worden war. Gleichzeitig wurde in 9 Großbritannien eine Gruppe von Personen aufgrund eines ähnlichen Tatbestandes festgenommen. Kurz darauf erklärte der mutmaßliche Autor von ZeuS in verschiedenen Foren, in denen Vertreter der russischsprachigen Cyberkriminellen-Szene verkehren, dass er sich „aus dem Geschäft zurückziehen“ und den Quellcode des Trojaners und seiner Module an einen anderen Entwickler weitergeben werde. Mitte Oktober wurde auch die Geschichte eines weiteren bekannten Botnetzes beendet, das auf dem trojanischen Programm Bredolab basierte. Tatsächlich ist hier nicht von einem einzelnen Zombienetz die Rede, sondern gleich von mehreren, deren Steuerung Hunderte zentraler Server übernahmen. Sie alle wurden infolge einer Aktion der holländischen und französischen Cyberpolizei abgeschaltet. Zum Zeitpunkt seiner Schließung bestand das größte Segment des Botnetzes aus über 150.000 infizierten Rechnern. Der Betreiber des Botnetzes ist Armenier. Er wurde mehrere Monate observiert und – nachdem die Server abgeschaltet waren – bei seiner Ankunft aus Moskau am Flughafen Jerewan festgenommen. Es ist anzunehmen, dass er in Russland illegalen Geschäften mit anderen Cyberkriminellen nachgegangen ist. Verschiedenen Quellen zufolge ist er bereits seit fast einem Jahrzehnt im Cyberkriminellen-Business aktiv und zudem verantwortlich für eine Reihe Aufsehen erregender DDoS-Attacken und Spam-Versendungen. Eine weitere illegale Einnahmequelle bestand in der Vermietung und dem Verkauf von Teilen des Zombienetzes an andere Kriminelle. Prognosen für 2011 Daten, Daten, Daten: Cyberattacken 2011 - Der ultimative Datenklau Bei früheren Prognosen haben wir uns ausschließlich аuf die Methoden der Cyberangriffe konzentriert, wie zum Beispiel „Attacken auf mobile Plattformen“, „Sicherheitslücken“ und ähnliches. Das hängt damit zusammen, dass das einzige Ziel der Cyberkriminellen immer nur Geld war. Die Entwicklung des letzten Jahres hat allerdings gezeigt, dass die Welt der Cyberkriminalität sich im Wandel befindet und wir im Jahr 2011 zusätzlich zu den Methoden nun auch die Bereiche Organisatoren von Cyberattacken und deren Ziele eingehender betrachten müssen. Man kann diese Entwicklung mit dem Verschwinden von Schadprogrammen vergleichen, die „just for fun“ geschrieben wurden und mit dem darauffolgenden Aufkommen der modernen Cyberkriminalität. Methoden Zum Einstieg in diesen Abschnitt sei erwähnt, dass die Methoden der Cyberattacken nicht von ihren Organisatoren und Zielen abhängen. Sie spiegeln vielmehr die technischen Möglichkeiten wider, die moderne Betriebssysteme, das Internet und seine Services Cyberkriminellen heute bieten. 10 Rückblickend kann gesagt werden, dass 2010 das Jahr der Sicherheitslücken war. Wir gehen davon aus, dass sich im neuen Jahr dieses Problem weiter verschärfen wird. Programmfehler werden wohl noch häufiger als schon geschehen ausgenutzt werden. Diese Entwicklung wird begünstigt durch die Entdeckung neuer Sicherheitslücken in gängigen Produkten (Windows, Office, Produkte von Adobe und Apple). Stichwort „Zero-Day-Schwachstelle“: Vor wenigen Jahren war die Ausnutzung von Zero-Day-Schwachstellen ein einzigartiges Phänomen – im ausgehenden Jahr jedoch keine Seltenheit mehr. Und wir gehen davon aus, dass diese Tendenz sich fortsetzen und die Zero-Day-Bedrohungen weiter zunehmen werden. Zudem werden künftig nicht nur die unter Cyberkriminellen so beliebten Sicherheitslücken der Klasse “remote code execution” ausgenutzt werden, sondern auch die bisher kaum beachteten Schwachstellen zur Erhöhung der Systemprivilegien, der Datenmanipulation und der Umgehung der Schutzmechanismen des Systems. Aber auch auf der menschlichen Seite hat sich einiges getan, und so werden die immer professioneller agierenden Cyberkriminellen schneller denn je auf ihre Aufdeckung und Entdeckung reagieren können. Nach wie vor werden die wichtigsten illegalen Einnahmequellen im Diebstahl von Online-Banking-Accounts, Spamversand, der Organisation von DDoS-Attacken, Erpressung und Betrug liegen. Um diese Ziele zu erreichen, werden mehr oder weniger häufig dieselben Methoden wie heute auch angewendet werden. Ohne Zweifel wird die Zahl der Bedrohungen für 64-BitPlattformen zunehmen. Da das Leben sich zunehmend in sozialen Netzwerken abspielt, wird auch im neuen Jahr die Zahl der Angriffe auf Nutzer sozialer Netzwerke zunehmen. Dabei werden die meisten Attacken Sicherheitslücken ausnutzen und über den Browser realisiert werden. DDoS-Attacken bleiben eines der wichtigsten Probleme des Internets. Zudem müssen wir uns auf neuartige Angriffe auf mobile Geräte und Betriebssysteme einstellen. In erster Linie wird das neue Jahr für Android recht gefährlich werden. Doch all das wird nur der Hintergrund sein vor einer sich grundlegend gewandelten Landschaft, die geprägt sein wird von dem Auftreten neuer Organisatoren und neuer Ziele der Cyberattacken. Neue Organisatoren und neue Ziele Wie eingangs erwähnt, waren die letzten Jahre hinsichtlich des Zwecks der Cyberattacken recht überschaubar, ging es doch größtenteils um Geld. Das Auftreten von Stuxnet allerdings läutete eine neue Ära ein, denn hier wurden gewisse moralische und technische Grenzen überschritten. Die Angriffe des Wurms haben der ganzen Welt eindrucksvoll gezeigt, dass es Cyberwaffen gibt, denen man nicht ohne Weiteres, ganz im Gegenteil nur mit äußerster Anstrengung Widerstand leisten kann. Nachdem die erste Stuxnet-Welle für die Cyberkriminellen so erfolgreich gelaufen ist, ist es nicht ausgeschlossen, dass zukünftig auch Cyber-Nachrichtendienste und kommerzielle Unternehmen ihr Wissen und ihre Möglichkeiten in Stuxnet-ähnliche Programme stecken werden. Traditionelle Cyberangriffe werden natürlich nach wie vor Standard sein und somit die Basis der Kriminalität im Web bilden. Der normale Nutzer wird auch höchstwahrscheinlich nicht von Stuxnetartigen Schädlingen betroffen sein. Das Szenario wird vielmehr einem unsichtbaren Kampf gleichen, dessen Episoden nur äußerst selten und wenn, dann zufällig ins Blickfeld der Massenmedien geraten. Die meisten Opfer werden daher nie erfahren, wie und von wem ihnen Schaden zugefügt wurde. Dabei ist die Rede noch nicht einmal unbedingt von Cyberspionage, wie Stuxnet sie betrieben hat. Das generelle Ziel dieser Art von Angriffen werden Informationen jeglicher Art sein. Stuxnet hat eine neue Ära der Cyberbedrohungen eingeläutet. Wir gehen davon aus, dass diese Entwicklung im Jahr 2011 nur ihren Anfang nimmt und erst in den darauffolgenden Jahren zur vollen Entfaltung kommt. Allerdings ist schon jetzt klar, dass durch diese neue Qualität der Attacken und derer, die sie vorbereiten, der Kampf gegen Cyberbedrohungen wesentlich schwerer wird. Spyware 2.0 Die Zeit ist reif für ein neues Konzept: Spyware 2.0 löst das alte Konzept der Malware 2.0 ab. Neben Spamversand und Organisation von DDoS-Attacken besteht die Hauptfunktionalität moderner Schadprogramme im Diebstahl von Anwender-Accounts. Im Fokus stehen hier Banken, E-Mail, soziale Netzwerke und vieles mehr. Doch Account-Daten sind bei Weitem nicht alles, und vor allem nicht das Wertvollste, was beim Anwender zu holen ist. Im Jahr 2011 erwarten wir eine neue Klasse von Spionageprogrammen, deren Funktionalität schlicht und einfach darin besteht, alles zu stehlen, was es zu stehlen gibt. Diese Art der Spyware wird sich für den Anwender selbst interessieren – Wohnort, Arbeit, Hobbys, Bekannte, Familienstand und Familie, Haarfarbe, Augenfarbe, Dokumente, Fotos und so weiter. Nichts auf dem infizierten Computer wird vor ihnen sicher sein. Derartige Daten werden schon jetzt von sozialen Netzwerken und Verkäufern von Internetwerbung gesammelt, denn der Markt dafür existiert. Und wo ein Markt ist, gibt es Nachfrage, lässt sich Geld verdienen. Dabei ist die weitere Verwertung dieser Daten nicht einmal wichtig. Die Hauptsache bei Nachfrage und Angebot besteht darin, dass sich hier Cyberkriminellen eine neue Einnahmequelle eröffnet. Informationen sind der größte Wert in der heutigen Zeit. Der Interessensbereich derer, die solche Angriffe initiieren, wird sich signifikant erweitern. 2011 wird also auch das Jahr von universellen Allround-Dieben werden. Cyberkriminelle haben in den letzten Jahren einen regelrechten Professionalisierungsprozess durchlaufen. Früher waren neben den Heimanwendern ausschließlich Finanzinstitute und verschiedene Bezahlsysteme für die Cyberkriminellen attraktiv. Heute sind sie technisch so weit fortgeschritten, dass sie sich auf den Markt der Industriespionage, des Betrugs und der Erpressung vorwagen können. Zusammenfassung der Haupttrends 2011 Der Ausblick auf das Jahr 2011 lässt Schlimmes ahnen. Sicherlich war zu erwarten, dass Cyberkriminalität nicht abnehmen wird – aber nun erreichen die Attacken eine neue Qualität, und wir sehen uns einer neuen Professionalität der Cyberkriminellen gegenüber. Hier die Tendenzen im Überblick: ►Bei der Entwicklung von Schadprogrammen und der Organisation von Cyberattacken treten neue, professionellere Spieler auf den Plan. ►Schädliche Programme werden nicht mehr nur entwickelt, um damit Geld zu verdienen, sondern vermehrt, um Informationen jeglicher Art zu erhalten. ►Informationen werden zum Hauptziel von Cyberattacken und gleichzeitig zu einer neuen Einnahmequelle der traditionellen Cyberkriminalität. ►Sicherheitslücken gehören weiterhin zu den wichtigsten Methoden zur Durchführung von Cyberattacken, wobei sowohl das Spektrum der Schwachstellen erweitert als auch die AusnutzungsGeschwindigkeit erhöht werden. ►Mit Spyware 2.0 wird eine neue Klasse von Schadprogrammen auf den Diebstahl von persönlichen Anwenderdaten (Identitätsdiebstahl) spezialisiert sein, aber auch auf den Diebstahl von allen nur erdenklichen Daten. ►Spyware 2.0 wird nicht nur ein Werkzeug in den Händen der traditionellen Cyberkriminellen sein, sondern auch von den neuen Profis für Attacken eingesetzt werden. ►Unternehmen werden vermehrt Opfer von Cyberkriminalität werden. Infos zum Kaspersky Security Network (KSN) Das Kaspersky Security Network (KSN) ist eine der wichtigsten Funktionen in den Heimanwender-Produkten, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen. Mit Hilfe des KSN können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren. Gleichzeitig verbessert KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig. 11 Schadprogramme im Internet (Attacken über das Web) Kaspersky Security Bulletin 2010/2011 Teil 2: Malware-Statistik Die vorliegenden Daten wurden mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet. Das KSN setzt in den Produkten für Heimanwender und Unternehmen eine Cloud-Architektur ein und gehört zu den wichtigsten Technologien von Kaspersky Lab. Das Kaspersky Security Network ermöglicht es unseren Experten, in Echtzeit selbst solche Schadprogramme aufzuspüren, für die es bisher noch keine Signaturen oder heuristische Erkennungsmethoden gibt. Mit Hilfe des KSN können wir die Verbreitungsquellen von Schadprogrammen im Internet identifizieren und Anwender vor dem Zugriff auf diese Quellen schützen. Gleichzeitig ermöglicht das KSN eine sehr schnelle Reaktion auf neue Bedrohungen – innerhalb weniger Sekunden nach seiner Entdeckung auf dem Computer des Anwenders wird das Schadprogramm blockiert, und zwar ohne die sonst übliche Aktualisierung der Antiviren-Datenbanken. Die häufigsten Schadprogramme im Internet 2010 Platz Name Anzahl der Angriffe Anteil 347.848.449 59,94% 1 Blocked 2 Trojan.Script.Iframer 37.436.009 6,45% 3 Trojan.Script.Generic 19.601.498 3,38% 4 Trojan-Downloader.Script.Generic 13.887.220 2,39% 5 Trojan.Win32.Generic 9.515.072 1,64% 6 Exploit.Script.Generic 9.118.706 1,57% 7 Exploit.JS.Agent.bab 3.161.815 0,54% 8 AdWare.Win32.Shopper.l 2.620.672 0,45% 9 Trojan-Clicker.JS.Iframe.bb 2.320.419 0,40% 10 Trojan-Dropper.JS.Hexzone.bu 2.125.007 0,37% 11 Trojan.JS.Agent.bhr 2.014.679 0,35% 12 Trojan.Win32.StartPage 1.610.123 0,28% 13 Trojan.HTML.Fraud.bl 1.547.961 0,27% 14 AdWare.Win32.FunWeb.q 1.463.179 0,25% 15 Trojan-Spy.Win32.Agent.bdpj 1.290.311 0,22% 16 Exploit.Java.CVE-2010-0886.a 1.246.382 0,21% 17 Trojan.JS.Iframe.fe 1.109.354 0,19% 18 Trojan-Downloader.Win32.Generic 1.071.929 0,18% 19 AdWare.Win32.HotBar.dh 1.046.306 0,18% 20 Trojan-Downloader.Win32.Zlob.aces 1.011.464 0,17% Die im Jahresbericht vorgestellten Statistiken basieren auf Daten von Kaspersky Lab-Produkten, deren Anwender zugestimmt haben, dass die Software statistische Informationen sammeln und zu Auswertungszwecken an Kaspersky Lab schicken darf. 12 Seit der Veröffentlichung unseres letzten Jahresberichts hat sich die Situation bezüglich der Attacken über den Browser wesentlich verschlechtert. Während im Jahr 2008 noch 23.680.646 Browser-Attacken auf KSN-Mitglieder stattfanden und deren Zahl im letzten Jahr auf 73.619.767 wuchs, so zählten wir im Jahr 2010 ganze 580.371.937 Angriffe. Dieser Zuwachs hängt mit der Verbreitung von ExploitSammlungen zusammen, die Angriffe per Drive-byDownload einleiten. Unter diesen Sammlungen sind Eleonore und Neosploit besonders erwähnenswert. Cyberkriminelle setzen sie insbesondere zur Verbreitung von Malware über Partnerprogramme nach dem Schema PPI (Pay Per Install) ein. Auch die sich selbst verbreitenden Web-Infektionen wie zum Beispiel Gumblar oder Pegel dürfen nicht außer Acht gelassen werden. Diese Systeme verwenden von Cyberkriminellen gestohlene Passwörter für den Zugriff auf Webressourcen und sind in der Lage, Webseiten automatisch zu infizieren. Web-Botnetze, die ihren Pool an Zombie-Computern ständig aktualisieren, gehören zu den komplexesten Problemen der modernen IT-Sicherheit. Der erste Schritt zur Verbreitung der Bots läuft hauptsächlich über gehackte legitime Webseiten, deren Zusammensetzung sich immer wieder ändert. Die Attacken über den Browser waren im Jahr 2010 die wichtigste Eindringungsmethode von Malware auf die Computer der Anwender, und für die nähere Zukunft sehen wir keinerlei Anzeichen dafür, dass sich diese Situation ändert. Sicherheitslücken in Browsern (in erster Linie im Internet Explorer) und auch in BrowserAnwendungen wie Adobe Flash Player und PDF Reader tauchen weiterhin praktisch jeden Monat auf, und jede von ihnen wird dann innerhalb kürzester Zeit von Cyberkriminellen ausgenutzt. Im Jahr 2010 haben wir das Kaspersky Security Network um neue Algorithmen zur Erkennung potentiell gefährlicher Webseiten und Anwendungen im Netz erweitert. Zusammen mit dem System zur Entdeckung von Phishing-Seiten ermöglichen uns diese Technologien, über 60 Prozent der Web-Attacken im allerfrühsten Stadium zu identifizieren. Das geschieht ganz ohne Verwendung traditioneller signaturbasierter Erkennungsmethoden und ohne Aktualisierung der Antiviren-Datenbanken durch die Anwender. Top 20 der Schadprogramme im Internet In der Tabelle links sind die 20 aktivsten Schadprogramme aufgeführt, die im Jahr 2010 an Internet-Attacken auf die Computer der Anwender beteiligt waren. Jede dieser 20 Bedrohungen wurde von Kaspersky Lab mehr als eine Million Mal registriert, und mehr als 80 Prozent (461.046.555) aller registrierten MalwareVorfälle entfielen auf diese Schädlinge. Den ersten Platz im Rating belegen Bedrohungen, die mit Hilfe spezieller Algorithmen zur Entdeckung potentiell gefährlicher Seiten, Links und bereits erwähnter Anwendungen blockiert wurden. Auf Position zwei befinden sich heuristisch erkannte schädliche Links, die von Hackern oder häufig von den Schadprogrammen selbst in den Code der gehackten Seiten eingeschleust werden. Diese Links rufen im Browser heimlich eine andere Seite auf, die in der Regel die eigentliche ExploitSammlung enthält, welche Sicherheitslücken in Browsern und Anwendungen ausnutzt. Weitere Programme dieser Art – und zwar die am weitesten verbreiteten IFrame-Bedrohungen – landeten auf den Plätzen 9 und 17. In diesen Fällen handelt es sich jedoch um signaturbasierte Erkennung. Im Jahr 2009 befanden sich in den Top 5 der WebBedrohungen die Skripte Gumblar und die Adware Boran.z. Im Jahr 2010 belegten Schadprogramme, die Kaspersky Anti-Virus heuristisch aufgespürt hat, die Plätze 2 bis 6. Mit Gumblar und Boran.z vergleichbare Programme wie Agent.bab und Shopper.l belegten die Plätze 7 und 8. Der Schädling Exploit.JS.Agent.bab trat im Mai 2010 erstmals in Erscheinung und wurde in seinem ersten „Lebensmonat“ mehr als 340.000 Mal entdeckt. Der Exploit nutzt die Sicherheitslücke CVE-2010-0806 aus und lädt verschiedene Schadprogramme auf den betroffenen Computer. Die Zusammenstellung dieser Schädlinge weist eindeutig auf die chinesische Herkunft des Exploits hin: Trojan-Downloader.Win32.Geral und Backdoor.Win32.Hupigon, Trojan-GameTheif. Win32.Maganiz, Trojan-GameTheif.Win32.WOW und so weiter. Das Werbeprogramm Adware.Win32.Shopper.l verhält sich äußerst aggressiv, versucht auf verschiedene Arten in den Computer einzudringen und installiert eine Erweiterung für den Microsoft Internet Explorer. Neben Shopper schafften es zwei weitere Werbeprogramme in die Hitliste der Web-Schädlinge: Funweb.q (Platz 14) und HotBar.dh (Platz 19). Nahezu alle anderen Vertreter der Top 20 sind entweder Exploits oder werden bei Attacken eingesetzt, die Sicherheitslücken mit Exploits ausnutzen. Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind Im Jahr 2010 hat Kaspersky Lab 580.371.937 Attacken registriert, die von Internet-Ressourcen in 201 Ländern ausgingen. Etwa 90 Prozent aller von uns im Netz erfassten Schadprogramme stammten aus zwanzig Ländern (siehe Tabelle rechts unten). Zur Bestimmung der geografischen Ursprünge der Attacken wurden Domainname und reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht war. Außerdem wurde die geografische Herkunft (GEOIP) der jeweiligen IP-Adresse bestimmt. Bei der Analyse dieser Statistik muss man unbedingt berücksichtigen, dass es hier nicht nur um von Cyberkriminellen aufgebaute und unterhaltene schädliche Hosting-Services geht, sondern auch um legale Webseiten, die gehackt und als „Obdach“ für Schadcode ausgenutzt wurden. Eine falsche Auslegung dieser Daten könnte dazu führen, dass einem Land die „Schuld“ für die Attacken gegeben wird – und solche Beschuldigungen gab es bereits. Doch das ist grundlegend falsch. Die Statistik zeigt vielmehr, dass sich die Länder in der Opferrolle befinden, weil deren Cyberspace von Kriminellen ausgenutzt wird. Im Jahr 2010 hat sich die Geografie der Web-Bedrohungen drastisch verändert. Noch 2009 führte China das Ranking mit dem unglaublich hohen Wert von 52 Prozent an. Im Jahr 2010 ergriffen die chinesischen Behörden Maßnahmen zur Verbesserung der Situation und konnten viele schädliche Hosting-Services, die von Cyberkriminellen auf der ganzen Welt genutzt wurden, aus dem lokalen Cyberspace entfernen. Zudem wurden die Vorschriften zur Registrierung von Domains in der Zone .cn verschärft. All das führte dazu, dass China (13 Prozent) nun nicht mehr das Hauptherkunftsland von Web-Bedrohungen ist und seine Vorreiterrolle an die USA (26 Prozent) und Russland (15 Prozent) abgetreten hat. Der Anteil der USA steigt mit jedem Jahr (7 Prozent im Jahr 2008, 19 Prozent im Jahr 2009, 26 Prozent im Jahr 2010) – eine beunruhigende Entwicklung. Selbst nach einer Reihe spektakulärer Schließungen illegaler Hosting-Dienste hat sich die Situation nicht verändert. Wir haben es hier ganz klar mit einer Vielzahl von Infizierungen legaler Webseiten zu tun. Länder/Gebiete, die Malware hosten Platz Land Anteil 1 USA 25,98% 2 Russland 15,13% 3 China 13,07% 4 Niederlande 6,66% 5 Deutschland 5,95% 6 Spanien 4,21% 7 Ukraine 3,84% 8 Großbritannien 3,52% 9 Schweden 2,60% 10 Lettland 1,78% 11 Frankreich 1,72% 12 Kanada 1,44% 13 Britische Jungferninseln 1,03% 14 Polen 0,73% 15 Moldawien 0,71% 16 Philippinen 0,49% 17 Türkei 0,45% 18 Vietnam 0,36% 19 Hong Kong 0,36% 20 Australien 0,36% TOP 20 insgesamt 90,39% 13 Nach den USA und China folgten im Ranking üblicherweise Deutschland, Holland und Russland, dessen höchste Positionierung bisher Platz fünf war. Im Jahr 2010 landete allerdings Russland auf dem zweiten Platz. Der prozentuale Anteil von Attacken aus russischen Internet-Ressourcen stieg innerhalb eines Jahres von 2,6 auf 15,1 Prozent. Die Zunahme der WebRessourcen mit schädlichen Inhalten in Russland steht in engem Zusammenhang mit den bereits erwähnten Ereignissen in China. Die russischen Cyberkriminellen zählten zu den wichtigsten Nutzern der illegalen Hosting-Dienste in China. Nach der Schließung dieses „Marktes“ waren sie gezwungen, auf russische Ressourcen auszuweichen. Web-Attacken, aufgeschlüsselt nach Ländern Der nächste zu analysierende Wert beschreibt, in welchen Ländern und Regionen User am häufigsten zur Zielscheibe von Web-Attacken wurden. Etwa 82 Prozent aller 561.869.053 registrierten Infizierungsversuche entfielen auf die Computer der Einwohner aus zwanzig Ländern (siehe Tabelle unten). Verglichen mit 2009 gibt es auch bei der geografischen Verteilung der angegriffenen Computer wesentliche Veränderungen. Obwohl chinesische User nach wie vor am häufigsten im Visier der Angreifer stehen, hat sich der Wert für dieses Land innerhalb eines Jahres mehr als halbiert und ist von 46,8 auf 19,1 Prozent gesunken. Russland und die USA haben die Plätze getauscht, und in beiden Ländern nahm die Zahl der Angriffe zu – wir registrier- Web-Attacken auf User Platz Land 1 China 19,05% 2 Russland 17,52% 3 USA 10,54% 4 Indien 5,56% 5 Deutschland 3,16% 6 Ukraine 2,66% 7 Vietnam 2,60% 8 Großbritannien 2,56% 9 Frankreich 2,55% 10 Italien 2,39% 11 Spanien 2,06% 12 Saudi-Arabien 1,77% 13 Malaysia 1,62% 14 Türkei 1,60% 15 Brasilien 1,49% 16 Mexiko 1,47% 17 Kanada 1,31% 18 Thailand 1,15% 19 Polen 1,09% 20 Ägypten 1,02% TOP 20 insgesamt 14 Anteil 83,17% ten einen Anstieg von 5,8 auf 17,5 Prozent respektive von 6,6 auf 10,5 Prozent. Der Anteil der russischen Anwender ist vor allem auf Grund der Attacken, die über populäre russische soziale Netzwerke durchgeführt wurden, so drastisch gestiegen. Anteil daran haben auch die mit diesen Angriffen zusammenhängenden Epidemien verschiedener SMS-Blocker, auf die wir bereits im ersten Teil des Jahresberichts eingegangen sind. Deutschland und Indien behielten ihre Positionen in den Top 5 der am häufigsten über Web-Attacken angegriffenen Länder. Die Gründe für die Zunahme der Angriffe auf User in der Ukraine von 0,9 Prozent im Jahr 2009 auf 2,7 Prozent im Jahr 2010 sind größtenteils mit den für Russland geltenden Gründen identisch, denn die Überschneidung des Cyberspace dieser zwei Länder führt zu ähnlichen Problemen. Der im Jahr 2009 beobachtete Rückgang der Attacken auf Anwender in der Türkei, Ägypten und Vietnam hat sich nur bei den ersten beiden Ländern fortgesetzt. Für die Internet-User in Vietnam hat sich die Situation dagegen verschlechtert. Das Land ist in unserem Rating auf den 7. Platz geklettert. Netzattacken Ein Grundelement jedes modernen Schutzprogramms ist die Firewall. Sie kann Angriffe von außen, die nicht über den Browser laufen, blockieren, und sie wehrt Versuche ab, Anwenderdaten vom Computer zu stehlen. Kaspersky Internet Security verfügt über eine Firewall mit IDS (Intrusion Detection System), die eingehende Pakete erkennt. Bei diesen handelt es sich häufig um Exploits, die Sicherheitslücken in den Netzdiensten der Betriebssysteme ausnutzen. Auf diese Weise können Cyberkriminelle uneingeschränkt auf das System zugreifen. Im Jahr 2010 hat das IDS-System 1.311.156.130 Netzattacken abgewehrt (siehe Tabelle auf der rechten Seite oben). Der Vorjahreswert lag bei etwa 220 Millionen Vorfällen. Im Vergleich zum Jahr 2009 haben die Spitzenreiter dieses Ratings die Plätze miteinander getauscht. Nach Anzahl der Attacken belegte NETAPI.buffer-overflow. exploit den ersten Platz – ein Schädling, der die Sicherheitslücke MS08-067 ausnutzt und in Würmern der Familie Kido zur Anwendung kommt. Die Besetzung der restlichen Top-5-Positionen blieb unverändert. Nach wie vor sind hier schädliche Pakete der Würmer Helkern (Slammer) und Exploits zu der Sicherheitslücke MS03-026 zu finden, die beispielsweise im Jahr 2003 der Wurm Lovesan ausnutzte. Von besonderem Interesse ist die Netzattacke CVE2010-2729.a (Platz 19), die vom Wurm Stuxnet unter Ausnutzung der Sicherheitslücke MS10-61 durchgeführt und schließlich von KasperskyExperten aufgedeckt wurde. Über eine Schwachstelle im WindowsDruckdienst konnte sich dieser Wurm über lokale Netzwerke ausbreiten. Zum Zeitpunkt der Entdeckung der Schwachstelle handelte es sich um eine Zero-DayAttacke. Nach nur fünf Monaten gelang ihr der Sprung in die Top 20. Stuxnet ist nach wie vor das einzige Schadprogramm, das diese Sicherheitslücke ausnutzt. Vom IDS in Kaspersky Internet Security erkannte Netzwerkattacken Platz Name Anzahl Anteil 1 Intrusion.Win.NETAPI.buffer-overflow.exploit 557.126.500 42,49% 2 DoS.Generic.SYNFlood 400.491.518 30,54% 3 Intrusion.Win.MSSQL.worm.Helkern 262.443.478 20,02% 4 Scan.Generic.UDP 45.343.780 3,46% 5 Intrusion.Win.DCOM.exploit 14.134.307 1,08% 6 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 10.631.023 0,81% 7 Scan.Generic.TCP 5.238.178 0,40% 8 Intrusion.Win.LSASS.exploit 5.089.038 0,39% 9 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 3.256.429 0,25% 10 DoS.Generic.ICMPFlood 2.341.724 0,18% 11 DoS.Win.IGMP.Host-Membership-Query.exploit 1.641.578 0,13% 12 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1.399.613 0,11% 13 Intrusion.Win.PnP.exploit 579.249 0,04% 14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 384.278 0,03% 15 Intrusion.Win.SMB.CVE-2009-3103.exploit 236.122 0,02% 16 Intrusion.Win.WINS.heap-overflow.exploit 190.272 0,01% 17 DoS.Win.ICMP.BadCheckSum 101.063 0,01% 18 Intrusion.Generic.FTPD.format-string.attack 98.239 0,01% 19 Intrusion.Win.CVE-2010-2729.a.exploit 71.671 0,01% 20 Intrusion.Win.MSFP2000SE.exploit 44.674 0,004% 1.310.842.734 99,99% TOP 20 insgesamt Lokale Infizierungen Lokale Infizierungen sind von besonderer Bedeutung, denn zu diesen zählen insbesondere die Objekte, die nicht über das Netz, E-Mail oder Netzwerk-Ports in Computer eingedrungen sind. Verbreitetste Bedrohungen 2010 Platz Gefundenes Objekt Anzahl infizierter Rechner Die Antiviren-Lösungen von Kaspersky Lab haben fast 1,5 Milliarden (1.325.667.443) Virenvorfälle auf den Computern der Anwender, die zum Kaspersky Security Network gehören, entdeckt. Insgesamt wurden dabei 1.590.861 verschiedene schädliche oder potentiell unerwünschte Programme registriert. Die Top 20 der am weitesten verbreiteten Bedrohungen des Jahres 2010 setzen sich wie aus der Tabelle rechts ersichtlich zusammen. 1 Trojan.Win32.Generic 9.226.235 2 DangerousObject.Multi.Generic 8.400.880 3 Net-Worm.Win32.Kido.ih 6.386.762 4 Virus.Win32.Sality.aa 4.182.229 5 Net-Worm.Win32.Kido.ir 3.785.066 6 Virus.Win32.Virut.ce 1.950.967 7 Worm.Win32.Generic 1.706.624 8 Worm.Win32.FlyStudio.cu 1.384.379 Auf mehr als 14 Millionen Rechnern wurden Infizierungsversuche blockiert, die das KSN erfolgreich mit Hilfe universaler heuristischer Methoden erkannt hat. (Trojan.Win32.Generic, Worm.Win32.Generic, Trojan. Win32.Invader, Exploit.Script.Generic, Trojan-Downloader.Win32.Generic). Über 8 Millionen Computer wurden mit Hilfe des im Kaspersky Security Network integrierten Urgent Detection System (UDS) in Echtzeit geschützt. Neue Schaddateien wurden operativ als DangerousObject.Multi.Generic registriert. 9 Net-Worm.Win32.Kido.iq 1.057.900 10 P2P-Worm.Win32.Palevo.fuc 1.049.861 11 HackTool.Win32.Kiser.il 1.007.745 12 Trojan.Win32.Invader 974.957 13 Trojan.Win32.Pakes.Katusha.o 968.850 14 Worm.Win32.VBNA.b 941.102 15 Trojan.JS.Agent.bhr 941.092 16 Trojan-Dropper.Win32.Flystud.yo 886.356 17 Exploit.Script.Generic 855.842 Der Wurm Kido bleibt das am weitesten verbreitete Schadprogramm, das auf den Computern der Anwender blockiert wurde, obwohl es Ende 2010 bereits seinen zweiten Geburtstag feierte. Leider ist auch kein 18 Trojan-Downloader.Win32.Generic 806.024 19 Worm.Win32.Mabezat.b 783.831 20 Virus.Win32.Sality.bh 739.712 15 Rückgang der durch diesen Wurm verursachten Vorfälle zu beobachten. Vielmehr registrierten wir im Jahr 2010 eine Zunahme um mehr als das Doppelte. Offensichtlich wird die Bedrohung durch Kido sowie durch den Virus Sality (Spitzenreiter 2008) mindestens noch das gesamte Jahr 2011 gleich hoch bleiben, und auf ein völliges Verschwinden dieser beiden Bedrohungen aus den Ratings braucht man vermutlich in den nächsten zwei bis drei Jahren nicht zu hoffen. Auf dem 10. Platz befindet sich eine Variante des Wurms Palevo, der für den Aufbau des Botnetzes Mariposa verantwortlich ist. Über die Verhaftung des Virenautors und Botnetz-Inhabers berichten wir im ersten Teil unseres Jahresberichts. Die Position von Palevo im Ranking zeugt von seiner weiten Verbreitung. Nach all dem zu urteilen, sind die Vermutungen über 12 Millionen mit Palevo infizierter Computer vollkommen gerechtfertigt. Die bereits vor einem Jahr beschriebenen Schadprogramme, die mit Hilfe der Skript-Sprache FlyStudio entwickelt wurden, sind nach wie vor in den Top 20 vertreten (Plätze 8 und 16). Auch das Verpacken und die Tarnung von Schadprogrammen mit Hilfe speziell entwickelter Packer erfreuen sich weiterhin großer Beliebtheit. An die Stelle einiger Packer, die im Jahr 2009 von Cyberkriminellen verwendet wurden, traten im Jahr 2010 die Packer Katusha und VBNA. Lokale Infizierungen von Computern, aufgeschlüsselt nach Ländern Die eben beschriebenen lokalen Infizierungen wurden bei Anwendern in praktisch jedem Land der Welt registriert. Die Top 20 der Länder, auf die 80 Prozent aller einmaligen Computer-Infizierungen entfallen, sind mit dem Ranking der am häufigsten von Web-Attacken betroffenen Länder nahezu identisch (siehe Tabelle links unten). „Die Weltkarte“ Die Statistiken jedes Antiviren-Unternehmens basieren in erster Linie auf den Informationen seiner Kunden. Die Popularität der Produkte eines Unternehmens in den verschiedenen Ländern hat dabei natürlich einen großen Einfluss auf die Zusammensetzung dieser Daten. Um das Infizierungsrisiko, dem die Computer in den verschiedenen Ländern ausgesetzt sind, möglichst genau einzuschätzen, haben wir für jedes Land berechnet, wie häufig bei den Usern im jeweiligen Land im Laufe des Jahres 2010 ein Antiviren-Programm Alarm geschlagen hat. Web-Bedrohungen In der Tabelle unten sehen Sie die Top 20 der Länder, deren Einwohner am häufigsten von Web-Attacken betroffen waren. Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer Lokale Infizierungen Platz Land 1 China 19,86% 2 Russland 15,53% 3 Indien 7,35% 4 USA 5,72% 5 Vietnam 4,44% 6 Ukraine 2,59% 7 Deutschland 2,36% 8 Mexiko 2,18% 9 Italien 2,08% 10 Malaysia 2,07% 11 Frankreich 2,00% 12 Saudi-Arabien 1,92% 13 Türkei 1,91% 14 Spanien 1,88% 15 Brasilien 1,77% 16 Großbritannien 1,67% 17 Ägypten 1,66% 18 Thailand 1,58% 19 Polen 1,26% 20 Indonesien 1,12% TOP 20 insgesamt 16 Anteil 80,95% Web-Bedrohungen Platz Land Anteil 1 Irak 61,84% 2 Oman 56,19% 3 Russland 53,69% 4 Weißrussland 48,03% 5 USA 46,15% 6 Sudan 45,93% 7 Kuwait 44,24% 8 Armenien 44,20% 9 Kasachstan 43,20% 10 Angola 42,99% 11 Ukraine 42,63% 12 China 41,36% 13 Aserbaidschan 40,98% 14 Indien 40,61% 15 Turkmenistan 39,97% 16 Bangladesh 39,85% 17 Libyen 39,79% 18 Sri Lanka 39,58% 19 Saudi-Arabien 38,72% 20 Dschibuti 37,78% von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000). Im Irak wurden im Jahr 2010 beispielsweise fast zwei von drei Internet-Nutzern über das Netz angegriffen, in Russland gut jeder zweite User. Insgesamt lassen sich alle Länder in mehrere Gruppen einteilen. In die Gruppe mit dem höchsten Risiko, also einem Wert von mehr als 60 Prozent über das Web attackierter Anwender, fällt nur ein einziges Land – der Irak. In die Gruppe mit erhöhtem Risiko und Werten zwischen 41 Prozent und 60 Prozent gehören die auf den Irak folgenden 11 Länder aus den Top 20. Die geringer gefährdete Risikogruppe wird von Ländern mit Werten zwischen 21 Prozent und 40 Prozent gestellt. Im Jahr 2010 fielen insgesamt 116 Länder der Welt in diese Gruppe. Die Werte der letzten Gruppe liegen zwischen 0 Prozent und 20 Prozent. Es handelt sich hierbei um die vergleichsweise sichersten Länder, und die insgesamt fünf Vertreter dieser Gruppe sind Deutschland, Japan, Luxemburg, Österreich und Norwegen. Ihre Werte schwanken zwischen 19 und 20,8 Prozent. Lokale Bedrohungen Eine ähnliche Statistik lässt sich für die Entdeckung lokaler Bedrohungen erstellen – solchen, die auf einem Computer entdeckt werden und schon auf irgendeine andere Art und Weise vorher auf das System gelangt sind, beispielsweise über das lokale Netzwerk oder über mobile Datenträger (siehe Tabelle unten). Diese Zahlen spiegeln wider, wie hoch die durchschnittliche Infizierungsrate von Computern in den verschiedenen Ländern der Welt ist. Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Lab-Produkten relativ gering ist (weniger als 10.000). Dass es sich bei den in diesem Ranking aufgeführten Ländern ausschließlich um Entwicklungsländer in Afrika und Asien handelt, lässt sich mit dem stetigen Vormarsch des Internets in diesen Regionen erklären. Damit einher gehen ein niedriges Niveau der Computerkenntnisse bei den Anwendern und fehlende Erfahrungen im Kampf gegen Cyberbedrohungen. Auch bei den lokalen Bedrohungen ist es sinnvoll, die Länder in verschiedene Gruppen einzuteilen. Zur Gruppe mit der höchsten Infizierungsrate gehören die ersten zwölf Länder der Top 20. In der zweiten Gruppe (41 bis 60 Prozent) sind 66 Länder vertreten, in der dritten 45 Länder (21 bis 40 Prozent). Die „saubersten“ Computer (0 bis ca. 20 Prozent) befinden sich in insgesamt 16 Ländern (siehe Tabelle rechts unten). Diese Werte sind selbstverständlich relativ, da sie sich wie bereits mehrfach erwähnt allein auf die Anwender von KasperskyProdukten beziehen. Auch in diesem Rating sind fünf der in Bezug auf WebAttacken sichersten Länder vertreten: Österreich, Deutschland, Luxemburg, Norwegen und Japan. Dass diese Länder in beiden Rankings aufgelistet sind, kann man als Zeichen eines hohen Schutzniveaus der Computer in diesen Ländern werten. Lokale Bedrohungen Platz Land Anteil 1 Irak 79,26% 2 Sudan 70,42% 3 Ruanda 69,18% 4 Nigeria 67,77% Platz Land Anteil 5 Tansania 67,68% 1 Japan 8,65% 6 Bangladesh 67,27% 2 Deutschland 10,79% 7 Angola 66,01% 3 Luxemburg 11,79% 8 Burkina Faso 62,58% 4 Österreich 12,87% 9 Afghanistan 62,50% 5 Schweiz 10,15% 10 Uganda 62,02% 6 Dänemark 13,15% 11 Oman 61,95% 7 Finnland 15,91% 12 Turkmenistan 61,25% 8 Norwegen 16,20% Schweden 16,61% Länder mit minimalen Infizierungsraten 13 Dschibuti 60,80% 9 14 Nepal 60,44% 10 Großbritannien 17,43% 15 Mongolei 60,10% 11 Kanada 18,28% 16 Kamerun 59,66% 12 Niederlande 18,31% 17 Kenia 59,49% 13 Neuseeland 19,73% 18 Malediven 58,29% 14 Estland 20,00% 19 Sambia 58,24% 15 USA 20,06% 20 Mali 58,00% 16 Irland 20,09% 17 Sicherheitslücken In den letzten fünf bis sechs Jahren wurde alljährlich ungefähr die gleiche Menge an Sicherheitslücken entdeckt. Das änderte sich im Jahr 2010. Der Statistik von CVE (cve.mitre.org) zufolge wurden in Microsoft-Produkten und populären Windows-Anwendungen anderer Anbieter um einiges mehr Schwachstellen entdeckt als im Jahr 2009. Auch wenn sich die Zahl der entdeckten Sicherheitslücken nur unwesentlich ändert, nutzen Cyberkriminelle Schwachstellen Jahr für Jahr aktiver zu ihren Zwecken aus. Im Jahr 2010 erregte das Sicherheitslücken-Problem in gängigen Programmen mehr als einmal die Aufmerksamkeit der Computersicherheitsexperten und Journalisten. Unter Ausnutzung von Sicherheitslücken wurden Attacken durchgeführt, die auch in den Massenmedien hohe Wellen schlugen: die Operation Aurora und die Stuxnet-Attacke. Der Effekt dieses öffentlichen Interesses hat zwei Seiten. Einerseits begannen auch andere Cyberkriminelle die „bekannt gemachten“ Schwachstellen auszunutzen, andererseits beeilten sich die Hersteller, die Löcher in ihrer Software zu stopfen. Früher gehörten die Komponenten des Betriebssystems Windows und andere Microsoft-Produkte zu den interessantesten Objekten von Cyberkriminellen und Forschern, die nach Sicherheitslücken suchen. Doch Am weitesten verbreitete Schwachstellen 2010 18 Platz Nr. Name Anteil Prio Auswirkung Datum 1 31744 Microsoft Office OneNote URI Handling Vulnerability 26,98% Hoch kritisch Systemzugriff 9.9.2008 2 35377 Microsoft Office Word Two Vulnerabilities 26,64% Hoch kritisch Systemzugriff 9.6.2009 3 38805 Microsoft Office Excel Multiple Vulnerabilities 24,98% Hoch kritisch Systemzugriff 9.3.2010 4 Sun Java JDK / JRE Multiple Vulne37255 rabilities Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit 31.3.2010 5 38547 Adobe Flash Player Domain Sandbox Bypass Vulnerability 17,41% Mäßig kritisch Umgehung der Systemsicherheit 12.2.2010 6 34572 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability 15,87% Extrem kritisch Systemzugriff 3.4.2009 7 37690 Adobe Reader/Acrobat Multiple Vulnerabilities 14,46% Extrem kritisch Systemzugriff, Cross-Site-Scripting 15.12.2009 8 29320 Microsoft Outlook "mailto:" URI Handling Vulnerability 12,96% Hoch kritisch Systemzugriff 11.3.2008 9 Adobe Reader / Acrobat SING 41340 "uniqueName" Buffer Overflow Vulnerability 12,63% Extrem kritisch Systemzugriff 8.9.2010 10 39272 Adobe Reader / Acrobat Multiple Vulnerabilities 12,55% Hoch kritisch Systemzugriff, Cross-Site-Scripting 14.4.2010 11 40026 Adobe Flash Player Multiple Vulnerabilities 12,38% Extrem kritisch Systemzugriff, Cross-Site-Scripting 5.6.2010 12 23655 Microsoft XML Core Services Multiple Vulnerabilities 12,27% Hoch kritisch Systemzugriff, Cross-Site-Scripting, DoS 9.1.2007 13 41917 Adobe Flash Player Multiple Vulnerabilities 11,99% Extrem kritisch Systemzugriff, Aufdecken sensibler Daten, Umgehung der Systemsicherheit 28.10.2010 14 Sun Java JDK / JRE / SDK Multiple 41791 Vulnerabilities Systemzugriff, DoS, Aufdecken sensibler Daten, Aufdecken von Systeminformationen, Datenmanipulation, Umgehung der Systemsicherheit 13.10.2010 15 32428 Microsoft PowerPoint Multiple Vulnerabilities 16 40907 17 Hoch 23,18% kritisch Hoch 11,21% kritisch 10,33% Hoch kritisch Systemzugriff 12.5.2009 Adobe Flash Player Multiple Vulnerabilities 9,99% Hoch kritisch Systemzugriff 11.8.2010 25952 ACDSee Products Image and Archive Plug-ins Buffer Overflows 9,88% Hoch kritisch Systemzugriff 2.11.2007 18 38551 Adobe Reader/Acrobat Two Vulnerabilities 9,50% Hoch kritisch Systemzugriff, Umgehung der Systemsicherheit 12.2.2010 19 37231 Sun Java JDK / JRE Multiple Vulnerabilities 9,03% Hoch kritisch Systemzugriff, DoS, Aufdecken sensibler Daten, Umgehung der Systemsicherheit 4.11.2009 20 39375 Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability 8,51% Hoch kritisch Systemzugriff 13.4.2010 das ständig steigende Sicherheitsniveau dieses Betriebssystems und die Entwicklung eines Moduls zum automatischen Update haben dazu geführt, dass die meisten Anwender ihre Microsoft-Produkte nun ausreichend schnell aktualisieren. Daher gelingt es Cyberkriminellen nicht allzu lange, Schwachstellen in dieser Software auszunutzen. Das wiederum zwingt OnlineKriminelle dazu, nach Lücken in Programmen zu suchen, deren Hersteller der Sicherheit keine derart große Aufmerksamkeit widmen. So haben sich Schwachstellen in gängigen Anwendungen von anderen Anbietern gefunden, die nicht zur Windows-Standardausstattung gehören. In der Regel hat jeder User auf seinem Rechner zwei Dutzend solcher Anwendungen installiert, auf deren Aktualisierung nicht allzu sehr geachtet wird. Dass nun in erster Linie Programme im Fokus stehen, die nicht zum Betriebssystem Windows gehören, zeigt auch unsere Statistik: Im ersten Quartal 2010 gehörten noch 6 der 10 am weitesten verbreiteten Sicherheitslücken zu Microsoft-Produkten, im vierten Quartal war es nur noch eine von 10! Bei allen übrigen handelt es sich um Schwachstellen in populären Anwendungen wie Playern, Programmen zum Lesen elektronischer Dokumente, Browser und virtuellen Maschinen. Noch ein Jahr zuvor belegten Microsoft-Produkte mit recht großem Abstand die Führungsposition in dieser Kategorie. Im Jahr 2010 hat sich das Bild grundlegend gewandelt: Den ersten Platz in den Top 20 nach Anzahl der entdeckten Sicherheitslücken teilen sich Produkte von Microsoft und Adobe. Eine nicht unwesentliche Rolle spielte dabei der Umstand, dass in den Top 20 des Jahres 2009 nur Sicherheitslücken des Adobe Flash Player vertreten waren und im Jahr 2010 vier von acht Schwachstellen in Adobe-Produkten auf den Adobe Reader entfielen, der zu einem der Lieblingsziele von Cyberkriminellen avanciert ist. Die anfälligsten Anwendungen auf Windows-Plattformen waren im Jahr 2010 Programme aus dem Microsoft Office-Paket, der Adobe Reader und der Adobe Flash Player. Auch der Anteil entdeckter Sicherheitslücken in Sun (Oracle) Java JDK/JRE nimmt stetig zu. Gleichzeitig waren in den Top 20 dieses Mal keine Schwachstellen im Apple QuickTime Player vertreten, auf den im Jahr 2009 noch 70 Prozent aller entdeckten Schwachstellen entfielen. Kategorisiert man die Top 20 der auf den Computern der KSN-Nutzer entdeckten Sicherheitslücken nach ihren Auswirkungen auf das System, so ergibt sich die folgende Verteilung: Verteilung der Top-10-Sicherheitslücken Microsoft Adobe Oracle Mozilla Apple HP Q1 6 3 1 0 0 0 Q2 6 3 1 0 0 0 Q3 5 4 1 0 0 0 Q4 1 5 1 1 1 1 Im Jahr 2010 erkannte unser System zur Analyse von Sicherheitslücken 510 verschiedene Schwachstellen auf den Computern der KSN-Nutzer. Kaspersky Lab hat die 20 häufigsten Sicherheitslücken des Jahres 2010 analysiert, auf die 89,6 Prozent aller erkannten Schwachstellen entfallen. Bemerkenswert ist, dass es sich bei fast der Hälfte der hier aufgeführten Schwachstellen um Fehler in der Software handelt, die bereits vor 2010 bekannt waren. Zwei dieser „alten“ Sicherheitslücken (welche sich in Microsoft XML Core Services und ACDSee Products Image and Archive Plug-in befanden) wurden bereits im Jahr 2007 (!) entdeckt. Im Jahr 2010 verteilen sich die 20 am häufigsten in Anwendungen gefundenen Schwachstellen auf die Produkte von vier Unternehmen: Microsoft, Adobe, Oracle und ACDSee: Das Hauptziel der Kriminellen ist es natürlich, entfernten Zugriff auf das System des Anwenders zu erhalten. Wie auch im Vorjahr ermöglichen 19 von 20 Schwachstellen Online-Betrügern praktisch uneingeschränkten Zugriff auf das System (Auswirkungstyp „System access“ – Systemzugriff). Interessant dabei ist, dass 6 dieser 19 Sicherheitslücken Cyberkriminellen außerdem dabei helfen, die Systemsicherheit zu umgehen. Das höchste Gefahrenpotential (Extrem kritisch) wiesen je zwei Schwachstellen im Adobe Reader und Adobe Flash Player sowie eine in Microsoft PowerPoint auf. Leider ist es so, dass nicht alle Anbieter UpdateMechanismen für ihre Produkte entwickeln und sie in die Software integrieren. So wird die Sorge um die Aktualisierung des Systems meist den Usern überlassen. Die meisten Anwender sind allerdings nicht sonderlich an der Aktualisierung der Anwendungen interessiert, sofern diese nicht mit einem neuen Feature verbunden ist. All das hat dazu geführt, dass populäre Programme, die noch nie aktualisiert wurden, auf Millionen von Computern existieren. Diese Computer öffnen Cyberkriminellen Tür und Tor. 19 Kaspersky Security Bulletin 2010/2011 Teil 3: Spam Kaspersky Lab analysiert täglich etwa 1,5 Millionen Spam-Mails. Als Material für die Analyse dienen Querschnitte aus qualitativ und quantitativ unterschiedlichen Mail-Strömen unserer Kunden und Partner sowie Spam, der in bestimmten „Fallen“ hängen bleibt. Der gesamte Spam wird automatisch klassifiziert und ein Teil der eingehenden Mails zusätzlich manuell analysiert. Eine einzigartige Klassifizierungstechnologie ermöglicht es uns, die prozentuale und thematische Verteilung der unerwünschten Nachrichten zu ermitteln. Kampf gegen Spam und den Versand von Schadcode im Jahr 2010 Der Kampf gegen Spam war im Jahr 2010 auf verschiedenen Ebenen nahezu revolutionär. Vor allem die Erfolge der Strafverfolgungsbehörden verschiedener Länder im Kampf gegen die Cyberkriminalität, unter anderem gegen den Versand von Spam, sind bemerkenswert. Im vergangenen Jahr wurden Steuerungszentren von Spam-Botnetzen wie Waledac, Pushdo/Cutwail, Lethic und Bredolab abgeschaltet, mehrere große Prozesse gegen mutmaßliche Cyberverbrecher geführt, und das Spam-Partnerprogramm SpamIt stellte seine Tätigkeit ein. Als Folge dieser Ereignisse änderte sich die geografische Verteilung der wichtigsten Spam-Quellen sowie die thematische Zusammensetzung der unerwünschten Nachrichten. So nahm zum Ende des Jahres der Anteil der aus den USA stammenden SpamMenge dramatisch ab, der Spam-Anteil aus Osteuropa stieg hingegen an. Erstmals seit Beginn unserer Untersuchungen beobachten wir eine stetige Abnahme des Spam-Anteils im gesamten E-Mail-Verkehr. Allerdings gibt es auch eine schlechte Nachricht: Spam ist um einiges gefährlicher geworden. Wir haben bereits über die Kriminalisierung von Spam berichtet – darüber, wie kleine und mittlere Unternehmen langsam aus dieser Nische der illegalen Werbung verschwinden und diese immer mehr zum Werkzeug von Betrügern und Verkäufern imitierter oder illegaler Produkte wird. Im Jahr 2010 wurde Spam zudem zur Quelle zahlreicher schädlicher Attacken: Innerhalb des Jahres stieg der Anteil schädlicher Anhänge in SpamE-Mails um das 2,6-fache an. Schädlicher Spam Im Jahr 2010 erreichte der Anteil schädlicher Mitteilungen im E-Mail-Verkehr 2,2 Prozent (der Vorjahreswert lag bei 0,85 Prozent). Auf dem Höhepunkt der Attacken im August betrug die Menge der E-Mails mit schädlichen Anhängen 6,29 Prozent des gesamten Verkehrs. Möglicherweise lenkten gerade diese gehäuften Angriffe die Aufmerksamkeit der Strafverfolgungsbehörden auf den Spam. 20 Die effektivsten Methoden und Tricks setzten die Spammer insbesondere in Versendungen ein, mit deren Hilfe sie Malware verbreiteten. Die Mitteilungen in solchen Versendungen waren geschickt als offizielle Mitteilungen populärer Webressourcen wie zum Beispiel soziale Netzwerke, Online-Shops, Banken und Web-Hoster getarnt. Dabei wurden auch Social-Engineering-Methoden verwendet. Klickte ein Anwender auf einen in solchen E-Mails enthaltenen Link, so wurde dessen Browser beispielsweise auf eine Website mit Viagra-Werbung umgeleitet und gleichzeitig heimlich auf eine schädliche Webseite gelotst. Zum Ende des Jahres änderte sich das Angriffsziel der Verbreiter schädlichen Spams: Unter den Empfängern befanden sich immer mehr Einwohner von Entwicklungsländern. Der Grund dafür liegt sehr wahrscheinlich im aktiven Kampf gegen Botnetze in den USA und in Westeuropa. Die Cyberkriminellen weiteten nun ihre Botnetze aus, indem sie die Computer der Anwender in Ländern angriffen, in denen die Strafverfolgungsbehörden dem Kampf gegen Cyberkriminalität nicht die gebührende Aufmerksamkeit widmen. Schließung von Botnetzen: Eine Chronologie Anfang Januar 2010 wurde das Botnetz Lethic geschlossen. Leider hatte das fast keinen Einfluss auf die Spam-Menge im E-Mail-Verkehr, und bereits im Feb ruar war Lethic wiederhergestellt. Ende Februar wurden 277 Domains geschlossen, die mit dem Steuerungssystem des Botnetzes Waledac zusammenhingen, und in der ersten Märzhälfte ging der Spam-Anteil im E-Mail-Verkehr um 3,1 Prozentpunkte zurück. Allerdings erreichte die Spam-Menge im Mai wieder ihr altes Niveau. Im August wurden etwa 20 Steuerungszentren des Botnetzes Pushdo/Cutwail geschlossen, die nach verschiedenen Einschätzungen für 10 Prozent des weltweiten Spam-Aufkommens verantwortlich waren. Verglichen mit August führte das im September zu einem Rückgang der Spam-Menge um 1,5 Prozentpunkte. Der letzte und zugleich auch effektivste Schlag gegen Spammer gelang mit der Abschaltung von 143 Control & Command-Servern des Botnetzes Bredolab am 25. Oktober 2010. Nach Angaben der holländischen Polizei umfasste das Zombie-Netz zum Zeitpunkt der Schließung seiner Steuerungszentren etwa 30 Millionen Computer von Anwendern in verschiedenen Ländern. Das Botnetz diente zum Versand pharmazeutischen Spams und zur Verbreitung von Schädlingen aller Art mit Hilfe von Spam. In unserem Bericht zum dritten Quartal des Jahres 2010 haben wir bereits ausführlich über die Spam-Versendungen berichtet. Die Schließung des Botnetzes Bredolab hat sich deutlich auf die Spam-Menge im E-Mail-Verkehr ausgewirkt. Nach der Abschaltung ging der Spam-Anteil sofort kurzzeitig um zirka 8 bis 9 Prozentpunkte zurück. Allerdings war der Durchschnittswert auch im Oktober niedrig und betrug 77,4 Prozent – rund 3,6 Prozent- punkte weniger als im September. Der aus den USA stammende Spam-Anteil nahm aufgrund des erfolgreichen Kampfes gegen Botnetze beispiellos stark ab und sank von 15,5 Prozent im August auf 1,6 Prozent im Oktober. Die Schließung der Steuerungszentren des Botnetzes Bredolab wurde vom Computer Emergency Readiness Team (CERT) zusammen mit Spezialeinheiten der holländischen Polizei, Experten für IT-Sicherheit und dem Hosting-Provider, in dessen Netzen die entsprechenden Server gefunden worden waren, durchgeführt. Am folgenden Tag wurde am internationalen Flughafen Jerewan einer der Inhaber des abgeschalteten Zombie-Netzes verhaftet. Konnte man Besitzer von Zombie-Computern ausfindig machen, wurde ihnen eine Benachrichtigung über die Infizierung sowie Instruktionen zur Desinfizierung geschickt. Anzumerken ist in diesem Zusammenhang, dass Bredolab bis zur Abschaltung der Botnetze unter anderem Spam-Bots wie zum Beispiel Rustock (Backdoor.Win32.HareBot) und Pushdo (Backdoor.Win32. NewRest.aq) auf die Rechner der User geladen hatte. Das Spam-Botnetz Pushdo gehörte seinerseits zu den wichtigsten Verbreitungsquellen von Backdoor.Win32. Bredolab. Spam und das Gesetz Die Inhaftierung des Betreibers des Bredolab-Botnetzes war nicht die einzige Aktion, die aufgrund von Ermittlungen gegen Spammer erfolgreich abgeschlossen werden konnte. Ende September gab es Massenverhaftungen von Mitgliedern einer Gruppierung, die das Schadprogramm ZeuS verbreitet hatte, welches häufig mit Hilfe von Spam in Umlauf gebracht wird. Infolge der Verhaftungen wurden deutlich weniger Computer mit diesem Schädling infiziert. Im Oktober nahmen die Strafverfolgungsbehörden die auf den Versand pharmazeutischen Spams spezialisierten Partnerprogramme ins Visier. Am ersten Tag des Monats schloss das Programm SpamIt seine virtuellen Pforten – eines der weltweit größten Partnerprogramme für den Verkauf pharmazeutischer Präparate. Schon Ende Oktober strengte die Untersuchungsabteilung der Moskauer Polizei ein Strafverfahren gegen Igor Gusev, Generaldirektor der LLC „Desmedia“, an. Er wird des Verkaufs gefälschter pharmazeutischer Präparate wie Viagra in den USA, Kanada und anderen Ländern beschuldigt. Diese Präparate wurden über das Partnerprogramm Glavmed.com mit SpamMitteilungen beworben. Dieses ist nach Meinung vieler zum Teil mit dem oben erwähnten Partnerprogramm SpamIt identisch. Bekanntermaßen wird der Versand von Spam in Russland bislang nicht strafrechtlich verfolgt, und auch der Begriff „Spam“ ist noch nicht juristisch definiert. Das Strafverfahren gegen Igor Gusev wurde nach Teil zwei, Paragraph 171 („Über illegales Unternehmertum in Verbindung mit Einnahmen in besonders großem Umfang“) des Strafgesetzbuches der Russischen Föderation angestrengt. Den Ermittlungsergebnissen zufolge belief sich der Umsatz von Glav- med.com in den letzten dreieinhalb Jahren möglicherweise auf 120 Milliarden US-Dollar. Ende 2010 wurde Oleg Nikolaenko in den USA festgenommen. Er wird des Spam-Versands mit Hilfe des Botnetzes Mega-D beschuldigt, dessen Steuerungsserver im November 2009 abgeschaltet wurden. Der im Dezember vergangenen Jahres verurteilte Australier Lance Atkinson, Mitgründer von Affking – einem Partnerprogramm, das auf Werbung für gefälschte Rolex-Uhren und nachgeahmte Medikamente spezialisiert ist –, lieferte den Behörden die entscheidenden Informationen über Nikolaenko. Es wird angenommen, dass Nikolaenko nach der Schließung des Botnetzes Mega-D und des Programms Affking als aktiver Teilnehmer am Partnerprogramm SpamIt weiterhin Spam verbreitete. Bis zum Prozessbeginn am 11. Februar 2011 blieb Nikolaenko in Untersuchungshaft. Er streitet seine Schuld ab. Am 7. Dezember wurden in der südrussischen Stadt Taganrog drei Personen verhaftet, die der Verbreitung von Malware verdächtigt werden. Sie werden beschuldigt, unter Verwendung von Spam hunderttausende Computer gehackt, mit Viren infiziert und Unbefugten Zugriff auf die Rechner bereit gestellt zu haben. Im Falle einer Verurteilung drohen ihnen bis zu drei Jahren Freiheitsentzug. Im Zuge der zahlreichen Verhaftungen und Anklagen im Zusammenhang mit Spam begann die Staatsduma der Russischen Föderation zusammen mit der Russischen Gesellschaft für elektronische Kommunikation (RAEK) Korrekturen im föderalen Gesetz „Über den Schutz von Informationen“ vorzubereiten. Unter anderem ist vorgesehen, in dieses Gesetz eine Definition des Begriffs „Spam“ aufzunehmen und strafrechtliche Verantwortlichkeit für die Versendung von Spam darin zu verankern. Man muss allerdings hinzufügen, dass dies nicht die erste Initiative dieser Art ist. Bereits im Jahr 2004 waren Korrekturen in dem entsprechenden Gesetz sowie die Einführung einer strafrechtlichen Verantwortlichkeit für die Versendung unerwünschter Nachrichten geplant. Es bleibt zu hoffen, dass die verantwortlichen Personen die Sache dieses Mal zu Ende bringen. Allerdings sind bisher weder Fristen noch das Endergebnis dieser Initiativen bekannt. Vertreter der RAEK erklärten, dass die Organisation bisher nicht an konkreten Korrekturen des Gesetzes arbeitet, sondern vielmehr mit Ergänzungen zu dem von der RAEK vorgeschlagenen Gesetzbuch der professionellen Tätigkeit im Internet beschäftigt ist. Spam-Statistiken Die oben aufgezählten Ereignisse – die Abschaltung der Steuerungsserver verschiedener Botnetze, die Schließung des Partnerprogramms SpamIt und die Verhaftungen von Spammern – beeinflussten die Struktur und den Charakter von Spam. So sank die Gesamtmenge der unerwünschten Nachrichten, und die Liste der Länder, aus denen der meiste Spam verschickt wurde, änderte sich. 21 Spam-Anteil im E-Mail-Traffic Die folgende Grafik zeigt, wie der Spam-Anteil im E-Mail-Verkehr im Jahr 2010 abgenommen hat: Diese Vermutung wird indirekt durch die Tatsache bestätigt, dass im November der größte Teil des schädlichen Spams aus Russland, Indien und Vietnam stammte (8,6, 6,8 und 6,5 Prozent). Dagegen nahm der Anteil der aus den USA und westeuropäischen Ländern verschickten unerwünschten Nachrichten mit schädlichen Anhängen und Links deutlich ab. Die größte Spam-Menge im E-Mail-Verkehr im Jahr 2010 wurde mit 90,8 Prozent am 21. Februar registriert, die geringste mit 70,1 Prozent am 28. Oktober. Der Spam-Anteil im E-Mail-Verkehr betrug 2010 durchschnittlich 82,2 Prozent. Spam-Herkunftsländer Spam-Anteil im E-Mail-Verkehr Dieser Rückgang war in den Herbstmonaten besonders deutlich. Zu dieser Zeit wurden nämlich die Steuerungszentren der riesigen Botnetze Pushdo/Cutwail und Bredolab geschlossen, das Spam-Partnerprogramm SpamIt abgeschafft und verschiedene Strafverfahren gegen Spammer angestrengt. Es ist schon einige Jahre her, dass die Spam-Menge im E-Mail-Verkehr für eine relativ lange Zeit auf einem so niedrigen Niveau war. Man denke zum Beispiel an den berühmt-berüchtigten Hosting-Provider McColo, der Steuerungszentren mehrerer Botnetze beherbergte. Nach deren Schließung im Jahr 2008 blieb das Spam-Niveau für etwa einen Monat niedrig (73,7 Prozent). Wie lange die Flaute dieses Mal anhalten wird, lässt sich noch nicht sagen. Die Praxis zeigt allerdings, dass es sich nicht lohnt, darauf zu hoffen, dass das Spam-Niveau auch dieses Jahr so niedrig bleiben wird. Die Virenautoren können neue Botnetze in Ländern aufbauen, in denen die Gesetze gegen Cyberkriminalität weniger streng sind. Spam-Herkunftsländer im Jahr 2010 22 Die größte Spam-Menge stammte im Jahr 2010 aus den USA (11,3 Prozent), den zweiten Platz belegte Indien mit 8,3 Prozent, und auf Platz drei lag Russland mit 6 Prozent. Wie auch schon im Jahr 2009 waren die osteuropäischen Länder und die asiatische Region in den Top 20 stark vertreten, während die westeuropäischen Staaten in der Minderheit waren (siehe Grafik links unten). Die aus den unterschiedlichen Ländern versendete Spam-Menge änderte sich im Laufe des Jahres. Besonders deutlich werden diese Veränderungen am Beispiel der fünf vordersten Plätze: Entwicklung des Spamversands der Top-5-Länder In den ersten acht Monaten des Jahres führten die USA das Rating der Spam-Herkunftsländer mit großem Abstand an. Nach Abschaltung der Steuerungszentren der Botnetze Pushdo/Cutwail und Bredolab nahm der Spam-Anteil aus den USA im September drastisch ab, und im Oktober reichte es nicht mehr für die Top 5. Bis Ende 2010 lag der Spam-Anteil aus den USA auf beispiellos niedrigem Niveau – einige Prozent statt der üblichen 15 bis 20 Prozent. Im November und Dezember waren die USA nicht einmal unter den Top 20 der Spam versendenden Länder vertreten. Doch seit Oktober registrieren wir starke Schwankungen bei den prozentualen Werten der ersten fünf Spam-Herkunftsländer. Es ist anzunehmen, dass die Spammer, die nun den Druck der Strafverfolgungsbehörden in den USA und Westeuropa spüren, versuchen, neue Botnetze in anderen Ländern aufzubauen. Verteilung der Spam-Quellen nach Regionen Länder. Während bei manchen Ländern der SpamAnteil zunimmt, verzeichnen andere dagegen einen Rückgang: Verteilung der Spam-Quellen nach Regionen Die größte Spam-Menge stammte im Jahr 2010 aus Ländern der asiatischen Region. Im vorausgegangenen Jahr hatten wir bereits über eine Verschiebung der Spam-Quellen nach Osten berichtet. 2010 wurde über die Hälfte (55,9 Prozent) des weltweiten SpamAufkommens aus asiatischen und osteuropäischen Ländern verschickt. Insgesamt unterscheidet sich die Verteilung der Spam-Quellen im Jahr 2010 nur unwesentlich von der Verteilung im Jahr 2009. Entwicklung des Spam-Versands in den Ländern Westeuropas Im Gegensatz zu den westeuropäischen Ländern entwickeln sich die Anteile einiger Länder aus anderen Regionen gleichförmig: Hier ein Blick auf die Entwicklung der Spam-Versendungen aus verschiedenen Regionen: Entwicklung der Spam-Versendungen aus verschiedenen Regionen im Jahr 2010 Die bedeutendsten Veränderungen fallen in das vierte Quartal: Gegenüber dem drastischen Rückgang des aus den USA stammenden Spam-Anteils nahm die aus osteuropäischen Ländern verschickte Menge an unerwünschten Nachrichten kontinuierlich zu. Wie wir bereits erwähnten, nutzen die Spammer nach der Schließung der Steuerungszentren verschiedener Botnetze nun alternative Versandquellen. Ähnlich verlaufende Entwicklung des Spam-Versands von zwei Ländern aus der gleichen Region Das zeigt, dass die aus diesen Ländern verschickten Spam-Versendungen identisch sind. Es ist anzunehmen, dass die infizierten Computer der Anwender in diesen Ländern zu denselben Botnetzen gehören. Der Anteil Westeuropas ist insgesamt recht stabil, verteilt sich aber sehr unterschiedlich auf die einzelnen 23 Thematische Zusammensetzung von Spam Im Jahr 2010 führte die Spam-Kategorie „Bildung“ die Liste der häufigsten Spam-Themen an, sehr dicht gefolgt von „Medikamente; Waren/Dienstleistungen für die Gesundheit“, der wichtigsten Rubrik des englischsprachigen Spams. Diese Kategorie liegt nur 0,2 Prozent hinter dem Spitzenreiter zurück. Im Vergleich zum Jahr 2009 gingen die Anteile der Rubrik „Spammer-Eigenwerbung“ (minus 6,1 Prozentpunkte) und „Spam für Erwachsene“ (minus 4,6 Prozentpunkte) deutlich zurück. Die Menge der Mitteilungen, die Merkmale von Computer-Betrug aufwiesen, hat sich hingegen fast verdoppelt (plus 3,8 Prozentpunkte): Anteil der Spam-Kategorie „Medikamente; Waren und Dienstleistungen für die Gesundheit“ im Jahr 2010 Seit September probieren Spammer, die von der Werbung für pharmazeutische Produkte leben, zunehmend andere Partnerprogramme aus. Diese Entwicklung lässt sich aus dem Anstieg verschiedener Arten von Partner-Spam ableiten, darunter Spam mit Werbung für Online-Casinos und unerwünschte E-Mails mit pornografischen Inhalten. Verteilung von Spam nach thematischen Kategorien im Jahr 2010 Die Schließung von Botnetzen und großen Partnerprogrammen musste sich auch auf das Verhältnis von Partner-Spam und Auftrags-Spam auswirken. So stieg im August der Anteil von Spam aus Partnerprogrammen an, nahm aber seit September kontinuierlich ab. Im Rating der am häufigsten in Spam verwendeten Themen gab es 2010 einen Neueinsteiger: die Rubrik „Filme auf DVD“. Es handelt sich dabei in der Regel um Mitteilungen mit Werbung für Film- und TrickfilmSammlungen sowie für Dokumentationen auf DVD. Werbung dieser Art landete auch schon früher in den E-Mail-Postfächern, doch 2010 waren es derart viele, dass wir sie einer eigenen Rubrik zugeordnet haben. Solche Produkte werden mit Hilfe von Partnerprogrammen verbreitet, und es handelt sich bei ihnen in der Regel um Raubkopien. Im Laufe des Jahres änderte sich die thematische Spam-Struktur mehr als einmal. Besonders erwähnenswert sind der drastische Anstieg und die hohe Position von Spam-E-Mails der Rubrik „Medikamente“ im August des vergangenen Jahres sowie auch deren relativ hoher Anteil am unerwünschten E-Mail-Verkehr im September und Oktober. Das geschah unmittelbar vor der Aufgabe des Partnerprogramms SpamIt, das auf den Versand von Werbung für pharmazeutische Produkte spezialisiert war. Möglicherweise wusste ein Teil der Spammer von der drohenden Schließung und versuchte, kurz vor Schluss noch einen maximalen Gewinn aus SpamIt herauszuholen. 24 Anteile von „Partner“- und „Auftrags-Spam“ im Jahr 2010 Zum Ende des Jahres sank der Wert für Partnerspam auf seinen Jahrestiefpunkt und lag bei nur etwa 30 Prozent der Gesamt-Spammenge. Sehr wahrscheinlich wird sich mit der Wiederherstellung der geschlossenen Botnetze auch der Anteil an Partner-Spam wieder erholen. Methoden und Tricks der Spammer Im vergangenen Jahr setzten die Verbreiter von Schadprogrammen die interessantesten Tricks ein. Um die Anwender dazu zu bringen, auf schädliche Links zu klicken, verschickten sie Spam-E-Mails, bei denen es sich um sehr gut gefälschte Benachrichtigungen bekannter Banken, Online-Shops, E-Mail-Provider, sozialer Netzwerke, populärer Web-Hoster und vieler andere handelte. Sogar die technischen Details im Header wurden gefälscht, was der Anwender zwar nicht sieht, für die Arbeit der Spam-Filter aber von großer Bedeutung ist. Normalerweise sind Phishing-E-Mails so aufgebaut, dass sie den Anwender erschrecken, mit seinen Befürchtungen spielen und ihn so dazu veranlassen, seinen Benutzernamen und sein Passwort auf der entsprechenden Phishing-Seite einzugeben. Diesmal jedoch waren sowohl die Verbreiter von Schadprogrammen als auch Phisher nicht darauf aus, dem User Angst einzujagen. Ein Teil der Nachrichten kopierte lediglich Standard-Mitteilungen, die Anwendern und Kunden von legitimen Ressourcen geschickt werden (siehe Beispiel links unten). Solche Fälschungen „neutraler“ Mitteilungen sind sehr gefährlich: In der Regel kann ein erfahrener User eine Fälschung aufgrund des Inhalts erkennen. Beispielsweise fordern Banken ihre Kunden nie auf, ihren Benutzernamen und ihr Passwort auf einer Seite ein- zugeben, deren Link sie per E-Mail erhalten. In den beschriebenen Fällen war die Fälschung bis auf den Link mit dem Original identisch. Klickte der Anwender darauf, lud er sich ein ganzes Bündel Schadprogramme auf seinen Computer. In anderen Mitteilungen setzten die Spammer raffinierte Social-Engineering-Methoden ein. So wurde der User beispielsweise in einigen dieser Spam-E-Mails darauf hingewiesen, dass er einen Kauf getätigt habe, dessen Details er mit einem Klick auf den entsprechenden Link einsehen könne (siehe Beispiel unten in der Mitte). Beobachtet wurden auch Versuche von Attacken auf eine ganz bestimmte User-Zielgruppe. Eine dieser E-Mails stammte angeblich von einer der KasperskyAdressen (siehe Screenshot rechts unten). Diese E-Mail ist eine gefälschte Benachrichtigung, die vorgibt, vom technischen Support von Kaspersky Lab zu stammen: Der User wird gebeten, seine angebliche Anfrage bezüglich einer Änderung seines Passworts zu bestätigen oder den Vorgang der Passwortänderung abzubrechen. Auffällig ist, dass im E-Mail-Text die Domain jedes Mal richtig angegeben ist und die im AbsenderFeld „From“ angegebene Adresse der tatsächlichen Adresse des technischen Supports entspricht. Das bedeutet also, dass die Personen, die solche E-Mails versenden, entweder manuell oder mit technischen Mitteln nach der Adresse des technischen Supports von Kaspersky Lab gesucht und sie an der entsprechenden Beispiel für eine Spam- E-Mail, die Social-Engineering-Methoden einsetzt Beispiel für eine Spam-E-Mail, die sich an eine bestimmte Anwender-Zielgruppe richtet Beispiel für eine Spam-Mitteilung, getarnt als Benachrichtigungen von legalen Ressourcen 25 Stelle eingefügt haben, damit ihre E-Mails vertrauenswürdiger wirken. Genau wie in den vorhergehenden Beispielen führten alle Links in der E-Mail auf ein und dieselbe infizierte Webseite. Schädliche Anhänge Im Jahr 2010 enthielten 2,2 Prozent aller elektronischen Mitteilungen schädliche Dateien, das ist 2,6 Mal so viel wie im Jahr 2009, als nur 0,85 Prozent des Verkehrs auf schädliche Programme entfielen. Die gehäuften Versendungen von Schadprogrammen im Sommer und zum Herbstanfang 2010 haben wesentlich zum hohen Anteil schädlichen Spams über das gesamte Jahr beigetragen. Die Hauptsaison der schädlichen Versendungen fiel auf den August. Von diesen massiven schädlichen Versendungen gab es insgesamt sechs, jeweils drei im August und September. In diesen Tagen verschickten Cyberkriminelle aktiv neue Modifikationen verschiedener Schädlinge, darunter auch des berühmt-berüchtigten Schadprogramms Zbot. Näheres zu diesen Versendungen finden Sie im Spambericht für das dritte Quartal 2010. Zu den Folgen der massiven schädlichen Versendungen im August und September zählte der drastische Anstieg von Mitteilungen mit Anhängen im ZIP-Format. Normalerweise macht Spam dieser Art nicht mehr als ein halbes Prozent am gesamten Spam-Aufkommen aus. In dieser Zeit erreichte der Anteil unerwünschter Nachrichten mit ZIP-Anhängen allerdings rekordverdächtige 2,6 Prozent an der gesamten Spam-Menge. Im vierten Quartal ging die Anzahl der Nachrichten mit ZIP-Anhängen auf die gewohnt niedrigen Werte zurück und lag bei etwa 0,3 Prozent des gesamten SpamAufkommens. Trotzdem möchten wir den Anwendern einmal mehr eine wichtige Regel der Internetsicherheit ins Gedächtnis rufen: Öffnen Sie niemals merkwürdig aussehende Archive in verdächtigen E-Mails. Die Top 10 der im E-Mail-Verkehr verbreiteten Schadprogramme sieht für das Jahr 2010 folgendermaßen aus: Prozentualer Anteil an Spam mit schädlichen Anhängen im E-Mail-Verkehr im Jahr 2010 Der Anteil an Spam mit schädlichen Anhängen begann allerdings schon im Mai zu steigen und erreichte bereits im Juni mit fast 2,7 Prozent einen recht hohen Wert. In Bezug auf Schadcode war Juni einer der bemerkenswertesten Monate des Jahres 2010. Im ersten Sommermonat wurde das Internet förmlich von SpamE-Mails überschwemmt, welche HTML-Anhänge mit darin integrierten Skript-Schädlingen enthielten. Darunter befand sich auch Trojan-Downloader.JS.Pegel.g, der im Jahresranking der über E-Mail verbreiteten Malware den zweiten Platz belegt. Die E-Mails waren als Benachrichtigungen verschiedener legitimer Services getarnt, unter anderem von Online-Shops und sozialen Netzwerken. Die Cyberkriminellen verwendeten ein recht kompliziertes Schema, um die Schädlinge mit Hilfe der beschriebenen Spam-E-Mails zu verbreiten und die infizierten Computer der Anwender an ein ZombieNetz anzuschließen. Im August und September erreichte der Anteil der Versendungen mit schädlichen Anhängen seine Höchstwerte (6,29 Prozent respektive 4,33 Prozent). Ein derart hoher Prozentsatz schädlicher Mitteilungen kam durch mehrere massenhafte und über einen kurzen Zeitraum verschickte E-Mails mit Schadcode zustande. 26 Top 10 der Schadprogramme im E-Mail-Verkehr An der Spitze des Ratings steht Trojan-Spy.HTML. Fraud.gen, dessen Hauptaufgabe im Sammeln von persönlichen Informationen und Registrierungsdaten von Anwendern besteht. Platz zwei belegt der bereits erwähnte Trojan-Down loader.JS.Pegel.g. Dieses Schadprogramm führte die Hitliste im Juni mit großem Abstand zum Rest des Feldes an. Bei den Vertretern der Familie Pegel handelt es sich um eine HTML-Seite, die Javascript-Code enthält. Nach dem Öffnen der infizierten Seite im Browser beginnt der Trojaner, per Javascript seinen Code zu entschlüsseln und startet sich daraufhin selbst. Dabei wird der Anwender auf eine mit Exploits infizierte Webseite umgeleitet, von der aus – unter Ausnutzung einer Sicherheitslücke im Browser –andere Malware auf den Computer geladen werden kann. Auf der vierten und fünften Position des Ratings befinden sich Packer der Familie Krap. Die Modifikationen Krap.an und Krap.x werden gewöhnlich zum Packen von Zbot, FraudTools und Iksmas verwendet. Im Packer Trojan.win32.pakes.Katusha.o, der Platz neun der Top 10 belegt, können sich mit ebenso großer Wahrscheinlichkeit gefälschte Antiviren-Programme wie auch der eben genannte Zbot befinden. Bei über 15 Prozent aller von Kaspersky Anti-Virus im Jahr 2010 gefundenen Objekte handelte es sich zum Zeitpunkt ihrer Entdeckung um noch unbekannte Bedrohungen. Zwischen März und August 2010 war der Anteil an Phishing-Spam extrem niedrig und lag bei etwa 0,02 Prozent. Wie die folgende Grafik zeigt, machten Phishing-E-Mails nur zu Beginn und am Ende des Jahres einen merklichen Teil des E-Mail-Verkehrs aus. Die Liste der Länder, in denen Kaspersky Anti-Virus am häufigsten Alarm schlug, führen die USA an. Es folgen Deutschland, Großbritannien und Japan. Zudem waren mit Frankreich und Spanien noch zwei weitere europäische Länder in den Top 10 vertreten. Prozentualer Anteil von Phishing-Mails im E-Mail-Verkehr im Jahr 2010 Top 10 der Alarme von Kaspersky Anti-Virus nach Ländern Das oben dargestellte Diagramm lässt den Schluss zu, dass Cyberkriminelle ihre Angriffe auch im Jahr 2010 auf die Industriestaaten ausgerichtet haben. Der Grund dafür liegt auf der Hand: Die persönlichen Daten der Anwender in diesen Ländern sind für Cyberkriminelle von großem Interesse. Zum Ende des Jahres begannen die Online-Betrüger allerdings, eifrig schädliche E-Mails auch in Entwicklungsländer zu versenden. Allem Anschein nach hängt das mit dem aktiven Kampf gegen Botnetze in den USA, Großbritannien und den westeuropäischen Ländern zusammen. Die Schließung von Steuerungszentren großer Zombie-Netze sowie auch der Druck der zuständigen Behörden zwingen die Kriminellen dazu, ihre Botnetze zu erweitern, indem sie Computer in Ländern infizieren, in denen dieser Kampf entweder weniger erfolgreich oder gar nicht geführt wird. Im November schlug Kaspersky Anti-Virus am häufigsten in Russland, Indien und Vietnam an. Bei den am häufigsten in diese Länder verschickten Schädlingen handelte es sich um verschiedene Modifikationen von Zbot sowie um Trojan-Downloader der Familie Oficla, zu deren Aufgaben unter anderem gehört, Bots auf die Computer der Anwender zu laden. Phishing Der Anteil an Phishing-Mails im E-Mail-Verkehr lag im Durchschnitt bei 0,35 Prozent, das sind 0,51 Prozentpunkte weniger als der Vorjahreswert. Der „Geschmack“ der Spammer hat sich dabei im Vergleich zum Vorjahr ein wenig geändert. Auch wenn die beiden ersten Plätze im Ranking der am häufigsten von Phishern missbrauchten Organisationen nach wie vor an PayPal und eBay vergeben sind, hat es in der übrigen Zusammensetzung der Hitliste doch deutliche Veränderungen gegeben. Am häufigsten von Phishern missbrauchten Organisationen im Jahr 2010 Während es sich im Jahr 2009 bei sechs der Organisationen in den Top 10 um Banken handelte, so hat sich die Interessenssphäre der Phisher im Jahr 2010 in Richtung verschiedener Online-Dienste verschoben. Nach den traditionellen Spitzenreitern PayPal und eBay sind Accounts in sozialen Netzwerken von größtem Interesse für die Phisher, wobei hier das derzeit populärste soziale Netzwerk Facebook an erster Stelle steht. Der Anteil der Angriffe auf Facebook an allen Phishing-Attacken betrug 6,95 Prozent. Ebenfalls in den Top 10 vertreten ist das soziale Netzwerk Habbo, auf das 1,34 Prozent aller Attacken entfielen. 27 Auch an den Google-Services fanden die Phisher Gefallen. Im Spam-Bericht für das dritte Quartal haben wir bereits darauf hingewiesen, dass Accounts für Services wie Google AdWords und Google Checkout nicht weniger interessant für Phisher sind als Accounts für Online-Banking-Dienste, da sie die Kreditkarten-Daten der Anwender enthalten. Daher gelangen Cyberkriminelle in diesen Fällen bei erfolgreichen Attacken nicht nur an die Accounts, sondern auch an die Finanzdaten ihrer Opfer. tren gleich mehrerer großer und auf den Versand von Spam spezialisierter Botnetze, die Aktivität der Strafverfolgungsbehörden sowie einige gesetzgeberische Initiativen im Jahr 2010 geben Anlass zur Hoffnung, dass Spam nun als Erscheinung wahrgenommen wird und die Sorge darum nicht mehr allein den Anbietern von Sicherheitssoftware überlassen wird. Und es gibt Anlass zur Hoffnung, dass dies nur der Anfang ist und das nächste Jahr im Kampf gegen Spam tatsächlich die Wende bringt. Das Online-Spiel World of Warcraft war ebenfalls über das gesamte Jahr 2010 ein beliebtes Phishing-Ziel. Hierbei sind sowohl die Accounts der Spieler als auch das so genannte WoW-Gold für die Betrüger interessant, denn das eine wie auch das andere können Cyberkriminelle in echtes Geld umtauschen. Setzen die Strafverfolgungsbehörden in Zusammenarbeit mit IT-Experten und Hosting-Providern den Kampf gegen Cyberkriminalität fort, wird das Internet eines Tages ein sichererer Ort für die Anwender sein. Da Zahlungsmittel aus virtuellen Welten unter Phishern immer beliebter werden, kann man mit Bestimmtheit sagen, dass virtuelles Geld künftig noch interessanter für Cyberkriminelle wird als reales. Der Diebstahl virtueller Werte ist für Phisher nicht weniger ertragreich, das Risiko allerdings geringer als beim Diebstahl realen Geldes. Bis dahin empfehlen wir den Anwendern einen vorsichtigen Umgang mit Werbung und Links in Spam-E-Mails sowie die rechtzeitige Installation von Updates verschiedener Programme und die Nutzung eines aktuellen Anti-Malware-Programms. Denn heute ist selbst eine einfache „Junk“-E-Mail gefährlich und in der Lage, den Computer zu beschädigen. Prognosen In diesem Jahr werden vermutlich komplizierte und komplexe Attacken fortgesetzt, die Technologien der Phisher, Spammer und Social-Engineering-Methoden in sich vereinen. Auch die aktive Verbreitung schädlichen Spams wird vermutlich nicht abreißen, denn Spammer müssen ihre verlorenen Botnetze wieder aufbauen. Man muss dabei bedenken, dass mit der Wiederherstellung der Botnetze auch die Spam-Menge im E-MailVerkehr wieder zunehmen wird. Bisher haben sich die Spammer noch nicht von dem wirkungsvollen Schlag gegen die Zombie-Netze erholt. Doch in ein paar Monaten wird die Spam-Menge im E-Mail-Verkehr aller Wahrscheinlichkeit nach wieder auf ihr altes hohes Niveau zurückgekehrt sein. Vermutlich werden Cyberkriminelle noch vorsichtiger vorgehen und versuchen, ihre Botnetze in Ländern aufzubauen, die weniger vor Cyberbedrohungen geschützt sind – sowohl gesetzgeberisch als auch mit Hilfe entsprechender Software. Diese Annahme wird indirekt auch von der Tatsache bestätigt, das Kaspersky Anti-Virus im November häufig in Russland, Indien und Vietnam Alarm schlug und unter den in diesen Ländern verbreiteten Schadprogrammen auch Trojaner waren, die Bots laden. Dementsprechend ist die Verteilung der Spamquellen nach Ländern weiterhin Veränderungen unterworfen. Wir haben mehr als einmal darauf hingewiesen, dass der Kampf gegen Spam auf mehreren Ebenen geführt werden muss: auf der gesetzgeberischen, juristischen, technischen und auf der Ebene der Aufklärung. Das Jahr 2010 hat gezeigt, dass dieser Kampf sehr erfolgreich sein kann. Die Schließung von Steuerungszen- 28 Kaspersky Lab Kaspersky Lab ist Europas größtes Unternehmen für Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten auf IT-Sicherheitsbedrohungen wie Viren, Spyware, Crimeware, Hacker, Phishing-Attacken und Spam. Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als auch bei KMUs, Großunternehmen und im mobilen Umfeld durch ihre erstklassigen Erkennungsraten und kurzen Reaktionszeiten einen Namen gemacht. Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen. Kontakt Kaspersky Labs GmbH Despag-Straße 3 85055 Ingolstadt Telefon: +49 (0)841 981 89 0 Telefax: +49 (0)841 981 89 100 [email protected] www.kaspersky.de 29 30 31 w w w . k a s p e r s k y . d e Kaspersky Labs GmbH Telefon: +49 (0)841 98 189 0 Despag-Straße 3 Telefax: +49 (0)841 98 189 100 85055 Ingolstadt Kontakt:www.kaspersky.de/kontakt