Bösartige Werbeanzeigen und Zero‑Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken Bericht von TrendLabsSM zur Sicherheitslage im 1. Quartal 2015 Inhalt TREND MICRO HAFTUNGSAUSSCHLUSS Die in diesem Dokument bereitgestellten Informa tionen sind lediglich allgemeiner Natur und für Aufklärungszwecke gedacht. Sie stellen keine Rechtsberatung dar und sind nicht als solche aus zulegen. Die in diesem Dokument bereitgestellten Informationen finden womöglich nicht auf alle Sachverhalte Anwendung und spiegeln womöglich nicht die jüngsten Sachverhalte wider. Die Inhalte in diesem Dokument sind ohne eine Rechtsberatung auf der Grundlage der vorgestellten besonderen Fakten und Umstände nicht als verlässlich oder als Handlungsanweisungen zu verstehen und nicht in anderer Weise auszulegen. Trend Micro behält sich das Recht vor, die Inhalte dieses Dokuments zu jeder Zeit und ohne Vorankündigung zu ändern. Übersetzungen in andere Sprachen sind aus schließlich als Unterstützung gedacht. Die Genauig keit der Übersetzung wird weder garantiert noch stillschweigend zugesichert. Bei Fragen zur Genauigkeit einer Übersetzung lesen Sie bitte in der offiziellen Fassung des Dokuments in der Ursprungs sprache nach. Diskrepanzen oder Abweichungen in der übersetzten Fassung sind nicht bindend und haben im Hinblick auf Compliance oder Durch setzung keine Rechtswirkung. Trend Micro bemüht sich in diesem Dokument im angemessenen Umfang um die Bereitstellung genauer und aktueller Informationen, übernimmt jedoch hinsichtlich Genauigkeit, Aktualität und Voll stän digkeit keine Haftung und macht dies bezüglich keine Zusicherungen. Sie erklären Ihr Ein ver ständnis, dass Sie dieses Dokument und seine Inhalte auf eigene Verantwortung nutzen und sich darauf berufen. Trend Micro übernimmt keine Gewährleistung, weder ausdrücklich noch stillschweigend. Weder Trend Micro noch Dritte, die an der Konzeption, Erstellung oder Bereitstellung dieses Dokuments beteiligt waren, haften für Folgeschäden oder Verluste, insbesondere direkte, indirekte, besondere oder Nebenschäden, entgan genen Gewinn oder besondere Schäden, die sich aus dem Zugriff auf, der Verwendung oder Un möglichkeit der Verwendung oder in Zusammen hang mit der Verwendung dieses Dokuments oder aus Fehlern und Auslassungen im Inhalt ergeben. Die Verwendung dieser Informationen stellt die Zu stimmung zur Nutzung in der vorliegenden Form dar. 4 Fehler im Geschäftsmodell für Internet werbung bergen potenzielle Risiken für die Anwendersicherheit 11 Crypto-Ransomware-Infektionen treten immer häufiger auf und bedrohen Unternehmen 17 Makro-Malware – Comeback eines alten Feindes 21 Die zehn Jahre alte Sicherheitslücke FREAK stellte neue Herausforderungen an die Patch-Verwaltung 26 Das Gesundheitswesen fiel massiven Sicherheitsverletzungen zum Opfer, weitere Branchen wurden durch PoSMalware-Angriffe geschwächt 30 Alte Angreifer feierten ein Comeback mit neuen Tools, Taktiken und Verfahren für gezielte Angriffe 32 Exploit-Kits werden immer raffinierter 36 Überblick über die Bedrohungslandschaft Die im vergangenen Quartal aufgetretenen Bedrohungen lassen den Schluss zu, dass auch höchste Vorsicht keinen wirksamen Schutz für Anwender bieten kann. Cyberkriminelle und Angreifer haben es nicht mehr nötig, neue Angriffswege zu schaffen, um ihre Opfer und Ziele zu erreichen. Das Fundament ist bereits gelegt, sie müssen ihre Pläne lediglich in die Tat umsetzen. Die größten Sicherheitslücken sind diejenigen, die man häufig übersieht. Bösartige Werbeanzeigen gibt es beispielsweise schon seit geraumer Zeit. Viele Anwender haben sich mittlerweile an sie gewöhnt. Doch obwohl sich die Anwender mit neuesten Sicherheitslösungen und Erkenntnissen wappnen, sind sie bösartigen Werbeanzeigen in Verbindung mit Zero-Day-Exploits völlig ausgeliefert. Der im vergangenen Februar bei Adobe® Flash® aufgetretene Vorfall zeigte allzu deutlich, wie wirksam ein derartiger Angriff sein kann. Anwender von mobilen Geräten blieben ebenfalls nicht verschont. Adware stellte auch weiterhin eine beträchtliche Bedrohung dar. Im selben Monat mussten bösartige Apps aus dem Google Play™ Store entfernt werden. Die Geräte von Millionen von Anwendern, die vermeintlich sichere hochriskante Apps herunterluden, wurden allerdings schon vor der Entfernung infiziert. Es besteht kein Zweifel, dass Anzeigennetzwerke ihre Sicherheitsmaßnahmen genauer unter die Lupe nehmen müssen. Viele Anwender unterschätzen außerdem die Gefahr, die weiterhin von veralteter Technologie ausgeht. Der deutliche Anstieg bei Infektionen durch (in Microsoft™ Word®-Dateien eingebettete) Makro-Malware und die Hartnäckigkeit von OpenSSLExploits machen deutlich, in welchem Umfang sich Cyberkriminelle mithilfe alter und bekannter Schwachstellen Zugang verschaffen können. Die größte Branche, die in den letzten Monaten von Angriffen überrascht wurde, war jedoch möglicherweise der Einzelhandel. Dies ist insofern interessant, als dass die Bedrohung durch Point-of-Sale-Malware (PoS) bereits weithin bekannt ist. Ähnlich wie Ransomware ist PoS-Malware offenbar nicht unterzukriegen und stellt ein potenzielles Risiko für Unternehmens- und Kundendaten dar. Ergreifen wir wirklich ausreichende Maßnahmen, um uns vor Sicherheitsbedrohungen zu schützen? Die größten Vorfälle in den ersten drei Monaten von 2015 haben gezeigt, dass auch die im Bereich Sicherheit äußerst versierten Anwender und Organisationen nicht gegen diese Gefahren immun sind. Angreifer nutzen schließlich schon die kleinste Sicherheitslücke aus, um ihr Ziel zu erreichen. In den heutigen Datenverarbeitungsumgebungen darf es einfach keinen Raum für Fehler geben. HINWEIS: Wird in diesem Bericht von „Erkennungen“ gesprochen, so bezieht sich dies auf Vorfälle, bei denen Bedrohungen auf den Geräten von Anwendern gefunden und anschließend von einem Trend Micro Sicherheitsprodukt gesperrt wurden. Sofern nicht anders angegeben, beruhen alle Statistiken in diesem Bericht auf Daten aus dem Trend Micro™ Smart Protection Network™, einer CloudSicherheitsinfrastruktur, die eine Kombination aus cloudbasierten Technologien und clientbasierten Sicherheitstechniken nutzt, um lokale Produkte und gehostete Services zu unterstützen. TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Fehler im Geschäftsmodell für Internetwerbung bergen potenzielle Risiken für die Anwendersicherheit Onlinewerbeanzeigen sind ein beliebtes Mittel für die Verbreitung von Exploits – wahrscheinlich deshalb, weil Anwender keinen Einfluss darauf haben, welche Werbeanzeigen ihnen präsentiert werden. Website-Inhaber kamen ebenso wie die Website-Besucher zu Schaden, da sie nicht steuern können, welche Werbeanzeigen letztendlich auf ihrer Website angezeigt werden. Zero-Day-Exploits, die Adobe-Software im Sicherheit: nur vertrauenswürdige Websites zu Visier haben, wurden kürzlich aktualisiert und in besuchen und Anwendungen mit den aktuellen Angriffen durch bösartige Werbung eingesetzt. Patches auf dem neuesten Stand zu halten. Ein Beispiel für einen solchen Angriff (CVE-20150313), der zum Exploit-Kit „Angler“ gehört, wurde Einem Bericht des U.S. Senate Committee on Anfang Februar dieses Jahres aufgedeckt. Er Homeland Security and Governmental Affairs verwendete bösartige Werbeanzeigen. Die Opfer zufolge ist es äußerst schwierig, dieses Problem mussten also die bösartigen Seiten nicht mehr zu absichtlich oder unabsichtlich aufrufen, um ihre extrem komplex. Daher ist es schwer, die für die Computer zu infizieren. Schäden umgehen. von „Die Onlinewerbebranche Malware-Angriffen ist verant wort lichen Organisationen zu identifizieren und zur Kürzlich erfolgte Angriffe durch bösartige Werbung Rechenschaft zu ziehen.“1, 2 Bösartige Werbe stellen aufgrund der eingebetteten Zero-Day- anzeigen stellen nicht nur für Endbenutzer ein Exploits eine wesentlich größere Bedrohung dar. Problem dar, sondern auch für Website-Inhaber. Die Kombination aus Angriffen durch bösartige Websites können auch ohne das Wissen und Werbung und Zero-Day-Exploits untergräbt die Einverständnis der Betreiber mit bösartigen zwei derzeit gängigsten Best Practices im Bereich Werbeanzeigen infiziert sein. 4 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Namhafte Schwachstellen im 1. Quartal 2015 CVE-2015-0310 CVE-2015-0311 Alle Versionen von Adobe Flash bis 6.0.0.257 Alle Versionen von Adobe Flash bis 16.0.0.287 Ausgenutzt über SWF_ANGZIA.A (Angriffspunkt nicht veröffentlicht) Ausgenutzt über SWF_ANGZIA.B, SWF_ANGZIA.C oder SWF_ANGZIA.F über bösartige Werbeanzeigen 22. JAN. 22. JAN. 24. JAN. 27. JAN. 22. JAN. 22. JAN. 24. JAN. 2. FEB. CVE-2015-0313 CVE-2015-0072 Alle Versionen von Adobe Flash bis 16.0.0.296 Microsoft™ Internet Explorer® Version 9 bis 11 Ausgenutzt über BEDEPBackdoors über bösartige Werbeanzeigen Ausgenutzt mittels WebInjection in Kombination mit bösartigen Links 2. FEB. 2. FEB. Kennung für bekannte Schwachstellen und Sicherheitslücken 4. FEB. 10. FEB. Schwachstellenerkennung 5. FEB. Angriffserkennung 5. FEB. SchwachstellenPatching 10. MRZ. 3. FEB. Veröffentlichung einer Trend Micro Deep SecurityRegel Zwei von vier im vergangenen Quartal enthüllten Zero-Day-Exploits nutzten bösartige Werbeanzeigen als Infektionsweg. 5 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 So funktioniert Malvertising Funktionsweise von Onlinewerbung Anzeigekunden möchten für Produkte oder Services werben. Anzeigennetzwerke stellen den Kontakt zwischen Anzeigekunden und Websites her, die Onlinewerbeanzeigen hosten möchten. Sie übernehmen das Zusammenstellen und Sammeln mehrerer Werbeanzeigen, die auf einer Reihe von Websites veröffentlicht werden sollen. Die Anzeigen-Publisher (Website-Inhaber) integrieren Werbeanzeigen in die Onlineinhalte der Websites. Mehrere Anzeigen können in unterschiedlichen Formaten angezeigt werden. Anwender sehen die Anzeigen, wenn sie Websites besuchen, die Werbung hosten. Funktionsweise von Malvertising Cyberkriminelle geben sich als Anzeigekunden aus und laden bösartige Anzeigen hoch. Bösartige und legitime Anzeigen werden beim Senden durch Anzeigennetzwerke – vermutlich aufgrund unzureichender Prüfungen – vermischt. Bösartige Werbeanzeigen werden auf Anzeigenwebsites angezeigt. Bösartige Werbeanzeigen nutzen Schwachstellen auf den Computern der Website-Besucher aus, um diese mit Malware zu infizieren. 6 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl von BEDEP- und ROZENA-Infektionen, die ab dem 4. Quartal 2014 bis zum 1. Quartal 2015 über bösartige Werbeanzeigen verbreitet wurden Q4 2014 GESAMT: 2.503 4.000 Q1 2015 GESAMT: 10.031 3.568 2.385 2.480 2.000 1.858 1 0 1.660 313 106 6 5 152 0 OKT. NOV. DEZ. 2014 JAN. FEB. MRZ. 2015 BEDEP GESAMT: 7.719 ROZENA GESAMT: 4.815 Bösartige Werbeanzeigen leiteten Opfer auf Websites um, die ihre Computer automatisch mit einer Reihe unterschiedlicher Malware infizierten. Ein über bösartige Werbeanzeigen verteilter Zero- auf mindestens 52 Lenovo® Laptop-Modellen für Day-Exploit in Adobe Flash verbreitete die Malware Privatanwender, die zwischen September und BEDEP.3 Ahnungslose Anwender, die die Malware Dezember 2014 ausgeliefert wurden, vorinstalliert BEDEP herunterluden, liefen Gefahr, unfreiwillig war.5, 6 Als Bloatware (unnütze Software), die an den Botnetz-Operationen von Angreifern viel Festplattenspeicher beansprucht und auf teilzunehmen. Darüber hinaus bestand das Risiko, Computern vorinstalliert ist, war Superfish in dass sie Opfer eines Betrugs wurden und weitere der Lage, (als Bilder angezeigte) Suchergebnisse Malware auf ihre Geräte herunterluden. anhand des Browserverlaufs von Anwendern zu 4 verändern.7 Sie verhielt sich nicht nur wie Adware, Die Bedrohungen im Zusammenhang mit Werbe sondern gab Cyberkriminellen Zugang zu angeblich anzeigen in diesem Quartal beinhalteten des sicherer Kommunikation. Weiteren Superfish, ein Browser-Add-on, das 7 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 So funktioniert Superfish Superfish ist auf einer Reihe von Lenovo Laptopmodellen vorinstalliert. Daher ist es möglich, dass es ohne das Wissen und Einverständnis des Anwenders operiert. Superfish installiert ein eigenes Root-Zertifikat, mit dem die Bloatware sogar in HTTPS funktioniert und so sichere Kommunikation abfangen kann, ohne einen Alarm auszulösen. Superfish Visual Search ist ein Browser-Add-on, das zu Anzeigen gehörende Fotos im Zusammenhang mit Suchergebnissen anzeigt. Superfish-Zertifikate verwenden denselben privaten Schlüssel, der über alle Laptops an die Öffentlichkeit gelangt ist. Die Folge sind schwache Verschlüsselung und geringe Sicherheit vor möglichem Missbrauch. Abgesehen davon, dass Superfish auf Computern vorinstalliert war und sich wie Adware verhielt, stellte diese Bloatware eine ernsthafte Bedrohung dar. Ihr schwaches Zertifikat setzte sogar sichere Kommunikationsmethoden großen Risiken aus. Die Adware hatte es nicht nur wie diverse Google infizierte Play Apps, die das MDash Software Development HRX) Millionen von Geräten, bevor die mit ihm Kit (SDK) verwendeten, auf die Anwender abge infizierten Apps aus Google Play entfernt wurden. sehen, sondern zeigte auf allen betroffenen Im Play Store wurden über 2.000 Apps mit Mobil geräten außerdem aggressive, schädliche ähnlichem Verhalten gefunden. Werbung an.8 Nach unseren MDash (ANDROIDOS_ADMDASH. Informationen 8 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl von mit MDash-infizierten Apps in Google Play vor und nach der Entfernung FEB. 3. FEBRUAR 11. MÄRZ Berichten zufolge entfernte Google drei Apps aus seinem Play Store, bei denen es sich um getarnte Adware handelte. Zum Zeitpunkt der Analyse identifizierten unsere Forscher 2.377 App SHA-256-Hashes im Google Play Store. MRZ. 26. MÄRZ 31. MÄRZ Google wurde über das Problem informiert und kündigte an, weitere Untersuchungen vorzunehmen. Bei einer Prüfung stellten unsere Forscher fest, dass noch 682 Apps im Play Store vorhanden waren. APR. 2. APRIL 15. APRIL Ein Blog-Post zu MDash wurde veröffentlicht. MAI Bei einer erneuten Prüfung stellten unsere Forscher fest, dass 85 Apps auch weiterhin im Play Store erhältlich waren. Ungefähr 2.000 mit MDash infizierte Apps wurden Anfang März in Google Play gefunden. Die meisten dieser Apps wurden innerhalb eines Monats nach der Benachrichtigung entfernt. Die im vergangenen aufgetretenen Adobe Software. Mit Superfish läuft sogar angeblich Bedrohungen missbrauchten die Onlinewerbe sichere Kommunikation Gefahr, Angreifern in die plattform, um die Datensicherheit von Anwendern Hände zu fallen. Mit MDash und ähnlichen Apps, und kompromittieren. die wertvolle Daten von Opfern stehlen, machten Malvertising stellte sich als wirksame Möglichkeit Angreifer erneut deutlich, dass kein Gerät vor zum Verbreiten von Zero-Day-Exploits heraus. Ein Bedrohungen sicher ist. Website-Inhabern Quartal zu Beispiel hierfür sind die Zero-Day-Angriffe auf 9 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 „Für gewöhnliche Anwender stellen bösartige Werbeanzeigen eine der größten Bedrohungen dar. Denn mehr noch als andere Bedrohungen kann Malvertising Schaden anrichten, selbst wenn man als Nutzer alles richtig macht. Auch Anwender, die nicht auf Links klicken, deren Sicherheitslösungen auf dem neuesten Stand sind und die nur vertrauenswürdige Websites aufrufen, können geschädigt werden. Kurz gesagt: Auch höchste Vorsicht kann keinen wirksamen Schutz vor Malvertising bieten. Es ist reine Glückssache.“ – Christopher Budd, Threat Communications Manager „Immer mehr Anwender entscheiden sich sowohl in Onlineals auch herkömmlichen Medien gegen Werbung. Wenn der Trend des Missbrauchs von Werbung anhält, ist damit zu rechnen, dass Browseranbieter künftig Werbeblocker, die derzeit lediglich als Plug-ins externer Anbieter erhältlich sind, direkt in ihre Produkte integrieren. Um dies zu verhindern, müssen Anzeigennetzwerke beim Überprüfen von Inhalten wesentlich gründlicher vorgehen, beispielsweise mithilfe von Sandboxing vor der Veröffentlichung. Sie müssen die Websites, die sie bedienen, effektiv authentifizieren.“ – Rik Ferguson, Vice President of Security Research 10 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Crypto-Ransomware-Infektionen treten immer häufiger auf und bedrohen Unternehmen Crypto-Ransomware hat seine Zielgruppe ausgeweitet und zielt nicht mehr nur auf Privatanwender ab, sondern nimmt auch Großunternehmen und Anwender von Nischenanwendungen ins Visier. Fast die Hälfte aller Ransomware-Infektoren im Computer. Die schädlicheren Nachfolger, Crypto- ersten Quartal 2015 gehören einem schädlicheren Ransom ware, mit der verschlüsselte Dateien Typ an: der Crypto-Ransomware. Die heute übli gesperrt und erst gegen Zahlung eines Geldbetrags chen, noch perfideren Versionen von Ransom wieder freigegeben werden, setzen Anwender ware sperren nicht mehr wie ihre Vorgänger, die wesentlich größeren Risiken aus. Polizei-Trojaner, den Zugriff ihrer Opfer auf deren Vergleich der bekannten Varianten von Crypto-Ransomware 1 2 (Bandarchor) 3 CryptoFortress Verwendet ältere Methoden, allerdings werden häufig neue Varianten veröffentlicht (zielt auf mehr Dateitypen ab, zuvor auf Russisch verfasste Lösegeldforderungen werden jetzt auf Englisch gestellt) Imitiert die Benutzeroberfläche von TorrentLocker; verwendet weitgehend Platzhalter, um nach Dateinamenerweiterungen zu suchen; verschlüsselt Dateien in NetzwerkFreigabeordnern Wird über Spam-E-Mail und die Ausnutzung von Schwachstellen verteilt Im Exploit-Kit „Nuclear“ enthalten 4 TeslaCrypt 5 VaultCrypt 6 Troidesh Verwendet eine ähnliche Benutzeroberfläche wie CryptoLocker; verschlüsselt neben Dokumenten auch Dateien von Spielen Verschlüsselt Dateien mittels GnuPG; lädt Hacker-Tools herunter, um die im Browser zwischengespeicherten Anmeldedaten zu stehlen; verwendet sDelete 16 Mal, um zu verhindern, dass die Opfer Backup-Dateien wiederherstellen; Hauptzielgruppe sind russische Anwender Benennt Dateien in {verschlüsselter Dateiname}.xtbl um; stiehlt IP-Adressen GulCrypt TROJ_GULCRYPT.A Verwendet .RAR, um archivierte Dateien durch ein Kennwort zu schützen; das Kennwort ist mit PGP verschlüsselt Wird zusammen mit anderen Komponenten von TROJ_CRYPTOP.KLS heruntergeladen TROJ_CRYPAURA.F Im Exploit-Kit „Angler“ enthalten TROJ_CRYPAURA.F BAT_CRYPVAULT.A TROJ_CRYPFORT.A TROJ_CRYPSHED.A Im Exploit-Kit „Nuclear“ Wird mit einem JavaScript™Downloader über Spam-E-Mail verteilt 11 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 FUNKTIONEN 1 2 Neue Familie? Ja Nein Gestohlene Daten Keine Angabe C&CKommunikation 3 Ja 4 5 6 Ja Ja Ja Computername Keine Angabe und Globally Unique Identifier (GUID) des Computers IP-Adresse Im Browser IP-Adresse zwischen gespeicherte Anmeldedaten mit dem HackerTool „Browser Password Dump by Security Xploded“ (HKTL_ BROWPASS) Nein Ja (auf einem Nein hartkodierten Command-andControl [C&C]Server) Ja (über Tor2web) Ja (über Onion City – Tor2web) Ja (über Tor) Dateiname der Lösegeld forderung {Anwender name}_files fud.bmp (als Desktop hintergrund) READ IF YOU HELP_TO_ WANT YOUR SAVE_YOUR_ FILES BACK.html FILES.txt, HELP_TO_ SAVE_YOUR_ FILES.bmp (als Desktop hintergrund) VAULT.txt README{1 bis 10}.txt Erweiterungs name an verschlüsselte Dateien angehängt .rar .id-{id#}_fud@ india.com* .frtrss .ecc .VAULT Benennt Dateien in {verschlüsselter Dateiname}.xtbl um Werden Schattenkopien gelöscht? Nein Nein Ja Ja Ja Nein Zahl der angegriffenen Dateien 11 102 (39 in älteren Varianten) über 132 185 15 342 Gefordertes Lösegeld 300 € Bitcoins (BTC) im Wert von 500 US-Dollar 1 BTC 1,5 BTC (1000 US-Dollar bei Zahlung über PayPal) Bitcoins (BTC) im Wert von 247 US-Dollar (der Betrag erhöht sich nach sieben Tagen) Nicht bekannt, da sich die Opfer zunächst über E-Mail mit den Angreifern in Verbindung setzen müssen; bisher wurden noch keine Lösegeld zahlungen gemeldet Verwendet das Deep Web für Zahlungs websites Mail2Tor (Tor-E-MailDienst) Nein (über E-Mail) Tor Tor Tor Nein (über E-Mail) FreemiumFunktionen? Ja (über E-Mail) Nein Ja Ja Ja Nein (* id# bezieht sich auf die Zahl, die Opfer während der Entschlüsselungstransaktionen identifiziert.) Die wachsende Liste notorischer Crypto-Ransomware wurde um sechs Familien erweitert. Diese unterscheiden sich durch die Höhe der Lösegeldforderungen und die Raffinesse der Angriffsmethoden. 12 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl der Ransomware-Infektionen 20.000 13.000 8.000 12.000 Ransomware 10.000 9.000 6.000 Crypto-Ransomware 6.000 8.000 3.000 3.000 3.000 3.000 Q2 2014 Q3 2014 Q4 2014 2.000 0 Q4 2013 Q1 2014 Q1 2015 Nach einem Rückgang von Ransomware-Angriffen vom ersten bis dritten Quartal 2014, der vermutlich auf die Verhaftung des Entwicklers des Blackhole-Exploit-Kits (Paunch) Ende 2013 zurückzuführen ist, nahmen die Angriffe Ende 2014 wieder zu. (Das Blackhole-Exploit-Kit war bekannt für die Verteilung von Ransomware.) Die Länder, die im 1. Quartal 2015 die höchste Zahl von Ransomware-Infektionen meldeten USA Australien Japan Türkei Italien Frankreich Deutschland Indien Kanada Philippinen Sonstige 34 6 6 5 5 4 3 3 2 2 30 % % % % % % % % % % % Die USA waren am stärksten von Ransomware-Infektionen betroffen. Dies lässt sich wahrscheinlich durch die neuen, Anfang dieses Jahres entdeckten Crypto-Ransomware-Varianten wie CTB-Locker erklären, deren direktes Ziel US-Bürger waren. 13 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Ransomware-Familien CRYPCTB REVETON KOVTER CRYPWALL RANSOM CRILOCK CRYPTOPHP VIRLOCK MATSNU CRYPTWALL Sonstige 25 20 17 11 10 6 5 1 1 1 3 % % % % % % % % % % % CRYPCTB machte 25 % der gesamten Ransomware aus. Es ist der Trend Micro Malware-Name für CTB-Locker-Varianten, von denen Anwender in den ersten zwei Monaten dieses Jahres besonders betroffen waren. Obwohl die Inhaftierung von Paunch Ende 2013 auch zu einem Rückgang von Ransomware-Infektionen CryptoFortress, eine Imitation von CryptoLocker führte, ließen sich andere Cyberkriminelle nicht (TROJ_CRYPFORT.A), kann Dateien in freige davon abhalten, noch schädlichere Varianten gebenen der Bedrohung zu verteilen. Tatsächlich werden CRYPWEB in der Lage ist, Webserverdatenbanken Anwender heute sogar Opfer von wesentlich zu verschlüsseln.11 Großunternehmen müssen sich gefährlicheren Ransomware-Varianten. darüber im Klaren sein, dass Ransomware eine 9 Großunternehmen Ordnern ins Visier verschlüsseln,10 nimmt. während ernsthafte Bedrohung für ihre Infrastruktur und Noch alarmierender ist allerdings, dass Ransom Geschäftstätigkeit darstellt. ware nicht mehr nur Privatanwender, sondern 14 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl von Ransomware-Infektionen nach Branche im 4. Quartal 2014 und im 1. Quartal 2015 16.433 15.532 Q4 2014 Q1 2015 72 % Privatanwender 52 % 16 % Großunternehmen 28 % 6% s Kleine und mittelständische Unternehmen 14 % s 6% Sonstige 6% Die Zahl von Ransomware-Infektionen in Großunternehmen hat sich im vergangenen Quartal fast verdoppelt. Dies ist möglicherweise auf die zunehmende Zahl von Ransomware zurückzuführen, die speziell auf Unternehmen statt auf Privatanwender abzielt. Neben Großunternehmen gehören nun auch auf. CRYPAURA sperrte beispielsweise insgesamt Online-Gamer 102 Dateitypen, zur Zielgruppe von Crypto- Ransomware. Teslacrypt (TROJ_CRYPTESLA.A) kann Steam ® im Gegensatz zu bisher 39 Dateitypen. Spiel- und Softwaredaten sowie Dokumente, Medien- und Backup-Dateien von Ransomware hat eine gewisse Ähnlichkeit mit Anwendern verschlüsseln. FAKEAV. 12, 13 Doch nicht nur Beide Malware-Typen jagen den Gamer wurden ins Visier genommen, auch Betroffenen einen dermaßen großen Schrecken ein, Polizeibeamte in Massachusetts fielen einem dass diese jegliche Lösegeldforderungen zahlen, Ransomware-Angriff zum Opfer und zahlten bis um wieder Zugriff auf ihre Computer und Dateien zu 500 US-Dollar Lösegeld, um wieder auf ihre zu erhalten. Es wird sich zeigen, ob Ransomware verschlüsselten Dateien zugreifen zu können. ebenso viele Probleme verursacht wie FAKEAV. Bei 14 FAKEAV erwies sich die Anwendersensibilisierung Anwender in Australien und Neuseeland wurden als sehr wirksam. Solange Anwender die störenden ebenfalls Opfer von Ransomware-Angriffen. Die Popup-Meldungen ignorierten, bestand keine im Januar dieses Jahres erfolgten TorrentLocker- Gefahr. Dies gilt jedoch nicht für Ransomware. Angriffe nahmen sich geduldig einen Markt nach Ransomware lässt dem Anwender keine Wahl. Sie dem anderen vor. Andere Crypto-Ransomware- können lediglich hoffen, dass sie gesperrte Dateien Varianten, die im vergangenen Quartal ihr über sichere Backups wiederherstellen können. Unwesen trieben, wiesen deutliche Verbesserungen 15 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 „Mit Crypto-Ransomware ist es für Cyberkriminelle ein Kinderspiel, Geld aus Angriffen zu schlagen. Die Entwickler der ersten Varianten erzielten in nur wenigen Monaten Gewinne im Wert von mehreren Millionen Dollar. Die schnelle Verbreitung der Bedrohung ist möglicherweise darauf zurückzuführen, dass Ransomware durch Hinzufügen von Crypto-Bibliotheken im Handumdrehen zu Crypto-Ransomware wird. CryptoAlgorithmen sind irreversibel. Betroffenen, die keine Sicherungskopien angelegt haben, bleibt keine Wahl: Sie müssen das geforderte Lösegeld zahlen, um wieder auf wichtige Dateien zugreifen zu können.“ – Anthony Melgarejo, Threat Response Engineer 16 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Makro-Malware – Comeback eines alten Feindes Das Comeback von Makro-Malware ist möglicherweise auf einen Mangel an Anwendersensibilisierung zurückzuführen, die Cyberkriminelle ausnutzen. Nur sehr wenige Anwender verstehen wirklich, worum es sich bei Makros handelt und wie diese funktionieren. Ein Comeback von Makro-Malware war Ende 2014 zu beobachten. Dies spiegelte sich in einem Anstieg von Spam-E-Mails mit Makros in bösartigen Anhängen und dem Auftreten neuer Varianten wider. Makro-Malware verwendete häufig Schlüsselformulierungen und gängige Suchbegriffe, um die Opfer zum Herunterladen und Ausführen von Malware zu bewegen.15 Sogar die berüchtigte Banking-Malware, VAWTRAK, bediente sich bösartiger Makros, um Computer zu infizieren. Dies stand in deutlichem Unterschied zu den bekannten Angriffsmethoden. Die Malware nutzte überzeugende Spam-E-Mails, in denen die Empfänger angewiesen wurden, Makros zu aktivieren, um spezielle Word-Dateianhänge anzuzeigen. Daraufhin wurde die Makro-Malware (W2KM_VLOAD.A) ausgeführt, die VAWTRAKVarianten herunterlud.16 Weitere Bedrohungen, die sich in der Vergangenheit Makro-Malware als Infektionsweg zunutze machten, sind beispiels weise die Datendiebstahl-Trojaner DRIDEX und ROVNIX.17, 18 Cyberkriminelle bauen möglicherweise darauf, dass die Anwender sich keiner Gefahr bewusst sind. Dies würde den Erfolg von Makro-MalwareAngriffen erklären. Sie nutzen die mangelnden Kenntnisse von Anwendern über Makros und deren Funktionsweise aus. Wenn Anwender aufgefordert werden, Makros zu aktivieren, um Anhänge anzeigen zu können, leisten die meisten dieser Aufforderung Folge. Makros werden als Angriffsweg immer beliebter, denn sie können traditionelle Anti-MalwareLösungen umgehen. Da zur Ausführung von MakroMalware eine manuelle Anwenderintervention erforderlich ist, reichen Sandboxing-Technologien unter Umständen nicht aus, um die Bedrohung wirksam abzuwehren. Anwender von Lösungen zum überprüfen von E-Mails sind weniger gefährdet, denn diese Lösungen erkennen aus führbare Dateien, statt nach eingebetteten bösartigen Makros zu suchen, die leicht verschleiert werden können und von Anti-Malware-Lösungen daher oft unerkannt bleiben. So funktioniert Makro-Malware Spam-E-Mails fordern Anwender auf, Anhänge herunterzuladen und zu öffnen, die in den meisten Fällen leer sind oder unleserlichen Text enthalten. In den E-Mails steht beispielsweise „Aktivieren Sie Makros, um den Inhalt anzuzeigen“, gefolgt von einer Anleitung. Das Schadteil wird unmittelbar nach der Aktivierung des Makros ausgeführt. Social Engineering war bei den Makro-MalwareAngriffen in letzter Zeit ein bedeutender Faktor. Anwender wurden dazu verleitet, Makros zu aktivieren, um Anhänge anzuzeigen, ohne zu wissen, dass im Hintergrund bösartige Routinen ausgeführt wurden. 17 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Neue, erstmals im 1. Quartal 2015 entdeckte Makro-Malware 436 500 250 180 79 29 0 2011 2012 19 2013 2014 2015 Das Comeback von Makro-Malware begann 2014. Makro-Malware wird sogar im Banking-Trojaner VAWTRAK genutzt. Zahl von Makro-Malware-Infektionen im 1. Quartal 2015 93.000 100.000 48.000 50.000 32.000 0 20.000 22.000 Q1 Q2 2014 Q3 Q4 Q1 2015 Die Zahl von Makro-Malware-Infektionen hat seit dem 1. Quartal 2014 stetig zugenommen. Dies steht möglicherweise mit der Veröffentlichung neuer Varianten und dem Anstieg von Spam-E-Mails mit bösartigen Anhängen, die Makros enthalten, in Verbindung. 18 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die Länder, die im 1. Quartal 2015 die höchste Zahl von Makro-Malware-Infektionen gemeldet haben China USA Vereinigtes Königreich Japan Australien Frankreich Italien Taiwan Deutschland Indien Sonstige 22 14 12 7 5 5 4 3 3 2 23 % % % % % % % % % % % China führt die Liste der Länder an, die in den ersten drei Monaten 2015 die meisten durch Makro-Malware infizierten Computer meldeten. Obwohl Microsoft Makros in Office standardmäßig deaktiviert hat, sind die Anwender älterer Versionen weiterhin ungeschützt. Die gängigsten Makro-Malware-Varianten im 1. Quartal 2015 W97M_MARKER.BO 8 X97M_OLEMAL.A 5 W2KM_DLOADR.JS 3 X2KM_DLOADR.C 2 W97M_SATELLITE 2 W97M_DLOADR.XTRZ 2 W2KM_DLOAD.NB 2 W97M_DLOADER.GHV 2 X2KM_DLOAD.A 2 X97M_LAROUX.CO 2 Sonstige 70 % % % % % % % % % % % 19 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die am häufigsten für bösartige Makros missbrauchten Anwendungen im 1. Quartal 2015 Word 75 % Excel® 21 % PowerPoint® 1% Sonstige 3% Bei Cyberkriminellen waren insbesondere Microsoft Word-Dokumente und Excel-Tabellen zur Verbreitung von bösartigen Makros sehr beliebt. Die gängigsten Makro-Malware-Familien im 1. Quartal 2015 DLOADR DLOAD MARKER BARTALEX DLOADER DLOADE OLEMAL LAROUX BURSTED MDROP Sonstige 30 10 8 8 6 5 4 4 3 2 20 % % % % % % % % % % % Makro-Malware hat sich zum beliebtesten Angriffsweg entwickelt, denn sie kann eigenständige Anti-Malware-Lösungen, die auf den meisten Computern installiert sind, problemlos umgehen. Downloader gehörten zu den führenden Makro-Malware-Familien. Dies deutet möglicherweise darauf hin, dass andere Malware sie zum Infizieren von Systemen nutzt. 20 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 „Der aktuelle Erfolg von Makro-Malware lässt sich möglicher weise auf ihre Verwendung von wirksamen Social-EngineeringKödern und die Tatsache zurückführen, dass sie leicht verschleiert werden können. Sie sind außerdem in der Regel in Office-Dateien eingebettet, die von den Anti-Malware-Lösungen nachsichtiger behandelt werden. Makros können sogar über Batch- und Skriptdateien aktiviert werden, die Anti-MalwareLösungen ebenfalls umgehen.“ – Anthony Melgarejo, Threat Response Engineer 21 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die zehn Jahre alte Sicherheitslücke FREAK stellte neue Herausforderungen an die Patch‑Verwaltung FREAK und GHOST versetzten Anwender von gefährdeten Computern und Anwendungen in Schrecken. Diese Sicherheitslücken stellten IT-Administra toren auf eine harte Probe, denn sie mussten auf verschiedenen gefährdeten Plattformen und Geräten außerhalb des regulären Patch-Zyklus Patches installieren. Es ist bereits jetzt absehbar, dass im Lauf dieses Jahres auf allen Plattformen und Geräten neue angreifbare Schwachstellen auftreten werden. FREAK (Factoring RSA Export Keys) ist eine im Secure Sockets Layer (SSL)-Clients sind für März dieses Jahres entdeckte Sicherheitslücke, die Man-in-the-Middle betroffene sichere Websites und Anwendungen Betroffene Windows®-Anwender laufen Gefahr, zwingt, eine schwächere Verschlüsselung zu dem Diebstahl vertraulicher Daten zum Opfer verwenden. Alle OpenSSL-Versionen vor 1.0.1k zu fallen.20 (MitM)-Angriffe anfällig.19 und Apple Transport Layer Security (TLS)/ Derzeit gefährdet Änderung seit dem 3. März HTTPS-Server unter den führenden 1 Million Alexa-Domain-Namen 8,5 % Rückgang von 9,6 % HTTPS-Server mit Zertifikaten, die der Browser als vertrauenswürdig einstuft 6,5 % Rückgang von 36,7 % Alle HTTPS-Server 11,8 % Rückgang von 26,3 % Die Zahl von Servern, die von der Sicherheitslücke FREAK betroffen waren, ist zurückgegangen, seit die Schwachstelle im März aufgedeckt wurde.21 GHOST, eine Pufferüberlauf-Sicherheitslücke in anwendungen behoben werden, bevor sie Linux™ (glibc- oder GNU C-Bibliotheksversionen missbraucht werden können. Diese können nämlich vor 2.2) trat ebenfalls erstmals im Januar dieses geschäfts relevante Daten, die in möglicherweise Jahres auf. Die Schwachstelle wird durch Aufrufen gefährdeten Backend-Datenbanken gespeichert bestimmter Funktionen in glibc ausgelöst, die die sind, offenlegen. Ausführung von willkürlichem Code ermöglichen. Glücklicherweise kann diese Schwachstelle nicht Trend Micro Deep Security-Daten zeigten, dass so leicht ausgenutzt werden und nur eine sehr Cross-Site-Scripting (XSS)- and SQL-Injection- geringe Zahl von Systemen gefährden.22 Angriffe meist für Angriffe auf Webanwendungen auf Unternehmensservern eingesetzt wurden. Ähnlich wie client- und serverseitige Sicher Dieses Ergebnis wird durch Open Web Application heits lücken müssen Schwachstellen in Web Security Project (OWASP)-Daten bestätigt. 22 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die größten Schwachstellen in Webanwendungen, die im 1. Quartal 2015 gefunden wurden Stellt eine ernsthafte Bedrohung für alle datenbankbasierten Webanwendungen dar. Ursache liegt in unzureichend oder nicht überprüften Eingaben, die von Anwendern über betroffene Webanwendungen in Form von SQL-Befehlen an Datenbankserver weitergegeben werden. Kann Angreifern das Lesen, Ändern, Ergänzen oder Löschen von Daten in Datenbanken ermöglichen und katastrophale Folgen haben. KRITISCH SQL Injection Nicht persistentes XSS Angreifer können bösartige Skripts (in der Regel auf Client-Seite) in Webanwendungen einschleusen. XSS nutzt Anwendungen aus, die von Anwendern eingegebene Daten nicht prüfen, filtern oder verschlüsseln. Häufig werden Opfer verleitet, auf legitim erscheinende Links zu klicken, die tatsächlich jedoch weitere Daten bereitstellen, um Angriffe zu starten. Nutzt unzureichende Sicherheitsvalidierungen in Webanwendungen aus; auch bekannt unter der Bezeichnung „Dot Dot Slash“ oder „Directory Traversal“-Angriff. Angreifer können so durch Navigieren der Dateisysteme von Servern über beschränkte Systempfade auf Dateien zugreifen. HOCH Path Traversal Erkennung potenziell sensibler Ressourcen Angreifer können auf Informationen zu Ressourcen zugreifen, die möglicherweise mit der Struktur von Anwendungen verknüpft sind (alte Backups, Serverkonfiguration, Server-/Datenbankprotokolle, Datenbankkonfiguration, Datenbankdumps, vertrauliche Anwendungsdateien usw.). So können noch raffiniertere Angriffe durchgeführt werden. Verzeichnisindizierung Detaillierte Fehlermeldungen von Anwendungen Ermöglicht Angreifern den Zugriff auf sensible Daten, darunter die interne Webanwendungslogik, die Anwendern im Fall von Fehlern oder Ausnahmen in Webanwendungen angezeigt werden. MITTEL Betrifft Webserver, die beim Zugriff durch User-Agents die Indexseite ihres virtuellen Verzeichnisses/ Unterverzeichnisses anzeigen. Angreifer können weitere Angriffe durchführen, indem sie die Verzeichnisstruktur und den Verzeichnisinhalt gefährdeter Webanwendungen analysieren oder unbefugten Zugriff auf Verzeichnisdateien erlangen. Übertragung sensibler Formulardaten ohne Secure Sockets Layer (SSL) Ermöglicht Angreifern, auf sensible Daten zuzugreifen, die über Anwendungen ohne SSL-Verschlüsselung übertragen werden. Offenlegung des Quellcodes in Include-Dateien Ermöglicht Angreifern, auf sensible Informationen zur Anwendungslogik in Quellcodes zuzugreifen und diese zu missbrauchen. Ursache hierfür ist die Generierung unerwarteter Ausgaben. Kann Angreifern einen Hinweis zu Webroot-Ordnern usw. geben, mit dem sie individuelle Angriffe erstellen können, um Zugriff auf interne Systemdateien zu erhalten. Veröffentlichung interner IP-Adressen Kann Informationen über das Vergabeschema interner Netzwerk-IP-Adressen offenlegen und damit die Entwicklung individueller Angriffe ermöglichen. Nicht persistentes XSS ist die gängigste Sicherheitslücke in Webanwendungen. Laut OWASP treten XSS‑Sicherheitslücken immer dann auf, wenn eine Anwendung nicht vertrauenswürdige Daten akzeptiert und an einen Webbrowser sendet, ohne diese eingehend zu prüfen. So ist es Angreifern möglich, Anwender zum Klicken auf spezielle Links zu bewegen, über die bösartige Scripts ausgeführt werden. 23 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken NIEDRIG Offenlegung lokaler Pfade TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Deep Security-Daten zeigten außerdem, dass in Entwicklung von Websites konzipiert wurde und zahlreichen Unternehmen Schwachstellen auf gelegentlich als allgemeine Programmiersprache PHP-Servern vorherrschten. Alle zehn führenden eingesetzt wird. Die meisten dieser als „hoch“ bis Serverschwachstellen standen mit der serverseitigen „kritisch“ eingestuften Schwachstellen wurden in PHP-Skriptsprache in Zusammenhang, die für die den aktuellen PHP-Versionen behoben. Die gängigsten Schwachstellen von Plattformen im 1. Quartal 2015 CVE-ID Schwere Betroffene grad Software Beschreibung Lösung CVE-20122688 Kritisch PHP Nicht spezifiziert Upgrade auf PHP 5.3.15, 5.4.5 oder höher CVE-20122376 Kritisch PHP Ermöglicht Angreifern, willkürlichen Code auszuführen Patches oder Upgrades zum Schließen dieser Sicherheitslücke wurden noch nicht veröffentlicht. CVE-20113268 Kritisch PHP Ermöglicht Angreifern, willkürlichen Code auszuführen oder die betroffenen Anwendungen zum Abstürzen zu bringen Upgrade auf PHP 5.3.7 oder höher CVE-20149427 Hoch PHP Ermöglicht Angreifern, die betroffenen Anwendungen zum Abstürzen zu bringen, vertrauliche Informationen aus dem PHP-CGI-Prozessspeicher abzurufen oder unerwarteten Code auszuführen Wenden Sie sich an den Anwendungshersteller, um Informationen zum Schließen dieser Sicherheitslücke zu erhalten. CVE-20131635 Hoch PHP Ermöglicht Angreifern, beabsichtigte Zugriffsbeschränkungen zu umgehen Upgrade auf PHP 5.3.22, 5.4.13 oder höher CVE-20111092 Hoch PHP Ermöglicht Angreifern, die betroffenen Anwendungen zum Abstürzen zu bringen Upgrade auf PHP 5.3.6 oder höher CVE-20121823 Hoch PHP Ermöglicht Angreifern, willkürlichen Code auszuführen Upgrade auf PHP 5.4.2 oder höher CVE-20122311 Hoch PHP Ermöglicht Angreifern, willkürlichen Code auszuführen Upgrade auf PHP 5.3.13, 5.4.3 oder höher CVE-20122386 Hoch PHP Ermöglicht Angreifern, die betroffenen Anwendungen zum Abstürzen zu bringen Upgrade auf PHP 5.3.14, 5.4.4 oder höher CVE-20111153 Hoch PHP Ermöglicht Angreifern, vertrauliche Informationen abzurufen und Denialof‑Service (DoS)-Angriffe auszuführen Upgrade auf PHP 5.3.6 oder höher PHP erwies sich im letzten Quartal als die am stärksten gefährdete Plattform. Verschiedene Versionen der Skriptsprache wiesen Sicherheitslücken auf. Anwender und IT-Administratoren müssen dafür sorgen, dass ihre Anwendungen auf dem neuesten Stand sind und dazu die aktuellen Patches installieren oder auf die neuesten Versionen aktualisieren. Deep Security bietet Lösungen zum Schließen der entsprechenden Sicherheitslücken. 24 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Aufgrund der zunehmenden Zahl von Sicherheits ist lücken in Open-Source-Betriebs systemen und Verantwortung beim Offenlegen oder Patchen -Anwendungen wird es für IT-Administratoren von Sicherheits lücken. Damit wird der Schutz immer schwieriger, die hiermit verbundenen aller potenziell gefährdeten Betriebssysteme und Risiken Anwendungen erschwert. einzudämmen. Eine Haupt ursache möglicher weise die mangelnde „Der FREAK-Angriff zeigte sehr deutlich, dass unsere Systeme nie 100 % sicher sind. Ganz gleich welche Maßnahmen wir auch treffen, überall lauern neue Gefahren. Ältere Systeme müssen daher unbedingt auf den neuesten Stand gebracht werden. Unternehmen müssen die Quellcodes von Anwendungen verwahren, die speziell für sie konzipiert wurden. Wie Heartbleed unterstreicht FREAK erneut die Unsicherheit von OpenSSL. Hierbei handelt es sich um eine veraltete Technologie, die durch verbesserte Verschlüsselungsbibliotheken ersetzt werden muss. Unternehmen, die Open-Source-Software und -Bibliotheken nutzen, müssen ihre Sicherheitsrichtlinien überdenken und verschärfen. Sie sollten Sicherheitslösungen verwenden, die unter anderem die IP- und Domain-Reputation bewerten, den Netzwerkverkehr mit Systemen zur Erkennung von Datensicherheitsverletzungen überwachen und bekannte und unbekannte Bedrohungen mit Intrusion PreventionLösungen abwehren.“ – Pawan Kinger, Director of Deep Security Labs 25 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken direkte TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Das Gesundheitswesen fiel massiven Sicherheits verletzungen zum Opfer, weitere Branchen wurden durch PoS-Malware-Angriffe geschwächt Trotz der riesigen Mengen vertraulicher Daten, die in den Netzwerken des Gesundheitswesens gespeichert sind, sind leider allzu häufig laxe Sicherheits maßnahmen und das Fehlen branchenführender Sicherheitslösungen an der Tagesordnung. Dies ist möglicherweise der Hauptgrund für die häufigen Angriffe gegen diese Branche. Führende Anbieter im Gesundheitswesen, wie Premera Blue Cross und Anthem, fielen Daten sicherheits verletzungen zum Opfer, bei denen Unbefugte im März dieses Jahres Zugriff auf die finanziellen und medizinischen Daten von mehreren Millionen Patienten erlangten.23 Von der Sicherheitsverletzung bei Anthem waren Berichten zufolge 80 Millionen Patienten und Mitarbeiter betroffen.24 Bei einem im Januar dieses Jahres entdeckten Angriff auf Premera Blue Cross wurden die Daten von 11 Millionen Patienten für Unbefugte zugänglich. Beide Vorfälle von unrechtmäßigem Datenabfluss übertrafen den Angriff auf den britischen National Health Service (NHS), bei dem Unbefugte Zugriff auf über 8,6 Millionen Patientenakten erlangten und der seit 2011 als der am stärksten kompromittierte Anbieter im Gesundheitswesen galt.25 Im Gesundheitswesen werden mehr Personendaten gespeichert als in allen anderen Branchen. Die Anbieter ergreifen in vielen Fällen allerdings nicht die Sicherheitsmaßnahmen, mit denen diese Daten effektiv geschützt werden können.26 Die namhaftesten unrechtmäßigen Datenabflüsse im Gesundheitswesen zwischen 2009 und 2015 Virginia Department of Health | USA National Health Services | GB Patientendaten, Rezepte Unverschlüsselte Patientendaten 2009 Verloren gegangene Daten: 8,3 Mio. Verloren gegangene Daten: 8,6 Mio. 2010 Advocate Medical Group | USA Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern Community Health Systems | USA 2011 Im Lauf von fünf Jahren erfasste Patientendaten, Namen, Anschriften, Sozialversicherungsnummern Verloren gegangene Daten: 4 Mio. 2012 Verloren gegangene Daten: 4,5 Mio. Premera Blue | USA 2013 Anthem | USA Namen, Geburtsdaten, E-Mail-Adressen, Adressen, Telefonnummern, Sozialversicherungsnummern, Mitgliedsnummern, Kontodaten, Informationen zu Versicherungsansprüchen, klinische Informationen 2014 2015 Verloren gegangene Daten: 11 Mio. Namen, Geburtsdaten, Mitgliedsnummern, Sozialversicherungsnummern, Adressen, Telefonnummern, E-Mail-Adressen, Beschäftigungsdaten Verloren gegangene Daten: 80 Mio. Die Anfang dieses Jahres enthüllten Fälle von unrechtmäßigem Datenabfluss bei Anthem und Premera richteten größere Schäden an als vergleichbare Angriffe.27 Zur letzten Sicherheitsverletzung dieser Art kam es 2011, als Laptops des britischen NHS, auf denen unverschlüsselte Patientenakten gespeichert waren, gestohlen wurden. (Hinweis: Hier wurden nur Organisationen berücksichtigt, die einen Verlust von mindestens vier Millionen Patientenakten zu beklagen hatten.) 26 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Wie viele unrechtmäßige Datenabflüsse zwischen 2005 und 2014 betrafen das Gesundheitswesen? 10 % 14 % 14 % 15 % 2005 2006 2007 2008 14 % 25 % 24 % 36 % 2009 2010 2011 2012 44 % 43 % 2013 2014 Unrechtmäßige Datenabflüsse im Gesundheitswesen Die Zahl der Opfer von Datensicherheitsverletzungen in der Gesundheitsbranche hat sich 2014 im Vergleich zu 2005 fast vervierfacht. Dieser Sektor war zwischen 2012 und 2014 stärker betroffen als die Unternehmensbranche, das Militär und Regierungsbehörden.28 In der Einzelhandels- und Dienstleistungsbranche Anwender fielen einer Reihe alter und neuer nahmen Angriffe durch PoS-RAM-Scraper zu. Die PoS-RAM-Scraper-Varianten unzureichende Sicherheit von PoS-Systemen führte vergangenen Februar reihte sich FighterPoS in die dazu, dass RAM-Scraper erstmals in Netzwerke Gruppe berüchtigter PoS-Malware ein. Daneben eindringen konnten. Zur Durchführung gezielter trieb die seit Langem bekannte Malware BlackPOS Angriffe sind sie jedoch nur beschränkt geeignet. weiterhin in Unternehmen ihr Unwesen und war PoS-Malware für einen Großteil der Infektionen insgesamt brachte riesiger Gewinne ein. Angreifern umgehend zum Opfer. zuständig.29 27 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken Im TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl der durch PoS-RAM-Scraper infizierten Systeme 116 259 300 120 86 65 156 124 150 123 60 73 0 Q1 2014 Q2 Q3 Q4 Q1 0 JAN. FEB. MRZ. 2015 Seit PoS-RAM-Scraper im vergangenen Jahr erstmals nachverfolgt wurden, hat sich ihre Zahl verdoppelt. Dies ist möglicherweise auf die Optimierung vorhandener PoS-Malware, wie beispielsweise BlackPOS, zurückzuführen.30 Die Länder, die im 1. Quartal 2015 die höchste Zahl von PoS-RAM-Scraper-Infektionen meldeten USA Australien Taiwan Österreich Italien Brasilien Kanada Philippinen Frankreich Japan Sonstige 23 10 8 7 5 4 4 4 3 2 30 % % % % % % % % % % % Die Vereinigten Staaten verzeichneten aufgrund der beträchtlichen Zahl potenzieller Opfer das höchste Aufkommen an PoS-Malware-Angriffen. 80 % der US-Bürger zahlen regelmäßig mit Karte statt in bar.31 28 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten PoS-RAM-Scraper-Familien im 1. Quartal 2015 POCARDL DEXTR POSLOGR POSNEWT JACKPOS POCARDLER POSLUSY ALINAOS POSHOOK ALINA Sonstige 20 14 11 7 7 6 6 5 5 5 14 % % % % % % % % % % % POCARDL, eine Malware die erstmals im Oktober 2012 entdeckt wurde und Kreditkartendaten stiehlt, erwies sich in den ersten drei Monaten von 2015 als die gefährlichste PoS-RAM-Scraper-Familie.32 „Die Sicherheitsbranche wird sich künftig verstärkt mit PoS‑Malware auseinandersetzen müssen, ebenso wie mit Scareware, FAKEAV und Ransomware. Dies trifft insbesondere auf Länder wie die USA zu, in denen die meisten Menschen mit Karte bezahlen.“ – Jay Yaneza, Cyberthreat Researcher 29 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Alte Angreifer feierten ein Comeback mit neuen Tools, Taktiken und Verfahren für gezielte Angriffe Rocket Kitten und die Hintermänner von Operation Pawn Storm nahmen neue Zielgruppen ins Visier und machten deutlich, dass gezielte Angriffe nach wie vor aktuell sind und sich weiterentwickeln. Operation Pawn Storm, eine laufende Kampagne, und eine gefälschte Version die wirtschaftlichen und auch politischen Zwecken (IOS_XAGENT.B) – die mit SEDNIT-Varianten dient, nutzte ungeschützte iOS™-Geräte aus, um auf Windows-Computern vergleichbar sind. in die gewünschten Netzwerke einzudringen.33 Parallel mit der kontinuierlichen Verbesserung Pawn Storm war zwar nicht die erste Kampagne, gezielter Angriffe optimierte die Gruppe Rocket die gezielte Angriffe mithilfe mobiler Malware Kitten ihre Tools, Taktiken und Verfahren.34 ausführte, nahm aber erstmals gezielt iOS- Die für die Kampagne verantwortlichen Täter Geräte ins Visier. Die Angreifer verwendeten zwei missbrauchten bösartige iOS-Apps – XAgent (IOS_XAGENT.A) WOOLERG-Keyloggern. OneDrive® von zum MadCap Hosten von Namhafte, gezielte Angriffe auf mobile Geräte seit 2011 Pawn Storm Diese Kampagne steht in Verbindung mit 90 Angriffen gegen eine Reihe von Branchen und/oder Communities in Japan und Indien. Sie verwendete dazu Remote-Access-Tools (RAT)-ähnliche Android™Malware, die Daten sammelte und Dateien auf infizierte Geräte hoch- bzw. von diesen herunterlud. Diese Kampagne zielte auf tibetanische und Uyghur-Menschenrechtsaktivisten ab. Sie nutzte ungeschützte Windows- und Mac OS X-Systeme mithilfe von Social-Engineering-Taktiken aus und verbreitete ANDROIDOS_CHULI.A über die gehackten E-Mail-Konten der Aktivisten. 2013 Chuli 2012 Luckycat 2011 Diese Kampagne führt Spionageangriffe zu wirtschaftlichen und politischen Zwecken aus, die von einer Gruppe von Angreifern initiiert werden und sich hauptsächlich gegen das Militär, Botschaften und die Rüstungsindustrie der Vereinigten Staaten und ihrer Verbündeten richtet. Bei dieser Kampagne wurden die Zielnetzwerke erstmals mit spezieller iOS-Malware infiltriert. Xsser mRAT Regin Diese Kampagne nahm Behörden, Finanzinstitute, Telekommunikationsanbieter, Forschungsgesellschaften und weitere Organisationen in verschiedenen Ländern ins Visier und missbrauchte Global System for Mobile Communications (GSM)-Basisstation-Controller, um Anmeldeinformationen zu erfassen, mit denen das GSM-Netzwerk von Ländern im Nahen Osten manipuliert werden konnte. Angreifer visieren mobile Geräte an, weil diese stark verbreitet sind. Aufgrund des Bring-Your-Own-Device (BYOD)-Trends können riskante Gewohnheiten auf privaten Geräten ganz leicht auch Sicherheitsrisiken für den Arbeitsplatz bedeuten.35 30 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken 2014 Diese Kampagne wurde vermutlich von Chinesisch sprechenden Angreifern gegen chinesische Protestanten geführt. Die plattformübergreifende Malware, Xsser mRAT (ANDROIDOS_Code4HK.A), infizierte Android- und iOS-Geräte. ANDROIDOS_Code4HK.A machte die SMS-, E-Mail- und Instant Messages, Standortdaten, Benutzernamen und Kennwörter, Anrufprotokolle und Adressbücher der Opfer für Unbefugte zugänglich. TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Wie Pawn Storm-Angreifer die Sicherheitsmaßnahmen für Unternehmen im App Store umgingen Angreifer entwickeln Malware, die mit einem Unternehmenszertifikat signiert ist. Angreifer hosten die Malware auf einem Server und nutzen ITMS-Services, um einen Installationslink zu generieren. An die Zielpersonen wird ein Link gesendet, der diese über raffinierte Social-EngineeringTaktiken dazu verleitet, auf den Link zu klicken. Daraufhin wird Malware installiert. Es ist bisher nicht klar, auf welche Weise die XAgent-Malware installiert wird. Sie kann jedoch auch Geräte ohne Jailbreak infizieren, sofern die Träger-Apps mit dem Unternehmenszertifikat von Apple signiert wurden. Social-Engineering-Köder erhöhen ebenfalls das Risiko einer Geräteinfektion. 31 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Exploit-Kits werden immer raffinierter Exploit-Kits werden fortlaufend durch Exploits für eine ständig zunehmende Anzahl an Sicherheitslücken ergänzt. Sie erfreuen sich daher zunehmender Beliebtheit unter Angreifern, die ständig auf der Suche nach dem besten Preis-Leistungs-Verhältnis sind. Ihr Anteil an den Malvertising-Angriffen im vergangenen Quartal demonstrierte eine weitere brauchbare Methode zum Bereitstellen von Exploits. Über 70 Exploit-Kits sind in der Lage, mehr dagegen das Exploit-Kit „Nuclear“ am häufigsten als 100 Sicherheitslücken auszunutzen. zum Einsatz. 36 Seit der Verhaftung von Paunch Ende 2013 ist die Anzahl der verwendeten Exploit-Kits deutlich Die Angreifer konzentrierten sich insbesondere auf zurückgegangen. Ihr rückläufiges Aufkommen Japan und führten eine Reihe von Malvertising- wird jedoch durch ihre ausgeklügelte Technologie Angriffen aus, die es speziell auf japanische mehr Anwender abgesehen hatten.37 als wettgemacht. Exploit-Kits werden fortlaufend aktualisiert, damit sie immer mehr Sicherheitslücken ausnutzen können. Beim oben erwähnten Wie schon in der Vergangenheit beinhalteten die beliebtesten Kits Exploits für Adobe Flash Zero-Day-Angriff auf und Internet Explorer. Dies ist wahrscheinlich Adobe Flash wurde beispielsweise das Exploit-Kit auf die riesige Anwenderbasis dieser Software „Hanjuan“ eingesetzt. Im ersten Quartal 2015 kam zurückzuführen. In Exploit-Kits verwendete Sicherheitslücken Nuclear Internet Explorer CVE-2013-2551 Microsoft Silverlight® CVE-2013-0074 Adobe Flash CVE-2014-0515 CVE-2014-0569 CVE-2014-8439 CVE-2015-0311 Adobe Acrobat® Reader CVE-2010-0188 Oracle JavaTM CVE-2012-0507 XMLDOM ActiveX CVE-2013-7331 Sweet Orange CVE-2013-2551 CVE-2014-0322 CVE-2014-6332 CVE-2014-0515 CVE-2014-0569 FlashPack CVE-2013-2551 CVE-2013-3918 CVE-2014-0322 CVE-2013-0634 CVE-2014-0497 CVE-2014-0515 CVE-2014-0569 Rig Angler CVE-2013-2551 CVE-2013-2551 CVE-2013-0074 CVE-2013-0074 CVE-2014-0569 CVE-2015-0311 CVE-2014-0515 CVE-2014-0569 CVE-2015-0311 Magnitude CVE-2013-2551 CVE-2014-0515 Fiesta Styx CVE-2013-2551 CVE-2013-2551 CVE-2013-0074 CVE-2013-0074 CVE-2014-0497 CVE-2014-0569 CVE-2015-0311 CVE-2014-0515 Hanjuan CVE-2015-0313 CVE-2010-0188 CVE-2013-2460 CVE-2013-5471 CVE-2013-2465 CVE-2013-7331 CVE-2013-7331 CVE-2012-0507 CVE-2014-2465 CVE-2013-7331 Adobe Flash-Exploits waren in allen Kits enthalten, die im ersten Quartal 2015 bei den wichtigsten Angriffen verwendet wurden. 32 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Häufigkeit, mit der im 4. Quartal 2014 und im 1. Quartal 2015 auf Exploit-Kit-Server zugegriffen wurde Sweet Orange Angler Magnitude Rig Nuclear Neutrino Fiesta Hanjuan Gesamt Q4 2014 1.077.223 363.982 155.816 140.604 14.671 26.943 25.133 Keine Daten 1.804.372 vorhanden Q1 2015 264.897 590.063 255.593 42.424 740.037 321.712 61.952 103.924 2.380.602 -69,8 % 4.944,2 % 1.094 % 146,5 % Anstieg -75,4 % 62,1 % 64,0 % Keine Daten vorhanden Exploit-Kits, auf die Anwender im 1.Quartal 2015 am häufigsten zugriffen Nuclear Angler Neutrino Sweet Orange Magnitude Hanjuan Fiesta Rig 31 25 13 11 11 4 3 2 % % % % % % % % In diesem Quartal verzeichneten Angriffe durch Exploit-Kits einen Anstieg von 30 %. Das NuclearExploit-Kit hatte die größte Zahl von Anwendertreffern, was sich wahrscheinlich durch die damit in Verbindung stehenden Malvertising-Angriffe erklärt. Der Rückgang bei den Treffern des Exploit-Kits „Sweet Orange“ ist dagegen möglicherweise auf die Säuberungsaktionen zurückzuführen, die gewisse Anzeigennetzwerke auf ihren Plattformen vornahmen, um Malvertising abzuwehren. 33 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken 31,9 % TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die am schwersten von Exploit-Kit-Angriffen betroffenen Länder Japan 52 % USA 31 % Australien 5% Kanada 1% Dänemark 1% Frankreich 1% Vereinigtes Königreich 1 % Italien 1% Brasilien 1% Spanien 1% Sonstige 5% Ein Grund, warum Japan so massiv betroffen war, ist möglicherweise mit der Serie von Malvertising-Angriffen mittels Exploit-Kits zu erklären, die Anfang dieses Jahres insbesondere japanische Anwender ins Visier nahmen. Obwohl im letzten Quartal weniger neue Exploit-Kits veröffentlicht wurden, spielen sie weiterhin eine wichtige Rolle. Ist dies die Ruhe vor dem Sturm? Halten sich die Entwickler von Exploit-Kits zurück, um ihre Kampagnen zu optimieren, bevor sie den nächsten Angriff starten? Bekannte tägliche Exploit-Kit-Aktivität im 1. Quartal 2015 5 100.000 Nuclear Angler 4 Neutrino Sweet Orange 2 50.000 Magnitude Hanjuan 3 Fiesta 1 Rig 0 JAN. FEB. MRZ. (Hinweis: Die Spitzen im obigen Diagramm entsprechen den nummerierten Details weiter unten.) Von AOL ergriffene Maßnahmen zur Entfernung von Malvertising-Angriffen von der Plattform, hatten einen Rückgang der Aktivitäten des Exploit-Kits „Sweet Orange“ zur Folge (1). Mit Angler (2 und 4) und Hanjuan (2) wurden Computer von Ende Januar bis Anfang Februar mit Zero-Day-BEDEP-Malware infiziert. Dies führte zu häufigeren Zugriffen auf ihre Server. Das Nuclear-Exploit-Kit (3 und 5) wurde im ersten Quartal für einen Malvertising-Angriff auf pornografischen Websites verwendet. 34 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 „Immer mehr Exploit-Angriffe nutzen Malvertising statt die Infektion von Websites oder Spam-E-Mails. Durch den Missbrauch legitimer Anzeigennetzwerke konnten die Angreifer ihre böswilligen Absichten erfolgreich vertuschen. Sie arbeiten kontinuierlich an der Optimierung ihrer Tools und Taktiken, um die Effektivität ihrer Kampagnen zu steigern und ihre Geschäfte auszubauen. Im Verlauf von 2015 werden mit großer Wahrscheinlichkeit weitere derartige Angriffe erfolgen.“ – Joseph C. Chen, Engineer 35 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Überblick über die Bedrohungslandschaft Im Vergleich zum vierten Quartal 2014 war von Geräten abwehrten, stiegen Spam-E-Mails die Bedrohungen sprunghaft an. Daraus lässt sich möglicherweise insgesamt rückläufig. Im Gegensatz zu der schließen, dass E-Mail ein trauriges Comeback geringeren Zahl bösartiger Domains, die wir für feiert: den Anwenderzugriff gesperrt haben, und dem Verbreitung älterer Bedrohungen wie Makro- Aufkommen an Malware, die wir vor der Infektion Malware auf ungeschützten Computern. Anzahl der gemeldeten Gesamtzahl der abgewehrten Bedrohungen im 1. Quartal 2015 als beliebtester Infektionsweg zur Trend Micro-Erkennungsrate: Zahl der pro Sekunde abgewehrten Bedrohungen im 1. Quartal 2015 2.000/Sek. 6 Mrd. 1.931 5,2 Mrd. 5 Mrd. 3,9 Mrd. 3 Mrd. 1.858 1.595 1.000/Sek. 0 0 JAN. FEB. MRZ. Im vergangenen Quartal haben wir pro Monat durchschnittlich 4,7 Milliarden Bedrohungen abgewehrt. Dies ist ein Anstieg um 1,5 Milliarden im Vergleich zur Zahl der Bedrohungen im letzten Quartal 2014. JAN. FEB. MRZ. Wir wehrten im vergangenen Quartal durchschnittlich 1.800 Bedrohungen pro Sekunde ab. Dies entspricht einem Anstieg um 600 Bedrohungen pro Sekunde. Im vorherigen Quartal betrug die Zahl der Bedrohungen lediglich 1.200 pro Sekunde. 36 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Zahl der als Spam abgewehrten E-Mail-Reputationsabfragen im 1. Quartal 2015 Zahl der abgewehrten Anwenderbesuche auf bösartigen Websites im 1. Quartal 2015 350 Mio. 5 Mrd. 4,6 Mrd. 315 Mio. 4,1 Mrd. 236 Mio. 3,3 Mrd. 2,5 Mrd. 252 Mio. 175 Mio. 0 0 JAN. FEB. JAN. MRZ. Wir verhinderten, dass insgesamt 12 Milliarden E-Mails, die von Spam versendenden IP-Adressen stammten, den Posteingang von Anwendern erreichten. FEB. MRZ. Im vergangenen Quartal riefen Anwender über 800 Millionen bösartige Websites auf. Dabei wurden in jedem Folgemonat höhere Zahlen verzeichnet. Zahl der abgewehrten bösartigen Dateien im 1. Quartal 2015 600 Mio. 522 Mio. 300 Mio. 361 Mio. 351 Mio. JAN. FEB. 0 MRZ. Im letzten Quartal verhinderten wir die Infektion von Geräten durch mehr als eine Milliarde bösartige Dateien. Im Vergleich zum Februar hat sich die Anzahl der Malware-Angriffe im März verdoppelt. 37 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die KRYPTIK-Familie haupt sächlich von Privatanwender Trojanern, betraf, die nahm Ein Großteil der Domains, die wir im vergangenen Quartal für den Anwenderzugriff gesperrt im vergangenen Quartal ihren Platz unter den haben, war mit Adware verbunden. Dies steht gängigsten Diese möglicherweise im Zusammenhang mit dem Trojaner, die Anwender in der Vergangenheit durch sprunghaften Anstieg von Malvertising-Angriffen. angezeigte einschüchterten, Adware führt im Übrigen auch die Liste der versuchen weitere bösartige Dateien auf bereits häufigsten Bedrohungen für mobile Geräte an. infizierte Computer herunterzuladen. Dennoch Insgesamt haben wir bisher über 5 Millionen behaupteten Bedrohungen gegen Android-Geräte verzeichnet Malware-Programmen Warnmeldungen SALITY und ein. DOWNAD Führungspositionen. ihre und damit die für 2015 prognostizierte Gesamtzahl von 8 Millionen schon fast erreicht. Die gängigsten bösartigen Domains, die im 1. Quartal 2015 gesperrt wurden Domain Grund für Sperrung files-download-131.com Lädt potenziell unerwünschte Dateien (Potentially Unwanted Files, PUAs) herunter38 enhizlitakip.com Steht mit einem türkischen Betrug zu Twitter-Followern in Verbindung cnfg.toolbarservices.com Steht mit Adware in Verbindung, die sich als Browser symbolleiste ausgibt s.trk-u.com Steht mit Adware in Verbindung, die sich als Browser symbolleiste ausgibt s.ad120m.com Website, mit der eine TROJ_GEN-Variante kommuniziert sso.anbtr.com Website, mit der PE_SALITY.RL kommuniziert f0fff0.com Öffnet Popup-Seiten, die Adware herunterladen fa8072.com Öffnet Popup-Seiten, die Adware herunterladen creative.ad120m.com Website, mit der eine TROJ_GEN-Variante kommuniziert lovek.info Steht mit Klickbetrug in Verbindung Die meisten bösartigen Domains, die wir im vergangenen Quartal für den Anwenderzugriff gesperrt haben, standen mit Adware und anderen betrügerischen Machenschaften in Verbindung. 38 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die Länder, die im 1. Quartal 2015 die höchste Zahl bösartiger URLs hosteten USA 29 % Niederlande 7% China 6% Russland 3% Costa Rica 2% Deutschland 1% Vereinigtes Königreich 1 % Portugal 1% Japan 1% Südkorea 1% Sonstige 48 % Die USA führen weiterhin die Liste von Ländern an, die bösartige URLs hosten. Frankreich und Ungarn wurden aus der Liste durch Costa Rica und Portugal verdrängt. Die Länder, die die höchste Zahl von Anwendern meldeten, die im 1. Quartal 2015 auf bösartige URLs geklickt haben USA Japan Australien Taiwan Indien China Frankreich Deutschland Kanada Italien Sonstige 33 24 5 4 3 3 3 2 2 2 19 % % % % % % % % % % % Die USA führen nicht nur weiterhin die Liste der Länder an, die bösartige URLs hosten, sondern verzeichneten auch die höchste Zahl von Anwendern, die auf bösartige Links klickten. 39 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Spam-Sprachen im 1. Quartal 2015 Englisch Chinesisch Deutsch Japanisch Russisch Portugiesisch Spanisch Polnisch Französisch Italienisch Sonstige 84,49 1,86 1,27 1,15 0,70 0,61 0,54 0,43 0,38 0,09 8,48 % % % % % % % % % % % Englisch ist auch weiterhin die in Spam-E-Mails am häufigsten verwendete Sprache. Die häufigsten Ursprungsländer von Spam im 1. Quartal 2015 USA Russland China Japan Vietnam Italien Spanien Argentinien Iran Deutschland Sonstige 16 5 5 5 5 4 4 4 3 3 46 % % % % % % % % % % % Da die meisten Spam-E-Mails auf Englisch verfasst werden, überrascht es nicht, dass die USA auch die Liste der Länder anführen, die Spam-E-Mails versenden. Der Iran nahm den Platz der Ukraine ein. 40 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Malware-Familien im 1. Quartal 2015 Malware-Name Aufkommen SALITY 86.000 DOWNAD 83.000 KRYPTIK 71.000 BROWSEVIEW 69.000 GAMARUE 65.000 DUNIHI 49.000 VIRUX 42.000 UPATRE 41.000 FORUCON 39.000 RAMNIT 29.000 Die gängigsten Malware-Familien nach Segment im 1. Quartal 2015 Segment Großunternehmen Kleine und mittelständische Unternehmen Privatanwender Malware-Name Aufkommen DOWNAD 62.000 SALITY 35.000 DUNIHI 29.000 DOWNAD 12.000 DLOADR 11.000 UPATRE 10.000 KRYPTIK 61.000 GAMARUE 38.000 SALITY 36.000 Obwohl sich KRYPTIK im vergangenen Quartal zu einer der führenden Malware-Programme entwickelt hat, konnte es die beiden Spitzenreiter, SALITY und DOWNAD, nicht von Platz 1 und 2 verdrängen. 41 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Adware-Familien im 1. Quartal 2015 Malware-Name Aufkommen OPENCANDY 454.000 DEALPLY 224.000 MYPCBACKUP 183.000 MYPCBaACKUP 142.000 PULSOFT 122.000 TOMOS 113.000 MULTIPLUG 109.000 INSTALLCORE 102.000 ELEX 90.000 SPROTECT 67.000 Die gängigsten Adware-Familien nach Segment im 1. Quartal 2015 Segment Großunternehmen Kleine und mittelständische Unternehmen Privatanwender Malware-Name Aufkommen OPENCANDY 68.000 DEALPLY 46.000 TOMOS 18.000 OPENCANDY 29.000 DEALPLY 23.000 MYPCBACKUP 8.000 OPENCANDY 346.000 MYPCBACKUP 156.000 DEALPLY 135.000 Die gängige Adware OPENCANDY stand in der Liste der Verursacher von Geräteinfektionen in den verschiedensten Anwendersegmenten konsistent an erster Stelle. 42 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Android-Malware-Familien im 1. Quartal 2015 Danpay Inoco Youm Agent AdultPlayer Jxt Gexin Guidead AppInst FakeApp Sonstige 14 12 6 6 4 4 2 2 1 1 48 % % % % % % % % % % % Danpay galt im vergangenen Quartal als die berüchtigtste Familie von Android-Malware. Ihre Routinen umfassen den Zugriff auf C&C-Server, wo sie bösartige Befehle abwarten, während sie im Hintergrund weitere Apps auf bereits infizierte Geräte herunterladen. Die gängigsten Android-Adware-Familien im 1. Quartal 2015 AdLeak Igexin AdFeiwo Noiconads FeiwoDown Appquanta Arpush RevMob SnailCut GoYear Sonstige 8 7 6 5 5 4 4 4 3 3 51 % % % % % % % % % % % AdLeak, ein allgemeiner Malware-Name von Trend Micro für Apps, die die Privatsphäre von Anwendern bedrohen, führte im letzten Quartal die Liste mobiler Adware an. 43 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die gängigsten Arten von Bedrohungen für Android-Geräte im 1. Quartal 2015 50 % 48 % 25 % 18 % 14 % 14 % 4% 2% 0 ADWARE DATENDIEBSTAHL PAYWARE MISSBRAUCH BÖSARTIGE SONSTIGE VON BEZAHL- DOWNLOADER DIENSTEN Adware stellte auch weiterhin die gängigste Bedrohung für Android-Geräte dar. Payware bezieht sich auf PUAs, die Anwender dazu verleiten, betrügerische Gebühren oder Kosten zu zahlen. PUAs sind nicht von Natur aus schadhaft, verfügen jedoch unter Umständen über Funktionen, die die Datensicherheit von Anwendern oder ihr mobiles Erlebnis beeinträchtigen können. Anstieg von Android-Bedrohungen im 1. Quartal 2015 5,4 Mio. 6 Mio. 4,9 Mio. 3,8 Mio. 4,1 Mio. 4,3 Mio. 4,6 Mio. 3 Mio. 0 OKT. 2014 NOV. DEZ. JAN. 2015 FEB. MRZ. Bei einem Großteil der im vergangenen Quartal identifizierten Android-Bedrohungen handelte es sich um PUAs. 44 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die Länder mit der höchsten Zahl von C&C-Servern im 1. Quartal 2015 USA 29 % Ukraine 9% Deutschland 7% Russland 7% Frankreich 4% Vereinigtes Königreich 4 % Niederlande 4% China 3% Südkorea 3% Portugal 2% Sonstige 28 % C&C-Server fanden weite Verbreitung in Ländern wie den USA, der Ukraine und Deutschland. Angreifer müssen nicht unbedingt in diesen Ländern ansässig sein, um auf die C&C-Server zugreifen zu können, da diese remote verwaltet werden können. Die meisten Länder in dieser Liste sind auch in der Liste der Länder enthalten, die bösartige URLs hosten. Dies deutet möglicherweise auf einen Missbrauch von Hosting-Services und -Infrastrukturen in diesen Ländern hin. Die Länder mit der höchsten Zahl von C&C-Serververbindungen im 1. Quartal 2015 USA Japan Australien Taiwan Deutschland Indien Kanada Frankreich Malaysia Italien Sonstige 51 9 5 4 4 4 2 2 2 1 16 % % % % % % % % % % % Die USA meldeten die höchste Zahl von C&C-Serververbindungen. Zufällig führten sie außerdem die Liste der Länder mit den meisten Anwenderklicks auf bösartige URLs an. Dies könnte bedeuten, dass die meisten gemeldeten Zugriffsversuche auf Botnetz-Operationen zurückzuführen sind. 45 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Die Malware-Familien mit der höchsten Zahl an verbundenen C&C-Servern im 1. Quartal 2015 1.500 1.316 750 745 385 379 TROJAN GOZEUS 348 0 CRILOCK DUNIHI ZEUS Varianten der Ransomware CRILOCK waren im vergangenen Quartal für die höchste Zahl von Zugriffen auf C&C-Server verantwortlich. Die Malware-Familien mit der höchsten Zahl von Opfern im 1. Quartal 2015 350.000 349.000 379 175.000 36.000 31.000 PUSHDO/ WIGON CLACK 18.000 0 POWELIKS BADUR POWELIKS verzeichnete im vergangenen Quartal die höchste Zahl von Opfern. Dies ist möglicherweise auf ihren Tarnmechanismus zurückzuführen, durch den diese Malware in infizierten Systemen unerkannt bleibt. 46 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 Literaturhinweise 1. U.S. Senate Committee on Homeland Security & Governmental Affairs. (14. Mai 2014). U.S. Senate Committee on Homeland Security & Governmental Affairs. „Permanent Subcommittee on Investigations Releases Report: ‚Online Advertising and Hidden Hazards to Consumer Security and Data Privacy.‘“ Letzter Zugriff am 7. Mai 2015, http://www.hsgac.senate.gov/media/permanentsubcommittee-on-investigations-releases-report-online-advertising-and-hidden-hazards-to-consumer-security-and-data-privacy. 2. Brooks Li und Joseph C. Chen. (16. März 2015). TrendLabs Security Intelligence Blog. „Exploit Kits and Malvertsing: A Troublesome Combination.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/exploit-kits-and-malvertising-atroublesome-combination/. 3. Peter Pi. (2. Februar 2015). TrendLabs Security Intelligence Blog. „Trend Micro Discovers New Adobe Flash Zero-Day Exploit Used in Malvertisements.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/trend-microdiscovers-new-adobe-flash-zero-day-exploit-used-in-malvertisements/. 4. Alvin Bacani. (5. Februar 2015). TrendLabs Security Intelligence Blog. „BEDEP Malware Tied to Adobe Zero Days.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/bedep-malware-tied-to-adobe-zero-days/. 5. Trend Micro Incorporated. (20. Februar 2015). TrendLabs Security Intelligence Blog. „Superfish Adware in Lenovo Consumer Laptops Violates SSL, Affects Companies via BYOD.“ Letzter Zugriff am 16. April 2015, http://www.trendmicro.com/vinfo/us/security/ news/cybercrime-and-digital-threats/superfish-adware-in-lenovo-consumer-laptops-violates-ssl. 6. Lenovo. (19. Februar 2015). Lenovo. „Lenovo Statement on Superfish.“ Letzter Zugriff am 16. April 2015, http://news.lenovo.com/ article_display.cfm?article_id=1929. 7. Vangie Beal. (2015). Webopedia. „Bloatware.“ Letzter Zugriff am 20. April 2015, http://www.webopedia.com/TERM/B/bloatware.html. 8. Seven Shen. (2. April 2015). TrendLabs Security Intelligence Blog. „The Fine Line Between Ad and Adware: A Closer Look at the MDash SDK.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-fine-line-between-ad-andadware-a-closer-look-at-the-mdash-sdk/. 9. Trend Micro Incorporated. (13. Februar 2013). TrendLabs Security Intelligence Blog. „Key Figure in Police Ransomware Activity Nabbed.“ Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/key-figure-in-police-ransomwareactivity-nabbed-2/. 10. David John Agni. (2015). Bedrohungsenzyklopädie. „TROJ_CRYPFORT.A.“ Letzter Zugriff am 16. April 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPFORT.A. 11. Francis Xavier Antazo. (2015). Bedrohungsenzyklopädie. „PHP_CRYPWEB.A.“ Letzter Zugriff am 16. April 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/PHP_CRYPWEB.A. 12. Anthony Joe Melgarejo. (1. April 2015). TrendLabs Security Intelligence Blog. „Crypto-Ransomware Sightings and Trends for 1Q 2015“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/crypto-ransomware-sightings-andtrends-for-1q-2015/. 13. David John Agni. (2015). Bedrohungsenzyklopädie. „TROJ_CRYPTESLA.A.“ Letzter Zugriff am 16. April 2015, http://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/TROJ_CRYPTESLA.A. 14. Shirley Siluk. (13. April 2015). CIO Today. „Ransomware Hackers Hitting Police Departments.“ Letzter Zugriff am 16. April 2015, http://www.cio-today.com/article/index.php?story_id=033001297WKR. 15. Maydalene Salvador. (24. März 2015). TrendLabs Security Intelligence Blog. „Makro-Based Malware Increases Along with Spam Volume, Now Drops BARTALEX.“ Letzter Zugriff am 16. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/macrobased-malware-increases-along-with-spam-volume-now-drops-bartalex/. 16. Trend Micro Incorporated. (16. Februar 2015). TrendLabs Security Intelligence Blog. „Banking Malware VAWTRAK Now Uses Malicious Macros, Abuses Windows PowerShell.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-securityintelligence/banking-malware-vawtrak-now-uses-malicious-macros-abuses-windows-powershell/. 17. Rhena Inocencio. (5. November 2014). TrendLabs Security Intelligence Blog. „Banking Trojan DRIDEX Uses Macros for Infection.“ Letzter Zugriff am 6. Mai 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/banking-trojan-dridex-uses-macros-for-infection/. 47 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 18. Joie Salvio. (19. November 2014). TrendLabs Security Intelligence Blog. „ROVNIX Infects Systems with Password-Protected Macros.“ Letzter Zugriff am 6. Mai 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/rovnix-infects-systems-with-passwordprotected-macros/. 19. Trend Micro Incorporated. (4. März 2015). TrendLabs Security Intelligence Blog. „FREAK Vulnerability Forces Weaker Encryption.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freak-vulnerability-forces-weaker-encryption/. 20. Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Markulf Kohlweiss, Alfredo Pironti, Pierre-Yves Strub, Santiago Zanella-Béguelin, Jean-Karim Zinzindohoué und Benjamin Beurdouche. (2015). MiTLS. „SMACK: State Machine AttaCKs.“ Letzter Zugriff am 17. April 2015, https://www.smacktls.com/#freak. 21. Tracking the FREAK Attack.“ (2015). Letzter Zugriff am 30. April 2015, https://freakattack.com/. 22. Pawan Kinger. (28. Januar 2015). TrendLabs Security Intelligence Blog. „Not So Spooky: Linux ‘GHOST’ Vulnerability.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/not-so-spooky-linux-ghost-vulnerability/. 23. Trend Micro Incorporated. (20. März 2015). Trend Micro Security News. „Premera Blue Cross Admits to Data Breach, Exposes Records of 11 Million Patients.“ Letzter Zugriff am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/ premera-blue-cross-data-breach-exposes-11m-patient-records. 24. Christopher Budd. (5. Februar 2015). Trend Micro Simply Security. „The Anthem Data Breach: What You Need to Know.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/what-you-need-to-know-about-the-anthem-hack/. 25. Jack Clark. (15. Juni 2011). ZDNet. „NHS Laptop Loss Could Put Millions of Records at Risk.“ Letzter Zugriff am 30. April 2015, http://www.zdnet.com/article/nhs-laptop-loss-could-put-millions-of-records-at-risk/. 26. Trend Micro Incorporated. (10. Februar 2015). Trend Micro Security News. „Millions Affected in Anthem Breach, Healthcare Companies Prime Attack Targets.“ Letzter Zugriff am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/ millions-affected-in-anthem-breach-healthcare-companies-prime-attack-targets. 27. Miriam Quick, Ella Hollowood, Christian Miles und Dan Hampson. (30. März 2015). Information Is Beautiful. „World’s Biggest Data Breaches.“ Letzter Zugriff am 23. April 2015, http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breacheshacks/. 28. Identity Theft Resource Center. (2015). ITRC. „2008 Data Breaches.“ Letzter Zugriff am 23. April 2015, http://www.idtheftcenter.org/ ITRC-Surveys-Studies/2008-data-breaches.html. 29. Jay Yaneza. (3. März 2015). TrendLabs Security Intelligence Blog. „PwnPOS: Old Undetected PoS Malware Still Causing Havoc.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pwnpos-old-undetected-pos-malware-stillcausing-havoc/. 30. Rhena Inocencio. (29. August 2014). TrendLabs Security Intelligence Blog. „New BlackPOS Malware Emerges in the Wild, Targets Retail Accounts.“ Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/new-blackpos-malwareemerges-in-the-wild-targets-retail-accounts/. 31. American Consumer Credit Counseling. (2015). ConsumerCredit.com. „Infographic: Cash Vs. Card.“ Letzter Zugriff am 23. April 2015, http://www.consumercredit.com/financial-education/infographics/infographic-cash-vs-card.aspx. 32. Trend Micro Incorporated. (2014). Trend Micro Sicherheitsinformationen. „Cyberangriffe auf unerwartete Ziele: Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2014.“ Letzter Zugriff am 23. April 2015, http://www.trendmicro.de/media/misc/ cybercrime-hits-the-unexpected-de.pdf. 33. Lambert Sun, Brooks Hong und Feike Hacquebord. (4. Februar 2015). TrendLabs Security Intelligence Blog. „Pawn Storm Update: iOS Espionage App Found.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-stormupdate-ios-espionage-app-found/. 34. Cedric Pernet. (18. März 2015). TrendLabs Security Intelligence Blog. „Operation Woolen-Goldfish: When Kittens Go Phishing.“ Letzter Zugriff am 17. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/operation-woolen-goldfish-when-kittens-gophishing/. 48 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken TREND MICRO | Bericht von TrendLabs zur Sicherheitslage im 1. Quartal 2015 35. Trend Micro Incorporated. (27. Februar 2015). Trend Micro Security News. „Pawn Storm in iOS Apps and Other Cases of Mobile Links in Targeted Attacks.“ Letzter Zugriff am 23. April 2015, http://www.trendmicro.com/vinfo/us/security/news/mobile-safety/pawnstorm-in-ios-apps-and-other-cases-of-mobile-links-in-targeted-attacks. 36. Trend Micro Incorporated. (16. März 2015). Trend Micro Security News. „Exploit Kits: Past, Present and Future.“ Letzter Zugriff am 17. April 2015, http://www.trendmicro.com/vinfo/us/security/news/vulnerabilities-and-exploits/exploit-kits-past-present-and-future. 37. Peter Pi. (20. März 2015). TrendLabs Security Intelligence Blog. „Freshly Patched Adobe Exploit Added to Nuclear Exploit Kit.“ Letzter Zugriff am 23. April 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/freshly-patched-flash-exploit-added-to-nuclearexploit-kit/. 38. Trend Micro Incorporated. (2015). Bedrohungsenzyklopädie. „Potentially Unwanted Application.“ Letzter Zugriff am 30. April 2015, http://www.trendmicro.com/vinfo/us/security/definition/potentially-unwanted-app. 49 | Bösartige Werbeanzeigen und Zero-Day-Angriffe: Das Comeback alter Bedrohungen bringt das Vertrauen in Lieferketten und Best Practices aufs Neue ins Wanken Verfasst von: Zentrum für globalen technischen Support und F&E von TREND MICRO TREND MICRO TM Trend Micro, einer der international führenden Anbieter für CloudSicherheit, ermöglicht Unternehmen und Anwendern den sicheren Austausch digitaler Informationen. Als Pionier im Bereich Server sicherheitslösungen mit über 20 Jahren Erfahrung bieten wir client-, server- und cloudbasierte Sicherheitslösungen der Spitzenklasse, die die Anforderungen unserer Kunden und Partner erfüllen. Unsere Lösungen wehren Bedrohungen schneller ab und schützen Daten in physischen, virtualisierten und cloudbasierten Umgebungen. Unterstützt von der Infrastruktur des Trend Micro™ Smart Protection Network™ – unserer branchenführenden, webbasierten Sicherheitstechnologie – und von über 1.000 Bedrohungsexperten weltweit stoppen unsere Produkte und Services Bedrohungen dort, wo sie entstehen: im Internet. Weitere Informationen erhalten Sie unter www.trendmicro.com ©2015 Trend Micro, Incorporated. Alle Rechte vorbehalten. Trend Micro und das Trend Micro T-Ball-Logo sind Marken oder eingetragene Marken von Trend Micro Incorporated. Alle anderen Firmen- oder Produktnamen sind Marken oder eingetragene Marken ihrer jeweiligen Eigentümer.
© Copyright 2025 ExpyDoc