Eine neue Welle von Erpressungsviren im beliebtesten sozialen Netzwerk in Russland, Vkontakte, nutzt Browserschwachstellen sowie typische Social Engineering Methoden, um sich selbst zu verbreiten.

Als „Köder“ werden dem Benutzer bessere Bewertungen im sozialen Netzwerk oder ein bestimmter Geldbetrag der netzwerkinternen Währung versprochen.

Der Benutzer wird auf eine Phishing-Website umgeleitet, die die Oberfläche des sozialen Netzwerks nachahmt und darum bittet, das Passwort einzugeben. Das Passwort wird dann gestohlen und dazu verwendet, diese Angebot an die Freunde des Benutzer zu versenden, während der Benutzer eine ausführbare Datei erhält, die den Inhalt der Hostdatei des Betriebssystems kopiert.

Wenn der Benutzer dann versucht, sich bei einem der beliebten sozialen Netzwerke (Vkontakte, Odnoklassniki, Mail.ru) anzumelden, landet er auf der Website des Betrügers, die ihn auffordert, eine kostenpflichtige SMS-nachricht zu versenden.

Der einfachste Weg, eine solche Infektion zu entfernen, besteht darin, den Inhalt der Datei C:\WINDOWS\system32\drivers\etc\hosts manuell zu säubern und die Computerlaufwerke mit einem hochwertigen Antivirenprogramm zu überprüfen.

Antiviren-Firmen haben kürzlich einen Virus entdeckt, der auf die Infektion der QIWI Zahlungssystem-terminals abzielte. Eine Analyse des Virencodes zeigte, dass er dazu bestimmt war, in das Betriebssystem des Terminals (Windows) einzudringen und die Kontonummer, an die das Geld überwiesen wird, zu ändern.

Der Virus erhielt den Namen Trojan.PWS.OSMP.

Er wurde nicht in den Terminals selbst entdeckt, aber offen im Internet (nur die besitzer hatten Zugriff auf die Terminals), sodass es unmöglich ist, den Gefahrlevel, den er darstellt, zu beschreiben. Es klann nur bestätigt werden, dass der Virus existiert und er die Terminals nur manuell durch physischen Zugang zum Gerät infizieren kann.

Kurz darauf wurde eine Modifizierung des Virus entdeckt, die ebenfalls auf die Zahlungsterminals abzielte. Sie funktioniert aber anders. Sie versucht, die Kofigurationsdateien des Terminals zu stehlen, die theoretisch kriminellen die Möglichkeit eröffnet Geld abzuheben, indem das Terminal auf ihrem eigenen Computer imitiert wird.

Das Unternehmen, das QIWI betreibt, gab bekannt, dass dies bereits die 20. Version dieses Virus und nichts wirklich Neues sei. Der Virus wurde entdeckt und vom internen Antivirensystem der Terminals am 20. Februar neutralisiert. Nun stellt er überhaupt keine Gefahr mehr dar.

Vertreter des Bezahlsystems erkläreten, dass ihre Terminals ein effektives Multilevel-Verteidigungssystem nutzen, das Viren stoppt und somit ernsthafte Schäden vermeidet. Jedes Konto, auf das von verschiedenen Quellen aus überwiesen wirdm wird vom Spezialisten überprüft und kann blockiert werden. Zusätzlich erlaubt das Verteidigungssystem der Terminals niemand, ihr Signal zu imitieren, selbst die Konfigurationsdateien und die Verschlüssung erbeutet würden.

Laut einer Pressemitteilung  Deutschlands Innenminister Thomas de Maizieres soll in der ersten Hälfte dieses Jahres ein neues Organ zum Schutz der Internet-Ressourcen – das Nationale Cyber-Abwehrzehntrum – geschaffen werden.

Dieses Zentrum soll dem Bundesamt für Sicherheit in der Informationstechnik (BSI) untergeordnet sein, das sich mit ähnlichen Aufgaben bereits beschäftigt hat.

Zum ersten Mal wurde dieses Projekt im Sommer 2010 nach der Entdeckung des Stuxnet-Virus erwähnt. Deutschland wurde damals von der Virusattacke auf den Iran zwar nicht direkt betroffen, aber es war genug, damit die Behörden die Verwundbarkeit der IT-Infrastruktur des Landes einsehen konnten, die auf solche  Bedrohungen gar nicht vorbereitet war.

Es wird vorgeschlagen, dass das neue Nationale Cyber-Abwehrzentrum mit den Befugnissen der Polizei und der Geheimdienste ausgestattet wird, damit es möglicht effizient den Hackerangriffen widerstehen könnte. Man muss auch sagen, dass solche Befugnisse bereits für zahlreiche politische Debatten gesorgt haben. Die Vertreter der Freien Demokratischen Partei behaupten, dass die Schaffung einer solchen Behörde mit so weiten Befugnissen gegen das Gesetz verstöße.

Der Januar ist die Zeit, wo man auf das vorherige Jahr zurückblicken und die Voraussagen der Experten über das kommende Jahr eingehender analysieren kann. Die Branche der Informationssicherheit bildet dabei keine Ausnahme.

Die finnische Firma Stonesoft (Helsinki) – eine große Entwicklerfirma, die schon seit langem auf dem Gebiet  der Informationssicherheit tätig ist, hat die Informationen über mehrere vergangene Jahre analysiert und auf Grund dieser Analyse einen Bericht über die möglichen bevorstehenden Risiken erstellt.

Stonesoft-Experten, die auf 20 Jahre Erfahrung in Fragen Informationssicherheit zurückschauen können, haben eine Liste der wahrscheinlichsten Tendenzen für dieses Jahr zusammengestellt:

• Es werden Viren für das Betriebssystem Apple erwartet.
• Die Zahl der Angriffe auf soziale Netzwerke inklusive der Versuche, Benutzerkonten zu knacken, wird ansteigen.
• Es werden “Informationskriege” erwartet, bei denen Regierungsbehörden aus politischen oder auch finanziellen Gründen angegriffen werden.
• Die Zahl der Angriffe auf Firmen zwecks Schaffung finanzieller Vorteile einschließlich der sozialen Manipulation wird zunehmen.
• Es besteht die Möglichkeit, dass die Anzahl der Stuxnet-ähnlichen Attacken auf wichtige Websites ansteigen wird.
• Handys und Smartphones können zu einer möglichen Zielscheibe der Angriffe werden.
• Die Viren sollen komplexer werden, was die Algorithmen zum Auffinden der Schwachstellen von Systemen und deren Benutzung angeht,  außerdem sollen sie eine neue Aufgabe verfolgen, “um jeden Preis alles zu infizieren “.
• Die Entwickler von Sicherheitssystemen werden enger miteinander zusammenarbeiten müssen,  um bessere Verfahren zur Verhinderung von Attacken zu finden, die die neulich entdeckten AET-Mechanismen verwenden.

Joona Airamo, Stonesofts Geschäftsführer für Informationssicherheit, glaubt, dass die wichtigsten Bedrohungen für das Jahr 2011 logische Fortsetzungen der Hauptgefahren aus dem Jahr 2010 sein werden. Dies wären das intellektuelle Wurmprogramm Stuxnet, die fortgeschrittenen Umgehungsverfahren (Advanced Evasion Techniques – AET) und wie gewöhnlich die soziale Manipulation.

2010 war das Jahr, in dem die Zahl der Fälle von Online-Betrug rapid gestiegen ist. Millionen Computer wurden infiziert, Dutzende neue Betrugsschemata wurden zum ersten Mal verwendet und Millionen Dollar wurden gestohlen.

Die einzige Betrugsaktivität, die in jenem Jahr nachgelassen hat, waren die Spammer-Attacken: nachdem mehrere große Botnetze abgeschaltet wurden, ist der gesamte Spam-Traffic um ungefähr 10% gesunken.
Das vorige Jahr hat auch einen ganz neuen Begriff für die Informationssicherheit gebracht und diesen auch gleich in der Tat gezeigt – die Cyberwars. Im Jahr 2010 haben die wichtigsten Regierungsbehörden zweimal die Folgen schwieriger und äußerst komplizierter Großangriffe spüren müssen: der eine war das Wurmprogramm Stuxnet, dessen Zielscheibe ein Atomkraftwerk im Iran war, der zweite Angriff war die so genannte “Operation Aurora”, deren Autoren vertrauliche Daten aus Datenbanken großer internationaler Unternehmen stehlen konnten.

In den meisten Fällen wurden Benutzercomputer auf eine der folgenden Weisen infiziert:

• Über soziale Netzwerke
• Über Phishing-Websites
• Über Zero-Day-Exploits

Lasst uns die Top 10 der populärsten Betrugsverfahren (nach Angaben der Antivirus-Firmen), die im vergangenen Jahr im Online-Verkehr benutzt wurden, eingehender analysieren:

1. Viren zum Stehlen von Kontodaten in Onlinebanking-Systemen.

Heutzutage bieten fast alle Banken Onlinebanking-Dienste an, welche auch immer mehr Zuspruch unter den Bankkunden finden. Darum sind die Autorisierungsdetails der Benutzer ein lohnendes Ziel für alle Arten von Hackern und Virus-Autoren. Bis jetzt haben sie sich überwiegend auf individuelle Ziele, nun werden aber Geschäftsorganisationen immer mehr bedroht, da ihre Konten in der Regel viel mehr Daten enthalten. More »

Entensys und Commtouch haben einen detaillierten Bericht zu den ernsthaftesten Bedrohungen im 3. Quartal 2010 veröffentlicht.

Entensys ist ein Unternehmen, welches sich auf die Entwicklung von Produkten für Überwachung von Datenübertragungen und für den Internetzugang spezialisiert hat. Bekannt ist Entensys vor allem für sein Vorzeigeprojekt UserGate.

Commtouch (Israel) befasst sich hauptsächlich mit aufkommenden Spam-Aktivitäten und der Entwicklung von Anti-Spam-Lösungen.

Anhand des Berichts lassen sich folgende Trends feststellen:

• Anwender erhalten neben regulären Spam-Nachrichten, die Links zu Malware enthalten, auch Nachrichten mit infizierten Anhängen.
• Spammer verwenden inzwischen falsche Einladungen und Benachrichtigungen aus sozialen Netzwerken (LinkedIn usw.), um Links zu Malware und illegalen Medikamentenhändlern zu verbreiten.
• Die Unternehmen haben herausgefunden, dass einige Arten von Malware jetzt mithilfe eines neuen, komplexen mehrstufigen Infektionsschemas verbreitet werden.
• Unter dem Deckmantel eines südafrikanischen Teleskop-Shops findet PayPal-Betrug statt.
• E-Mails mit Links zu illegalen Medikamentenhändlern tarnen sich immer häufiger als Unterstützungsbriefe diverser Politiker.

Lesen Sie den gesamten Bericht auf der Entensys Webseite.

Der Microsoft-Konzern hat eine Studie veröffentlicht, die belegt, dass in der ersten Hälfte dieses Jahres über 2 Millionen Computer in den USA ohne Mitwissen der Besitzer zu Teilen von Botnets geworden sind. Botnets sind dezentralisierte Hacker-Netzwerke, die für DDoS-Attacken, zum Ausspionieren von Passwörtern und Verschicken von SPAM und Malware verwendet werden.

Die Zahl infizierter Rechner basiert auf Daten aus 88 Staaten. Den ersten Platz belegen die USA mit insgesamt 2,2 Millionen infizierten Privatrechnern. Auf Platz zwei ist Brasilien mit 550 Tausend infizierten Computern. In Russland sind 4,3 von 1000 PCs betroffen, was knapp über dem globalen Durchschnitt von 3,2 liegt.

Dabei ist eine einzige Malware namens Win32/Rimecud für 37% der infizierten russischen Rechner verantwortlich.

Infolge der Untersuchung konnten über 6,5 Millionen Privatrechner von Malware befreit werden. Darüber hinaus wurde eines der größten Botnets, Waledac, zerstört.

Britische und US-Behörden melden die Verhaftung einer kriminellen Vereinigung, der schwerer Betrug vorgeworfen wird. Es wird vermutet, dass die Kriminellen mithilfe von Viren, die Benutzerdaten sammeln, mehr als 10 Millionen US-Dollar von Bankkonten abziehen konnten.

Die Straftaten wurden mithilfe eines ZeuS-Botnet Management-Tools begangen, welches unter Cyber-Betrügern recht verbreitet ist. Darüber hinaus wurde ein Zbot Phishing-Trojaner verwendet, der Passwörter zu Bankkonten sowie diverse persönliche Daten ausspioniert hat.

Die gestohlenen Daten wurden dazu verwendet, um Geldsummen von den Konten der Phishing-Opfer auf die Konten der Straftäter zu überweisen; anschließend konnte das Geld von sogenannten «Mules» oder «Drops» abgehoben werden. Diese «Mules» bilden die Mehrheit der verhafteten Personen; allerdings konnte auch der Anführer der kriminellen Vereinigung gefasst werden. Insgesamt wurden 20 Personen festgenommen, nach 17 weiteren wird derzeit noch gefahndet, und mehr als 100 stehen auf der Liste der Verdächtigen.

Die meisten Verdächtigen stammen aus Russland und der ehemaligen Sowjetunion. Das FBI hat das Generalkonsulat der Russischen Föderation in New York jedoch darüber in Kenntnis gesetzt, dass bisher nur vier russische Staatsangehörige gefasst wurden. Es besteht die Möglichkeit, dass die restlichen Kriminellen trotz russischer Namen die russische Staatsangehörigkeit nicht besitzen oder gefälschte Dokumente verwenden.

Symantec hat Ubiquity veröffentlicht — eine brandneue Technologie gegen neue Malware-Bedrohungen.

Traditionelle Herangehensweisen an das Erkennen von Gefahren (semantische Analysen und Abgleichen von Virus-Signaturen) haben sich als unwirksam gegen sich wandelnde polymorphe oder weniger verbreitete Viren erwiesen. Solche Viren stellen ein beachtliches Sicherheitsrisiko dar: 2009 hat Symantec mehr als 240 Millionen einzelne Exemplare von Malware entdeckt, von denen viele in Form einer einzigen Kopie vorlagen.

Die neue Technologie versucht, mit modernen Algorithmen zwei Probleme auf einmal zu lösen: die Unfähigkeit, die oben beschriebenen Gefahren wirksam zu bekämpfen, sowie die niedrige Scanleistung. Den Kern dieser neuen Lösung bildet das Global Intelligence Network (GIN), welches Daten über alle Anwendungen sammelt, die von Benutzern der Ubiquity-Technologie gestartet werden. Basierend auf diesen Daten erstellt das System Softwarebewertungen – eine WhiteList für vertrauenswürdige und eine BlackList für verdächtige Software. Inzwischen umfasst das System Bewertungen von über 1,5 Mrd. Dateien, wobei diese Zahl um 22 Millionen pro Woche steigt. Laut Symantec bietet diese Lösung eine schnellere Scanleistung als andere Antivirenprogramme, da in GIN als vertrauenswürdig eingetragene Dateien von der Überprüfung ausgeschlossen werden.

Symantec forscht seit über zwei Jahren an Cloud Computing-Dienstleistungen, und die Technologie von Ubiquity wird mit großer Wahrscheinlichkeit entscheidend dazu beitragen, dass die vor langer Zeit entwickelte Quorum-Technologie in Norton 2011 und in Hosted Endpoint Protection-Produkten integriert wird. Darüber hinaus ist geplant, Anwendungen mit dieser Technologie auszubauen, indem sie in Symantec Web Gateway und anderen Unternehmenslösungen von Symantec eingesetzt werden.
Es sei nebenbei erwähnt, dass in Kaspersky Software seit 2009 ein ähnliches Prinzip des Cloud Computing verwendet wird. Es nennt sich „Kaspersky Security Network“ und hat sich als wirksam erwiesen.