Die erste Jahreshälfte ist bereits geschafft. Das ist ein guter Zeitpunkt für ein kleines Resümee, inwieweit unsere vorhergesagten Trends 2017 aus dem „Security Held Ransom“ Bericht eingetreten sind. In dem Whitepaper diskutieren ESET-Forscher über zukünftige Aspekte von Cyber Security. Nun ist es an der Zeit, zu analysieren, wo wir stehen.

Gesundheitswesen – Ziel Nummer Eins

„Es waren arbeitsreiche – zeitweilig auch mühsame – Monate nach der Veröffentlichung des Trends 2017 Reports gegen Ende des letzten Jahres. Das gilt besonders für diejenigen aus der Informationstechnik für Gesundheitswesen“, sagt ESET Sicherheitsforscherin Lysa Myers.

Bereits im Oktober 2016 vollzogen die Mirai Botnet-Betreiber eine massive Distributed Denial of Service (DDoS-) Attacke. Dafür nutzten sie ungesicherte „Internet of Things“-Geräte. Einige Monate später wurde eine neue Ransomware-Familie namens WannaCryptor/WannaCry entdeckt. In schwindelerregender Geschwindigkeit verbreitete sich die Attacke über den ganzen Globus. Hier nutzten die Malware-Betreiber eine Lücke im Microsoft Windows Server Message Block (SMB) Protokoll aus.

„Krankenhäuser haben eine besonders schwierige Zeit mit Ransomware hinter sich. WannaCryptor traf sie völlig überraschend.“, erklärt Myers. Neben herkömmlichen Computern wurden in medizinischen Einrichtungen in den USA und in Großbritannien auch spezielle medizinische Geräte kompromittiert. Das beweist, dass sich der beunruhigende Ransomware-Trend fortsetzt. Die Industrie produziert trotzdem immer mehr Geräte, die Features von IoT-Geräten aufweisen. Sicherheit und Privatsphäre spielen dabei leider nur eine untergeordnete Rolle.

Neue Gesetze müssen her!

Und da wir gerade das Thema Privatsphäre aufgegriffen haben, sollten wir diesbezüglich wieder in unseren Trends 2017 Report blicken: Es geht auch um die Entwicklung der Gesetzgebung, die definiert, wie das Vermögen eines Landes geschützt wird, und wie die Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor und auf internationaler Ebene gefördert wird.

Das beste Beispiel ist die neue, von der europäischen Kommission auf den Weg gebrachte, Datenschutz-Grundverordnung. Die Verordnung zielt darauf ab, den EU-Bürgern die Möglichkeit darüber zu geben, welche personenbezogenen Informationen von ihnen verarbeitet und genutzt werden. Sie soll das „Recht auf Vergessen“ genauso gewährleisten wie das Verneinen von Profiling und Datenweitergabe.

Sehr interessant ist die Tatsache, dass die Datenschutz-Grundverordnung nicht nur für Länder innerhalb der europäischen Union gilt, sondern für alle Unternehmen weltweit, die personenbezogene Daten von EU-Bürgern sammeln und verarbeiten. Im letzten Monat trat in China das neue umstrittene Cyber Security Sicherheitsgesetz in Kraft. Obwohl es der Regierung weitreichenden Zugriff auf kritische Infrastrukturen verschafft, schützt es Bürger gleichermaßen vor dem Sammeln und Verkaufen personenbezogener Informationen. Auch in China soll nun garantiert sein, das Löschen von persönliche Daten durchsetzen zu können.

Daran können wir erkennen, wie die Bemühungen um die Gesetzgebung von Nutzerrechten auf Privatsphäre weiterhin globalisiert werden.

Wie sieht es beim Thema Schwachstellen aus?

Bis einschließlich Mai 2017 wurden 255 Sicherheitslücken in der Android-Plattform entdeckt. Allein knapp die Hälfte der Lücken wurde im Jahr 2016 aufgedeckt. Das hat uns glauben lassen, dass für das Android-Betriebssystem in diesem Jahr mindestens genauso viele, wenn nicht sogar noch mehr, Schwachstellen wie in 2016 identifiziert werden.

Monatlich wurden etwa 300 neue Samples von Android-Malware entdeckt. Im Vergleich dazu betragen die Entdeckungen allein im Mai 2017 rund 26% aller Entdeckungen des Jahres 2016. Außerdem ist die Vielfältigkeit von Android Ransomware wie Lockerpin um 436,54% angestiegen. Android Ransomware ist hauptsächlich im asiatischen Raum zu finden. Nach wie vor taucht Android-Malware im Google Play Store auf. Das war zum Beispiel der Fall mit dem Bankentrojaner Android/Spy.Inazigram Spyware. Dieser stahl Instagram Anmeldeinformationen.

Für das Apple iOS-Betriebssystem sind 224 Sicherheitslücken bekannt geworden. Das sind bis jetzt 63 mehr als in 2016. Etwa 14% sind als kritisch einzustufen.

Verlassen wir die mobile Welt und widmen uns mehr oder weniger stationären Computersystemen. Die schlimmste Ransomware der letzten Zeit war eindeutig WannaCryptor/WannaCry. Die Malware kompromittierte mehr als 300.000 Computer in mindestens 150 Ländern. In gewisser Weise spiegelt WannaCryptor den Kanarienvogel im Untertagebau wieder. Metaphorisch steht die Malware für das Ausbeutungspotential neuer Bedrohungen. WannaCryptor war trotz der Tatsache, dass Microsoft für die Schwachstelle (MS17-010) bereits zwei Monate zuvor schon einen Patch bereitgestellt hatte, sehr „erfolgreich“.

Das Ausmaß von WannaCryptor wurde erst durch die User ermöglicht, welche die Sicherheitspatches nicht anwandten. Diese hätte sie vor EternalBlue- und dem DoublePulsar-Exploit bewahrt.

Angeblich entwickelte die NSA die beiden Exploits, welcheim April 2017 von der Shadow Brokers Gang geleakt wurden. Abgesehen davon werden die Exploits-Kits in der Zukunft wahrscheinlich auch in anderen Malware-Kampagnen zum Einsatz kommen.

ESETs LATAM Sicherheitsforscher Lucas Paus berichtet, dass die Shadow Brokers nun noch mehr 0days (Zero-Day-Exploit) veröffentlichen werden. Dabei beschränken sie sich nicht mehr nur auf Betriebssysteme, sondern haben auch Browser, Router und Smartphones im Visier.

Interessanterweise nutzt die Gang die vielen Kompromittierungen durch WannaCryptor dazu, ein kostenpflichtiges Abonnement einzuführen. Private Mitglieder erhalten zukünftig exklusiven Zugang zu neuesten Releases von Hacking-Tools.

Kritische Infrastrukturen

Wie zu erwarten, haben kritische Infrastrukturen ständig mit Cyber-Attacken zu kämpfen. Auch in 2017 gelangten einige Angriffe in die Schlagzeilen und beeinträchtigten das Leben einiger Menschen. In den letzten sechs Monaten haben sich kritische Infrastrukturen aber als einfache Angriffsziele herausgestellt, wobei grundlegende Schwachstellen ans Licht gekommen sind.

ESET-Forscher antizipierten es schon im ESET Trends Bericht 2017. Die Cyber-Kriminellen stellen die kritischen Infrastrukturen weiter auf die Probe, um bestmögliche Angriffsvektoren auszuspähen. Industroyer war beispielsweise die weltweit erste Malware, die ein Stromnetz (nämlich das der  Ukraine) kompromittieren konnte. Im Dezember 2016 gingen daraufhin die Lichter in der ukrainischen Hauptstadt Kiew aus. Diese Cyber-Attacke lenkte die Aufmerksamkeit auf das Potential von Malware, Elektrizitätssysteme (kritische Infrastruktur) erheblich beeinflussen zu können.

Durch seine gute Konstruktion und mit Hilfe der richtigen Kommunikationsprotokolle ist die Industroyer Malware in der Lage, direkt mit den industriellen Steuerungssystemen (Switches und Sicherungsschalter) zu kommunizieren. Die industriellen Kommunikationsprotokolle weisen erhebliche Schwachstellen auf, da sie vor Jahrzehnten entwickelt worden sind. Nun müssen die Nationalstaaten mit den Auswirkungen der Angriffe auf ihre kritischen Infrastrukturen zurechtkommen und schnellstmöglich Sicherheitslücken aufspüren und schließen. Es besteht kein Zweifel daran, dass Systeme, die weder aktualisiert noch gesichert werden, in potentieller Gefahr sind.

Obwohl die Industroyer-Attacke in ihrem Umfang der Auswirkungen doch recht beschränkt war, hat dieses „Spektakel“ einige Cyber Security Forscher auf den Plan gerufen. Der Vorfall in der Ukraine war ein Weckruf für alle Sicherheitsverantwortlichen in kritischen Infrastrukturen weltweit.

Allerdings umfassen kritische Infrastrukturen nicht nur physische Ziele wie Stromnetze. Im digitalen Zeitalter stellen kritische Strukturen auch System Engineering, Wertschöpfungsketten oder das Internet an sich dar.

Die jüngste Bedrohung durch die DiskCoder.C Malware (aka ExPetr, PetrWrap, Petya, oder NotPetya) verdeutlicht den Zusammenhang. Der DiskCoder-Angriff war als typischer Ransomware-Angriff getarnt, zielte aber darauf ab, ukrainische Unternehmen und die ganze Wirtschaft des Landes zu beeinträchtigen.

DiskCoder.C hat es sogar geschafft, weltweite Geschäftstätigkeiten einzuschränken. Betroffen waren vor allem mit ukrainischen Unternehmen verbundene Geschäftspartner. Bekannte multinationale Logistikunternehmen wie Maersk und TNT Express litten unter der Malware. Die zunächst lokale Attacke auf ukrainische Unternehmen breitete sich global aus und beeinträchtigte wie bereits erwähnt, große Schifffahrtsunternehmen. Port Terminals in Westeuropa und den USA blieben vorübergehend geschlossen.

Das bedeutet, dass auch das globale Transportgeschäft – welches eine Kernkomponente des Welthandels ist – nicht vor Malware gefeit ist und nun einen Warnschuss vor den Bug bekommen hat. Der DiskCoder.C-Angriff zeigt einmal mehr, in welchem Umfang Malware-Angriffe möglich sind und welche kritischen Auswirkungen sie anrichten. ESETs Vorhersagen im Trend 2017 Bericht haben sich als richtig herausgestellt.

Das ist ein Weckruf, der mehr Cyber-Sicherheit in der Supply Chain mit sich bringen muss. Dieses Gebiet wurde von Unternehmen zu lange unterschätzt. Sicherheitsexperten empfehlen schon länger, holistische Ansätze zu verwirklichen. Allerdings fokussieren sich die Unternehmen eher auf den Schutz der eigenen Werte. Die DiskCoder.C-Malware zeigt, inwieweit Kompromittierungen auch über den Geschäftspartner stattfinden können, wenngleich dieser das nie beabsichtigte.

„Die technische Raffinesse von Industroyer im Zusammenhang mit der jüngsten DiskCoder.C-Malware zeigen, wie stark sich Malware-Angriffe gegen hochrangige Ziele richten. Der Ausfall von kritischen Infrastrukturen beschränkt das gesellschaftliche und berufliche Leben in einem Nationalstaat. Solchen Bedrohungen kann nur vorgebeugt werden, indem man Ziele von besonderem Interesse besser verteidigt. Das bei kritischen Infrastrukturen genauso wie beim Datenaustausch unter Geschäftspartnern.“ kommentiert Robert Lipovský, ESET Senior Malware Researcher.

Währenddessen in der Antivirus-Industrie ...

Die sogenannten Legacy Solutions (engl.: legacy = Vermächtnis, Hinterbliebenschaft) – meinen alle Sicherheitslösungen mit langem Erfahrungshorizont – werden in den Medien und anderswo immer noch falsch interpretiert. Dagegen stellt sich Machine Learning als magischer Feenstaub dar, als einzigartiges Next Generation Produkt.

Allerdings argumentiert ESET Senior Research Fellow David Harley, dass die Next-Gen-Produkte unter realen Bedingungen – ohne Selbsttest mit fragwürdigen Malware-Samples – ihren Glanz schnell verlieren würden.

Nach Harley, befinden wir uns in einer Welt der „post-faktischen“ Produkttests, in der neuere Anbieter versuchen, Tests und Tester zu manipulieren.

Zusammengefasst können wir sehen, dass die Vorhersagen der ESET-Forscher in Wirklichkeit eingetroffen sind. Unsere Argumentation liefert den Beweis dafür, dass Gesetze verschärft und unterschiedliche Branchen noch viel stärker als bisher geschützt werden müssen, um den derzeitigen Malware-Kampagnen Herr zu werden.

Andernfalls finden Angreifer immer wieder Wege und Mittel, bösartige Malware an überraschenden Orten getarnt unterzubringen – wie beispielsweise im Kommentarbereich des Instagram-Profils einer Pop-Ikone.