Neue Variante von Cryptolocker-Wurm lockt mit Aktivierungscodes für gestohlene Software

MobileSicherheitSicherheitsmanagement
Virus, Malware, Sicherheit (Quelle: so47 - Fotolia.com)

Der Schädling täuscht Aktivierungsschlüssel von Adobe-, Microsoft- und andern Produkten vor. Die seit kurzer Zeit besonders aktive Version CRILOCK-A verbreitet sich vor allem über mobile Systeme. Danach erpresst sie Geld. Das entspricht genau dem Trend, den Sicherheitsexperten vorhersagten.

Über P2P-Seiten verbreitet sich eine neue, noch bösartigere Variante des bereits bekannten Cryptolocker, warnte Ende Dezember Trend Micro. Der Wurm windet sich vor allem durch mobile Laufwerke und verbreitet sich schnell. Erstinfektionen würden sich am häufigsten durch Raubkopien, die über Filesharing-Dienste bezogen wurden, einnisten. Statt des versprochenen Aktivierungscodes für Programme wie Photoshop, Microsoft Office und andere enthält das Paket Malware.

trendmicro_300pxDer ursprüngliche Cryptolocker-Wurm war eher eine “Ransomware”, die Bitcoins erpresste. Die schnellere Verbreitung des Nachfolgers über Mobile Storage entspricht genau dem Trend, den die Sicherheitforscher von McAfee vorhersagten. In ihren 2014 Threat Predictions (PDF) prognostizierten sie mehr mobile Bedrohungen mit Verbreitung über USB, externe Platten, Mobiltelefone, NFC und durch Manipulation von Apps.

Auf dem Niveau von Cybercrime und Cyberkrieg rechnen die McAfee-Spezialisten mit besseren Tarnmethoden und raffinierteren Ansätzen, um zum Beispiel aus Sandboxen auszubrechen. Bei einem “Sandbox-aware”-Angriff implementiere sich die Schadsoftware erst dann vollständig, wenn sie den Eindruck hat, dass sie direkt auf einem ungeschützten Gerät ausgeführt wird, heißt es.

mcafeeLogoWeitere zu erwartende Angriffstechniken sind laut McAfee Return-Oriented-Programming-Attacken, die valide Anwendungen dazu bringen, sich schädlich zu verhalten, sich selbst löschende Schadsoftware, die nach Unterwanderung des Ziels ihre eigenen Spuren verwischt, und zunehmende Angriffe auf industrielle Steuerungssysteme.

Noch einen Schritt weiter gehen von den Sicherheitsforschern ausgemachte Attacken auf Hypervisoren, mit denen Kriminelle auf den Trend zu Cloud-Anwendungen für Unternehmen reagierten, wie es heißt. Verstärkt werde nach Wegen gesucht, die in den Rechenzentren allgegenwärtigen Hypervisoren, die für Cloud-Services unabdingbare Infrastruktur für Mehrmandanten-Zugriff und -Kommunikation sowie die Verwaltungsinfrastruktur anzugreifen, die zur Bereitstellung und Überwachung umfangreicher Cloud-Services benötigt wird.

McAfee vermutet, dass kleine Unternehmen, die Cloud-Services einkaufen, nicht über die Machtposition verfügen, um ihren Bedürfnissen entsprechende Sicherheitsmaßnahmen einzufordern. Sie werden daher mit Sicherheitsrisiken zu kämpfen haben, die in den Nutzerverträgen und Arbeitsabläufen der Cloud-Anbieter nicht berücksichtigt werden. Allgemein gebe es immer mehr Angriffe, die nicht betriebssystemspezifisch erfolgten, so McAfee. Stattdessen suchten Kriminelle nach Schwachstellen in HTML5 oder auch unterhalb der Betriebssystemebene, im Speicher-Stack oder sogar im BIOS.

Ransomware auf PCs war 2013 vor allem durch Cryptolocker und Nachahmer präsent. Auch CILOCK-A, den Trend Micro entdeckte, fällt in diese Kategorie. Kurios war, dass das Original des Erpresserprogramms im Herbst aufgrund des Bitcoin-Kursanstiegs die in dieser Währung geforderten Preise senken musste. McAfee hatte schon vor einem Jahr mehr Ransomware für Smartphones vorhergesagt. Dies ist 2013 noch nicht eingetreten. Stattdessen wenden sich die Ideenkopierer unter den Cyberkriminellen wieder verstärkt den Desktops zu.

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen