„Erpresser“-Malware nahm vor vielen Jahren mit dem Trojaner Gpcode ihren Anfang. Mittlerweile haben sich daraus zwei Grundtypen entwickelt. Zum einen Trojaner, die die Funktionen des Computers blockieren und Geld für dessen Entsperrung fordern, und zum anderen Trojaner, die Daten auf dem Computer verschlüsseln und wesentlich höhere Summen für die Dechiffrierung fordern.
Im Jahr 2014 wird die Cyberkriminalität den nächsten logischen Schritt in der Entwicklung dieser zwei Arten von trojanischen Programmen gehen und sich nun den mobilen Geräten zuwenden. In erster Linie natürlich Geräten mit dem Betriebssystem Android. Die Verschlüsselung von Anwenderdaten auf dem Smartphone – Fotos, Kontakte, Korrespondenz – ist für einen Trojaner ein Kinderspiel, wenn er über Administratorenrechte verfügt. Auch die Verbreitung derartiger trojanischer Programme – unter anderem über den legalen Service Google Play – macht Cyberkriminellen keine großen Umstände.
Im Jahr 2014 wird sich die Tendenz zu immer komplexer werdender mobiler Malware, die wir bereits im Jahr 2013 beobachtet haben, ohne Zweifel fortsetzen. Wie auch schon früher werden Cyberkriminelle versuchen, mit Hilfe mobiler Trojaner Geld von den Anwendern zu ergaunern. Auch die Entwicklung von Methoden und Technologien, die den Zugriff auf Bankkonten von Inhabern mobiler Geräte ermöglichen, wird sich fortsetzen (mobiles Phishing, „Banking“-Trojaner). Ein Handel mit mobilen Botnetzen wird einsetzen; diese wird man aktiv zur Verbreitung von Dritt-Malware einsetzen. Sicherheitslücken im Betriebssystem Android werden wie gehabt bei der Infektion mobiler Geräte und möglicherweise auch bei Drive-by-Attacken auf Smartphones ausgenutzt werden.
Attacken auf Bitcoin
Attacken auf Bitcoin-Pools, Börsen und Nutzer von Bitcoins werden zu einem der brennendsten Themen des Jahres 2014 werden.
Attacken auf Börsen werden sich dabei der größten Beliebtheit unter Cyberkriminellen erfreuen, da bei der Durchführung solcher Angriffe ein maximaler Ertrag einem geringen Einsatz gegenübersteht.
Was die Angriffe auf die Nutzer von Bitcoins betrifft, so wird das Risiko von Attacken, die den Diebstahl der Wallets zum Ziel haben, im Jahr 2014 deutlich ansteigen. Wir erinnern daran, dass Cyberkriminelle in der Vergangenheit die Computer der Anwender infizierten und sie zum Mining nutzten. Die Effizienz dieser Methode ist nun allerdings erheblich zurückgegangen, während der Diebstahl von Bitcoins den Angreifern enorme Gewinne bei vollständiger Anonymität verspricht.
Probleme beim Schutz des Privatlebens
Die Menschen möchten ihr Privatleben vor den Geheimdiensten verschiedenster Länder dieser Welt schützen. Dieser Schutz kann nicht gewährleistet werden, wenn Internet-Dienste, die Anwender in Anspruch nehmen, nicht die entsprechenden Maßnahmen ergreifen. Gemeint sind unter anderem Soziale Netzwerke, E-Mail-Provider und Cloud-Speicher. Allerdings sind auch die heute verfügbaren Schutzmethoden nicht ausreichend. Eine Reihe solcher Internetdienste hat bereits die Einführung zusätzlicher Maßnahmen zum Schutz der Anwenderdaten verkündet, wie etwa die Verschlüsselung der Daten, die zwischen den eigenen Servern übertragen werden. Die Integration von Schutztechnologien wird fortgesetzt, da die Anwender sie fordern werden, und das Vorhandensein solcher Technologien kann eine wesentliche Rolle bei der Auswahl des einen oder anderen Internetdienstes spielen.
Doch es gibt auch Herausforderungen für den Endanwender. Er muss die Informationen sichern, die er auf seinem Computer und seinen mobilen Geräten speichert, und ebenso selbstständig für die Geheimhaltung seiner Aktivitäten im Netz sorgen. Das wird eine zunehmende Nutzung von VPN-Services und Tor-Anonymisierern zur Folge haben, ebenso wie eine steigende Nachfrage nach lokalen Verschlüsselungswerkzeugen.
Angriffe auf Cloud-Speicher
Für die Cloud brechen harte Zeiten an. Einerseits wankt das Vertrauen in Cloud-Speicherdienste auf Grund der von Edward Snowden enthüllten Fakten über die Datensammlung durch verschiedene nationale Geheimdienste. Andererseits werden die dort gespeicherten Daten, ihr Umfang und – was noch wichtiger ist – ihr Inhalt ein zunehmend attraktives Ziel für Hacker. Schon vor drei Jahren hat Kaspersky Lab davon gesprochen, dass es für Cybergangster mit der Zeit leichter sein würde, einen Cloud-Provider zu hacken und dort die Daten irgendeines Unternehmens zu stehlen, als das Unternehmen selbst zu hacken. Es sieht so aus, als wäre diese Zeit nun angebrochen. Hacker werden zielgerichtet das schwächste Glied in der Kette angreifen – die Mitarbeiter von Cloud-Services. Ein Angriff auf sie könnte der Schlüssel zum Zugriff auf gigantische Datenmengen sein. Neben dem Diebstahl von Informationen könnten sich die Angreifer auch für das Entfernen oder Modifizieren der Daten interessieren – was für die Auftraggeber der Attacken in verschiedenen Fällen durchaus noch vorteilhafter sein könnte.
Attacken auf Software-Entwickler
Mit dem oben beschriebenen Problem wird vermutlich eine Zunahme der Angriffe auf Software-Entwickler einhergehen. Im Jahr 2013 deckten wir eine Angriffsserie der Cyberkriminellengruppe Winnti auf. Die Opfer dieser Attacken waren Spiele-Entwickler, denen serverseitige Quellcodes von Online-Games gestohlen wurden. Opfer einer anderen Attacke wurde das Unternehmen Adobe – hier wurden unter anderem die Quellcodes von Adobe Acrobat und ColdFusion gestohlen. Von früheren Beispielen derartiger Vorfälle ist die Attacke auf RSA im Jahr 2011 besonders erwähnenswert, als die Angreifer sich Quellcodes von SecureID verschafften und diese Daten daraufhin in einer Attacke auf Lockheed Martin benutzt wurden.
Der Diebstahl von Quellcodes gängiger Produkte eröffnet Angreifern wunderbare Möglichkeiten bei der Suche nach Sicherheitslücken in eben diesen Produkten – welche dann später ausgenutzt werden. Haben Angreifer Zugriff auf das Projektarchiv des Opfers, so können sie den Quellcode zudem modifizieren, beispielsweise indem sie Backdoors hinzufügen.
Wieder sind es die Entwickler von mobilen Anwendungen, die einem besonders hohen Risiko ausgesetzt sind – und es gibt tausende von ihnen, die wiederum tausende Apps entwickeln, welche dann auf Millionen Geräten installiert werden.
Cybersöldner
Die Enthüllungen Snowdens haben gezeigt, dass der Staat unter anderem darum Cyberspionage betreibt, um „seinen“ Unternehmen Hilfestellung zu leisten. Diese Tatsache zeigt, welche drastischen Mittel im Konkurrenzkampf der Geschäftswelt eingesetzt werden. Unter Berücksichtigung der neuen Realitäten sehen sich Organisationen nun mit der Einführung entsprechender Aktivitäten konfrontiert.
Unternehmen werden gewissermaßen gezwungen sein, Cyberspionage zu betreiben, wenn sie konkurrenzfähig bleiben wollen – denn andere spionieren bereits, um sich einen Wettbewerbsvorteil zu verschaffen. Es ist nicht ausgeschlossen, dass Unternehmen in einigen Ländern Regierungsstrukturen im Cyberspace ausspionieren werden, ebenso wie ihre eigenen Mitarbeiter, Partner und Lieferanten.
Umsetzen kann die Geschäftswelt derlei Aktivität allerdings nur mit Hilfe von Cybersöldnern – organisierte Gruppen von qualifizierten Hackern, die Unternehmen kommerzielle Dienste bei der Durchführung von Cyberspionage-Tätigkeiten anbieten. Diese Hacker werden sich selbst allerdings eher „Cyberdetektive“ nennen.
Ein Beispiel für den Einsatz von angeheuerten Hackern zur Umsetzung kommerzieller Cyberspionage lieferte die Attacke Icefog, die das Kaspersky-Team im Jahr 2013 aufdecken konnte.
Fragmentierung des Internets
Verdächtige Dinge gehen im Netz vor sich. Viele Experten, insbesondere Eugene Kaspersky, sprechen von der Notwendigkeit, ein paralleles, „sicheres Internet“ zu schaffen, das keine Möglichkeiten bietet, dort anonym Straftaten zu begehen. Die Cyberkriminellen erschaffen bereits ihr eigenes separates Darknet, das auf den Technologien Tor und I2P basiert, die es ihnen ermöglichen, anonym zu handeln, zu kommunizieren und illegalen Tätigkeiten nachzugehen.
Gleichzeitig hat ein Fragmentierungsprozess des Internets in nationale Segmente eingesetzt. Bis vor kurzem tat sich diesbezüglich nur China mit seiner „Great Firewall of China“ hervor. Allerdings steht China mit seinem Bestreben, einen wesentlichen Teil seiner Ressourcen abzuspalten und diese selbstständig zu kontrollieren, nicht allein da. Eine Reihe von Ländern, darunter Russland, hat Gesetze verabschiedet oder beabsichtigt, solche Gesetze zu verabschieden, die die Nutzung ausländischer Services verbieten. Diese Tendenzen haben sich besonders nach den Veröffentlichungen von Edward Snowden verstärkt. So erklärte Deutschland im November, dass es plane, die gesamte interne Kommunikation zwischen deutschen Behörden vollständig innerhalb des Landes abzuwickeln. Brasilien gab seine Absicht bekannt, einen alternativen Hauptinternetkanal zu legen, um nicht den Kanal benutzen zu müssen, der durch das US-amerikanische Florida führt.
Das World Wide Web zerfällt in Einzelteile. Die Länder möchten nicht ein einziges Byte an Informationen über die Grenzen ihrer Netze hinaus durchsickern lassen. Diese Bestrebungen werden immer stärker werden, und von juristischen Einschränkungen bis zu technischen Verboten ist der Weg nicht weit. Der Schritt, der wahrscheinlich darauf folgen wird, ist der Versuch, ausländischen Zugriff auf die Daten innerhalb des eigenen Landes einzuschränken.
Schreiten derartige Tendenzen weiter voran, so könnten wir schon sehr bald ohne einheitliches Internet dastehen, dafür aber mit Dutzenden nationaler Netze. Es ist nicht ausgeschlossen, dass einige Netze nicht einmal die Möglichkeit haben werden, miteinander zu interagieren. Dabei wird das Untergrund-Darknet das einzige Nationen übergreifende Netz sein.
Die Pyramide der Cyberbedrohungen
Alle von uns erwarteten Ereignisse und Tendenzen für das Jahr 2014 lassen sich am einfachsten grafisch in Form einer Pyramide der Cyberbedrohungen darstellen, wie wir sie im Jahr zuvor bereits beschrieben haben.
Diese Pyramide besteht aus drei Elementen. Die untere Ebene bilden die Bedrohungen, die bei Attacken auf durchschnittliche Nutzer durch traditionelle Cyberkriminelle eingesetzt werden, die ausschließlich von eigenen finanziellen Interessen angetrieben werden. Die mittlere Ebene besteht aus Bedrohungen, die in zielgerichteten Attacken im Rahmen von Wirtschaftsspionage zum Einsatz kommen, sowie aus sogenannten Polizei-Spionageprogrammen, die Regierungen benutzen, um ihre Bürger und Unternehmen auszuspionieren. Die Spitze der Pyramide bilden Cyberbedrohungen, die von Staaten zur Durchführung von Cyberattacken auf andere Staaten entwickelt werden.
Die meisten der oben beschriebenen Entwicklungsszenarien von Cyberbedrohungen sind in die mittlere Ebene der Pyramide einzuordnen. Daher erwartet Kaspersky Lab im Jahr 2014 eine rasantere Zunahme von Bedrohungen, die mit wirtschaftlicher und innerstaatlicher Cyberspionage zusammenhängen.
Ermöglicht wird die Zunahme derartiger Angriffe durch die Umorientierung von Cyberkriminellen, die derzeit noch mit Attacken auf Heimanwender beschäftigt sind und sich künftig als Cybersöldner/Cyberdetektive verdingen werden. Zudem ist es durchaus möglich, dass auch solche IT-Spezialisten ihre Dienste als Cybersöldner anbieten werden, die noch nie illegal tätig waren. Dazu trägt auch der Anstrich der Legitimität bei, den die Aufträge von soliden Unternehmen der Arbeit der Cyberdetektive verleihen.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt