Gefälschte Nachrichten: Betrüger treiben bei WhatsApp ihr Unwesen
Wer bei WhatsApp einen dubiosen Link zugesendet bekommt, sollte keinen Klick riskieren. Laut IT-Experten treiben derzeit Betrüger ihr Unwesen.
Besitzer eines Android-Smartphones sollten gewarnt sein: Laut Experten des IT-Sicherheitsunternehmens ESET verbreitet sich derzeit über den Messengerdienst WhatsApp eine Schadsoftware. Potenzielle Opfer erhalten demnach von ihren Kontakten die Nachricht "Diese Anwendung herunterladen und Smartphone gewinnen". Folgt man dem beigefügten Link, gelange man in einen gefälschten Google Play Store.
Um die angepriesene App, eine Malware, nutzen zu können, müsse zunächst der Zugriff auf alle persönlichen Benachrichtigungen bewilligt werden. Ist dies geschehen, "kann die Malware mit einer benutzerdefinierten Antwort auf jede Nachricht reagieren", erklärt ESET-Experte Lukas Stefanko. Auf diese Weise würde sich die Schadsoftware wie ein Wurm über den Messengerdienst verbreiten.
Finger weg von verdächtigen Links
Hinter der Malware-Falle sollen nach Angaben des Sicherheitsunternehmens Cyberkriminelle stecken, die die schädliche Anwendung angeblich für Betrugskampagnen nutzen. Es sei jedoch nicht auszuschließen, dass durch die heruntergeladene Schadsoftware nicht auch Spionage oder Datendiebstahl betrieben werde. Der Rat des Unternehmens: Verdächtige Links auf keinen Fall anklicken. Wer Apps auf seinem Smartphone installieren möchte, sollte ausschließlich auf Anwendungen aus dem offiziellen Google Play Store zurückgreifen.
Die zehn größten Cyber-Gefahren 2021:
Trickbot
Wie Emotet wurde Trickbot zunächst als Banking-Trojaner entwickelt, hat aber zahlreiche Wandlungen durchlaufen. So werden heutzutage nicht mehr nur Bankkonten ausgespäht, sondern komplette Computer infiltriert und in Beschlag genommen. Wegen der großen Ähnlichkeit tauchen Trickbot und Emotet häufig gemeinsam auf. Trickbot ist in der Lage, bestimmte Teile eines Antivirenprogramms zu deaktivieren und administrative Systemrechte zu gewinnen.
Sobald dies geschehen ist, kann die Schadsoftware Zugangsdaten und weitere Informationen sammeln und diese über das Netzwerk an den jeweiligen Hacker schicken. Ausgehend von den Informationen, die sie erhalten, sehen die Hacker dann, ob ein umfassender Angriff lohnenswert ist. Sollte dies der Fall sein, nutzen sie die Zugangsdaten, um in das System einzudringen und eine Ransomware zu hinterlassen. In den meisten Fällen greifen sie hierbei auf Ryuk zurück.Ryuk
Nachdem Trickbot für das Ausspähen eines Netzwerk genutzt wurde, setzen die Hacker Ryuk ein. Zu diesem Zweck arbeiten sie mit einer Gruppenrichtlinie, die dafür sorgt, dass Ryuk nicht nur auf dem infizierten Rechner bleibt, sondern auch an alle weiteren angeschlossenen Rechner geschickt wird. Ryuk übernimmt dann die Verschlüsselung der auf den Rechnern vorhandenen Daten. Zu diesem Zweck verwendet die Schadsoftware die Algorithmen RSA-4096 und AES-256. Jeder vorhandene Ordner wird mit einer Datei namens RyukReadMe.txt versehen. Hierin sind diverse Instruktionen enthalten, wie bei der Zahlung des Lösegelds vorgegangen werden soll. Wie hoch das geforderte Lösegeld ist, hängt davon ab, wie finanzstark der Privatanwender oder das jeweilige Unternehmen ist.Maze
Die Schadsoftware Maze arbeitet mit einer besonders hinterhältigen Strategie: Die Malware gelangt in ein System und ermöglicht es den Hackern, verschiedene Informationen auszulesen. Diese werden dann auf einen anderen Server übertragen und auf dem Rechner selbst verschlüsselt. Die betroffene Firma muss dann ein Lösegeld zahlen, um die Entschlüsselung zu erhalten. Tut sie dies nicht, drohen die Cyberkriminellen, alle vorhandenen Daten öffentlich zu machen. 2020 mussten sich unter anderem Cognizant und Canon mit einem Maze-Angriff auseinandersetzen.Clop
Immer mehr Cyberkriminelle arbeiten mit Clop. Diese Schadsoftware dient dazu, Windows-Prozesse zu blockieren und verschiedene Windows-Anwendungen auszuschalten. Unter anderem können der Windows Defender und andere Antivirenprogramme nicht mehr einwandfrei arbeiten. Anschließend werden die Daten auf dem System verschlüsselt und mit der Endung "Clop" versehen. Außerdem wird in jedem Ordner die Datei ClopReadMe.txt hinterlegt. Hierin finden die Betroffenen alle Anweisungen, wie sie das geforderte Lösegeld zahlen sollen.DDoS-Attacken
In den letzten Monaten wurde deutlich, dass immer mehr DDOS-Attacken für Erpressungen genutzt werden. So treten Gruppen, die sich selber Namen wie "Fancy Bear", "Armada Collective" oder "Lazarus Group" gegeben haben, an Unternehmen heran. Insbesondere interessieren sich solche Gruppen für Firmen aus der Finanz-, E-Commerce- und Reisebranche. Sie drohen damit, verschiedene Server lahmzulegen. Um zu beweisen, dass sie hierzu in der Lage sind, nennen sie die IP-Adressen der Zielsysteme. Sollte ein Unternehmen nicht bereit sein, ein Lösegeld zu zahlen, wird ein sogenannter "Demo-Angriff" durchgeführt. In der Regel werden Summen im sechsstelligen Bereich gefordert, die als Bitcoins bezahlt werden müssen.Business E-Mail Compromise
Eine weitere Strategie von Cyberkriminellen ist Business E-Mail Compromise, was auch als BEC, CEO-Fraud oder Chef-Masche bekannt ist. Die Kriminellen erstellen eine E-Mail, die dem Aussehen und Ton nach von einem Geschäftsführer der angegriffenen Firma kommen könnte. Die E-Mail richtet sich an die Belegschaft. Hierin werden die Angestellten aufgefordert, bestimmte Geldsummen an ein Konto zu überweisen. Hierbei handelt es sich natürlich nicht um ein offizielles Konto, sondern um ein Konto der Cyberkriminellen. Die Strategie ist hinreichend bekannt, allerdings stieg deren Nutzung seit 2019 um 19%. Vermutlich gehen die Kriminellen davon aus, dass viele Betriebe ihre Angestellten ins Homeoffice verlagert haben, wodurch Sicherheitsaspekte nicht mehr so streng sind wie noch vor der Krise.Cyberattacken und Corona
Interpol hat am 4. August 2020 eine Stellungnahme veröffentlicht, in der verdeutlicht wurde, dass Cyberkriminelle die Verunsicherung durch die Pandemie nutzen, um Angriffe auszuüben. Insbesondere Online-Betrug und Phishing stiegen in den ersten sechs Monaten von 2020 um 59% an. Vor allem wurden Mails verschickt, in denen wichtige Informationen zu Covid-19 angekündigt wurden. Wer auf die entsprechenden Links klickte, gelangte jedoch auf Server, die Schadsoftware auf den eigenen Rechner brachten, oder auf Webseiten, auf denen die Betroffenen Kreditkartennummern und Passwörtern angeben sollten.Routerattacken
Bereits im Herbst 2019 stieg die Zahl der Angriffe auf Router deutlich an, in 2020 wurden die Angriffe jedoch noch einmal intensiviert. Im Mai 2020 fanden etwa 200 Millionen Router Angriffe statt. Hiervon sind sowohl Heim- als auf Firmennetzwerke betroffen. In der Regel kommen Script-gesteuerte Brute-Force-Attacken zum Einsatz, bei denen in Rekordzeit Millionen von Passwörtern ausprobiert werden. Gerade wer mit schwachen Passwörtern arbeitet, wird so schnell Opfer einer solchen Attacke.
Außerdem nutzen die Cyberkriminellen diverse Sicherheitslücken, von denen man bereits seit Jahren weiß. Das Problem ist, das von einigen Routerherstellen keine Updates mehr angeboten werden, wodurch Sicherheitslücken nicht geschlossen werden können. Wenn die Cyberkriminellen erst einmal die Kontrolle über den Router gewonnen haben, attackieren sie hierüber die IOT-Geräte, die sich im Netzwerk befindenFileless Malware
Unter Fileless Malware sind alle Schadprogramme zusammengefasst, die keine ausführbare Datei brauchen, um Schaden anrichten zu können. Es handelt sich hierbei um Scripte oder Codes, mit denen die Registry und sonstige Systemdateien umgeschrieben werden können. Sobald die Schadsoftware hier gelandet ist, gelangt sie in den Arbeitsspeicher des Computers. Unter anderem haben Cyberkriminelle dann Fernzugriff auf einen Computer oder können die Tastatureingaben protokollieren. Hier arbeitet die Schadsoftware mit Powershell, dem Windows Script Host oder der WMI-Schnittstelle von Windows.