Was Sicherheitsexperten den Schlaf raubt

Woche 43: Ein Sturm zieht auf im Internet der Dinge

Uhr
von Coen Kaat

Bankomaten selbst hacken für nur 5000 US-Dollar, auch Android-Malware kann hybrid sein, und ein böses Kaninchen treibt sein Unwesen. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Ein massiver Sturm zieht auf. Genau ein Jahr nachdem das Botnetz Mirai das Internet in seinen Grundfesten erschütterte, warnen gleich zwei Sicherheitsanbieter vor einer noch viel grösseren Gefahr. Wie bereits Mirai, soll auch dieses neue Botnetz seine Kraft aus dem Internet der Dinge schöpfen.

Die erste Warnung kommt von Check Point. Dem israelischen Unternehmen fiel eine Malware auf, die Schwachstellen in den kabellosen IP-Kameras verschiedener Hersteller ausnutzt, darunter Avtech, D-Link, Goahead, Linksys, Synology und TP-Link.

Die infizierten Geräte verknüpft die Malware zu einem Botnetz von noch nie dagewesener Grösse. Dieses Botnetz, dem Check Pont den Namen IoTroop gab, sei viel fortschrittlicher als Mirai und wachse enorm schnell. Aber schon jetzt seien rund eine Million Unternehmen weltweit davon betroffen.

Die zweite Warnung kommt vom chinesischen Sicherheitsanbieter Qihoo 360 Netlab. Sie entdeckten eine Malware, die diverse IoT-Geräte befällt. Darunter Router von D-Link, Netgear und Linksys, Netzwerkkameras von Avtech, Goahead und Jaws sowie Netzwerkvideorecorder von Vacron. Die Malware nutzt bereits bekannte Schwachstellen aus. Die Drahtzieher würden ihre Malware aber derzeit aktiv weiterentwickeln.

Das dadurch entstehende Botnetz – sie nennen es IoT-Reaper - wachse mit einer Rate von 10'000 Geräten pro Tag. Aktuell seien rund zwei Millionen Geräte bereits darin versklavt. Zum Vergleich: das Mirai-Botnetz, das 2016 den US-amerikanischen DNS-Serverbetreiber Dyn in die Knie zwang, bestand aus lediglich 100'000 Geräten.

Obwohl das Timing und die Liste der betroffenen Hersteller dafür sprechen, dass IoTroop und IoT-Reaper zwei Namen für dasselbe Botnetz sind, besteht allerdings auch die Möglichkeit, dass es sich um unterschiedliche Bedrohungen handelt.

Bankomaten selbst hacken für nur 5000 US-Dollar

Man würde meinen, dass Bankomaten gut geschützt sind. Schliesslich fliessen Tag für Tag hohe Geldsummen durch die Maschinen. Sie horten in der Regel einen ordentlichen Batzen. Tatsächlich lassen sich die Maschinen jedoch leicht überlisten. Wie leicht dies ist, zeigt das Beispiel Cutlet Maker.

Hinter dem Namen steckt ein pfannenfertiges Bankomaten-Hacking-Tool. Mit dem Tool könnten Nutzer einen Bankomaten bestimmter Hersteller anweisen, eine gewünschte Menge an Geld auszuspucken. Das Tool wird in Untergrund-Foren für rund 5000 US-Dollar verkauft.

Entdeckt wurde Cutlet Maker von Kaspersky Lab. Bankomaten-Malware scheint derzeit zum neuen Hobby des russischen Sicherheitsanbieters zu werden. Zuvor in diesem Monat widmete das Unternehmen bereits einen Blogeintrag der Bankomaten-Malware ATMii.

Um auf einen Bankomaten per Cutlet Maker zugreifen zu können, benötigt man physischen Zugang zur Maschine. Über eine USB-Schnittstelle speisen die Cyberkriminellen ihren eigenen Schadcode auf den PC, der den Bankomaten steuert. Wie Kaspersky schreibt, könnten also simple Policys einen derartigen Angriff verhindern. Etwa wenn der Rechner standardmässig nicht zulässt, dass Nutzer externe Geräte anschliesst.

Ein Böses Kaninchen treibt sein Unwesen

Die IT-Szene hat ein neues Schreckgespenst: Bad Rabbit. Die Ransomware verbreitet sich mit einer ähnlichen Geschwindigkeit wie bereits Wannacry und Notpetya, die im Mai beziehungsweise Juni dieses Jahres ihr Unwesen trieben.

Gemäss den Sicherheitsexperten von Eset und Proofpoint tarnt sich Bad Rabbit als Flash-Update. Laut einer Analyse von Kaspersky verbreitet sich die Ransomware auch via sogenannter Drive-by-Attacken. Dabei werden die Opfer auf infizierte Websites gelockt, die das gefälschte Flash-Update verbreiten.

Bad Rabbit verfügt jedoch noch über ein paar weitere Tricks. Diese ermöglichen der Ransomware, sich innerhalb eines Netzwerkes zu verbreiten. Hierzu nutzt sie – wie bereits Wannacry und Notpetya – eine modifizierte Version eines Exploits, das bereits von der NSA genutzt wurde, wie Bleepingcomputer berichtet. "Es war wohl tatsächlich nur eine Frage der Zeit, bis irgendjemand die Ideen und Techniken, die uns von Wannacry oder Notpetya bekannt sind, aufgreift und damit eine neue Attacke auf ahnungslose Opfer fährt", kommentiert Chester Wisniewski von Sophos die Ransomware-Attacke.

Aktuell grassiert Bad Rabbit in Osteuropa. Gemäss Eset befiel die Ransomware bereits Systeme in Russland, Bulgarien sowie in der Türkei und der Ukraine. "Wir sind uns sicher, dass auch Deutschland im Zuge des laufenden Cyberangriffs zur Zielscheibe wird", lässt sich der neue Pressesprecher von Eset, Thorsten Urbanski, in einer Mitteilung zitieren. Gemäss der Sicherheitsfirma Avast seien auch in USA bereits Opfer bekannt.

Und auch Android-Malware kann Hybrid sein – wenn auch ein wenig tölpelhaft

Die Sicherheitsexperten von Sfylabs haben einen Android-Banking-Trojaner entdeckt, der ein äusserst schlechter Verlierer ist. Sie nannten ihn Lokibot. Ob eine Verbindung zur gleichnamigen Windows-Malware besteht, die auf Datendiebstahl spezialisiert ist, ist unklar.

https://clientsidedetection.com/lokibot___the_first_hybrid_android_malware.html

Der neue Banking-Trojaner verhält sich zunächst so, wie man es von einem Trojaner erwartet. Einmal auf dem Smartphone installiert, verfügt die Malware über eine Reihe von Tricks, um an Zugangsdaten zu kommen. Hierfür verlangt sie Administratorenrechte bei der Installation.

So kann Lokibot etwa Login-Oberflächen verschiedener Mobile-Banking-Apps imitieren, aber auch die Designs von Skype, Outlook und Whatsapp. Die Malware nutzt auch Push-Benachrichtigungen, die von legitimen Apps zu kommen scheinen, um das Opfer aktiv auf eine gefälschte Login-Oberflächen zu locken. Zudem kann sie auch SMS verschicken, wohl um sich weiter zu verbreiten oder um Spam-Nachrichten zu verschicken.

Sollte ein Nutzer der Malware auf die Schliche kommen und versuchen, Lokibot die Adminrechte wieder zu entziehen, läutet die Malware Phase 2 des Angriffs ein: Sie wird zur Ransomware. Sie verschlüsselt die Daten und sperrt den Bildschirm, so dass das Opfer nur noch eine Lösegeldforderung sieht.

Glücklicherweise ist das Schadprogramm jedoch eher tölpelhaft zusammengebastelt. Das Ransomware-Subprogramm sei nicht korrekt implementiert, schreiben die Entdecker. Die Dateien werden lediglich umbenannt, nicht verschlüsselt. Den Sperrbildschirm könnten Nutzer loswerden, indem sie das Smartphone im abgesicherten Modus starten, Lokibot die Adminrechte wegnehmen und die Malware anschliessend löschen.

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder einfach Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_65855