Ransomware, DDoS, Viren: Auch 2016 haben Cyberkriminelle wieder jede Menge kriminelle Energie an den Tag gelegt. Etailment zeigt eine Auswahl spektakulärer Angriffe.

2016 war wieder ein Jahr, das von spektakulären Cyberangriffen geprägt war. Und auch von vielen kleinen: Gut jeder vierte Internetnutzer in Deutschland, der Sicherheitssoftware des Anbieters Kaspersky einsetzt, war demnach mindestens einmal im Jahr 2016 einer Webattacke ausgesetzt.

Das Jahr begann damit, dass Hacker die Stromversorgung lahmlegten: Im Rahmen einer Cyberattacke mit der Malware „BlackEnergy“ auf den ukrainischen Energiesektor wurde Ende des Jahres 2015 /Anfang 2016 das Energieversorgungsnetz deaktiviert, Daten zerstört und sogenannte DDoS-Attacken durchgeführt. Bei diesen Distributed Denial of Service ist in einer Folge einer gezielten Überlastung des Datennetzes durch Hackerein Internetdienst nicht verfügbar, der eigentlich verfügbar sein sollte. 

Die Experten von Kaspersky Lab haben daher einmal grundsätzlich die Gefahren für industrielle Kontrollsysteme (Industrial Control Systems, ICS) analysiert und warnen vor möglichen Schwachstellen. Während in der Vergangenheit industrielle Systeme und kritische Infrastruktur in physisch isolierten Umgebungen betrieben wurden, sei dies in Zeiten der Industrie 4.0 nicht immer der Fall.  Weltweit haben die Sicherheitsexperten 188.019 ICS-Rechner (Hosts) entdeckt, die über das Internet erreichbar waren und somit potenzielle Ziele der Hacker darstellen; davon sind 13,9 Prozent in Deutschland beheimatet. Zudem können rund 13.700 dieser via Internet erreichbaren ICS-Hosts großen Organisationen aus den Bereichen Energie, Transport, Luft- und Raumfahrt, Industrie, öffentlicher Sektor oder Finanzen zugerechnet werden. Die Verbindungen zum Internet innerhalb dieser industrieller Systeme eröffnen Cyberkriminellen die Möglichkeiten zur Fernsteuerung kritischer ICS-Komponenten. 


Anfang Februar 2016 gab es einen großen Cyberbanküberfall: Die Zentralbank von Bangladesch wurde das Opfer einer Hackerattacke. Die Eindringlinge nutzten das internationale Zahlungssystem Swift, das aus dem Auslandszahlungsverkehr nicht mehr wegzudenken ist. Das Unternehmen räumte später eine Schwachstelle in der Kundensoftware ein. Die Plattform, über den der Datenaustausch zwischen weltweit rund 11.000 Banken und Finanzeinrichtungen abgewickelt wird, sei jedoch nicht betroffen gewesen, beteuerte eine Swift-Sprecherin damals. Bei der Attacke auf die Zentralbank von Bangladesch sollen die Angreifer insgesamt 951 Millionen Dollar angewiesen haben. Der Großteil der Überweisungen wurde jedoch blockiert, „nur“ 81 Millionen Dollar wurden auf Konten auf den Philippinen gelenkt und dort an Kasinos weitergeleitet.
Die aktuellen Seitenausfälle in der Kalenderwoche 2/2017 bei Downdetector.com
© Downdetector.com
Die aktuellen Seitenausfälle in der Kalenderwoche 2/2017 bei Downdetector.com

Im Oktober 2016 teilte das US-Unternehmen DynDNS mit, dass es eine Reihe von DDoS-Angriffen auf seine DNS-Infrastruktur gegeben habe. Durch die Cyberattacke waren die Webseiten großer Internetunternehmen wie Twitter, Paypal, Netflixund Spotify in Teilen der USA und Europas zeitweise nicht zu erreichen. Das Domain Name System (DNS) beantwortet Anfragen zur Namensauflösung in Netzwerken und ist damit einer der wichtigsten Dienste in IP-basierten Netzwerken. In Deutschland, den USA und Japan war zeitweise auch Amazon betroffen. Karten der Seite downdetector.com zeigten, dass Twitter, Netflix und PayPal an beiden US-Küsten Ausfälle hatten. Außerdem ging Twitter in Japan offline.

Yahoo räumte zwei Hackerangriffe ein.
© Yahoo! Pressebilder auf Flickr
Yahoo räumte zwei Hackerangriffe ein.

2016 war auch ein schwarzes Jahr für Yahoo: Im September räumte die einstige Internet-Ikone ein, dass es im Jahr 2014 einen riesigen Datendiebstahl von mehr als einer halben Milliarde Nutzerdaten gab. Kurz darauf kam heraus, dass auch schon im Jahr 2013 gut eine Milliarde Konten von Hackern erbeutet worden sein. „Man kann getrost davon ausgehen, dass Yahoo nicht das einzige Unternehmen ist, das solch schwerwiegenden Angriffen ausgesetzt ist und war. Nur: die meisten Firmen wissen nichts davon, weil sie nicht aktiv danach suchen“, kommentierte David Lin von dem Softwarehersteller Varonis das „fatale“ Jahr für das mittlerweile zu Verizon gehörende Unternehmen. „Der Yahoo-Vorfall hat aber noch eine spezielle unerwünschte Nebenwirkung. Nach Aussagen eines ehemaligen Security Engineer hatte Yahoo Hintertüren installiert, die es der NSA erlaubt haben sämtliche E-Mails mitzulesen. Und zwar hinter dem Rücken der eigenen Yahoo-IT-Sicherheits-Teams. Und natürlich sind Hacker genauso in der Lage solche Backdoors zu finden und auszunutzen.“ 

Inzwischen gibt es nämlich Zugänge auf gehackte Server im Sonderangebot. Der „Cyberuntergrund“ ist so komplex und groß wie nie zuvor, wie der xDedic-Marktplatz zeigt, über den 2016 mehr als 70.000 Zugangsdaten für gehackte Server aus 173 Ländern zum Kauf angeboten wurden. Für nur sechs US-Dollar kann man dort Kaspersky zufolge den Zugriff auf kompromittierte Server kaufen und verkaufen. Der Untergrundmarktplatz, der mutmaßlich von einer russischsprachigen Gruppe betrieben wird, bietet somit eine reiche Auswahl an kriminell beschafften Daten für E-Mail-Versand, Finanzbuchhaltung oder Bezahlvorgänge. Mit Hilfe von xDedic können Cyberkriminelle deren IT-Infrastruktur unbemerkt für eigene Attacken nutzen.

„xDedic ist ein weiterer Beleg dafür, dass Cybercrime-as-a-Service-Modelle expandieren” sagt Costin Raiu, Director Global Research and Analysis Team (GReAT) bei Kaspersky Lab. „Damit hat jeder – vom Anfänger über ambitionierte Cyberkriminelle bis zu nationalstaatlich unterstützen Angreifern – eine kostengünstige, schnelle und effektive Möglichkeit, potenziell verheerende Cyberangriffe durchzuführen.“ Opfer seien dabei nicht nur die attackierten Einzelpersonen und Organisationen, sondern auch die Betreiber der für die Angriffe genutzten Server. „Sie haben vermutlich keine Ahnung, dass die Server direkt vor ihrer Nase immer wieder für verschiedene Cyberangriffe missbraucht werden“, erläutert Riau.

Die Cloud-Datenbank von Kaspersky Lab für Schadprogramme enthält aktuell eine Milliarde schädliche Objekte, darunter Viren, Trojaner, Backdoors, Ransomware sowie Werbe-Apps und ihre Komponenten. Die Steigerung ist exponentiell: Wurden im Jahr 2011 noch 70.000  Schädlinge am Tag entdeckt, waren es 2016 bereits 323.000 Objekte pro Tag. Und auch stationär ist man nicht mehr sicher: Im Jahr 2016 wurden acht neue Malware-Arten für Kassensysteme (Point of Sale, PoS) und Geldautomaten entdeckt – das ist eine Steigerung um 20 Prozentpunkte im Vergleich zum Vorjahr.

Kaspersky-Zahlen
© Kaspersky
Kaspersky-Zahlen

Das nächste lukrative Geschäftsmodell basiert auf Extortionware, warnt unterdessen David Gibson, Vice President of Strategy and Market Development bei dem Sicherheits-Softwareanbieter Varonis Systems. Die große Schwester der Ransomware, eine gezieltere, komplexere und gewinnbringendere Variante, hält demnach Einzug und wird großen finanziellen Schaden anrichten: „Die Hacker erbeuten höchst vertrauliche Daten und fordern immens hohe Geldsummen im Gegenzug für deren Geheimhaltung. Aus Diskretionsgründen gelangen die Vorfälle häufig nicht ans Licht der Öffentlichkeit“, erläutert Gibson, warum sich die Überprüfung dieser Prognose im kommenden Jahr als schwierig erweisen könnte.  

Ransomware bleibt demzufolge gleichfalls ein großes Thema in diesem Jahr. Allein mit „CryptoLocker“ wurden 2015 rund 325 Millionen US-Dollar Lösegeld erpresst. 2016 beliefen sich die Lösegeldzahlungen laut Angaben des FBI voraussichtlich auf 1 Milliarde US-Dollar. Die Anzahl und Häufigkeit von Ransomware-Angriffen auf Unternehmen und Institutionen nimmt nach Meinung des Varonis-Experten weiter zu. Die Tools zur Analyse des Nutzerverhaltens werden intelligenter und zuverlässiger. Die IT setze nicht mehr nur auf die Wiederherstellung aus Basis von Sicherungen, sondern führe zusätzlich Frühwarnsysteme ein, denn: „Es ist weit wirkungsvoller und weniger folgenreich, Angriffe zu verhindern, statt im Anschluss herauszufinden welche Dateien betroffen sind und sie wiederherzustellen“, argumentiert Gibson. 


Technologie

Mehr DDoS-Attacken: So schützen sich Onlinehändler gegen Hacker

Immer öfter legen sogenannte DDoS-Attacken die Seiten von Internetdiensten und Webshops lahm. Doch Onlinehändler können sich schützen, um nicht Opfer einer Cyberattacke zu werden. Mehr lesen

Gefahr durch Vernetzung

Die dunkle Seite

Cyberkriminalität funktioniert auch im Laden: Die vernetzten Geräte im stationären Handel erweisen sich als Fundgrube für Angreifer. Ein Besuch bei einem "weißen Hacker". Mehr lesen

Finanzkriminalität

Nur wenige Banken erkennen Zahlungsmissbrauch sofort

Die Zahlungsmöglichkeiten werden immer vielfältiger, die Angreifer immer technisch versierter: Die Bekämpfung systematischen Zahlungsbetrugs dauert oft zu lange, so das Ergebnis einer Studie. Mehr lesen