Untergrundmarkt unterstützt Point-of-Sales-Cybercrime vom Coding bis zum Verkauf; digital signierte Malware durch Content-Distribution-Netzwerke in 2013 verdreifacht
Der komplette McAfee Labs Threats Report steht zum Download bereit: http://mcaf.ee/c9awu <http://mcaf.ee/c9awu>
McAfee Labs veröffentlicht heute den McAfee Labs Threats Report vom vierten Quartal 2013. Der Report beschreibt die Schlüsselrolle der „Dark-Web-Malware-Industrie“ im Umfeld der hochkarätigen Angriffe und Datenverletzungen am Point-of-Sale (POS) im Herbst 2013. Zudem wird beleuchtet wie zunehmend einfach es ist, online POS-Malware zu erwerben oder aber gestohlene Kreditkartennummern und andere persönliche Daten zu verkaufen. McAfee Labs berichtet im Report außerdem über eine Verdreifachung der Anzahl an digital signierten Malware Samples im Laufe des Jahres 2013 – dies wurde insbesondere durch den Missbrauch automatisierter Content Distribution Networks (CDNs) vorangetrieben, die bösartige Binärdateien in digital signierte Installationsprogramme einbinden. McAfee Labs geht davon aus, dass diese schnelle Entwicklung eine erhebliche Bedrohung für das bewährte Zertifikat-Modell (CA) zur Authentifizierung von “sicherer„ Software bedeuten kann.
Schlichte Technologien „von der Stange“
Detaillierte Untersuchungen bei Datenverstößen mit Kreditkarten zeigen, dass POS-Malware auf relativ einfacher Technologie beruht und wahrscheinlich „von der Stange“ bei der Cybercrime-as-a-Service Untergrundgemeinde gekauft und speziell für diese Angriffe angepasst wurde. Zudem konnte McAfee Labs nachweisen, dass in Dark-Web-Märkten versucht wurde, die gestohlenen Kreditkartennummern und persönlichen Informationen aus den Angriffen im Einzelhandel vom vierten Quartal 2013 zu verkaufen. Die Forscher fanden Verkaufsangebote von rund 40 Millionen als gestohlen gemeldeten Kreditkartennummern in Chargen zwischen einer Million und vier Millionen.
„Das vierte Quartal 2013 wird als der Zeitraum in Erinnerung bleiben, in dem mehr Menschen als je zuvor mit Cyber-Kriminalität in Berührung kamen“, so Vincent Weafer, Senior Vice President bei McAfee Labs. „Die Diebstähle geschahen rund um die Feiertage, zu einer Zeit, als die meisten Menschen mit ihren Geschenkeinkäufen beschäftigt waren und die Industrie wollte, dass sich die Konsumenten dabei sicher fühlen. Die Auswirkungen dieser Angriffe werden sowohl am Küchentisch als auch am Konferenztisch zu spüren sein. Die technologische Einfachheit der Angriffe sowie das Ausmaß und die Mühelosigkeit, mit der man damit Geld machen kann, zeigen uns Sicherheitsprofis, dass Dark-Web und Cybercrime-as-a-Service endgültig den Kinderschuhen entwachsen und zu einem ernstzunehmenden Untergrundmarkt herangereift sind.“
Zertifikat kein Sicherheitsgarant mehr
Ende 2013 verdreifachte sich die Anzahl der bösartigen signierten Binärdateien in der McAfee Labs-Datenbank auf mehr als acht Millionen. Allein im vierten Quartal identifizierte McAfee Labs mehr als 2,3 Millionen neue bösartige signierte Anwendungen – eine Zunahme von 52 Prozent gegenüber dem Vorquartal. Die Praxis der Code-Signing-Software bestätigt die Identität des Entwicklers, der den Code produziert hat und belegt, dass der Code seit seiner digitalen Zertifizierung nicht manipuliert wurde.
Obwohl die Gesamtzahl der signierten Malware sowohl gestohlene, gekaufte sowie missbrauchte Zertifikate enthält, basiert das Wachstum überwiegend auf zweifelhaften CDNs. Dies sind Webseiten und Unternehmen, die es Entwicklern ermöglichen ihre Programme oder eine URL mit Links zu einer externen Anwendung hochzuladen und diese in einem signierten Installationsprogramm zu verstecken.
Das McAfee Labs-Team warnt, dass die wachsende Zahl an digital signierten Dateien mit böser Absicht für Verwirrung von Benutzern und Administratoren sorgen und sogar das CA-Modell infrage stellen kann.
„Zwar hat die Expansion der CA- und CDN-Industrie die Produktions- und Veröffentlichungskosten für Entwickler drastisch reduziert, doch auch die Standards für Qualifizierung und Identifizierung der Herausgeber wurden dramatisch gesenkt“, sagt Vincent Weafer. „Wir müssen lernen, mehr Vertrauen in den Ruf des Herstellers zu setzen, der die Datei signiert hat und uns weniger auf die schlichte Präsenz eines Zertifikats zu verlassen.“
Weitere Q4 2013 Ergebnisse
- Mobile Malware. McAfee Labs identifizierte 2,47 Millionen neuer mobiler Malware im Jahr 2013, 744.000 allein im vierten Quartal. Der mobile Malware-Zoo wuchs um beachtliche 197 Prozent seit Ende 2012.
- Ransomware. Die Anzahl an neuer Ransomware stieg um 1 Million neue Exemplare für das Jahr, dies ist eine Verdopplung von Q4 2012 auf Q4 2013.
- Verdächtige URLs. McAfee Labs verzeichnete im Jahr 2013 einen Anstieg um 70 Prozent bei der Anzahl an verdächtigen URLs.
- Malware-Verbreitung. Im Jahr 2013 entdeckte McAfee Labs 200 neue Malware-Exemplare pro Minute beziehungsweise mehr als drei neue Bedrohungen pro Sekunde.
- Master-Boot-Records. McAfee Labs identifizierte 2,2 Millionen neue MBR-Angriffe in 2013.