München, 23. Juni 2014 – Akamai hat einen aktuellen Sicherheitshinweis zu den Aktivitäten der Zeus-Crimeware veröffentlicht. Adressaten der aktuellen Attacken sind vor allem Fortune-500-Unternehmen; das Ziel sind Zugangsdaten zu webbasierten Applikationen und zum Online-Banking.
In einem Sicherheitshinweis seines Prolexic Security Engineering & Response Teams (PLXsert) warnt Akamai Technologies (NASDAQ: AKAM), ein führender Anbieter von Cloud-Services, mit denen sich Online-Inhalte und Business-Applikationen sicher bereitstellen und optimieren lassen, vor aktuellen Attacken durch Zeus-Crimeware. Betroffen sind davon unter anderem die weltweit 500 umsatzstärksten Unternehmen der Fortune-Liste.
Der Crimeware-Baukasten Zeus ist ein nahezu unerschöpfliches Sicherheitsrisiko, mit dem Unternehmen sich befassen sollten, um sich besser davor zu schützen. Aus Sicht der Angreifer ist Zeus einfach und flexibel in der Anwendung; aus Sicht der attackierten Unternehmen schwer zu erkennen. Zeus kommt in nahezu allen Branchen zum Einsatz.
Quellen aktueller Datendiebstähle
Einige der kürzlich bekanntgewordenen Datendiebstähle bei Fortune-500-Unternehmen gehen eindeutig auf das Konto der Zeus-Crimeware. Computer, Smartphones und Tablets, die mit der Malware Zeus Bot (zbot) infiziert sind, werden zu Agenten der Cyber-Kriminellen – sie fungieren als bösartiger Master, der Benutzerdaten weiter verbreitet, und werden Teil eines Botnetzes, das andere Computersysteme angreift.
Angreifer nutzen die Zeus-Crimeware, um an Login-Informationen und Passwörter zu gelangen, die an infizierten Geräten über einen Browser eingegeben werden. Zusätzlich werden vorhandene Webformulare um neue Felder ergänzt, um Anwender zur Preisgabe zusätzlicher Informationen zu verleiten, etwa die PIN-Nummer für ein Bankkonto. Cyber-Kriminelle können sogar den Rechner eines Anwenders dazu veranlassen, dass er zu beliebigen Zeiten Screenshots des gerade aktuellen Bildschirms erzeugt.
Die Daten werden an eine Kommandozentrale weitergeleitet, wo sie gesichtet oder weiterverkauft werden. Häufig kommen die Informationen dann für gezielten Datendiebstahl zum Einsatz, werden an Wettbewerber des Opfers weiterverkauft oder für Erpressungsversuche verwendet.
Diebstahl von Zugangsdaten und Betriebsgeheimnissen
Viele Unternehmens-Applikationen und Cloud-Services sind komfortabel über das Web zugänglich. Platform-as-a-Service (PaaS)- und Software-as-a-Service (SaaS)-Anbieter sind daher einem hohen Risiko ausgesetzt, vertrauliche Kundendaten und Betriebsgeheimnisse preiszugeben, worunter dann auch ihr Image erheblich leidet.
Mitarbeiter, Kunden und Geschäftspartner können Zeus-Malware unabsichtlich auf unternehmenseigene oder private Geräte herunterladen. Melden sie sich dann mit ihrem Gerät auf einer Webseite an, gelangen Cyber-Kriminelle unbemerkt an vertrauliche Informationen. Mit Hilfe der vielen infizierten Geräte können Angreifer das Material gezielt nach Anmeldedaten für Web-Applikationen oder Services durchsuchen und erhalten damit eine Fülle von Informationen über Anwender, um eine bestimmte Webseite systematisch attackieren zu können.
Antivirensoftware erkennt die Zeus-Malware oft nicht
Die Zeus-Crimeware ist bereits seit vielen Jahren im Einsatz und sammelt sensible Daten. Der unrühmliche Erfolg ist zum Teil auf die schwer zu ermittelnden Aktivitäten zurückzuführen. Files werden versteckt, die Inhalte verschleiert, Firewalls außer Kraft gesetzt; der weiteren Verbreitung steht dann nichts mehr im Wege. Eine in den USA ansässige Organisation, die die Aktivitäten von Zeus verfolgt (https://zeustracker.abuse.ch/?country=US), kommt zum Schluss, dass Antivirensoftware nur in rund 39,5 Prozent der Fälle die Zeus-Crimeware erkennt. Selbst Geräte, die über eine Antivirensoftware verfügen, können infiziert sein.
„Zeus ist heimtückisch, selbst in einer sicheren IT-Umgebung. Anwender werden dazu verleitet, Programme zu starten, die ihre Systeme infizieren. Zu den Gegenmitteln zählen die strikte Überwachung von Sicherheitsrichtlinien im Unternehmen und die Aufklärung der Anwender“, sagt Michael Heuer, Regional Vice President & Country Manager Central Europe bei Akamai in Garching bei München. „Wir empfehlen Unternehmen dringend, rigorose Sicherheitsmaßnahmen für ihre Websites zu implementieren, einschließlich einer Web Application Firewall. Damit lassen sich die Kommunikationskanäle von Zeus unterbrechen sowie die Suche nach lohnenswerten Files und der Datendiebstahl verhindern.“
Eine ausführliche Version dieses Sicherheitshinweises gibt es unter www.prolexic.com/zeus. Das PLXsert schildert und analysiert darin Details zum Zeus-Framework wie
* Herkunft und Varianten
* Arbeitsweise des Zeus-Kits
* Indizien für eine Infektion
* den Verlauf einer Infektion
* die Ausführung von Remote-Befehlen
* eine Laborsimulation, welche die Auswirkungen verdeutlicht
* empfohlene Maßnahmen zum Schutz.
Weitere Artikel
Unternehmen verlassen sich zu sehr auf einstufige, zentralistische Schutztaktiken bei der Wahl ihrer IT-Sicherheitsstrategie
Kritischer Krypto-Bug in OpenSSL öffnet zwei Drittel des Webs für Eavesdropping
Serie – 1 – Zwischen Panik und Sorglosigkeit – Symantec
Task Force „IT-Sicherheit in der Wirtschaft“