- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

QBOT läuft derzeit auf mehr als 54.000 PCs


Neue Cyber-Bedrohung: Cyber-Kriminelle nehmen öffentliche Einrichtungen mit modifizierter Form der "QBOT Malware" ins Visier
Automatisierte Aktualisierungen der Malware erzeugten alle sechs Stunden neue verschlüsselte Versionen, wodurch die Bemühungen, die Software auf den Kunden-PCs zu aktualisieren, konterkariert wurden

- Anzeigen -





Ein Team führender Cyber-Experten hat eine neue Variante der bösartigen QBOT-Software identifiziert, die mehr als 54.000 PCs in Tausenden von Organisationen weltweit infiziert hat. Durch einen QBOT-Angriff auf eine Institution des öffentlichen Sektors hatte BAE Systems die Gelegenheit näher zu untersuchen, wie die aktualisierte Version der Malware PCs infiziert, wie sie sich selbst aktualisiert und weshalb sie von den meisten Antivirenprogrammen nicht entdeckt wird.

Analysten von BAE Systems entdeckten Anfang 2016, als bei einem Angriff auf diese Institution mehr als 500 PCs infiziert wurden, dass an der ursprünglichen QBOT Malware eine Reihe von Änderungen vorgenommen wurden, die es erschwerten, diese zu entdecken und abzuwehren. Eine der Änderungen bewirkte, dass jedes Mal, wenn der Code der Malware ausgegeben wurde, dieser zusätzliche Inhalte hatte. Dadurch sah er für diejenigen, die nach bestimmten Signaturen von Malware fahnden, wie ein komplett neues Programm aus.

Darüber hinaus erzeugen automatisierte Aktualisierungen der Malware alle sechs Stunden neue verschlüsselte Versionen, wodurch die Bemühungen, die Software auf den Kunden-PCs zu aktualisieren, konterkariert wurden. Dies half dem Virus sich weiter zu verbreiten. Die neue QBOT-Schadsoftware prüft auch, ob Anzeichen dafür vorliegen, dass sie sich in einer sogenannten "Sandbox" befindet – ein Werkzeug, das verwendet wird, um Malware zu erkennen, bevor es den Posteingang der PC-Nutzer erreicht. Diese Methode wird von vielen Institutionen als Verteidigungsmaßnahme gegen bösartige E-Mail-Inhalte genutzt. Die Ersteller der Malware unternehmen nun große Anstrengungen, diese zu überlisten.

Professionelle Cyber-Kriminelle haben vor allem öffentliche Einrichtungen wie Polizeistationen, Krankenhäuser und Universitäten angegriffen. Einer Analyse von BAE Systems zufolge läuft QBOT derzeit auf mehr als 54.000 PCs. Da die Schadsoftware nur schwer zu entdecken ist und die Infizierung automatisiert verläuft, besteht die Gefahr, dass QBOT sich weiter verbreitet, es sei denn, Unternehmen und Institutionen ergreifen Maßnahmen, um sich zu schützen.

Adrian Nish, Leiter der Cyber Threat Intelligence bei BAE Systems, sagt: "Viele Einrichtungen des öffentlichen Sektors im Bereich der kritischen Infrastrukturen und Dienstleistungen haben oft nur begrenzte Budgets und werden häufig ein bevorzugtes Angriffsziel. In diesem Fall hatten die Cyberkriminellen Pech, denn einige veraltete PCs führten dazu, dass die Schadsoftware die PCS zum Abstürzen brachte, anstatt sie zu infizieren. Durch diese Serie von Abstürzen wurde die Einrichtung auf die Ausbreitung des Problems aufmerksam."

"Dieser Fall zeigt, dass Einrichtungen des öffentlichen Sektors wachsam bleiben müssen, und dass sie sich gegen neue Cyber-Bedrohungen verteidigen müssen. QBOT tauchte zwar zum ersten Mal bereits im Jahr 2009 auf. Aber um einer Entdeckung zu entgehen und um andere PCS schnell zu infizieren, ist diese neue Version mit modernsten Werkzeugen ausgestattet."

Das Team von BAE Systems hat die Malware untersucht um herauszufinden, wie sie funktioniert und wie gestohlene Daten hochgeladen wurden. Darüber hinaus konnten sie ermitteln, wie die Programmierer die gestohlenen Daten jedes Mal so veränderten, um eine Erkennung und ein Abfangen zu vermeiden. (BAE Systems: ra)

eingetragen: 17.05.16
Home & Newsletterlauf: 14.06.16


BAE Systems: Kontakt und Steckbrief

Über BAE Systems

BAE Systems liefert einige der weltweit führenden technologie-geleiteten Lösungen für Verteidigung, Luftfahrt und Sicherheit. Wir beschäftigen etwa 83.000 hoch qualifizierte Mitarbeiter in über 40 Ländern. In Zusammenarbeit mit Kunden und Partnern vor Ort entwickeln wir Produkte und Systeme, die militärische Kapazitäten bieten, nationale Sicherheit und Menschen schützen und kritische Informationen und Infrastrukturen sichern.

BAE Systems Applied Intelligence ist ein Geschäftsbereich von BAE Systems, der Lösungen bietet, die Kunden helfen, ihre kritischen Ressourcen im Informationszeitalter zu schützen und zu verbessern. Unsere intelligenten Lösungen kombinieren die Auswertung großer Datenmengen, nachrichten- und sicherheitsdienstliche Erkenntnisse, komplexe Dienstleistungen und integrierte Lösungen. Unsere vier Schlüsselbereiche der Expertise sind: Cybersicherheit, Wirtschaftskriminalität, elektronische Aufklärung und digitale Transformation.

Führende Unternehmen und Regierungsstellen nutzen unsere Lösungen, um ihre physische Infrastruktur, unternehmenskritischen Systeme, wertvolles geistiges Eigentum und Unternehmensinformationen, ihre Reputation und Kundenbeziehungen, ihre Wettbewerbsvorteile und ihren finanziellen Erfolg zu schützen und zu verbessern.

Für weitere Informationen über BAE Systems Applied Intelligence, besuchen Sie bitte www.baesystems.com/businessdefence

Kontakt:
BAE Systems Applied Intelligence Germany GmbH, Mainzer Landstraße 50, 60325 Frankfurt am Main, T: +49 (0)69 27 40 15 599, E: patrick.steinmetz(at)baesystems.com

Pressekontakt:
UK:
Nick Haigh, BAE Systems Applied Intelligence, T: +44 (0) 3300 467573, nick.haigh(at)baesystems.com

Deutschland: Wolfgang Dobler, Dobler Communications, T: +49 (0) 69 24 750 3430, E: wd(at)dobler-communications.de

Lesen Sie auch das Adverorial:
BAE Systems Applied Intelligence bietet einzigartigen Schutz für Unternehmen

Lesen Sie auch die Studie:
Eine neue Studie von BAE Systems zeigt, dass "schmutziges Geld" zwischen zwei und fünf Prozent des globalen Bruttoinlandsprodukts ausmacht.
Hier geht es zum pdf:
"Wie schmutziges Geld sich bewegt: Was Sie tun können, um die neueste Entwicklung der Geldwäsche zu bekämpfen" [2.352 KB]

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Lua: Flexibilität durch Modularität

    Eset hat eine neue Malware-Familie entdeckt, die es auf GNU/Linux-Systeme abgesehen hat. Ähnlich wie andere Malware nutzt Linux/Shishiga zur Verbreitung schwache Telnet- und SSH-Anmeldeinformationen aus. Neu ist allerdings die Verwendung des BitTorrent-Protokolls sowie der Skriptsprache Lua. Die Malware verwendet Lua wegen ihrer Flexibilität durch Modularität sowie vier verschiedene Protokolle: SSH, Telnet, HTTP und BitTorrent. Letzteres wurde bereits vergangenes Jahr im vom Mirai-Botnet inspirierten Wurm Hajime genutzt. Die Forscher von Eset gehen davon aus, dass BitTorrent sich in Zukunft zunehmender Beliebtheit bei Malware-Entwicklern erfreuen wird.

  • Botfrei warnt vor Phishing-SMS

    Zahlreiche Nutzer in Deutschland erhielten im April gefälschte SMS. Diese gaben vor, vom Freemailing-Anbieter GMX zu stammen. Doch tatsächlich verbreiteten Cyberkriminelle massiv diese Kurznachrichten mit dem Ziel, Nutzernamen und Passwörter für das E-Mail-Konto der Kunden auszuspionieren. Einen Hinweis darauf, dass hier Cyberkriminelle am Werk sind, lieferten unter anderem die Rechtschreibfehler im SMS-Text: "Ihr Konto wurde im Prüfungsprozess nicht freigegeben. Um die Aussetzung zu vermeiden melden Sie sich bitte bei Ihrem Konto an: hxxp://anmelden.gmx-dc.com/"

  • ATMitch-Fall vervollständigt das Bild

    Als Bankangestellte einen ausgeraubten Geldautomaten vorfanden, ohne erkennbare Spuren physischer Gewaltanwendung oder Malware, standen sie vor einem Rätsel. Die Experten von Kaspersky Lab konnten jetzt in einer zeitaufwendigen Untersuchung die Vorgehensweise der Cyberkriminellen aufdecken: nach einem "fileless" Einbruch ins Banknetzwerk lassen sich mit der Malware ATMitch Geldautomaten in sekundenschnelle und ohne wirklich nachzuverfolgende Spuren ausrauben. Kaspersky Lab veröffentlichte im Februar 2017 einen Bericht über mysteriöse Attacken gegen Banken, die "fileless" beziehungsweise dateilos durchgeführt wurden. Dabei griffen Cyberkriminelle Netzwerke von Banken mit im Speicher versteckter Malware an. Es stellte sich damals die Frage nach dem wahren Grund der Attacken. Der ATMitch-Fall vervollständigt nun das Bild.

  • Turla-Malware wird stetig weiterentwickelt

    Seit geraumer Zeit attackiert die Cyberspionage-Gruppe, die hinter der Turla-Kampagne steckt, immer wieder hochrangige Institutionen in Europa und den USA. Malware Forscher von Eset haben jetzt eine neue Version der Backdoor Carbon entdeckt, die zur Grundausrüstung der Turla-Gruppe gehört. Die Ergebnisse der Analyse präsentiert Eset in einem ausführlichen Bericht. Die Turla-Gruppe entwickelt ihre Malware konstant weiter: In den drei Jahren Entwicklungszeit von Carbon konnten Eset Forscher bis dato acht aktive Versionen identifizieren. Zudem geht die Gruppe bei ihren Angriffen sehr umsichtig vor. Zunächst werden die Systeme potenzieller Opfer ausspioniert, bevor ausgefeilte Tools wie Carbon zum Einsatz kommen.

  • Keine harmlose Erweiterungen im Google Web Store

    Eset beobachtet eine zunehmende Bedrohung durch Malware, die den Webbrowser Chrome kompromittiert. Die Malware leitet den Browser des Benutzers auf eine Webseite um, die schädliche Inhalte enthält. Eset erkennt die Malware als JS/Chromex.Submelius und informiert über die Funktionsweise ausführlich in einem Blogpost. Die Security-Experten von Eset haben die Malware unter anderem auf Webseiten entdeckt, über die Filme online gestreamt werden können. Beim Klick auf eine Wiedergabe-Option öffnet sich fast unbemerkt ein neues Fenster im Browser. Das Pop-Up ist jedoch nicht einfach nur Werbung, sondern blendet einen Warnhinweis ein, der dafür sorgt, dass der Nutzer das Fenster nicht schließen kann. Er wird gezwungen, auf "akzeptieren" zu klicken und wird damit in den Chrome Web Store weitergeleitet. Hier werden dem Nutzer scheinbar harmlose Chrome Erweiterungen wie "Video Downloader Plus" oder "Cursor Bubble" angeboten. Fügt er diese Erweiterung jedoch zu Chrome hinzu, wird sein Browser kompromittiert.