- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

RAMNIT 2.0: Gefährlicher denn je


Totgesagte leben länger: Der Banken-Trojaner RAMNIT ist zurück – auch in Deutschland
RAMNIT ist ein Banken-Trojaner, der seit 2010 sein Unwesen treibt und vertrauliche Informationen wie Kontodaten stiehlt

- Anzeigen -





Von Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro

Das Internet vergisst nichts. Diese Erfahrung müssen leider auch Sicherheitsanbieter und Ermittlungsbehörden immer wieder machen. Zwar werden die Schlagzeilen von den neuesten Bedrohungen und Abwehrtechniken beherrscht, doch sollte man nicht den Fehler machen, "alte" Bedrohungen und Taktiken von Cyberkriminellen zu unterschätzen. Der totgeglaubte Bankentrojaner RAMNIT, der 2016 ein wahres Comeback gefeiert hat, ist ein perfektes Beispiel dafür.

RAMNIT ist ein Banken-Trojaner, der seit 2010 sein Unwesen treibt und vertrauliche Informationen wie Kontodaten stiehlt. Europol wollte dem Treiben Einhalt gebieten und nahm im Februar 2015 einige Befehls- und Kontrollserver vom Netz, von denen aus der Trojaner auf den infizierten Rechnern der Anwender gesteuert wurde. Zu diesem Zeitpunkt gingen die Behörden von 3,2 Millionen erfolgreichen Infektionen aus.

Doch nur wenige Monate später tauchte der Schädling wieder auf, nämlich im Dezember 2015, nur gefährlicher denn je. So nisten sich die neuen Varianten in alle laufenden Prozesse ein, um permanent im Speicher ausgeführt zu werden, und löschen Registrierungseinträge von Sicherheitslösungen, um nicht entdeckt zu werden. In der Tat war RAMNIT, weltweit gesehen, in jedem Quartal des vergangenen Jahres die Top-Banking-Malware. Und selbst in Deutschland, wo das Online-Banking im Vergleich zu anderen Ländern sehr sicher ist, taucht RAMNIT auf den vorderen Plätzen der Liste mit Internetbedrohungen auf.

Der Infektionsweg ist immer derselbe: Spam-Nachrichten mit Links auf infizierte Webseiten, von denen aus der Schädling auf die Rechner der Anwender heruntergeladen wird. Bekannte Schadsoftware, bekannter Infektionsweg – es gibt viele solcher Beispiele, die belegen, dass der Kampf gegen Bedrohungen im Netz dem gegen das Schlangenungeheuer Hydra gleicht. Haut man ihr den Kopf ab, wachsen zwei neue nach. Der Bankentrojaner DRIDEX ist übrigens neben RAMNIT ein weiterer Fall "wundersamer" Wiederauferstehung, nachdem er 2015 vom FBI ins Visier genommen wurde.

Auch wenn heute in der aktuellen Sicherheitsdiskussion viel über IoT-Geräte, Sicherheitslücken und das Aufspüren unbekannter Bedrohungen mittels neuer Technologien wie maschinelles Lernen die Rede ist, darf das Alte nicht in Vergessenheit geraten. Das beste Mittel gegen Risiken wie RAMNIT-Infektionen ist der gute alte Spam-Filter – neben der Wachsamkeit und einem gesunden Misstrauen der Anwender. Schließlich sollte man niemals auf unbekannte und unaufgefordert zugeschickte Links in E-Mail-Nachrichten klicken.

Generationenübergreifende Sicherheit
Die Cyberkriminellen rüsten ständig auf. So gleicht der RAMNIT 2016 in vielen Aspekten nicht mehr dem Original von 2010. Gleichzeitig setzen sie jedoch auf Bewährtes und entwickeln nicht nur ständig neuartige Bedrohungen, sondern auch bestehende weiter. Dementsprechend können IT-Sicherheitsanbieter nicht auf eine einzige Abwehrmethode setzen, so innovativ und effektiv sie auch sein mag. Für das beste Schutzniveau sorgen immer noch mehrschichtige Lösungen, die alte und neue Bedrohungen erkennen und abwehren können und sozusagen generationenübergreifend Sicherheitstechnologien in sich vereinen. (Trend Micro: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 29.03.17


Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Techniken gegen virtuelle Maschinen

    Nach Angaben von IT-Sicherheitsunternehmen ist eine neue Variante des IoT/Linux Botnets Tsunami aufgetaucht. "Amnesia" richtet sich gegen nicht gepatchte Schwachstellen bei der Remote-Code-Ausführung in DVR-Geräten von TVT Digital. Geräte, die von mehr als 70 verschiedenen Hersteller weltweit unter deren Marke vertrieben werden. Betroffen sind rund 227.000 Geräte weltweit vornehmlich in Taiwan, den USA, Israel, der Türkei und Indien. Sicherheitsforscher gehen davon aus, dass dies eine der ersten Malware-Varianten ist, die fortgeschrittene Techniken gegen virtuelle Maschinen richtet, um die Malware-Analyse in Sandboxing-Umgebungen auszuhebeln. Wenn die Malware eine virtuelle Maschine findet, löscht sie das virtualisierte Linux-System indem sie alle Dateien im System vernichtet.

  • Instagram-Optik weckt Vertrauen

    Wieder einmal wurde der Google Play Store zum Einfallstor für Hacker: Forscher von Eset haben insgesamt 13 Fake-Apps entdeckt, welche vorgaben, Tools für das Erhöhen oder Steuern von Instagram-Follower-Zahlen zu sein. Ziel der Angreifer waren Anmeldedaten der beliebten Social-Media-Plattform. Google hat bereits reagiert und nach dem Hinweis der Eset Forscher sämtliche betroffene Apps aus dem Google Play Store entfernt. Lohnendes Geschäftsmodell: Zum ersten Mal kamen die Programme - beispielsweise "Instagram Followers", "Followers Insta" oder "Fast Followers for Instagram" - in der Türkei auf. Einige davon nutzen eine englische Lokalisierung, um Instagram-Nutzer weltweit zu erreichen. Insgesamt wurden die verschiedenen Apps 1,5 Millionen Mal heruntergeladen. Um Nutzer zum Download zu verleiten, versprachen sie ihnen einen rapiden Anstieg von Followern, Likes und Kommentaren für ihre Instagram-Accounts. Ironischerweise wurden die gehackten Accounts dazu genutzt, die Follower-Zahlen anderer Nutzer zu steigern: Die Remote-Server, an welche die Anmeldedaten gesendet wurden, betreiben Webseiten, auf denen Usern verschiedene Pakete für Beliebtheits-Booster auf Instagram angeboten werden. Für die Betreiber ist das ein lohnendes "Geschäftsmodell".

  • Sathurbot: Botnet greift WordPress-Seiten an

    Kostenlose Filme und Software: Damit lockt der Trojaner Sathurbot Nutzer, um ihre Rechner zu infizieren und mit einem wachsenden Botnet WordPress-Webseiten anzugreifen. Der europäische Security-Software-Hersteller Eset hat Sathurbot analysiert und stellt die Ergebnisse in einem ausführlichen Bericht vor. Sathurbot hat es auf Webseiten abgesehen die das Content Management System WordPress verwenden. Mit mehr als 5.000 grundlegenden generischen Wörtern versucht die Malware, Anmeldeinformationen für WordPress-Webseiten zu erstellen. Verschiedene Bots im Sathurbot-Botnet probieren unterschiedliche Anmeldeinformationen auf der gleichen Website aus.

  • Aktivitäten der Hackergruppe Callisto

    Einem Bericht der F-Secure Labs zufolge hat eine bis dato noch unbekannte Hackergruppe in den letzten Jahren aktiv nachrichtendienstliche Informationen über die Außen- und Sicherheitspolitik in Osteuropa und dem südlichen Kaukasus gesammelt. Der Bericht beschreibt die Callisto Gruppe als hoch motivierte und ressourcenstarke Hacker und ernst zu nehmende Bedrohung, die seit mindestens 2015 Cyberattacken auf Militärpersonal, Regierungsangestellte, Journalisten und Think Tanks durchgeführt hat.

  • Malware-Scanner umgehen

    Panda Security hat einen neuen Trojaner namens RDPPatcher entdeckt. Das Ungewöhnliche an dieser Ransomware ist, dass sie nicht dazu genutzt wird, Anmeldedaten zu stehlen. Stattdessen sammelt sie so viele Daten wie möglich. Der Trojaner wurde offenbar speziell dafür entwickelt, die infizierten Systeme zu inventarisieren und insbesondere nach POS-, ATM- und Online-Glücksspielsoftware zu suchen. Ziel dieser Hacker-Methode ist es, den Zugriff auf die Geräte an spezialisierte Gruppen von Cyberkriminellen zu verkaufen. In jüngster Zeit verzeichnen die PandaLabs, Panda Securitys Anti-Malware-Labor, einen starken Aufwärtstrend bei Malware, die mithilfe eines Remote Desktop Protokolls (RDP) installiert wird. Jeden Tag registrieren die PandaLabs-Experten inzwischen Tausende von Infektionsversuchen, die eine Sache gemeinsam haben: Den Zugriff auf infizierte Systeme über RDP, nachdem man mittels Brute-Force-Methode in den Besitz der Anmeldedaten gelangt ist.