- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

RAMNIT 2.0: Gefährlicher denn je


Totgesagte leben länger: Der Banken-Trojaner RAMNIT ist zurück – auch in Deutschland
RAMNIT ist ein Banken-Trojaner, der seit 2010 sein Unwesen treibt und vertrauliche Informationen wie Kontodaten stiehlt

- Anzeigen -





Von Udo Schneider, Pressesprecher beim japanischen IT-Sicherheitsanbieter Trend Micro

Das Internet vergisst nichts. Diese Erfahrung müssen leider auch Sicherheitsanbieter und Ermittlungsbehörden immer wieder machen. Zwar werden die Schlagzeilen von den neuesten Bedrohungen und Abwehrtechniken beherrscht, doch sollte man nicht den Fehler machen, "alte" Bedrohungen und Taktiken von Cyberkriminellen zu unterschätzen. Der totgeglaubte Bankentrojaner RAMNIT, der 2016 ein wahres Comeback gefeiert hat, ist ein perfektes Beispiel dafür.

RAMNIT ist ein Banken-Trojaner, der seit 2010 sein Unwesen treibt und vertrauliche Informationen wie Kontodaten stiehlt. Europol wollte dem Treiben Einhalt gebieten und nahm im Februar 2015 einige Befehls- und Kontrollserver vom Netz, von denen aus der Trojaner auf den infizierten Rechnern der Anwender gesteuert wurde. Zu diesem Zeitpunkt gingen die Behörden von 3,2 Millionen erfolgreichen Infektionen aus.

Doch nur wenige Monate später tauchte der Schädling wieder auf, nämlich im Dezember 2015, nur gefährlicher denn je. So nisten sich die neuen Varianten in alle laufenden Prozesse ein, um permanent im Speicher ausgeführt zu werden, und löschen Registrierungseinträge von Sicherheitslösungen, um nicht entdeckt zu werden. In der Tat war RAMNIT, weltweit gesehen, in jedem Quartal des vergangenen Jahres die Top-Banking-Malware. Und selbst in Deutschland, wo das Online-Banking im Vergleich zu anderen Ländern sehr sicher ist, taucht RAMNIT auf den vorderen Plätzen der Liste mit Internetbedrohungen auf.

Der Infektionsweg ist immer derselbe: Spam-Nachrichten mit Links auf infizierte Webseiten, von denen aus der Schädling auf die Rechner der Anwender heruntergeladen wird. Bekannte Schadsoftware, bekannter Infektionsweg – es gibt viele solcher Beispiele, die belegen, dass der Kampf gegen Bedrohungen im Netz dem gegen das Schlangenungeheuer Hydra gleicht. Haut man ihr den Kopf ab, wachsen zwei neue nach. Der Bankentrojaner DRIDEX ist übrigens neben RAMNIT ein weiterer Fall "wundersamer" Wiederauferstehung, nachdem er 2015 vom FBI ins Visier genommen wurde.

Auch wenn heute in der aktuellen Sicherheitsdiskussion viel über IoT-Geräte, Sicherheitslücken und das Aufspüren unbekannter Bedrohungen mittels neuer Technologien wie maschinelles Lernen die Rede ist, darf das Alte nicht in Vergessenheit geraten. Das beste Mittel gegen Risiken wie RAMNIT-Infektionen ist der gute alte Spam-Filter – neben der Wachsamkeit und einem gesunden Misstrauen der Anwender. Schließlich sollte man niemals auf unbekannte und unaufgefordert zugeschickte Links in E-Mail-Nachrichten klicken.

Generationenübergreifende Sicherheit
Die Cyberkriminellen rüsten ständig auf. So gleicht der RAMNIT 2016 in vielen Aspekten nicht mehr dem Original von 2010. Gleichzeitig setzen sie jedoch auf Bewährtes und entwickeln nicht nur ständig neuartige Bedrohungen, sondern auch bestehende weiter. Dementsprechend können IT-Sicherheitsanbieter nicht auf eine einzige Abwehrmethode setzen, so innovativ und effektiv sie auch sein mag. Für das beste Schutzniveau sorgen immer noch mehrschichtige Lösungen, die alte und neue Bedrohungen erkennen und abwehren können und sozusagen generationenübergreifend Sicherheitstechnologien in sich vereinen. (Trend Micro: ra)

eingetragen: 13.03.17
Home & Newsletterlauf: 29.03.17


Trend Micro: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Neue Angriffsstrategie über Firefox

    Seit 2007 attackiert die Cyberspionage-Gruppe Turla Regierungen sowie Regierungsvertreter und Diplomaten. Nun hat sie ihrem Arsenal ein neues Werkzeug hinzugefügt: Eset hat eine neue Angriffsstrategie analysiert, bei der die Gruppe eine Firefox-Erweiterung nutzt, um das beliebte soziale Netzwerk Instagram für ihre Zwecke zu missbrauchen. Die Taktik der Turla-Gruppe besteht üblicherweise in der Kompromittierung von Webseiten, die von den anvisierten Opfern häufiger aufgerufen werden - sogenannte "Watering-Hole-Attacken". Einmal ins Netz gegangen, werden die Nutzer auf einen Command-and-Control-Server (C&C) umgeleitet, über den die Geräte der Opfer Befehle empfangen und überwacht werden können.

  • Durch Manipulation Anzeigenklicks

    Check Point Software Technologies hat den Schädling Fireball enttarnt. Hinter der Schadsoftware steckt mutmaßlich die chinesische Marketing-Agentur Rafotech in Peking. Mit der auf über 250 Millionen Systemen verteilten Software könnten Cyberkriminelle weltweit Cyberattacken starten. Rafotech ist auf digitales Marketing spezialisiert und nutzt Fireball, um durch Manipulation Anzeigenklicks zu erzeugen. Dabei kapern sie den Online-Traffic der Nutzer und generieren so Umsatz durch Werbeeinnahmen. Aktuell werden vor allem Plug-Ins und weitere Konfigurationen installiert. Damit bewegt sich die Agentur in China in einer rechtlichen Grauzone.

  • Malware in Google-Play

    Check Point Software Technologies hat eine umfangreiche Angriffswelle mit 41 infizierten Apps im Google Play Store entdeckt. Der Schädling Judy wurde mindestens 8.5 Millionen Mal heruntergeladen. Ein Großteil der schädlichen Applikationen wurde von einem koreanischen Unternehmen namens Kiniwini entwickelt. Die Organisation entwickelt normalerweise Programme für iOS und Android, trat aber bisher nicht als Malware-Programmierer in Erscheinung. Nach einer Infektion generiert Judy Einnahmen durch Klicks auf Werbebanner. Dabei verfügt die Schadsoftware über Tarnmechanismen, um die Bouncer-Sicherheitsmechanismus von Google zu umgehen.

  • Hajime ein flexibles Bot-Netz

    Radware warnt vor dem immensen Zerstörungspotential des Botnets Hajime, das bisher einem sogenannten White Hat Hacker zugeordnet wird. Zwar habe der Entwickler des Bots diesen offensichtlich nach wie vor unter Kontrolle und bisher auch keine bösen Absichten erkennen lassen, so Radware, doch das Potential dieses Botnets sei verlockend. So könnten andere Hacker versuchen, Hajime zu hijacken und für ihre eigenen Zwecke zu gebrauchen. Zudem stelle sich die Frage, warum der Entwickler das Botnet so aggressiv ausbaut, wenn er damit keine bösen Absichten verfolgt. Hajime ist ein sehr ausgefeiltes, gut durchdachtes und flexibles Botnetz, das sich selbst updaten kann, um seinen "Mitgliedern" schnell und sicher neue Funktionalitäten zu verleihen. Es befällt wie Mirai IoT-Geräte mit offenen Telnet-Ports.

  • "Boost Views" greift PayPal-Zahlungsdaten ab

    Fürs Videoschauen bezahlt werden, den Traffic des YouTube-Kanals steigern oder ganz einfach vom Smartphone aus Bitcoins kaufen und verkaufen? Die Entwickler der Fake-Apps "Boost Views" und "PaxVendor" möchten Android-User glauben lassen, dass sie die passenden Anwendungen dafür bieten. Dabei haben es die Cyberkriminellen nur auf die Zahlungsdaten der Nutzer abgesehen. Der europäische Security-Software-Hersteller ESET hat beide Fake-Apps enttarnt und stellt die Analyse in einem ausführlichen Blogpost vor. Unter dem Deckmantel, eine YouTube-bezogene Dienstleistung anzubieten, hat sich "Boost Views" auf bis zu 100.000 Geräte geschlichen. Die App verspricht Nutzern, Einnahmen durch das Ansehen von Videos zu generieren. Die angeblich angehäufte Gutschrift sollen die Nutzer auf ihr PayPal-Konto transferieren können. Dafür werden sie aufgefordert, ihre Login-Daten in ein ungesichertes Authentifizierungsformular einzugeben.