VERANSTALTUNGEN

DAHO.AM
24.07.18 - 24.07.18
In München

2. Jahrestagung Cyber Security Berlin
11.09.18 - 12.09.18
In Berlin

DILK 2018
17.09.18 - 19.09.18
In Düsseldorf

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Ein Team von Cyber-Experten hat eine neue Variante der bösartigen QBOT-Software identifiziert, die mehr als 54.000 PCs in Tausenden von Organisationen weltweit infiziert hat. 

Durch einen QBOT-Angriff auf eine Institution des öffentlichen Sektors hatte BAE Systems die Gelegenheit näher zu untersuchen, wie die aktualisierte Version der Schadsoftware PCs infiziert, wie sie sich selbst aktualisiert und weshalb sie von den meisten Antivirenprogrammen nicht entdeckt wird.

Analysten von BAE Systems entdeckten Anfang 2016, als bei einem Angriff auf diese Institutionmehr als 500 PCs infiziert wurden, dass an der ursprünglichen QBOT Malware eine Reihe von Änderungen vorgenommen wurden, die es erschwerten, diese zu entdecken und abzuwehren. Eine der Änderungen bewirkte, dass jedes Mal, wenn der Code der Malware ausgegeben wurde, dieser zusätzliche Inhalte hatte. Dadurch sah er für diejenigen, die nach bestimmten Signaturen von Malware fahnden, wie ein komplett neues Programm aus.

Darüber hinaus erzeugen automatisierte Aktualisierungen der Malware alle sechs Stunden neue verschlüsselte Versionen, wodurch die Bemühungen, die Software auf den Kunden-PCs zu aktualisieren, konterkariert wurden. Dies half dem Virus sich weiter zu verbreiten. Die neue QBOT-Schadsoftware prüft auch, ob Anzeichen dafür vorliegen, dass sie sich in einer sogenannten „Sandbox“ befindet – ein Werkzeug, das verwendet wird, um Malware zu erkennen, bevor es den Posteingang der PC-Nutzer erreicht. Diese Methode wird von vielen Institutionen als Verteidigungsmaßnahme gegen bösartige E-Mail-Inhalte genutzt. Die Ersteller der Malware unternehmen nun große Anstrengungen, diese zu überlisten.

Professionelle Cyber-Kriminelle haben vor allem öffentliche Einrichtungen wie Polizeistationen, Krankenhäuser und Universitäten angegriffen. Einer Analyse von BAE Systems zufolge läuft QBOT derzeit auf mehr als 54.000 PCs. Da die Schadsoftware nur schwer zu entdecken ist und die Infizierung automatisiert verläuft, besteht die Gefahr, dass QBOT sich weiter verbreitet, es sei denn, Unternehmen und Institutionen ergreifen Maßnahmen, um sich zu schützen.

Adrian Nish, Leiter der Cyber Threat Intelligence bei BAE Systems, sagt: „Viele Einrichtungen des öffentlichen Sektors im Bereich der kritischen Infrastrukturen und Dienstleistungen haben oft nur begrenzte Budgets und werden häufig ein bevorzugtes Angriffsziel. In diesem Fall hatten die Cyberkriminellen Pech, denn einige veraltete PCs führten dazu, dass die Schadsoftware die PCS zum Abstürzen brachte, anstatt sie zu infizieren. Durch diese Serie von Abstürzen wurde die Einrichtung auf die Ausbreitung des Problems aufmerksam.“

„Dieser Fall zeigt, dass Einrichtungen des öffentlichen Sektors wachsam bleiben müssen, und dass sie sich gegen neue Cyber-Bedrohungen verteidigen müssen. QBOT tauchte zwar zum ersten Mal bereits im Jahr 2009 auf. Aber um einer Entdeckung zu entgehen und um andere PCS schnell zu infizieren, ist diese neue Version mit modernsten Werkzeugen ausgestattet.“

Das Team von BAE Systems hat die Malware untersucht um herauszufinden, wie sie funktioniert und wie gestohlene Daten hochgeladen wurden. Darüber hinaus konnten sie ermitteln, wie die Programmierer die gestohlenen Daten jedes Mal so veränderten, um eine Erkennung und ein Abfangen zu vermeiden.

Weitere Informationen:

Das Weißbuch von BAE Systems über die QBOT Schadsoftware steht zum Download hier zur Verfügung.

www.baesystems.com/en

GRID LIST
Tb W190 H80 Crop Int E7a8b89f75abe1fb53b06b0c62573fe1

Wechsel in der Geschäftsführung bei WMD

Die Firmengründer und langjährigen Geschäftsführer der WMD Group, Andreas Karge (58) und…
Tb W190 H80 Crop Int 94655a3c94158d83b53e2a11085f8d4e

Ammyy Admin Tool durch Malware kompromittiert

Cyberkriminelle agieren unter dem Deckmantel der sich zu Ende neigenden…
Handschlag

Basware und Xerox gehen Partnerschaft im Bereich Managed Services ein

Basware, ein weltweites Unternehmen im Bereich vernetzter Source-to-Pay-Lösungen,…
Tastatur

Thermanator - Passwort knacken mit Wärmebildkamera

Der Diebstahl von Passwörtern geschieht nicht nur durch Software und Social Engineering -…
Tb W190 H80 Crop Int 47c0bea719fe75abd44dbc01d6b4d196

Portal Visions: Lösungen mit der Low-Code-Plattform Intrexx

Industrie 4.0, neue Anforderungen bei der internen Kommunikation und sich immer schneller…
Hacker in Kamera

Neue Malware missbraucht Signatur von D-Link

Forscher des Sicherheitsspezialisten ESET sind auf eine Malware-Kampagne gestoßen, die…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security