Cyberoam, Spezialist für identitätsbasierte Unified Threat Management (UTM)-Lösungen, hat seinen Q2 2009 Internet Threats Trend Report veröffentlicht. Darin identifiziert das Unternehmen eine Rückbesinnung der Schattenwirtschaft auf traditionelle Methoden: E-Mails waren im zweiten Quartal 2009 wieder eine der wichtigsten Methoden zur Verbreitung von Malware. Auch beim Spam setzten die Cyberkriminellen verstärkt auf bewährte Methoden und verhalfen Image-Spam zu einem Revival. Zunehmend wichtiger wird für die Versender von Spam- und Betrugsmails die Verifikation von E-Mail-Nachrichten. Cyberoam identifizierte mehrere Wellen von Spam-Mails, die nach dem Zufallsprinzip Textbausteine zu aktuellen Themen des Tagesgeschehens kombinierten, um so Spam-Filter zu passieren und die Echtheit der entsprechenden Adresse belegen zu können.

Besonders beliebte Themen für diese Bausteine waren die Wirtschaftskrise, die Schweinegrippe und der Tod von Michael Jackson. Eine wesentliche Erkenntnis des Reports ist auch die Tatsache, dass die Kriminellen den Anwendern dorthin folgen, wo diese am meisten aktiv sind. Cyberoam beobachtete einen erheblichen Anstieg des Malware-Levels auf den beliebten Video-Streaming und Community-Seiten. Allen diesen Angriffen ist gemein, dass sie vor allem auf mangelndes Sicherheitsbewusstsein von Anwendern setzen, die das Ausnutzen technischer Schwachstellen erst ermöglichen.

In den vergangenen 18 Monaten setzten Cyberkriminelle verstärkt auf USB-Sticks und andere ausgefeilte Methoden, um Malware in Unternehmen zu verbreiten. Gleichzeitig war der Anteil von schädlichen E-Mails vergleichsweise gering. Im Juni 2009 kam es jedoch zu einem explosionsartigen Anstieg von Malware im E-Mail-Verkehr. Dieser Angriff, der in der ersten Juni-Hälfte seinen Höhepunkt erreichte, war vor allem deshalb für viele Unternehmen und Anwender bedrohlich, weil traditionelle AV-Engines erst mit 4 bis 80 Stunden Verzögerung auf die plötzliche und ausgefeilte Attacke reagieren konnten. Dies ist vor allem auf aggressive, neue Trojaner-Varianten zurückzuführen, die gleichzeitig verbreitet wurden. Gegen solche Angriffe bieten Virensignaturen keinen ausreichenden Schutz, da diese nur mit einer gewissen Verzögerung erstellt werden und oft nicht alle Varianten eines Schadcodes gleichzeitig blockieren.

Auch beim Phishing setzten die Angreifer auf ausgefeilte Variationen bekannter Angriffsmethoden. Ein Beispiel dafür sind getarnte Umleitungen, die den manipulierten Code auf legitimen Webseiten verbergen, die sie für diesen Zweck gekapert haben. Durch das geschickte Verbergen des Codes können übliche URL-Filter, die Anwender vor solchen Tarn-Links schützen sollen, umgangen werden. Die immer weiter verfeinerten Angriffsmethoden führen dazu, dass auch Anwendungen und Betriebssysteme, die als vergleichsweise gut geschützt gelten, zunehmend gefährdet sind. Cyberoam verzeichnete im zweiten Quartal 2009 einen deutlichen Anstieg bei Malware für Mac OS. Verbreitete Trojaner werden mittlerweile in Varianten für Windows und Mac auf den entsprechenden Webseiten angeboten. Durch die automatische Erkennung des Betriebssystems lädt der Anwender entweder EXE- oder DMG-Dateien herunter, wenn er auf die entsprechenden Links klickt.

“Die Cyberkriminalität ist erwachsen geworden,” sagt Harish Chib, Vice President New Business Development bei Cyberoam. “Die Methoden, die wir in den letzten drei Monaten beobachtet haben, sind nicht grundsätzlich innovativ aber wirkungsvoll. Letztendlich geht es immer darum, Anwender zu Fehlverhalten zu verleiten, ganz egal ob dies der Download einer schädlichen Datei oder die Eingabe wichtiger Daten ist. Das ist besorgniserregend, da dieser einfache Ansatz immer wieder erfolgreich ist – viele Unternehmen wissen viel zu wenig über das, was in ihrem Netzwerk geschieht und können diese Gefahren kaum bemerken. Um ein entsprechend hohes Sicherheitsniveau zu gewährleisten, sollten Unternehmen daher auf eine Kombination aus Netzwerküberwachung und Antivirussoftware setzen.”