Halbjahresbericht - EJPD - admin.ch
Halbjahresbericht - EJPD - admin.ch
Halbjahresbericht - EJPD - admin.ch
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Informationssi<strong>ch</strong>erung - Lage in der S<strong>ch</strong>weiz und international<br />
Eine Eins<strong>ch</strong>ätzung der Bedrohungslage ist in Kapitel 2.3 zu finden, während in Kapitel 3.3<br />
eine Prognose über die Entwicklung der Bedrohung vorgenommen wird. Informationen über<br />
diese Art der Angriffe, inklusive Anleitungen zur korrekten Konfiguration von DNS-Servern,<br />
sind in der Fussnote zu finden. 16<br />
Erpressung und Datenzerstörung mit Hilfe von Malware : Daten vers<strong>ch</strong>lüsselnde<br />
(Ransomware) oder Daten lös<strong>ch</strong>ende Malware nimmt zu<br />
Obwohl der Trend in Ri<strong>ch</strong>tung unauffälliger und zielgeri<strong>ch</strong>teter Malware zwecks Spionage,<br />
Datendiebstahl oder Aufbau eines Botnetzes geht (siehe Kapitel 2.1, 2.3 und 2.4), sind im<br />
ersten Halbjahr 2006 diverse Fälle aufgetau<strong>ch</strong>t, bei denen Daten auf der Festplatte gelös<strong>ch</strong>t<br />
oder vers<strong>ch</strong>lüsselt wurden. Na<strong>ch</strong> der Vers<strong>ch</strong>lüsselung verlangt der Malware-Autor Geld zur<br />
Ents<strong>ch</strong>lüsselung der Daten, weshalb die bei dieser Art von Angriffen eingesetzte Malware<br />
allgemein als Ransomware (ransom: engl. für Lösegeld) bezei<strong>ch</strong>net wird.<br />
Im Januar tau<strong>ch</strong>te ein E-Mail-Wurm auf, der je na<strong>ch</strong> Antivirenhersteller Nyxem, Blackmal,<br />
Mywife oder Tearec benannt wurde. Im Gegensatz zu der in den letzten Jahren im Umlauf<br />
befindli<strong>ch</strong>en Malware ohne S<strong>ch</strong>adfunktion, versu<strong>ch</strong>te Nyxem, immer am 3. des Monats sämtli<strong>ch</strong>e<br />
Dokumente auf der Festplatte des infizierten PCs zu lös<strong>ch</strong>en. Die erste grosse Lös<strong>ch</strong>welle<br />
wurde für den 3. Februar erwartet. Während zu Beginn bei Si<strong>ch</strong>erheitsexperten no<strong>ch</strong><br />
Alarmstimmung herrs<strong>ch</strong>te, wurde bald klar, dass der Wurm eher Heimnutzer und kleine Firmen<br />
treffen würde, da er Administratorenre<strong>ch</strong>te benötigte und bereits vor dem 3. Februar<br />
von Antivirensoftware erkannt werden konnte. Entspre<strong>ch</strong>end stellte si<strong>ch</strong> dann na<strong>ch</strong> dem 3.<br />
Februar au<strong>ch</strong> heraus, dass ni<strong>ch</strong>t wie zunä<strong>ch</strong>st befür<strong>ch</strong>tet Millionen, sondern nur Tausende<br />
von Re<strong>ch</strong>nern infiziert waren. Bemerkenswert an Nyxem ist die Tatsa<strong>ch</strong>e, dass der Programmierer<br />
im Gegensatz zu sonst eingesetzter Malware offensi<strong>ch</strong>tli<strong>ch</strong> keine finanziellen<br />
Interessen verfolgte.<br />
Erstmals seit dem Mai 2005 tau<strong>ch</strong>te im März Malware auf (Zippo-A oder Cryzip), wel<strong>ch</strong>e die<br />
Festplatte na<strong>ch</strong> Word-Dokumenten, Datenbanken oder Tabellenkalkulationen dur<strong>ch</strong>su<strong>ch</strong>te<br />
und in ein passwortges<strong>ch</strong>ütztes Zip-Ar<strong>ch</strong>iv vers<strong>ch</strong>ob. Eine Na<strong>ch</strong>ri<strong>ch</strong>t informierte den Computerbenutzer,<br />
er hätte 300 US$ zu überweisen, um das für die Rettung seiner Dateien notwendige<br />
Passwort zu erhalten. Ende April drohte Ransom-A, es würde von nun an alle 30<br />
Minuten eine Datei in einen unsi<strong>ch</strong>tbaren Ordner vers<strong>ch</strong>oben. Erst na<strong>ch</strong> der Bezahlung von<br />
10,99 US$ via Western Union erhalte man den zur Freis<strong>ch</strong>altung der Dateien benötigten<br />
Code. Nur wenige Tage später verlangte Arhiveus-A (oder MayAlert) na<strong>ch</strong> der Vers<strong>ch</strong>lüsselung<br />
der Dateien auf betroffenen Festplatten, dass für die Freis<strong>ch</strong>altung der Dateien auf drei<br />
Webseiten Medikamente gekauft werden müssten, wie sie gewöhnli<strong>ch</strong> in Spam-Mails beworben<br />
werden. Im Juni tau<strong>ch</strong>te mit DigiKeyGen eine Malware auf, die freien Zugang zu<br />
Hardcore-Pornoseiten im Internet verspro<strong>ch</strong>en hatte – na<strong>ch</strong> der Installation wurde jedo<strong>ch</strong><br />
weitere Malware na<strong>ch</strong>geladen und dem User eine Software zu deren Entfernung für 49,95<br />
US$ angeboten.<br />
Während Antivirenhersteller bisher sämtli<strong>ch</strong>e Passwörter knacken und so die Lösegeldforderungen<br />
ents<strong>ch</strong>ärfen konnten, ist künftig damit zu re<strong>ch</strong>nen, dass auf diese Weise vers<strong>ch</strong>lüsselte<br />
Daten ohne die Hilfe des Angreifers ni<strong>ch</strong>t mehr rekonstruierbar sein werden.<br />
In Kapitel 6.3 s<strong>ch</strong>lägt MELANI Massnahmen zur Bekämpfung dieser Bedrohung vor.<br />
16 DNS-Amplification-Attacks: http://www.isotf.org/news/DNS-Amplification-Attacks.pdf; DNS-Recursion Attacks,<br />
inklusive Best Practices für die korrekte Konfiguration von DNS-Servern: www.us-cert.gov/reading_room/DNSrecursion121605.pdf<br />
(beide Stand: 16.08.2006).<br />
MELANI – <strong>Halbjahresberi<strong>ch</strong>t</strong> 2006/I<br />
14/32