Malware in den Medien - der Juni ist "Feuer und Flamme"
Feuer im Loch ist eine Warnung, dass eine Explosion bevorsteht. Früher riefen die Bergleute dies dreimal, bevor sie das Dynamit zündeten. Damals wurde Dynamit verwendet, um Felsen zu sprengen und Tunnel zu graben, um Kohle zu fördern. Das Militär übernahm diesen Ausdruck, um vor einer bevorstehenden Explosion zu warnen.
Der erste Kandidat für diesen Blog in diesem Monat war eine Adware mit dem Namen "Fireball", der mit Explosionen zu tun hat. Fireball wird von einer chinesischen Agentur für digitales Marketing betrieben. Dieser Browser-Hijacker wird mit signierter Software gebündelt und verwandelt infizierte PCs in so genannte Zombies (um Werbeeinnahmen zu generieren). Nach Angaben von Kontrollpunkt Fireball hatte über 250 Millionen PCs infiziert. Die Schätzung von Checkpoint basierte auf der Anzahl der Seitenaufrufe, zu denen der Browser-Hijacker die infizierten PCs umleitete.
Microsoft einen Artikel veröffentlicht, in dem erklärt wird, dass sie die Fireball-Adware-Familie seit 2015 identifizieren. Die monatlichen Daten, die das Malicious Software Removal Tool (MSRT) von 500 Millionen PCs weltweit gesammelt hat, zeigen eine viel geringere Verbreitung der Infektion. Von September 2016 bis Juni 2017 wurden weniger als 11 Millionen Fireball-Infektionen durch das MSRT neutralisiert. Die Bedrohung ist zwar real, aber die gemeldeten Auswirkungen dieser Adware-Familie sind möglicherweise übertrieben.
Daher geht der Titel "Malware in den Medien" in diesem Monat an Malware, die Infrastrukturen angreift. Der Juni war der Monat, in dem die Ukraine und die Nachfolger von Stuxnet die Medien beherrschten. Zuerst wurden "Industroyer" und "Crash Override" entdeckt von ESET (Industroyer) und Dragos (Override), sechs Monate nachdem sie einen Stromausfall in der Ukraine verursacht hatten. Das Besondere an dieser Malware war, dass sie gezielt, autonom und automatisch auf die Strominfrastruktur abzielte (McAfee).
Innerhalb von zwei Wochen sorgte "Petya.A oder NoPetya", ein weiterer Ableger von Stuxnet, weltweit für Schlagzeilen. Diese Malware hatte die Server von Buchhaltungssoftware kompromittiert. Die IT-Systeme der Kunden wurden durch ein Update infiziert, das von diesen Servern verteilt wurde und die NoPetya-Malware enthielt. Erneut wurde die Ukraine schwer getroffen (ESET). Bald werden Comae Technologies und Kaspersky Labs entdeckte, dass es sich bei dieser Malware nicht um Ransomware handelte, sondern um einen Disk Wiper ohne die Absicht oder Möglichkeit, die gelöschten Dateien wiederherzustellen.
Dieses Verhalten und der Zufall, dass "Petya.A oder NoPetya" die Verkleinerungsform von "Pjotr" oder "Petro" ist, dem Vornamen des derzeitigen Präsidenten der Ukraine (Petro Poroschenko), nährten Spekulationen über einen Cyberkrieg. Spekulationen hin oder her, es ist eine klare Warnung, dass Unternehmen und Regierungen ihre digitalen Schutzmaßnahmen für kritische Infrastrukturen überdenken müssen. Wir möchten mit einem Zitat von ESET Senior Malware Researcher Anton Cherepanov schließen: "Der jüngste Angriff auf das ukrainische Stromnetz sollte ein Weckruf für alle sein, die für die Sicherheit kritischer Systeme auf der ganzen Welt verantwortlich sind": Feuer im Loch . . .
