Ein kurzer Einblick… - EDU\|days...© IKARUS Security Software GmbH 01.04.2016 1...

01.04.2016 © IKARUS Security Software GmbH 1

"Malwareindustrie und ihre Angriffsmethoden“ Ein kurzer Einblick…

EDU Days Krems, 30.03.2016

DI Christoph Barszczewski Business Relation Manager

IKARUS Security Software GmbH Blechturmgasse 11

1050 Wien

Aus dem Inhalt

Malware-Business & Cashflow: Angreifer und Motive

Aktuelle Angriffsmethoden: Beispiel 1 – Ransomware und

Cryptolocker

Aktuelle Angriffsmethoden: Beispiel 2 – Scamming für Anfänger

IKARUS für Schulen, IT-BetreuerInnen, IT-Kustoden, LehrerInnen

DI Christoph Barszczewski, IKARUS Security Software GmbH:

„Ein Flugzeug am Boden ist 100% sicher, aber dafür nicht geschaffen! “ „Ein Computer kann nicht 100% sicher sein!“

Malwareindustrie?

Malwareindustrie = Raubrittertum 2.0

Script-Kiddie Hobbyist Hacker Specialist Expert

Curiosity

Personal Fame

Personal Gain

Business Interest

Vandal

Author

Trespasser

Government Interest

Malware als Business, Malware als Business, Malware als Business,

Malware Business & Cashflow

Malware Business & Cashflow – Beispiel:

Cytadel – ein Beispiel der Internationalisierung:

1. Cytadelentwickler: Brasilien 2. Botnetzvertreiber: Niederlande 3. Exploit: Russland 4. C&C Server: Russland/Indien 5. Ransome Trojaner: aus USA 6. Ransome Trojaner Vertrieb: China 7. Geldüberweisungen: Nigeria 8. Geldtransfer: Estonien/Usbekistan

Neue Berufsgruppen und Marktsegmente:

• Exploit Writer / Kit Operator • Malware Writer • Botnet Operator • Malicious Web Hoster / Website Hijacker • Malicious ISP / DNS Operator • C & C Host / Operator • Pisher & Pharmer • Spam Content Provider …

Catch me if you can …

Automatisierung Arbeitsteilung und Modularisierung Malware als Produkt

Wer taugt als Opfer für Ransomware?

Generell:

Jeder der Geld hat und bereit ist aus welchem Grund auch

immer Lösegeld zu zahlen!

Ransomware - Angriffsziele

Betriebssysteme: Windows, Linux, AndroidOS, iOS (Jail Broken)

Privatanwender: • kein Backups, oder • USB HDs, welche an Geräte direkt angeschlossen sind

• Wichtige Dateien wie persönliche Zahlungsbestätigungen, Zugangsdaten, Diplomarbeiten bis zu Manuskripten

Firmen: • Backup UND Desaster Recovery als Fremdwort?

• Backup zwar vorhanden aber für die aktuelle Szenarien nicht ausreichend

Zahlungsmethode: • Locker Ransomware / Voucher Codes (ukashi, usw.) • Crypto Ranssomware / Bitcoin

2015 über 118.000 neue Ransomvarianten (binaries) pro Monat • Locker Varianten 37%

• Crypto Varianten 63 %

Ransomware

Gib es in 2 Ausprägungen:

Lockerware

• sperrt den Zugriff

Cryptoware

• verschlüsselt die Dateien

Lockerware

Zugriff auf Computer/Device wird „gesperrt“

Dateien des Users selbst bleiben unberührt

Verteilung: über Websites, seltener über E-Mail-Anhänge

Preise variiert je Variante und Land zwischen 40 und 100 €

Mindestens 15% der Privatpersonen mit infizierten Rechnern

zahlen das Lösegeld

Leicht zu entfernen (Rechner zurücksetzen, executable aus

„appdata/local/temp“ entfernen …)

BP Trojaner – Varianten/Unterschiede: Stichprobe aus unserem Sample-Set

Lockerware

1.01 1.02 1.03

Support Forum Support Forum Support Forum

1.04 1.05 1.06

1.07 1.08 1.09

1.10 1.11 1.12

1.13 1.14 1.15

GEMA / SUISA / GVU

2.01 2.02 2.03

2.04 2.05 2.06

2.07 2.08 2.09

Sonstige

3.01 3.02 3.03

3.04 3.05

Support Forum Support Forum

Konferenz-, Seminartitel

Cryptoware

Verschlüsselt Daten auf PCs, Servern, in Netzlaufwerken und Mobilen Devices

Verbreitung meistens über Spams als Links(www.badurl.xxx) oder Anhänge (rechnung.doc.zip)

Geräte nach Infektion beschränkt nutzbar

Preis 300 – 4500 €

Zahlung: BTC, aktuell oft via TOR

Verschlüsselung anhand symmetrischer und asymetrischer Schlüssel nur unter extremem Aufwand oder gar nicht möglich (2048 Bit Schlüssel)

Cryptolocker grüßt aus Vorarlberg

„Hallo Christoph,

Leider habe ich an einer Schule bereits Kontakt mit so einem Verschlüsselungsvirus gehabt.

Eine Lehrerin hat einen E-Mailanhang (via GMX-Webmail) mit .js Anhang geöffnet und der

Dropper hat die Schadsoftware nachgeladen. Dann wurden alle erreichbaren Ordner

verschlüsselt. Das (aktuelle) Antivirenprogamm (Microsoft Endpoint Protection) erkannte den

Schädlich nicht, erst am nächsten Tag und hält seitdem die INFO-Textdatei, wie man das Geld

zahlen soll, hartnäckig für einen Virus ;-) “

Ablauf einer Infektion

SPAM-Mail mit badurl.xx oder Anhang

User-Interaktion (Layer 8 – zwischen den Ohren)

Anruf bei IT-Support oder IT-

Betreuer

Böses erwachen

Dilema: to do or not to do?

Beispieldateien entschlüsseln

lassen

Zahlen

Hoffen …

TOR Network: The Onion Routing Network

Darknet und Malware-Business …

The Hidden Wiki: http://kpvz7ki2v5agwt35.onion

Underground Marketplaces

Darknet und Malware-Business

„Lieferung“ TESLA Crypt

Verschickt nur 1 Mail pro Rechner um die Virenscanner

und Spamfilter umzugehen: geringe Versandmenge

(zw. 100-500 Mails pro Welle – dafür bis 50 Wellen pro

Stunde)

Keine EXE/ ZIP-Dateien sondern ein JavaScript als Erstinfektor (dropper) – die eigentliche Malware wird erst nachgeladen

Die neueste Generation der Cryptoware

erzwingt vom Opfer auch die Installation

eines TOR-Browsers, um via TOR eine

Website für weitere Informationen/

Vorgehensweisen aufzusuchen.

Fazit:

Massive Erschwernis für

Strafverfolgung und forensische

Analysen

Erschwerte Spurensuche:

Maßnahmen Installieren und aktualisieren Sie AntiViren-Software, SPAM-Filter, Firewall und IPS so oft wie möglich.

Konfigurieren Sie SPAM-/Viren-Filter so, dass JavaScript-Inhalte von nicht vertraulichen Quellen

geblockt werden (noscript)

Hindern Sie, wenn möglich, JavaScript am automatischen Ausführen (direkt im SPAM-Filter oder am

Mailserver bzw. im E-Mail-Programm).

Löschen Sie Mails mit Links und Anhängen nicht bekannter Absender bzw. nicht erwartete

Nachrichten im Zweifelsfall.

Halten Sie Betriebssysteme, Webbrowser, Java, Flash immer auf dem neusten Stand.

Hindern Sie die Verzeichnisse %AppData% und %Startup% am Ausführen von unbekannten

Executables.

Deaktivieren Sie Makros oder verwenden Sie nur entsprechend signierte Makros.

Informieren Sie sich und Ihre Mitarbeiter über die aktuellen Gefahren.

Legen Sie aktuelle Backups an und bewahren Sie diese getrennt vom Rechner/Netzwerk auf.

Ohne Virenschutz online zu gehen ist mittlerweile grob fahrlässig,

Ohne Virenschutz gefährdet man mit seinem eigene System alle andere – es wäre so wie mit einem Auto dessen Bremsen nicht richtig funktionieren am Verkehr teilzunehmen,

Es ist unverantwortlich den Daten gegenüber, die man anvertraut bekommt. Wenn Schüler ausspioniert werden oder mit kriminellen Inhalten konfrontiert werden (wie Hass, Rassismus, Porno, Kinderporno), hört sich der Spaß schnell auf,

Wenn herauskommt das Schulen ungeschützt im Netz sind – wird jeder Pädophile und sonstige Spinner sofort dorthin Kontakt aufnehmen

Last but not least

Die Schulen sollen die jungen Menschen aufs Leben vorbereiten. Ihnen zu vermitteln dass es OHNE Virenschutz/Security/Datenschutz geht – wäre katastrophal !

- Zeitaufwand?

- IT-Security Know how?

- Viele Benutzer mit wenig Bewusstsein über die Probleme und

wenig Awareness,

- ….

IKARUS für Schulen und Kustoden

IKARUS Sonderlizenzen

Gibt es speziell im Schulbereich für:

1. Schulen

2. Sonderlizenzen für IT-Betreuer und Kustoden

3. Lehrer und Schüler

Quelle: Virus Bulletin

Ein IKARUS Produkt Ihrer Wahl, zum Beispiel: IKARUS security.manager inklusive IKARUS anti.virus,

oder IKARUS mail.security CS, oder IKARUS web.security CS oder GS,

Lizenzgröße Anzahl PCs

1 JAHR Preis brutto

3 JAHRE Preis brutto

IKARUS Schullizenz 1 1 bis 10 € 120,00 € 192,00

IKARUS Schullizenz 5 101 bis 250 € 960,00 € 1.536,00

IKARUS Schullizenz 8 über 800 € 2784,00 € 4.454,40

http://www.ikarussecurity.com/fileadmin/user_upload/IKARUS_Schullizenzen2016.pdf

Bundle aus zwei IKARUS Produkten Ihrer Wahl, zum Beispiel: IKARUS Schullizenz Kombi II (ISM + IKARUS mail.security), IMSUITE II

IKARUS Schullizenz Kombi III (ISM + IKARUS web.security), IMSUITE III

Lizenzgröße Bezeichnung Anzahl PCs

Preis gesamt brutto 1 Jahr

Preis gesamt brutto 3 Jahre

IKARUS Schullizenz Kombi 1 SC_KOM_1 1 bis 10 € 168,00 € 268,80

IKARUS Schullizenz Kombi 8 SC_KOM_8 über 800 € 3897,60 € 6236,40

Als IT-Betreuer und Kustode sind Sie für die KollegInnen,

LehrerInnen und SchülerInnen ein Vorbild in Sachen Umgang mit

der IT-Security. Um Ihnen dies zu erleichtern kommen wir von

IKARUSe Ihnen mit dem folgenden Sonderangebot entgegen:

-50%Rabatt auf unsere regulären Preise,

Diese vergünstigte Lizenzen gelten für Sie zur privaten und

beruflichen Verwendung.

Telefonischer Support direkt aus Wien in dem Angebot inbegriffen

Endpoint Protection: IKARUS anti.virus bis 3 PCs im Haushalt Sonderlizenz für die IT-Betreuer des Landes Niederösterreich

3 Jahre 5 Jahre

Listenpreis Angebotspreis Listenpreis Angebotspreis

€ 65,28 € 32,64 € 81,60 € 40,80

Zum Beispiel:

Diese Preise sind bereits inklusive

MwSt. Im Preis inbegriffen:

Alle Softwareupgrades und Updates

während der Laufzeit

Telefonischer Support direkt aus

Wien 01 58995 DW 400

Bestellung: erfolgt auf Rechnung. Bestellungen per E-Mail an IKARUS christoph.b@ikarus.at oder schulen@ikarus.at Lieferung: Rechnung und Lizenzdatei als Aktivierungscodes elektronisch per E-Mail, Die Lizenz kann zu einem späteren Zeitpunkt aktiviert werden. Fragen: IKARUS Security Software GmbH, Blechturmgasse 11, 1050 Wien; Ansprechpartner Christoph Barszczewski christoph.b@ikarus.at Tel. 01 58995 DW 157; Fax 01 58995 DW 100

Danke!

Dipl. Ing. Christoph Barszczewski Business Relation Manager, Partner Betreuung

Tel. +43 (0)1 58995-157

christoph.b@ikarus.at www.ikarussecurity.com

Ein kurzer Einblick… - EDU\|days...© IKARUS Security Software GmbH 01.04.2016 1...

Documents

Claudia Elß International Days Großbritannien Soziale Berufe in Europa International Days Großbritannien

Linksup learningcafe Edu Media 2010

Premium 365 Days - kanokwanprakanpai.com · ระยะเวลาเดินทาง Total Premium maximum 60 days per trip maximum 90 days per trip maximum 120 days per trip

SCALA: ein kurzer Überblick

Blended Learning an der Berufsfachschule - EDU|days … · • Binnendifferenzierung . Erfahrungen mit E-Learning ... • Einführung im IT-Unterricht • Support im Haus (Ansprechpartnerin

Prosthetic Days Hameln

Programmierkurs von Bildungsdrohnen für Schüler der ...€¦ · Tello Edu App starten und mit der Drohne verbinden ... DJI TELLO EDU—Arbeitsbuch für die Schüler Die Steuerung

Retraite EDU-CH vom 14. – 15. Nov. 2008 Eidg. Legislaturprogramm 2007 – 2011 Retraite EDU-CH vom 14. – 15. Nov. 2008 auf Guglera bei Giffers FR Referat

BENIGNI , Helmut JABERG Jürgen Schiffer und Stefan Höllers03488a92b605a9ae.jimcontent.com/download/version/1399201912/... · 10 days ave min 20 days ave min 10 days ave max 20 days

Geschäftsmodelle -Ein kurzer Überblick

InselSeminar Kurzer Vorgeschmack

Interaktiver Lernpfad Grundwissen - Edu-MaPhy

Handbuch für Debian Edu / Skolelinux Wheezy 7.1+edu0maintainer.skolelinux.org/.../de/debian-edu-wheezy-manual.pdf · INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis 1 Handbuch

Handbuch für Debian Edu / Skolelinux Jessie 8+edu0maintainer.skolelinux.org/debian-edu-doc/de/debian-edu-jessie-manual.pdf · INHALTSVERZEICHNIS INHALTSVERZEICHNIS Inhaltsverzeichnis

Influencer Analysen - Kurzer Überblick

kurzer Überblick zum Inhalt

Was ist der easyCITY.PASS? Hier erhältlich available here ... · inclusive: Gültigkeit & Preise / validity & prices Stunden hours Stunden hours Tage days Tage days Tage days 48

Edu Danesi - art KARLSRUHE · Edu Danesi – KunstwerkeEdu Danesi, Black, 2018Spray Painting and Acrylic on Canvas, 120 x 120 cm Edu Danesi, Pirate Book, 2019Spray Painting and Acrylic

Herzlich Willkommen zur Einführung an der Edu

Anja Regensky"International Days" Schweiz Soziales Arbeiten in Europa International Days Schweiz