WM der Cyberangriffe

F-Secure-WM-v3Die Fußball-WM 2018 ist jüngst zu Ende gegangen. Während Deutschland sich auf dem Spielfeld nicht gerade mit Ruhm bekleckert hat, rückt der Fokus im Internet wieder auf eine ganz andere WM, in der Deutschland sogar zu den Top 10 gehört – die WM der Cyberangriffe. Wer bei diesem internationalen Gegeneinander aktuell die Nase vorne hat, fasst F-Secure zusammen.

Über 30 Länder treffen alle vier Jahre traditionell zusammen, um gegeneinander auf dem Fußballfeld anzutreten, der diesmalige Sieger wurde jüngst geklärt. Im Cyberspace treffen dagegen unterschiedlichste Nationalitäten jeden Tag aufeinander und liefern sich einen erbitterten Kampf der Webattacken. Um diese „Cyber-WM“ zu messen, betreibt F-Secure ein internationales Netzwerk von „Honeypots“, sogenannte Lockvogel-Server. Cyber-Angreifer aus der ganzen Welt sind auch diese Saison erneut stark hineingetappt und haben uns dabei nicht nur offenbart, wo die Angreifer sitzen, sondern auch Einblicke in die neuesten Cyberbedrohungen beschert.

Unser Fazit nach einem Jahr Beobachtung: Während einige Länder stark auf Angriff spielen gehen, brauchen alle Länder eine solide Verteidigung.

Springen wir zunächst in das zweite Halbjahr 2017 zurück, um das Ganze einzuordnen:

Die Top-Quellen im zweiten Halbjahr 2017.
Die Top-Quellen im zweiten Halbjahr 2017.

Eine starke Konkurrenz, will man meinen, mit dem WM-Gastgeberland Russland an der Spitze und dem Weltmeister Frankreich folgend in der Spitze. Ein Ranking, das sich zu den Werten aus dem ersten Halbjahr 2017 unterscheidet. Denn da waren Frankreich, und UK noch unter ferner liefen, während damals die zweitmeisten Angriffe aus den USA und die drittmeisten Angriffe aus den Niederlanden kamen.

Die Gewinner der WM der Cyberangriffe

Zurück in die Gegenwart: Wir präsentieren die Zahlen aus dem ersten Halbjahr 2018, die unser weltweites Honeypot-Netzwerk gesammelt hat. Wie auf Knopfdruck konnten unsere Forscher dabei parallel zur Fußball-WM 2018 die Malware-WM-Gewinner 2018 nach Ländern herausziehen (Stand: Anfang Juli 2017).

Die Top-Angreifer/ Stand Juli 2018
Die Top-Angreifer/ Stand Juli 2018

Die Vereinigten Staaten haben sich in der diesjährigen Fußball-WM noch nicht einmal qualifizieren können. Aber nach den IP-Adressen zu urteilen, kam der meiste Malware-Verkehr in der WM-Zeit wirklich aus dem Land der unbegrenzten Möglichkeiten, gefolgt von den Niederlanden, Frankreich, dem Iran und Italien. Der einstige „Malware Weltmeister“ Russland ist dagegen nur noch auf Platz 6.

Die russische Nationalelf hat bei der ersten WM im Heimatland alles gegeben, ist dann im Viertelfinale aber mit Pauken und Trompeten durchgefallen. Weit überraschender ist allerdings, dass Mütterchen Russland bei der „WM der Cybergangriffe“ so weit abgerutscht ist.

Sind die USA und Niederlande neues Malware-Mekka?

Mit Malware verhält es sich ein bisschen so wie mit den Fußballstars, wenn es um die Nationalitäten geht. Denken Sie an den französischen Allzeit-Rekordtorjäger Thierry Henry. Jetzt ist er im Trainerteam der belgischen Nationalmannschaft. Oder an Christiano Ronaldo: Als Nationalspieler bleibt er Portugiese, aber nach sechs Jahren bei Manchester United und neun Jahren bei Real Madrid wechselt er nun zu Juventus Turin. So wie Fußballstars nicht unbedingt in dem Land spielen oder coachen, wo sie geboren wurden, ist auch nicht gesagt, dass die Cyberangriffe aus dem Land kommen, das einen der Spitzenplätze auf unserer Liste einnimmt. Die Angreifer machen sich auf verschiedene Weise Proxies zunutze, um ihre Identität und ihren Aufenthaltsort zu verschleiern. VPNs gehören ebenso dazu wie TOR-Netze, kompromittierte Maschinen und andere Infrastruktur-Einrichtungen.

Dennoch können uns die Honeypots exzellente Daten liefern, um im hohen Maße Muster und Trends aufzuzeigen, wie die Angreifer, sich selbst replizierende Botnetze und andere maliziöse Quellen ihre Ziele finden.

Leszek Tasiemski, F-Secure Vice President für Forschung und Entwicklung im Produktbereich für Cyber-Security, stellt fest, dass Malware heute meist in Form irgendeiner Variante von Mirai lanciert wird. Hinter dem japanischen Wort für Zukunft stecken die größten DDoS- oder gesteuerten Denial-of-Service-Attacken der Geschichte. Das Botnetz hat vor allem 2016 sein Unwesen getrieben, unzählige IoT-Geräte und damals im November allein 900.000 Router der Deutschen Telekom befallen. Die neuesten Daten weisen abermals auf Mirai hin. IoT-Devices wie Kameras und Router sind also immer noch potenzielle Angriffsziele.

Auf diese Länder haben es die Angreifer abgesehen

Die Top-Angreifsziele / Stand Juli 2018
Die Top-Angreifsziele / Stand Juli 2018

Österreich, die USA, Großbritannien, die Ukraine und Deutschland waren die Länder, in denen die meisten Attacken in unsere Honigtopf-Fallen gegangen sind. Leszek merkt jedoch an, so wie die Welt im Fokus auf die Fußball-WM kurzzeitig vereint war, bringt uns auch Malware näher zusammen.

Honeypots in allen Ländern haben ihren „gerechten“ Anteil an den verschiedenen Samples oder Proben von Malware. So traurig das auch sein mag, wird sich das bis zur nächsten WM im Jahr 2022 wohl kaum ändern.
#Netzpalaver #FSecure