mcafee labs threat-report...mcafee labs threat-report, september 2016 | 2 Über mcafee labs mcafee...

McAfee Labs Threat-ReportSeptember 2016

BERICHT

McAfee Labs Threat-Report, September 2016 | 2

Über McAfee LabsMcAfee Labs ist eine der weltweit führenden Quellen für Bedrohungsforschung sowie -daten und ein Vordenker in Bezug auf Cyber-Sicherheit. Dank der Daten von Millionen Sensoren für alle wichtigen Bedrohungsvektoren (Dateien, Web, Nachrichten und Netzwerke) bietet McAfee Labs Echtzeit-Bedrohungsdaten, wichtige Analysen und Expertenwissen für besseren Schutz und Risikominimierung.

www.mcafee.com/de/mcafee-labs.aspx

McAfee Labs-Blog folgen

McAfee Labs auf Twitter folgen

EinführungWillkommen zurück aus dem Urlaub! Während viele den Sommerurlaub genossen haben, waren wir fleißig.

Chris Young, Senior Vice President und General Manager bei McAfee, wurde vom Weißen Haus zum National Security and Telecommunications Committee des US-Heimatschutzministeriums berufen. Dieser Ausschuss berät den Präsidenten und die Exekutive mit Branchenanalysen und Empfehlungen zu Richtlinien, mit denen die nationale Sicherheit und der Notfallschutz im Bereich Telekommunikation verbessert werden sollen.

Kurz vor dem Security Forum in Aspen im Juli veröffentlichte McAfee den Bericht Der Weg aus dem Fachkräftemangel: Eine Umfrage zum weltweiten Mangel an Fachkräften für Cyber-Sicherheit. Dieser Bericht ist Ergebnis eines McAfee-Vortrags auf der RSA zum Thema Fachkräftemangel bei Cyber-Sicherheits experten. Forscher des Center for Strategic and International Studies hatten IT-Entscheidungsträger in öffentlichen und privaten Unternehmen in acht Ländern befragt, um den Mangel an Cyber-Sicherheits-experten zahlenmäßig zu erfassen und zu verstehen, wie Ausgaben für Cyber-Sicherheit, Schulungs programme, Mitarbeiterdynamiken und gesetzliche Richtlinien zusammenhängen. Die Studie schloss mit Empfehlungen dazu ab, mit welchen Maßnahmen in diesen Bereichen die weltweite Cyber-Sicherheit verbessert werden kann.

Unternehmen erkennen durchschnittlich 17 Daten kompromittierungen pro Tag.

www.mcafee.com/de/mcafee-labs.aspx

https://securingtomorrow.mcafee.com/mcafee-labs/

https://twitter.com/McAfee_Labs

https://www.dhs.gov/national-security-telecommunications-advisory-committee

http://aspensecurityforum.org/

http://www.mcafee.com/de/resources/reports/rp-hacking-skills-shortage.pdf



https://youtu.be/7gvdGZnvEA4

https://youtu.be/7gvdGZnvEA4




Diesen Bericht teilen

Ebenfalls Ende Juli beteiligte sich McAfee an Aktivitäten weltweiter Strafverfolgungs behörden zur Ausschaltung des Kontroll-Servers, der die Ransomware Shade betrieb. Shade tauchte erstmals Ende 2014 auf und infizierte über böswillige Webseiten und E-Mail-Anhänge Benutzer in Ost- und Mittel europa. McAfee unterstützte nicht nur die Ausschaltung von Shade, sondern entwickelte zusätzlich ein kostenloses Tool, das Dateien entschlüsselt, die zuvor von dieser tückischen Ransomware verschlüsselt wurden. Weitere Informationen zur Ransomware Shade und zur Wiederherstellung nach einer Infektion finden Sie hier. Wir starteten zudem zusammen mit Europol, der niederländischen National polizei und Kaspersky Lab die Initiative „No More Ransom“ (Kein Lösegeld mehr), bei der sich Strafverfolgungs behörden und der private Sektor zur Bekämpfung von Ransomware zusammenschließen. Das Online-Portal No More Ransom informiert die Öffentlichkeit über die Gefahren von Ransomware und unterstützt Opfer bei der Wiederherstellung der Daten ohne Lösegeldzahlung.

Im McAfee Labs Threat-Report vom September 2016 berichten wir über diese zwei Hauptthemen:

n Wir erläutern krankenhausspezifische Probleme in Bezug auf Ransomware, z. B. veraltete Systeme, medizinische Geräte mit schlechter Sicherheit sowie die Tatsache, dass der sofort verfügbare Zugriff auf Informationen über Leben und Tod entscheiden kann. Wir untersuchten Ransomware-Angriffe auf Krankenhäuser aus dem 1. Quartal. Wie sich zeigt, waren diese Angriffe erfolgreich, verwandt sowie gezielt und dennoch eher wenig raffiniert.

n In unserem zweiten Hauptartikel stellen wir das maschinelle Lernen sowie die praktischen Einsatzmöglichkeiten im Bereich Cyber-Sicherheit vor. Wir erläutern die Unterschiede zwischen maschinellem Lernen, Cognitive Computing und neuronalen Netzwerken. Außerdem gehen wir näher auf die Vor- und Nachteile des maschinellen Lernens ein, räumen Mythen aus und erklären, wie maschinelles Lernen eingesetzt werden kann, um Bedrohungen besser zu erkennen.

Diese Hauptartikel werden gefolgt von den üblichen vierteljährlichen Statistiken.

Weitere Nachrichten…

Die Vorbereitungen auf die McAfee-Sicherheits konferenz FOCUS 16 vom 1.–3. November in Las Vegas laufen auf Hochtouren. McAfee Labs wird sich auf verschiedene Art und Weise an der Konferenz beteiligen, z. B. mit Einführungsveranstaltungen und TurboTalk-Sitzungen zu einem interessanten neuen Ansatz. Diese werden von den Foundstone Professional Services geführt, die ganztägige, praktische Schulungen zu grundlegenden Sicherheitsthemen durchführen. Besuchen Sie uns auf dieser Konferenz!

Jedes Quartal erfahren wir Neues aus den Telemetrie-daten, die bei McAfee Global Threat Intelligence eingehen. Das Cloud-Dashboard von McAfee GTI ermöglicht uns die Erkennung und Analyse realer Angriffsmuster, wodurch wir unseren Kunden besseren Schutz bieten können. Wir haben festgestellt, dass sich die McAfee-Produkt anfragen bei McAfee GTI im Laufe des Jahres und mit jeder Produkt verbesserung verändern. Wir untersuchen derzeit diese Entwicklungen, um sie besser vorherzusehen.

n McAfee GTI erhielt täglich durchschnittlich 48,6 Milliarden Anfragen.

n McAfee GTI registrierte bei böswilligen Dateien ein sehr stark verändertes Muster. Im 2. Quartal 2015 stellten wir fest, dass die Zahl der Blockierungen böswilliger Dateien durch McAfee GTI mit 462 Millionen pro Tag einen Rekordwert erreichte. Diese Zahl fiel im 2. Quartal 2016 auf nur 104 Millionen pro Tag.

n McAfee GTI stellte bei potenziell unerwünschten Programmen einen ähnlich starken Rückgang im Vergleich zum 2. Quartal 2015 fest. Im 2. Quartal 2016 beobachteten wir 30 Millionen pro Tag – im Vergleich zu 174 Millionen täglich im 2. Quartal 2015.

n McAfee GTI registrierte den höchsten Anstieg bei riskanten IP-Adressen in den letzten zwei Jahren. Im 2. Quartal 2016 beobachteten wir 29 Millionen pro Tag – im Vergleich zu 21 Millionen täglich im 2. Quartal 2015. Die Zahlen für das 2. Quartal haben sich im Quartalsvergleich mehr als verdoppelt.

—Vincent Weafer, Vice President, McAfee Labs

https://twitter.com/intent/tweet?text=Der neue @McAfee_Labs-Threat-Report berichtet über Datenlecks, Krankenhaus-Ransomware und mehr. Weiterlesen:+http://intel.ly/2cdNCLs

https://www.linkedin.com/shareArticle?mini=true&url=http://intel.ly/2cdNCLs&title= McAfee+Labs-Threat-Report vom September+&summary= Der McAfee Labs-Threat-Report vom September informiert über neue Forschungsergebnisse zu Datenlecks, zu den Auswirkungen von maschinellem Lernen auf Cyber-Sicherheit und mehr. Hier lesen.&source=McAfee+Labs

http://www.mcafee.com/de/downloads/free-tools/shadedecrypt.aspx

http://www.mcafee.com/de/downloads/free-tools/shadedecrypt.aspx

http://www.nomoreransom.org

http://www.nomoreransom.org

http://focus.intelsecurity.com/Focus2016/

http://focus.intelsecurity.com/Focus2016/

http://www.mcafee.com/de/services/foundstone-services/index.aspx

InhaltKurzfassung 5

Wichtigste Themen 6

Krise in der Notaufnahme: Ransomware infiziert Krankenhäuser 7

Datenwissenschaft, Analysen und maschinelles Lernen im Sicherheitsbereich – ein Crashkurs 16

Statistische Bedrohungsdaten 27

McAfee Labs Threat-ReportSeptember 2016

Dieser Bericht wurde recherchiert und geschrieben von:

Christiaan Beek Joseph Fiorella Celeste FralickDouglas FrosstPaula GreveAndrew MarwanFrançois PagetTed PanEric PetersonCraig SchmugarRick SimonDan SommerBing Sun



KurzfassungKrise in der Notaufnahme: Ransomware infiziert Krankenhäuser

Ransomware beschäftigt alle Sicherheitsexperten bereits seit mehreren Jahren sehr stark. Leider ist Ransomware ein einfaches und gleichzeitig effektives Tool für Cyber-Angriffe, mit dem sich leicht Geld verdienen lässt. Im vergangenen Jahr wurden statt Einzel personen immer häufiger Unternehmen angegriffen, da diese höhere Lösegelder zahlen. In letzter Zeit wurden Krankenhäuser zu beliebten Zielen für Ransomware-Autoren. In diesem Hauptartikel untersuchen wir Ransomware-Angriffe auf Krankenhäuser aus dem 1. Quartal. Wie sich zeigt, waren diese Angriffe erfolgreich, verwandt sowie gezielt und dennoch eher wenig raffiniert. Wir erläutern außerdem krankenhausspezifische Probleme in Bezug auf Ransomware, z. B. veraltete Systeme, medizinische Geräte ohne Absicherung sowie die Tatsache, dass der sofort verfügbare Zugriff auf Informationen über Leben und Tod entscheiden kann.

Datenwissenschaft, Analysen und maschinelles Lernen im Sicherheits bereich – ein Crashkurs

Beim maschinellen Lernen werden Analysen auf Systemen automatisiert, die im Laufe der Zeit dazulernen können. Datenwissenschaftler setzen maschinelles Lernen ein, um Probleme zu lösen, wie zum Beispiel im Bereich der IT-Sicherheit. Manche Analysen geben Antwort auf Fragen wie „Was ist passiert?“ oder „Warum ist das passiert?“. Andere Analysen sagen voraus, was passieren wird, oder geben Empfehlungen zu geeigneten Maßnahmen ab: „Diese Empfehlung wird gegeben, weil ein bestimmtes Ereignis eintreten wird.“ Dieser Hauptartikel stellt das maschinelle Lernen sowie die praktischen Einsatz möglichkeiten im Bereich Cyber-Sicherheit vor. Wir erläutern die Unterschiede zwischen maschinellem Lernen, Cognitive Computing und neuronalen Netzwerken. Außerdem gehen wir näher auf die Vor- und Nachteile des maschinellen Lernens ein, räumen Mythen aus und erklären, wie maschinelles Lernen eingesetzt werden kann, um Bedrohungen besser zu erkennen.

Krankenhäuser wurden zu beliebten Zielen für Ransomware-Autoren. Mehrere verwandte und gezielte Ransomware-Angriffe auf Krankenhäuser im 1. Quartal waren nicht raffiniert und dennoch erfolgreich.

Da immer mehr Geräte mit dem Internet verbunden sind und immer mehr Daten ausgetauscht werden, bieten Analysen die beste Möglichkeit, feindliche Aktionen zu unterbinden. Um für diese neuen Entwicklungen gut gerüstet zu sein, müssen Sicherheits-experten über ein grundlegendes Verständnis in den Bereichen Daten wissenschaft, Analysen und maschinelles Lernen verfügen.



Wichtigste ThemenKrise in der Notaufnahme: Ransomware infiziert Krankenhäuser

Datenwissenschaft, Analysen und maschinelles Lernen im Sicherheitsbereich – ein Crashkurs



Wichtigste Themen

Krise in der Notaufnahme: Ransomware infiziert Krankenhäuser—Joseph Fiorella und Christiaan Beek

Ransomware beschäftigt alle Sicherheitsexperten bereits seit mehreren Jahren sehr stark. Es ist ein effektives Tool für Cyber-Angriffe, mit dem sich leicht Geld verdienen lässt und Abläufe einfach gestört werden können.

In den vergangenen Jahren wurden statt Einzelpersonen immer häufiger Unternehmen angegriffen, da dies höhere Profite verspricht. Anfangs handelte es sich bei den Zielen um kleine bis mittlere Unternehmen mit unausgereiften IT-Infrastrukturen und unzureichenden Möglichkeiten, sich von diesen Angriffen zu erholen. Ransomware-Angreifer wissen, dass diese Opfer das Lösegeld mit an Sicherheit grenzender Wahrscheinlichkeit zahlen werden.

In diesem Jahr stehen jedoch das Gesundheitswesen und hier ganz besonders Krankenhäuser im Mittelpunkt. Während Gesundheits anbieter in den vergangenen Jahren etliche Daten kompromittierungen erlebten, gehen die Angreifer heute anders vor und nutzen leicht erstellbare Ransomware-Toolkits, um ihre Opfer zum Zahlen von Lösegeld im Tausch gegen die wiederhergestellten Daten zu bringen. Statt komplexer Daten -exfiltrations techniken zum Daten diebstahl und anschließendem Verkauf auf dem Schwarz markt setzen Angreifer auf Toolkits, die Ransomware verteilen und ihre Opfer zur sofortigen Zahlung zwingen. Die Angreifer profitieren dadurch, dass sie gar nicht erst Daten stehlen müssen.

Ein wichtiges Beispiel für diesen Wechsel war der Angriff auf eine Kranken-haus gruppe im 1. Quartal, die im Raum Los Angeles seinen Anfang nahm. Die Untersuchung von McAfee zu dieser Angriffsreihe deckte mehrere interessante Merkmale auf, die bei raffinierten Angriffen nur selten gefunden werden. Im Folgenden erläutern wir einige dieser Erkenntnisse und untersuchen genauer, warum Gesundheitsanbieter so einfache Ziele sind.

Warum sind Krankenhäuser einfache Ziele für Ransomware?

Experten, die IT-Systeme und Netzwerke in Krankenhäusern betreiben und verwalten, stehen vor mehreren Herausforderungen. Viele arbeiten mit Infrastrukturen, die ebenso veraltet sind wie ältere Flugsicherungs-systeme – mit dem gleichen Anspruch, jederzeit einsatzbereit sein zu müssen. IT-Mitarbeiter, die den Support für diese wichtigen Systeme leisten sollen, stehen vor drei großen Problemen:

n Sie müssen gewährleisten, dass die Patientenbetreuung unterbrechungsfrei möglich ist.

n Sie müssen gewährleisten, dass Krankenhäuser nicht für Daten kompromittierungen anfällig sind und nicht in die Schlagzeilen geraten.

n Sie müssen veraltete Geräte unterstützen, die mit antiquierten Betriebssystemen betrieben werden.

Leider gibt es kein Allheilmittel. Die Unterbrechung der Patientenbetreuung kann erhebliche Folgen haben. Vor Kurzem wurde ein Gesundheitsanbieter in Columbia, Maryland (USA) angegriffen und kompromittiert. Als der Angriff startete, bemerkten Mitarbeiter Pop-Up-Meldungen, die zur Zahlung von

Im Jahr 2016 konzentrierten sich die Ransomware-Autoren immer mehr auf Unternehmen im Gesundheitswesen, speziell Krankenhäuser.

Ransomware-Autoren greifen Krankenhäuser an, weil diese meist ältere Systeme und medizinische Geräte verwenden, zu unzureichend gesichert sind. Zudem benötigen sie sofortigen Zugriff auf Informationen.





Wichtigste Themen

Lösegeld in Form von Bitcoins aufforderten. Als Reaktion darauf schaltete der Anbieter einen Teil des Netzwerks ab, was erhebliche Unterbrechungen bedeutete. Pflegedienstleister konnten keine Patiententermine vereinbaren oder Krankenakten einsehen. Die Dienste wurden innerhalb des Netzwerks unterbrochen, das die Kliniken und Krankenhäuser verbindet.

Datenkompromittierungen können langfristige Folgen für Gesundheits-anbieter bedeuten. Patienten entscheiden sich häufig aufgrund des guten Services und der Reputation für ein bestimmtes Krankenhaus. Wenn Krankenhäuser durch einen Ransomware-Angriff in die Negativschlagzeilen geraten, könnten sich Patienten für die Behandlung in einem anderen Haus und Ärzte für einen anderen Arbeitgeber entscheiden. Daher können die finanziellen Folgen sowohl kurzfristig (durch die Bereinigung nach dem Angriff) als auch langfristig (durch den Reputations schaden und dadurch resultierende sinkende Patientenzahlen) sein.

Viele Krankenhäuser kämpfen damit, neue Technologien in antiquierte Backend-Systeme und -Technologien zu integrieren, während ihre Operations säle auf veralteten Betriebssystemen laufen, die für das Leben der Patienten verantwortlich sind. Einige medizinische Geräte unterstützen nur Windows XP, weil der Hardware- oder Software-Anbieter entweder nicht mehr im Geschäft ist oder nicht mit den Anforderungen an neuere Technologien Schritt hält. Hacker wissen das, weshalb medizinische Geräte einfache Ziele für Ransomware-Angriffe sind.

Eine aktuelle Umfrage des Ponemon Institute zeigt auf, dass kriminelle Angriffe die häufigste Ursache für Kompromittierungen im Gesundheitswesen sind.

Was war die eigentliche Ursache für die Datenkompromittierung desUnternehmens im Gesundheitswesen? (Mehrere Antworten möglich)

20152016

20 % 30 % 40 % 50 %10 %0

Angriff von Kriminellen

Chaos bei einem Drittanbieter

Unabsichtliche, nicht böswilligeAktion eines Mitarbeiters

Gestohlenes Daten-verarbeitungsgerät

Unabsichtliche Aktioneines Mitarbeiters

Technischer Systemfehler

Böswilliger Insider

Quelle: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (6. jährliche Benchmark-Umfrage zu Privatsphäre und Sicherheit von Gesundheitsdaten), Mai 2016, Ponemon Institute.





Wichtigste Themen

Sicherheitsbedrohungen, die Unternehmen im Gesundheitswesendie größten Sorgen bereiten (Drei Antworten möglich)

20152016

30 % 45 % 60 % 75 %15 %0

Fahrlässiges Verhaltenvon Mitarbeitern

Cyber-Angriffe

Identitätsdiebe

Fehlender Schutzmobiler Geräte

Verwendung öffentlicherCloud-Dienste

Böswillige Insider

MitarbeitereigeneMobilgeräte oder BYOD

Sonstiges

Unsichere Mobilgeräte-Apps(eHealth)

Fehler in den Abläufen

Systemfehler

Unsichere medizinische Geräte

Quelle: Sixth Annual Benchmark Study on Privacy & Security of Healthcare Data (6. jährliche Benchmark-Umfrage zu Privatsphäre und Sicherheit von Gesundheitsdaten), Mai 2016, Ponemon Institute.

Eine Kombination aus alten Systemen mit schlechter Sicherheit, unzureichendem Sicherheits bewusstsein der Mitarbeiter, einem fragmentierten Angestellten-stamm sowie dem großen Druck, sofort auf Informationen zugreifen zu müssen, hat dazu geführt, dass der kriminelle Untergrund gezielt Krankenhäuser angreift.

In der gleichen Umfrage wurden Gesundheitsanbieter gebeten, die größten Sicherheits sorgen zu nennen. Die Antworten stimmen mit unseren Beobachtungen überein. Viele von uns beobachtete Ransomware-Angriffe sind das Ergebnis unabsichtlicher Aktionen von Mitarbeitern, die zum Beispiel auf einen Link geklickt oder einen E-Mail-Anhang geöffnet haben.





Wichtigste Themen

Im Februar 2016 wurde ein Krankenhaus in Kalifornien Opfer eines Ransomware-Angriffs. Das Krankenhaus zahlte 17.000 US-Dollar zur Wiederherstellung seiner Dateien und Systeme – und konnte erst nach fünf Arbeitstagen die Arbeit wieder aufnehmen.

Bei vielen aktuellen Ransomware-Angriffen auf Krankenhäuser erhielten arglose Mitarbeiter eine E-Mail mit einem Anhang oder Link, der letztlich zur Ransomware-Infektion führte. Ein Beispiel für diesen Angriffstyp ist die Ransomware-Variante Locky. Locky entfernt mit dem Volumesnapshotdienst erstellte Volumenschattenkopien von Dateien, um Administratoren an der Wiederherstellung lokaler Systemkonfigurationen aus Sicherungen zu hindern.

Die große Herausforderung liegt für Krankenhäuser darin, dass dieser Malware-Typ meist nicht nur herkömmlichen Rechnern schadet. Er kann auch medizinische Geräte wie Geräte in Onkologien oder Kernspintomographen infizieren. Der Schutz und die Bereinigung dieser Geräte sind meist schwieriger als bei Standard-Workstations und -Servern. Sie laufen meist auf älteren Betriebs-systemen und unterstützen in einigen Fällen keine Sicherheits technologien, die zum Schutz vor hochentwickelten Ransomware-Angriffen erforderlich sind. Gleichzeitig sind diese Geräte häufig dringend für die Patienten versorgung erforderlich, sodass Ausfälle erhebliche Probleme nach sich ziehen.

Gezielte Ransomware-Angriffe auf Krankenhäuser

Im Februar 2016 gab es Berichte darüber, dass ein Krankenhaus in Kalifornien von Ransomware angegriffen wurde und die Hacker Lösegeld in Höhe von 9.000 Bitcoins (etwa 5,77 Millionen US-Dollar) forderten. Das Krankenhaus zahlte 17.000 US-Dollar Lösegeld zur Wiederherstellung seiner Dateien und Systeme – und konnte erst nach fünf Arbeitstagen die Arbeit wieder aufnehmen.

Obwohl mehrere Krankenhäuser mit Ransomware angegriffen wurden, war dieser Angriff – ebenso wie verschiedene andere Angriffe auf Krankenhäuser zu dieser Zeit – untypisch, da das Krankenhaus Opfer eines gezielten Angriffs geworden war.

Eine andere Vorgehensweise bei gezielten Angriffen im 1. Quartal

Ransomware wird in den allermeisten Fällen per Phishing verschickt, wobei die Betreffs „Fehlerhafte Zustellung“ oder „Mein Lebenslauf“ lauten und die Anhänge die Ransomware herunterladen. Eine weitere beliebte Methode sind Exploit-Kits. Bei den gezielten Angriffen auf Krankenhäuser im 1. Quartal kam jedoch keine dieser Methoden zum Einsatz. Stattdessen fanden die Angreifer angreifbare Instanzen eines JBoss-Web-Servers.

Mithilfe des Open-Source-Tools JexBoss suchten die Krankenhausangreifer nach unzureichend geschützten JBoss-Web-Servern und sendeten ein Exploit, um auf diesen Hosts eine Shell zu starten.

Ransomware-Angreifer verwendeten ein Open-Source-Tool zum Aufdecken von Schwachstellen in Krankenhaussystemen.

Stufen eines Ransomware-Angriffs auf ein Krankenhaus

Ein argloser Benutzer erhält im E-Mail-Anhang ein Microsoft Word-Dokument, das ihn zum Aktivieren eines Makros auffordert. Das Makro steuert den Downloader, der die Schaddaten herunterlädt. Mit dem Download der Schad-daten beginnt die Kette der Ereignisse, die zur Ransomware-Infektion führen. Anschließend verbreitet sich die Malware innerhalb des Netzwerks auf andere Systeme und verschlüsselt dabei weitere Dateien.





Wichtigste Themen

Eine ausführliche vom Advanced Threat Research-Team von McAfee durchgeführte Analyse des samsam-Angriffs finden Sie hier.

Sobald die Server infiziert waren, verwendeten die Angreifer allgemein erhältliche Tools zum Ausspähen des vertrauenswürdigen Netzwerks. Mithilfe von Batch-Skripts starteten die Angreifer Befehle auf aktiven Systemen. Einer der Befehle löschte alle Volumeschattenkopien, damit die Dateien nicht wiederhergestellt werden konnten.

Das Besondere an diesen Angriffen bestand darin, dass sich der Befehls-Code in Batch-Dateien befand. Bei den meisten Ransomware-Familien sind die Befehle in ausführbarem Code eingebettet. Warum trennten die Angreifer Befehle und ausführbaren Code? Wir glauben, dass viele Sicherheitserkennungen durch Klartextbefehle in ausführbarem Code ausgelöst werden und Signaturen dieses Verhalten erkennen. Somit setzten die Angreifer wahrscheinlich auf diesen Ansatz, um den Sicherheitsmaßnahmen zu entgehen.

Das vorhergehende Skript zeigt auch, dass die Datei samsam.exe auf die Ziel-Server in der Datei list.txt kopiert wurde. Diese Ransomware-Familie wird je nach der Entwicklung der Variante als samsam, samsa, Samas oder Mokoponi bezeichnet.

„Ehre“ unter Dieben

Kurz nach den Berichten über den Angriff auf das kalifornische Krankenhaus reagierten mehrere böswillige Akteure in Untergrund-Foren auf diese Angriffe. So äußerte sich zum Beispiel ein russischer Sprecher eines bekannten Hacker-Forums verärgert und sendete den Hackern, die die Angriffe gestartet hatten, spezielle Wünsche. Im russischen Untergrund gibt es einen ethischen „Verhaltenskodex“, der Krankenhäuser als verbotene Ziele definiert – selbst wenn diese sich in Ländern befinden, die normalerweise Ziele ihrer kriminellen Kampagnen und Operationen sind.

In einem anderen kriminellen Forum, das sich auf Bitcoin-Handel konzentriert, fand eine ähnliche Diskussion statt, die sich insgesamt auf mehr als sieben Seiten erstreckte. Einige weitere Beispiele:

Dumbest hackers ever , like they couldn’t hack anything else . This kind of things will kill Bitcoin if they continue to do this

Yes, this is pretty sad and a new low. These ransom attacks are bad enough, but if someone were to die or be injured because of this it is just plain wrong. The hospital should have backups that they can recover from, so even if they need to wipe the system clean it would result in only a few days of lost data, or data that would later need to be manually input, but the immediate damage and risk is patient safety.

Dieses Batch-Skript löscht alle Volumeschattenkopien, damit die Dateien nicht wiederhergestellt werden können.



http://www.intelsecurity.com/advanced-threat-research/content/Analysis_SamSa_Ransomware.pdf



Wichtigste Themen

Nach unserer Code-Analyse glauben wir nicht, dass die Krankenhaus angriffe aus dem 1. Quartal von böswilligen Akteuren durchgeführt wurden, die normalerweise Ransomware-Angriffe oder Kompromittierungen starten. Der Code und der Angriff waren effektiv, aber nicht sehr raffiniert.

Angriffe auf Krankenhäuser in der ersten Hälfte 2016

Datum Opfer Bedrohung Land

06.01.2016 Krankenhaus in Texas Ransomware USA

06.01.2016 Krankenhaus in Massachusetts

Ransomware USA

06.01.2016 Mehrere Krankenhäuser in Nordrhein-Westfalen

Ransomware Deutschland

06.01.2016 2 Krankenhäuser Ransomware Australien

19.01.2016 Krankenhaus in Melbourne Ransomware Australien

03.02.2016 Krankenhaus Ransomware Großbritannien

03.02.2016 Krankenhaus Ransomware Südkorea

03.02.2016 Krankenhaus Ransomware USA

12.02.2016 Krankenhaus Ransomware Großbritannien

12.02.2016 Krankenhaus Ransomware USA

27.02.2016 Gesundheitsministerium in Kalifornien

Ransomware USA

05.03.2015 Krankenhaus in Ottawa Ransomware Kanada

16.03.2016 Krankenhaus in Kentucky Ransomware USA

18.03.2016 Krankenhaus in Kalifornien Ransomware USA

21.03.2016 Zahnarztpraxis in Georgia Ransomware USA

22.03.2016 Krankenhaus in Maryland Ransomware USA

23.03.2016 Krankenhaus Malvertising USA

25.03.2016 Krankenhaus in Iowa Malware USA

28.03.2016 Krankenhaus in Maryland Ransomware USA

29.03.2016 Krankenhaus in Indiana Ransomware USA

31.03.2016 Krankenhaus in Kalifornien Ransomware USA





Wichtigste Themen

Datum Opfer Bedrohung Land

09.05.2016 Krankenhaus in Indiana Malware USA

16.05.2016 Krankenhaus in Colorado Ransomware USA

18.05.2016 Krankenhaus in Kansas Malware USA

Das Advanced Threat Research-Team von McAfee sammelte öffentliche und interne Daten, um bekannte Krankenhaus-Zwischenfälle zusammenzustellen, die im ersten Halbjahr 2016 erfolgten.

Aus diesen Daten wird ersichtlich, dass die meisten Angriffe auf Krankenhäuser mit Ransomware zusammenhängen. Einige, aber nicht alle, dieser Angriffe erfolgten gezielt.

Wie profitabel ist Ransomware?

Bei den gezielten Angriffen auf Krankenhäuser im 1. Quartal (samsam) fanden wir mehrere Bitcoin-Geldbörsen (BTC), die zur Überweisung der Lösegeldzahlungen verwendet wurden. Weitere Nachforschungen ergaben, dass insgesamt 100.000 US-Dollar an Lösegeld gezahlt worden waren.

In einem Untergrundforum verdeutlichte ein Ransomware-Code-Entwickler, wie viel Lösegeld seine Kunden bereits erhalten haben. Der Entwickler zeigt Screenshots mit Lösegeld-Gesamtsummen und einen Nachweis, dass der Ransomware-Code nicht erkannt wird.

In diesem Beispiel zeigt ein Ransomware-Entwickler einen Screenshot von einem Portal, das Kampagnen verwaltet und nachverfolgt.

Zur Verbesserung seiner Reputation gibt dieser Entwickler auch einen Link zu einem bekannten Blockchain-Anbieter mit Details zur Geldbörse und zum Transaktionsverlauf an.

McAfee entdeckte, dass im 1. Quartal bei einer ähnlichen Angriffsserie auf Krankenhäuser 100.000 US-Dollar Lösegeld erbeutet wurden.





Wichtigste Themen

McAfee stellte fest, dass der Ransomware-Autor und -Verbreiter während dieser Kampagne 189.813 BTC (fast 121 Millionen US-Dollar) erhalten hat. Natürlich entstehen Kosten bei der Durchführung dieser kriminellen Aktionen, da zum Beispiel Botnets gemietet und Exploit-Kits gekauft werden müssen. Dennoch steht unter dem Strich ein Gewinn von etwa 94 Millionen US-Dollar, die der Entwickler nach eigenen Angaben in nur sechs Monaten verdient hat.

Diese Kampagnen verdeutlichen, wie viel Geld mit Ransomware-Angriffen – schnell – verdient werden kann.

Nach Analyse der öffentlich bekannten Informationen zu den Ransomware-Angriffen auf Krankenhäuser (siehe Tabelle oben) gehen wir davon aus, dass die meisten Opfer kein Lösegeld gezahlt haben. Die Krankenhäuser, die bekanntermaßen gezielt von samsam angegriffen wurden, haben jedoch scheinbar gezahlt.

Die Höhe der Lösegeldzahlungen variierte. Die höchsten direkten Kosten entstanden durch die Ausfallzeit (entgangener Umsatz), die Reaktion auf den Zwischenfall, die Systemwiederherstellung, Audit-Dienste sowie andere Bereinigungs kosten. Laut den von uns überprüften Berichten erlitten die Gesundheits anbieter über einen Zeitraum von fünf bis zehn Tagen zumindest teilweise Ausfälle.

Richtlinien und Verfahren

Der wichtigste Schritt zum Schutz der Systeme vor Ransomware besteht darin, sich des Problems bewusst zu sein und die Verbreitungswege zu kennen. Folgende Richtlinien und Verfahren sollten von Krankenhäusern befolgt werden, um die Aussicht auf Erfolg von Ransomware-Angriffen zu minimieren.

n Erstellen Sie einen Aktionsplan für den Fall eines Angriffs. Erfassen Sie, wo sich die wichtigen Daten befinden, und stellen Sie fest, ob diese infiltriert werden können. Führen Sie mit dem Notfall-Management-Team des Krankenhauses Übungen zur Sicherstellung des störungsfreien Geschäftsbetriebs und der Wiederherstellung nach einem Systemausfall durch, um den Wiederherstellungspunkt und die Zeitziele zu validieren. Bei diesen Übungen können verborgene Folgen für die Krankenhaus-Abläufe aufgedeckt werden, die bei normalen Backup-Tests nicht sichtbar werden. Die meisten Krankenhäuser zahlten das Lösegeld, weil ein Notfallplan fehlte!

n Halten Sie die Systeme auf dem neuesten Patch-Stand. Viele von Ransomware missbrauchte Schwachstellen können mit Patches geschlossen werden. Halten Sie Betriebssysteme, Java, Adobe Reader, Flash und Anwendungen mit Patches auf dem neuesten Stand. Sie sollten ein Verfahren zur Patch-Installation ausarbeiten und überprüfen, ob die Patches ordnungsgemäß installiert wurden.

Ein Beispiel für eine Bitcoin-Transaktionsanalyse.

Eine Analyse der finanziellen Folgen der Ransomware-Angriffe auf Krankenhäuser finden Sie im Dark Reading-Artikel Healthcare Organizations Must Consider the Financial Impact of Ransomware Attacks (Unternehmen im Gesundheitswesen müssen finanzielle Folgen von Ransomware-Angriffen berücksichtigen).



http://www.darkreading.com/partner-perspectives/intel/healthcare-organizations-must-consider-the-financial-impact-of-ransomware-attacks/a/d-id/1325030






Wichtigste Themen

n Minimieren Sie das Risiko für ältere Krankenhaus-Systeme und -Geräte, die nicht gepatcht werden können, mit Anwendungs-Whitelists, die Systeme abriegeln und die Ausführung nicht genehmigter Programme verhindern. Trennen Sie diese Systeme und Geräte mit einer Firewall und einem Eindringungsschutz-System vom restlichen Netzwerk. Deaktivieren Sie nicht benötigte Dienste und Ports auf diesen Systemen, um die Zahl der möglichen Infektionseintrittspunkte zu reduzieren.

n Schützen Sie Ihre Endgeräte. Nutzen Sie Endgeräteschutz und fortschrittliche Funktionen. In vielen Fällen wird der Client lediglich mit aktivierten Standardfunktionen installiert. Durch die Implementierung einiger hochentwickelter Funktionen (z. B. zum Verhindern, dass ausführbare Dateien aus einem Temp-Ordner ausgeführt werden) kann mehr Malware erkannt und blockiert werden.

n Wenn möglich, verhindern Sie die Speicherung sensibler Daten auf lokalen Laufwerken. Legen Sie fest, dass Daten in sicheren Netzwerk freigaben gespeichert werden müssen. Dadurch reduziert sich die Ausfallzeit, da infizierte Systeme durch Aufspielen sauberer Images schnell wiederhergestellt werden können.

n Nutzen Sie Spam-Schutz. Am Anfang der meisten Ransomware-Kampagnen steht eine Phishing-E-Mail mit einem Link oder einem typischen Anhang. Bei Phishing-Kampagnen, die ihre Ransomware in eine SCR-Datei oder ein anderes ungewöhnliches Dateiformat packen, kann problemlos eine Spam-Regel zur Blockierung dieser Anhänge eingerichtet werden. Wenn ZIP-Dateien durchgelassen werden sollen, sollten sie mindestens zwei Ebenen tief auf mögliche böswillige Inhalte durchsucht werden.

n Blockieren Sie unerwünschte oder überflüssige Programme oder Datenverkehr. Wenn keine Notwendigkeit für die Nutzung von Tor besteht, sollten Sie die Anwendung und ihren Datenverkehr in Ihrem Netzwerk blockieren. Dadurch können Sie häufig verhindern, dass die Ransomware den öffentlichen RSA-Schlüssel vom Kontroll-Server abrufen kann, sodass die Verschlüsselung blockiert wird.

n Erstellen Sie Netzwerksegmente für Geräte, die für die Patienten-versorgung dringend erforderlich sind.

n Bewahren Sie Sicherungen getrennt vom Netzwerk auf. Stellen Sie sicher, dass Systeme, Speicher und Bänder für Sicherungen an einem Ort aufbewahrt werden, auf den von Systemen in den Produktionsnetzwerken nicht zugegriffen werden kann. Wenn sich Schaddaten aus Ransomware-Angriffen innerhalb des Netzwerks bewegen, können sie andernfalls gesicherte Daten beschädigen.

n Nutzen Sie virtuelle Infrastrukturen für wichtige elektronische medizinische Datenverwaltungssysteme, die vom Rest des Produktionsnetzwerks getrennt sind.

n Führen Sie regelmäßig Benutzerschulungen zur Verbesserung des Sicherheitsbewusstseins durch. Die meisten Ransomware-Angriffe beginnen mit einer Phishing-E-Mail. Daher ist die Sensibilisierung der Benutzer absolut unverzichtbar. Statistiken zeigen, dass von zehn E-Mails, die von Angreifern gesendet wurden, mindestens eine erfolgreich ist. Öffnen Sie keine E-Mails oder Anhänge von unbekannten oder nicht überprüften Absendern.

Wenn Sie erfahren möchten, wie McAfee-Produkte vor Ransomware in Krankenhäuser schützen können, klicken Sie bitte hier.

Wenn Sie erfahren möchten, wie McAfee-Produkte vor Ransomware in Krankenhäuser schützen können, klicken Sie bitte hier.



http://www.mcafee.com/common/js/asset_redirect.html?eid=16Q3GLOBALWPOSM9666&url=http://www.mcafee.com/de/resources/solution-briefs/sb-quarterly-threats-sep-2016-2.pdf

http://www.mcafee.com/common/js/asset_redirect.html?eid=16Q3GLOBALWPOSM9666&url=http://www.mcafee.com/de/resources/solution-briefs/sb-quarterly-threats-sep-2016-2.pdf



Wichtigste Themen

Datenwissenschaft, Analysen und maschinelles Lernen im Sicherheits-bereich – ein Crashkurs—Celeste Fralick

Unsere Gegenspieler setzen immer kompliziertere Methoden ein, um die Sicherheits maßnahmen zu überwinden. Daher sollte jeder, der beruflich mit dem Schutz von IT-Systemen und Netzwerken zu tun hat, zumindest grundlegende Kenntnisse von Datenwissenschaft haben, da dies die Richtung ist, in der die Zukunft der IT-Sicherheit liegt. Begriffe wie Analysen, Big Data oder maschinelles Lernen haben Sie vielleicht schon einmal gehört. Auch wenn Sie kein Daten wissenschaftler oder Statistiker sind, kann eine kurze Einführung zu diesen Begriffen nicht schaden. Warum? Da immer mehr Geräte mit dem Internet verbunden sind und immer mehr Daten ausgetauscht werden, bieten Analysen die beste Möglichkeit, feindliche Aktionen zu unterbinden. Yottabyte (10²⁴ Byte) an Daten können nur per Automatisierung analysiert werden. Um hinter den Bedrohungen nicht zurückzubleiben und Schwachstellen vorhersagen zu können, sind grundlegende Kenntnisse über die Sicherheitskomponente der Daten wissenschaft erforderlich.

Was ist Datenwissenschaft?

Datenwissenschaft ist die Kombination von Mathematik, Statistik, Hardware, Software, Fachgebiet (oder Marktsegment) und Datenverwaltung. Daten-verwaltung ist ein allgemeiner Begriff zur Beschreibung der Datenflüsse, die wir über unsere Software- und Hardware-Architekturen erfassen, der Überwachung dieser Daten, der auf diese Daten angewendeten Richtlinien (z. B. zu Daten schutz anforderungen), der Speicherung und Sicherheit dieser Daten sowie der mathematischen Rahmenbedingungen, um nur einige zu nennen. Daten verwaltung ist genau sowichtig wie der Algorithmus selbst.

Wir beginnen daher erst einmal mit der Definition einer mathematischen Funktion, eines Algorithmus und eines Modells. Eine mathematische Funktion kennen wir schon aus der Grundschule. Das kann zum Beispiel a + b = c sein. Ein Algorithmus ist eine mathematische Formel (z. B. eine Standardabweichung oder ein Durchschnitt), nach der Daten analysiert werden, um mehr über die Daten zu erfahren. Ein Modell stellt Eigenschaften (oder Merkmale) dar, die ein Datenwissenschaftler untersucht, und gibt Aufschluss über den Prozess und dessen Interaktionen mit anderen Variablen. Es kann häufig voraussagen, was wahrscheinlich passieren wird. Meteorologen greifen auf Modelle zurück, um das Wetter vorherzusagen. So hat Nate Silver (Autor von Signal and the Noise: Why So Many Predictions Fail and Some Don’t (Signal und Rauschen: Warum so viele Vorhersagen daneben liegen und manche nicht)) mithilfe von Modellen den Wahlsieg von Barack Obama vorhergesagt.

Datenwissenschaftler setzen gern mathematische Algorithmen und Modelle ein, um Probleme zu lösen. Damit kann zum Beispiel ein Angriff erkannt werden, bevor er stattfindet, oder Ransomware wird gestoppt, bevor sie ein Computernetzwerk übernimmt. Die meisten Datenwissenschaftler konzentrieren sich auf ein bestimmtes Spezialgebiet. Zu diesen Spezialgebieten gehören zum Beispiel die Bildverarbeitung, Sprachverarbeitung, statistische Prozesssteuerung, prädiktive Algorithmen, Experiment-Designs, Textanalysen, Visualisierung und grafische Darstellung,

Datenwissenschaft ist die Kombination von Mathematik, Statistik, Hardware, Software, Fachgebiet (oder Marktsegment) und Datenverwaltung.



https://en.wikipedia.org/wiki/The_Signal_and_the_Noise

https://en.wikipedia.org/wiki/The_Signal_and_the_Noise



Wichtigste Themen

Datenverwaltung und Prozessüberwachung (siehe folgende Grafik). Wenn der Datenwissenschaftler in den Grundlagen der Statistik geschult ist, kann er einen Algorithmus aus einem Spezialgebiet besser ableiten und auf ein anderes Gebiet anwenden.

Was ist der Unterschied zwischen einem Statistiker und einem Daten-wissenschaftler? Die meisten Statistiker werden Ihnen sagen, dass es keinen Unterschied gibt – wenn der Daten wissenschaftler über eine statistische Ausbildung verfügt. Aufgrund der permanenten Internet anbindung in Kombination mit Big Data und dem Internet der Dinge wurden Daten-wissenschaftler benötigt, was dazu geführt hat, dass die Statistiker nun plötzlich bei der Produkt entwicklung ein wichtiges Wörtchen mitreden. Durch das Aufstellen sehr spezieller Analysen für bestimmte Einsatz zwecke – also der Umwandlung von Daten in geschäftlich nutzbare Erkenntnisse – können Statistiker und Daten wissenschaftler ihrem Unternehmen nun ganz neue Möglichkeiten eröffnen. Insbesondere bei der Entwicklung von Sicherheits produkten funktioniert das sehr gut.

Definition von AnalysenDer wissenschaftliche Prozess zur Umwandlung von Daten in Erkenntnisse, um bessere Entscheidungen treffen zu können.

Spezialgebiete für Analysen n Data Mining n Datenüberwachung n Komplexe Ereignisverarbeitung n Bildverarbeitung

(z. B. Magnetresonanztomografie) n Texte (z. B. soziale Medien) n Konzeption von Experimenten n Visualisierung

(z. B. grafische Darstellung)

n Prognosen n Optimierung n Geschäftliche Analysen n Sprachverarbeitung n Maschinelles Lernen n Cognitive Computing

Eine allgemeine Definition mit einigen Beispielen für Spezialgebiete, die ein Daten-wissenschaftler beherrschen muss.

Grundlegende Begriffe

FachgebietDaten-verwaltung

Software/Hardware

Was ein Daten-wissenschaftler wissen muss

StatistikMathematik





Wichtigste Themen

Bei Analysen 3.0 verschiebt sich der Schwerpunkt hin zu prädiktiven und präskriptiven Analysen. Wie gehen davon aus, dass die meisten Sicherheitsanbieter bis zum Jahr 2020 auf Analysen 3.0 setzen werden.

Wie hat sich die Datenwissenschaft entwickelt?

Die typischen Phasen von Analysen fangen bei deskriptiven Analysen an und gehen dann weiter in Richtung diagnostische, prädiktive und präskriptive Analysen. Deskriptive und diagnostische Analysen geben Antwort auf die Frage, was passiert ist oder warum etwas passiert ist. Prädiktive Analysen, die auf deskriptiven und diagnostischen Analysen aufbauen, sagen voraus, was geschehen wird. Und präskriptive Analysen, die auf prädiktiven Analysen basieren, geben eine Empfehlung ab, weil etwas Bestimmtes geschehen wird.

Deskriptive und diagnostische Analysen können reaktiv oder proaktiv sein (und damit ist wirklich „proaktiv“ und nicht „prädiktiv” gemeint.) Der Vorteil der proaktiven Herangehensweise besteht darin, dass etwas bereits geschehen ist und man weiß, wie man das Problem beheben kann. Dieser proaktive „Entscheidungsbaum“ kann später in der empfehlenden Phase genutzt werden. Deskriptive und diagnostische Analysen können auch einfach nur zur Erstellung von Berichten genutzt werden. Viele Anbieter von Sicherheitsprodukten setzen deskriptive und diagnostische Analysen sein, wobei proaktive Reaktionen erfolgen, wenn ein Gegner das System bedroht.

Die Geschichte der Analytik begann mit der ersten Generation („Analyse 1.0“), in der die Analytiker im Hinterzimmer arbeiteten und warteten, bis ihnen ein Problem vorgelegt wurde. Die Analysen waren vorwiegend deskriptiver und diagnostischer Natur, und die Analytik spielte im Unternehmen keine zentrale Rolle. Die Sicherheitsbranche selbst setzt vor allem auf deskriptive und diagnostische Analysen, wozu auch regelbasierte Entscheidungsbäume gehören. Anbieter von Sicherheitsprodukten müssen dies auch weiterhin tun, da ein mehrstufiger Ansatz erforderlich ist, um eine effektive Sicherheitsabdeckung bereitzustellen.

Aufgrund der zunehmenden Konnektivität sowie der immer leistungsstärkeren Mikro prozessoren entstand um das Jahr 2010 das Phänomen namens „Big Data“, dem wir die zweite Generation der Analysen verdanken („Analysen 2.0“). Die Bezeichnung „Daten wissenschaftler“ kam auf, und Software-Architekten standen vor der Herausforderung, gewaltige Datenmengen aus den unterschiedlichsten Quellen in den Griff zu bekommen. Zu den seit der Analysengeneration 1.0 verfügbaren prädiktiven und präskriptiven Analysen kamen mit der weiteren Entwicklung der Sicherheits lösungen deskriptive und diagnostische Analysen hinzu.

Die meisten Firmen aus der Sicherheitsbranche bewegen sich schnell in Richtung „Analysen 3.0“ weiter, und in Anzeigen und Prospekten werden schon Studien und Einsatzbeispiele zu prädiktiven Analysen zitiert. Die folgende Grafik zeigt den allgemeinen Status der Analytik in der Sicherheitsbranche, beginnend mit Analysen 1.0 bis hin zu 3.0.

Bei Analysen 3.0 verschiebt sich der Schwerpunkt hin zu prädiktiven und präskriptiven Analysen, und diese Analysen sind (neben deskriptiven und diagnostischen Analysen) für den Geschäftsbetrieb unverzichtbar. Die meisten Sicherheitsfirmen haben Analysen 3.0 noch nicht erreicht, konzentrieren sich jedoch beim Kampf gegen Malware, Ransomware und Botnets mittlerweile auf prädiktive Lösungen. Wie gehen davon aus, dass die meisten Sicherheitsanbieter bis zum Jahr 2020 auf Analysen 3.0 setzen werden.





Wichtigste Themen

Maschinelles Lernen

Beim maschinellen Lernen werden Analysen automatisiert, mit denen Computer über die Zeit dazulernen. Auch wenn maschinelles Lernen in deskriptiven und diagnostischen Analysen angewendet werden kann, wird diese Funktion meist in prädiktiven und präskriptiven Algorithmen eingesetzt. Clustering- oder Klassifikationsalgorithmen können gelernt und auf eingehende Daten angewendet werden; diese Algorithmen können als diagnostisch angesehen werden. Sollten die eingehenden Daten für einen prädiktiven Algorithmus verwendet werden – z. B. ARIMA (Autoregressive Integrated Moving Average) oder SVM (Support Vector Machine) –, dann lernt der Algorithmus im Laufe der Zeit, wie Daten einem bestimmten Cluster oder einer Klasse zugeordnet werden oder wie ein zukünftiger Wert, ein Cluster oder eine Klasse vorhergesagt werden kann.

Beim Zuordnen oder Vorhersagen wird vorausgesetzt, dass dem Algorithmus „beigebracht“ wurde, wie er lernen kann – und an dieser Stelle gibt es schon die ersten Probleme. Wie bei allen Analysen kommt es vor allem darauf an, das Problem korrekt zu umreißen. Dazu muss man wissen, wie die resultierenden Analysen helfen sollen, das Problem zu lösen. Vor allem muss man die Variablen, Eingaben sowie Ergebnisse kennen und wissen, wie die Lösung dem Unternehmen nützen soll. Dann muss sichergestellt sein, dass alle Daten ordnungsgemäß bereinigt und verarbeitet werden – ein Schritt, der rund 80 Prozent der gesamten Entwicklungszeit in Anspruch nimmt. Das mag zwar zeitaufwändig sein, ist jedoch unverzichtbar, um Ausreißer und Messfehler zu erkennen sowie festzustellen, welchen typischen Trends die Daten folgen. Fachexperten unterschätzen häufig, wie viel Zeit für das Bereinigen und Verarbeiten aufgewendet werden muss.

Beim maschinellen Lernen werden Analysen automatisiert, mit denen Computer lernfähige Algorithmen trainieren. Auch wenn maschinelles Lernen in deskriptiven und diagnostischen Analysen angewendet werden kann, wird diese Funktion meist in prädiktiven und präskriptiven Algorithmen eingesetzt.

Die Evolution der Analyse

Analysen 1.0

• Intern erfasste, strukturierte Datensätze

• Deskriptive und diagnostische Analysen

• Reaktiv, aber nützlich

Analysen 2.0

• Big Data: umfangreich, komplex, unstrukturiert

• Daten aus internen und externen Quellen

Analysen 3.0

• Nutzt lernfähige Algorithmen mit Big Data, Deep Learning und Cognitive Computing

• Schnelle und proaktive Erkennung und Untersuchung

1.0 2.0 3.0

Sicherheit Stand2016

Führende Produkteheute

Die Entwicklung der Analysen, mit allgemeiner Ausrichtung von deskriptiven, diagnostischen, prädiktiven und präskriptiven Analysen (mit freundlicher Genehmigung von Dr. Tom Davenport.)

Übernommen vom International Institute for Analytics.



https://en.wikipedia.org/wiki/Autoregressive_integrated_moving_average

https://en.wikipedia.org/wiki/Autoregressive_integrated_moving_average

https://de.wikipedia.org/wiki/Support_Vector_Machine

http://www.tomdavenport.com/about/



Wichtigste Themen

Nachdem das Problem umrissen und die Daten bereinigt sowie verarbeitet wurden, sind die Daten bereit für statistische Analysen. Das können ganz einfache Untersuchungen sein, z. B. Verteilung, Standardabweichung, Schiefe und Wölbung. So kann man erkennen, ob die Daten linear oder nichtlinear sind und normalisiert oder transformiert werden müssen. Mittels Normalisierung oder Transformationen kann der Datenwissenschaftler die Daten auf einheitliche Weise verändern oder skalieren, sodass sie in ein bestimmtes Modell passen. Die Mathematik dazu kann oftmals sehr kompliziert sein.

Diese Schritte helfen dem Datenwissenschaftler, die Modelle für die Klassifikation und den System-Evaluierungs-Abschnitt des maschinellen Lernens aufzustellen. Für welches Modell sich der Datenwissenschaftler letztendlich entscheidet, hängt von den verfügbaren Daten und dem zu lösenden Problem ab. Daher lautet die bei weitem schwierigste Frage, die sich ein Datenwissenschaftler stellt: Woher soll ich wissen, welches Modell ich wähle? Kurs gesagt hängt das von den Daten ab. Der Datenwissenschaftler sollte jedoch mindestens drei bis fünf Modelle ausprobieren und dann das nehmen, das am besten passt. An diesem Punkt drängen dann die Fachexperten, sich schnell für ein Modell zu entscheiden. Die Wahl des richtigen Modells ist jedoch überaus wichtig, um die Anforderungen der Kunden zu erfüllen und sicherzustellen, dass das Modell genau sowie präzise ist und sich auch im Wiederholungsfall bewährt.

Nun werden die Daten in einen Übungssatz und einen Prüfsatz aufgeteilt. Der Übungssatz, der rund 80 Prozent der Gesamtdaten umfasst, stellt die vorhergesagten Beziehungen mit den Daten bereit. Der Prüfsatz (oder Testsatz), der rund 20 Prozent der Daten umfasst, stellt dagegen sicher, dass die Daten belastbar sind. Es ist wichtig, den Zusammenhang zwischen diesen beiden Daten sätzen zu verstehen. Es besteht nämlich immer die Gefahr, dass Daten zu stark aufbereitet werden, um in ein Modell zu passen. Dann passen die Daten zwar in das Übungsmodell, nicht jedoch in das Prüfmodell. Die Ermittlung eines „passenden“ Modells kann in diesem Fall über analytische Berechnungen erfolgen, z. B. über den R-Wert, den generalisierten R-Wert und den mittleren quadratischen Fehler. Es ist wichtig, mehrere Modelle auszuprobieren und die Variablen innerhalb dieser Modelle zu optimieren (z. B. den Typ der Transformation), um das am besten passende Modell zu ermitteln.





Begriffe aus dem Bereich maschinelles Lernen

Der Begriff Big Data, der um das Jahr 2010 aufkam, hat den Weg für ein neues Schlagwort frei gemacht: maschinelles Lernen. Beim maschinellen Lernen wird Automatisierung eingesetzt, um Beziehungen zu erlernen, insbesondere für prädiktive und präskriptive Analysen. Sofern korrekt implementiert, kann die Analytik in regelmäßigen Abständen oder permanent dazulernen. Später sind noch weitere Begriffe entstanden, die zum maschinellen Lernen gehören (siehe Tabelle auf Seite 23). Schauen wir uns drei dieser Begriffe etwas näher an: neuronale Netzwerke, Deep Learning und Cognitive Computing.

Wichtigste Themen

Die Abbildung oben zeigt den allgemeinen Analyseprozess, dargestellt in Form einer analytischen Evolution, Versuch-und Fehler-Wiederholungen, Beschreibungen und einige Beispiele für Algorithmen und Aktionen. Die kreisförmige Darstellung in der Mitte des Bildes bedeutet, dass der Prozess iterativ ist und nicht streng linear erfolgen muss.

Allgemeine Vorgehensweise bei Analysen

Berichterstellung Reaktiv Proaktiv Prädiktiv

Wiederholungen undVersuch-und-Irrtum-Methode, um bestmöglicheErgebnisse zu erzielen

Beschreibung

Evolution der Analyse

Allgemeiner Analysevorgang

Präskriptiv

Feature-Generierung

Feature-Extraktion

Festlegung derKlassifizierung

System-Evaluierung

Algorithmen

Experiment

Analyse

Konzeption

Implementierung

• Verständnis, Filterung, Daten-bereinigung, Vorverarbeitung

• Grundlegende Statistiken für Daten

• Transformation/ Normalisierung

• Trennungder Daten

• Verständnisder Features

• Prädiktive Mathematik

• Schulung, Validierung, Tests

Beim maschinellen Lernen wird Automatisierung eingesetzt, um Beziehungen zu erlernen, insbesondere für prädiktive und präskriptive Analysen. Sofern korrekt implementiert, kann die Analytik in regelmäßigen Abständen oder permanent dazulernen.





Wichtigste Themen

Neuronale Netzwerke (oder kurz: neuronale Netze) gehören zu den Algorithmen für maschinelles Lernen und „Deep-Learning“. Es gibt viele Arten von neuronalen Netzen, die die Funktionsweise des Gehirns mit einer Reihe versteckter Ebenen, Transformationen und Knoten nachstellen. Oftmals wird im neuronalen Netz ein Kreuzvalidierungsalgorithmus angewendet, der rekursiv ist, gefolgt von einem (gaußschen) Logarithmus oder einer tanh-Transformation, um Kategorien von echt negativ, echt positiv, falsch negativ und falsch positiv zu erzeugen. In der Vergangenheit haben sich neuronale Netze als ressourcen- und zeitaufwändig erwiesen. Dank der Fortschritte bei CPUs, GPUs, FPGAs und RAM gelten sie jedoch beim maschinellen Lernen wieder als ein leistungsfähiges Analysewerkzeug und werden in den verschiedensten Ausführungen angeboten.

Neuronale Netze gelten als eine Art Deep-Learning-Algorithmus, der oftmals mit künstlicher Intelligenz in Verbindung gebracht wird. Ihre Einsatzgebiete sind selbstfahrende Autos, Bild- und Texterkennung und Sprachverarbeitung. Beim Deep Learning werden komplexe Algorithmen eingesetzt, z. B. Verbund-algorithmen (d. h. mehrere hintereinander geschaltete Algorithmen). Zum Deep Learning gehören für gewöhnlich der Einsatz von Erinnerungen (d. h. was schon geschehen ist), eine Logik (d. h. wenn X, dann Y) sowie die Berücksichtigung aktueller und prognostizierter Daten.

Cognitive Computing (oder neuromorphes Computing) ist ein weiterer Typ von maschinellem Lernen und Deep Learning. Die Berechnung ist relativ komplex und beinhaltet Integralrechnungen auf höchstem Niveau. Cognitive Computing enthält meist selbstlernende Analysen, die Prozesse im Gehirn oder menschliche Verhaltens- und Argumentationsweisen imitieren. Kortikale Algorithmen, eine n-dimensionale Vorwärts- und Rückwärts-Analyse, können als neuromorphes Computing betrachtet werden, da die algorithmischen Prozesse der Arbeitsweise des Gehirns und seiner Neuronen sehr ähnlich sind.

Bei jeder dieser Einsatzmöglichkeiten für maschinelles Lernen müssen verschiedene Elemente berücksichtigt werden:

n Wo sollen die Daten erfasst und verarbeitet werden?

n Welche Rohdaten werden benötigt, und können Stichproben genommen werden?

n Wie viel Zeit, Geld und Ressourcen (inklusive Personal, Hardware und Software) muss der Kunde für die erforderliche Bandbreite und Latenz aufbringen?

n Wo soll das periodische oder (besser) permanente Lernen stattfinden?

n Wo, wie und wann sollen die Daten gespeichert werden?

n Wie oft ist damit zu rechnen, dass das Modell neu berechnet werden muss, weil sich Kundenprozesse, Metadaten oder Überwachungsrichtlinien ändern?





Wichtigste Themen

Grundlegende Begriffe

Begriff Definition

Maschinelles Lernen

Automatisierte Analysen, die im Laufe der Zeit dazu lernen. Wird oft auf komplexere (prädiktive oder präskriptive) Algorithmen angewendet.

Neuronale Netzwerke

Sind der neuronalen Struktur des Gehirns nachgestellt und verwenden Ebenen mit mathematischen Transformationen sowie bereits vorliegende Daten, um zwischen guten und schlechten Daten zu unterscheiden lernen.

Deep Learning

Algorithmen, die häufig mit künstlicher Intelligenz in Zusammenhang gebracht werden, z. B. bei selbstfahrenden Autos, Bilderkennung und Sprachverarbeitung. Setzt meist auf neuronale Netzwerke und andere komplexe Algorithmen. Erinnerung, Logik und Berücksichtigung sind hier die Schlüsselattribute.

Cognitive Computing

Sind meist selbstlernende Systeme, die eine Zusammen-stellung komplexer Algorithmen einsetzen, um Prozesse des menschlichen Gehirns nachzustellen.

Mythen über Analysen und maschinelles Lernen

Analysen und maschinelles Lernen können nicht jedes Problem lösen. Es muss stets berücksichtigt werden, dass die Entwicklung von Algorithmen für maschinelles Lernen zeit- und arbeitsaufwändig ist. Dies gilt auch für die Wartung und die spätere regelmäßige Durchsicht der Algorithmen, um sicherzustellen, dass die maschinell erlernten Analysen auch langfristig funktionieren.

Kommen wir nun zu einigen konkreten Mythen über Analysen und maschinelles Lernen (siehe die beiden Tabellen weiter unten).

Einige Mythen über Analysen, die sich hartnäckig halten, haben wir bereits erwähnt. Denken Sie immer daran, dass Analysen nicht auf die Schnelle und auch nicht mit einem einzigen Modell vorgenommen werden können. Es dauert seine Zeit, bis Sie die Daten bereinigt und verarbeitet und drei bis fünf Modelle ausprobiert haben. Dazu müssen Sie das richtige Modell auswählen (d. h. das Modell muss für den Einsatzzweck des Kunden geeignet sein). Und schließlich müssen Sie das Modell korrekt anpassen (d. h. die mathematische Logik muss korrekt funktionieren und das Modell muss zu den Daten passen).

Analysen sind kein Allheilmittel für alle Problemstellungen. So können zwar viele logistische Herausforderungen mithilfe von Analysen gelöst werden, jedoch nicht alle. Sie kennen bestimmt die Redewendung, dass es drei Arten von Lügen gibt: kleine Lügen, große Lügen und Statistiken. Häufig ist ein Modell gut, löst aber nicht das Problem, weil die relevanten Punkte (d. h. die statistisch wichtigen Variablen) nicht richtig identifiziert wurden.





Wichtigste Themen

Source: McAfee and Microsoft, 2017.

Daher müssen Sie sich vergewissern, dass der Datenwissenschaftler über ein grundlegendes Verständnis von Statistiken verfügt. Wenn der Analyst sagt, dass „X und Y korrelieren“, müssen Sie nachfragen, welcher Korrelationskoeffizient verwendet wurde und ob die Daten normalisiert sind. Die Antwort wird Sie manchmal überraschen – so mancher Daten-wissenschaftler hat keine Ahnung von allgemeiner Statistik.

Mythen über Analysen

Mythos Tatsache

Ist schnell erledigt. Es dauert, bis das Problem umrissen ist und die Daten bereinigt bzw. aufbereitet sind.

Analysen lösen alle Probleme. Vielleicht ist es ein logistisches Problem, vielleicht ist es aber auch nur schlechtes Management – und das kann mit Analysen nicht gelöst werden.

Analysen haben immer Recht. Siehe „Signal and the Noise: Why So Many Predictions Fail and Some Don’t“ (Signal und Rauschen: Warum so viele Vorhersagen daneben liegen und manche nicht) von Nate Silver.

Man muss sich nicht mit Statistiken auskennen, um Analysen vorzunehmen.

Um Daten richtig aufbereiten und korrekt interpretieren zu können, muss man sich sehr gut mit Statistik auskennen.

Das Bereinigen und Aufbereiten von Daten für Analysen ist leicht. Manchmal kann man sogar darauf verzichten!

Ausreißer oder Stördaten können das Ergebnis verfälschen.

Mit einem Analyse-Tool lässt sich die Analyse automatisieren, daher muss man die Mathematik nicht verstehen.

Viele Tools treffen Annahmen zum angewandten Algorithmus. Ein Grundwissen über die mathematischen Konzepte ist daher unerlässlich.

Datenwissenschaftler sollten nicht blind irgendein automatisiertes Tool einsetzen (z. B. JMP, RapidMiner, Hadoop oder Spark), ohne zu wissen, was hinter den Kulissen vor sich geht – insbesondere in Bezug auf die Mathematik und die geltenden Einschränkungen. Zögern Sie nicht, die Arbeit der Daten-wissenschaftler zu verifizieren!





Wichtigste Themen

Mythen über maschinelles Lernen

Mythos Tatsache

Maschinelles Lernen ist nicht auf den Menschen angewiesen.

Der Mensch ist schon erforderlich, um Datensätze aufzubereiten, zu bereinigen, zu modellieren und langfristig zu beurteilen.

Maschinelles Lernen kann aus beliebigen Daten in allen Situationen Schlussfolgerungen ziehen.

Unstrukturierte Daten stellen immer eine Herausforderung dar und können zu Ungenauigkeiten führen.

Maschinelles Lernen kann beliebig skaliert werden.

Manche Algorithmen für maschinelles Lernen sind für größere Datensätze besser geeignet.

Maschinelles Lernen funktioniert auf Knopfdruck.

Es gibt viele Algorithmen für maschinelles Lernen, die trainiert werden müssen, und jedes Modell muss überprüft werden. Die Auswahl des richtigen Datensatzes und Modells ist zeitaufwändig und setzt entsprechendes Know-how voraus.

Maschinelles Lernen ist immer prädiktiv.

Es gibt viele Algorithmen für maschinelles Lernen, die nur klassifizieren und keine Vorhersagen treffen.

Maschinelles Lernen ist gegen Hacker immun.

Wenn wir etwas bauen, kriegen Hacker bestimmt etwas Besseres hin. Da hilft nur, immer dazuzulernen und komplexe Algorithmen einzusetzen!

Wie zu Analysen gibt es auch zum maschinellen Lernen zahlreiche Mythen. Maschinelles Lernen ist keine Wundermethode, die mal eben jedes Problem lösen kann. Es ist der gleiche Aufwand an Vorarbeiten (d. h. Bereinigung, Verarbeitung und Modellgenerierung) erforderlich wie bei Analysen vor ihrer Automatisierung. Modelle können nicht immer von kleinen Datenmengen auf Big Data skaliert werden. Kleine Datenmengen sind nicht immer normal verteilt, während dies bei Big Data durchaus der Fall sein kann. Daher sind auch unterschiedliche Modelle erforderlich. Maschinelles Lernen wird gern implementiert und sich dann selbst überlassen, während das nächste Problem schon ansteht. Auch Prozessänderungen (z. B. Neustarts), Unterschiede bei bestimmten Merkmalen (z. B. neue Verbindungen) oder die Integrität der Daten können die Genauigkeit von Algorithmen für maschinelles Lernen beeinträchtigen. Daher sollten Analysen auch nach ihrer Implementierung immer überprüft werden, um sicherzustellen, dass das Modell weiterhin korrekt lernt und die ein- und ausgehenden Daten adäquat sind.





Wichtigste Themen

Endgeräteerkennung und -verwaltung mit Cloud-Unterstützung maximiert die Ergebnisse des maschinellen Lernens und prädiktiver Algorithmen.

Datenwissenschaft, Analysen und maschinelles Lernen im Sicherheits bereich – ein Ausblick

Analysen und maschinelles Lernen können in jeder Branche eingesetzt werden, um Probleme zu lösen. Die Herausforderung besteht darin, dies richtig – und zwar dauerhaft richtig – zu tun. In der Sicherheitsbranche zum Beispiel sollten die Produkte über höchstmögliche Genauigkeit verfügen, damit die Benutzer geschützt sind und False-Positives und False-Negatives nicht den Geschäfts betrieb beeinträchtigen. Datenwissenschaftler sollten umfassend geschult, sachkundig und bestrebt sein, das Produkt zu optimieren. Dazu gehört nicht nur die Erstellung von Modellen und Anwendungen für das maschinelle Lernen, sondern jegliche unterstützende Hardware. Bibliotheken mit Integrated Performance Primitives, Math Kernel Library und Data Analytics Acceleration Library sind wichtige Bausteine, die alle Phasen der Datenanalyse abdecken und die Verarbeitung sowohl in der Hardware als auch in der Software optimieren.

Endgeräteerkennung und -verwaltung mit Cloud-Unterstützung maximiert die Ergebnisse des maschinellen Lernens und der prädiktiven Algorithmen unter höchstmöglicher Berücksichtigung der Bandbreiteneinschränkungen des Benutzers. Denken Sie an regelmäßige Aktualisierungen der Datenmodelle, und setzen Sie innovative Analyseanwendungen ein. Derzeit zum Beispiel sollte bei der Entwicklung von Sicherheitstechnologien vor allem der Kampf gegen Ransomware (die seit Januar 2015 um 200 Prozent zugenommen hat) an vorderster Stelle stehen. So stehen neuartige Ansätze mit Cognitive Computing und künstlicher Intelligenz kurz vor der Fertigstellung und sollten in Kürze verfügbar sein.

Wer verstehen möchte, welchen Risiken ein Unternehmen ausgesetzt ist und wie sich wichtige geschäftliche Kennzahlen verbessern lassen (z. B. Rendite, Kunden zufriedenheit, Wachstum und Dynamik), muss über grundlegende Kenntnisse in den Bereichen Analyse, maschinelles Lernen und Daten-wissenschaft verfügen. Wählen Sie eine Lösung danach aus, dass sie auf umfangreichen Ressourcen aus der Datenwissenschaft sowie auf innovativen Forschungen basiert. Außerdem sollten Sie zwischen mehreren Sicherheits-optionen wählen können, damit Ihr Unternehmen auch zukünftig gut gerüstet ist. Dies war nur ein Crashkurs – machen Sie sich aktiv weiter mit der Daten-wissenschaft vertraut. Entscheiden Sie sich für die beste Sicherheitslösung mit den neuesten Analysen und einer optimierten Hardware, um immer raffiniertere Bedrohungen erkennen und abwehren zu können.



Statistische BedrohungsdatenMalware

Internet-Bedrohungen



Statistische Bedrohungsdaten

Malware

60.000.000

50.000.000

40.000.000

30.000.000

20.000.000

10.000.000

0

Neue Malware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

600.000.000

700.000.000

500.000.000

400.000.000

300.000.000

200.000.000

100.000.000

0

Gesamtanzahl aller Malware-Varianten

3. Q. 4. Q 1. Q. 2. Q. 3. Q. 4. Q 1. Q. 2. Q.2014 2015 2016

Neue Malware-Varianten

Gesamtanzahl aller Malware-Varianten

Quelle: McAfee Labs, 2016.


Die Zahl neuer Malware-Varianten stieg im vierten Quartal in Folge. Die Anzahl erreichte im 2. Quartal den zweithöchsten jemals erfassten Wert.

Der Malware-Bestand von McAfee Labs umfasst jetzt insgesamt mehr als 600 Millionen Varianten und ist damit im letzten Jahr um 32 Prozent gewachsen.





Neue Mobilgeräte-Malware-Varianten

1.500.000

1.750.000

2.000.000

1.250.000

1.000.000

750.000

500.000

250.000

0

Neue Mobilgeräte-Malware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

9.000.000

10.500.000

12.000.000

7.500.000

6.000.000

4.500.000

3.000.000

1.500.000

0

Gesamtanzahl aller Mobilgeräte-Malware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Gesamtanzahl aller Mobilgeräte-Malware-Varianten




Die Anzahl neuer Mobilgeräte-Malware-Exemplare erreichte im 2. Quartal den höchsten jemals erfassten Wert.

Die Gesamtzahl der Mobilgeräte-Malware-Varianten stieg im letzten Jahr um 151 Prozent.





Infektionsraten für Mobilgeräte-Malware im 2. Quartal 2016 nach Region

(Anteil der Mobilgerätekunden, die eine Infektion melden)

12 %

14 %

10 %

8 %

6 %

4 %

2 %

0 %

Infektionsraten für Mobilgeräte-Malwareim 2. Quartal 2016 nach Region

(Anteil der Mobilgerätekunden, die eine Infektion melden)

Afrika Asien Australien Europa Nord-amerika

Süd-amerika

12 %

14 %

16 %

10 %

8 %

6 %

4 %

2 %

0

Weltweite Infektionsraten für Mobilgeräte-Malware

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Weltweite Infektionsraten für Mobilgeräte-Malware (Anteil der Mobilgerätekunden, die eine Infektion melden)








Neue Malware-Varianten für Mac OS

30.000

25.000

20.000

15.000

10.000

5.000

0

Neue Malware-Varianten für Mac OS

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

60.000

50.000

40.000

90.000

80.000

70.000

30.000

20.000

10.000

0

Gesamtanzahl der Malware-Varianten für Mac OS

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Gesamtanzahl der Malware-Varianten für Mac OS



Die Anzahl neuer Malware-Varianten für Mac OS fiel in diesem Quartal um 70 Prozent. Dies ist auf die zurückgehenden Aktivitäten einer einzigen Adware-Familie (OSX.Trojan.Gen) zurückzuführen.






Neue Ransomware-Varianten

1.200.000

1.000.000

800.000

1.400.000

600.000

400.000

200.000

0

Neue Ransomware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

6.000.000

5.000.000

4.000.000

7.000.000

8.000.000

3.000.000

2.000.000

1.000.000

0

Gesamtanzahl aller Ransomware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Gesamtanzahl aller Ransomware-Varianten



Das Wachstum neuer Ransomware-Varianten nimmt weiterhin zu. Die Anzahl neuer Ransomware-Exemplare erreichte im 2. Quartal den höchsten jemals erfassten Wert.

Die Gesamtzahl der Ransomware-Varianten stieg im letzten Jahr um 128 Prozent.






Neue böswillige signierte Binärdateien

1.200.000

1.000.000

800.000

1.400.000

1.600.000

1.800.000

2.000.000

600.000

400.000

200.000

0

Neue böswillige signierte Binärdateien

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

15.000.000

12.500.000

10.000.000

17.500.000

20.000.000

22.500.000

7.500.000

5.000.000

2.500.000

0

Gesamtanzahl aller böswilligen signierten Binärdateien

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Gesamtanzahl aller böswilligen signierten Binärdateien



Nach einem vier Monate anhaltenden Rückgang nimmt die Zahl der neuen böswilligen, signierten Binärdateien wieder zu.






Neue Makro-Malware-Varianten

120.000

100.000

80.000

140.000

160.000

180.000

60.000

40.000

20.000

0

Neue Makro-Malware-Varianten

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

600.000

500.000

400.000

700.000

300.000

200.000

100.000

0

Gesamtanzahl aller Makro-Malware-Varianten für Mac

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Gesamtanzahl aller Makro-Malware-Varianten für Mac



Neue Downloader-Trojaner sind im 2. Quartal für einen Anstieg von 200 Prozent verantwortlich. Diese Bedrohungen werden in Spam-Kampagnen verwendet, z. B. bei solchen, die über das Botnet Necurs verteilt werden. Weitere Informationen zur Rückkehr der Makro-Malware finden Sie im McAfee Labs Threat-Report vom November 2015.

Die Gesamtzahl der Makro-Malware-Varianten stieg im letzten Quartal um 39 Prozent.




http://www.mcafee.com/de/resources/reports/rp-quarterly-threats-nov-2015.pdf

http://www.mcafee.com/de/resources/reports/rp-quarterly-threats-nov-2015.pdf



Neue verdächtige URLs

30.000.000

25.000.000

20.000.000

35.000.000

15.000.000

10.000.000

5.000.000

0

Neue verdächtige URLs

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Zugehörige DomänenURLs

2.500.000

2.000.000

1.500.000

1.000.000

500.000

0

Neue Phishing-URLs

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016


Neue Phishing-URLs

Internet-Bedrohungen



Die Anzahl neuer verdächtiger URLs befindet sich seit fünf Quartalen im Sinkflug.






Neue Spam-URLs

2.500.000

2.000.000

1.500.000

1.000.000

500.000

0

Neue Spam-URLs

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016


5

4

3

2

9

8

11

10

7

6

1

0

Weltweites Spam- und E-Mail-Aufkommen

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Legitime E-MailsSpam

Weltweites Spam- und E-Mail-Aufkommen (in Billionen Nachrichten)








Von den 10 größten Botnets versendete Spam-E-Mails (in Millionen Nachrichten)

Weltweites Botnet-Aufkommen

1.200

1.400

1.000

800

600

400

200

0

Von den 10 größten Botnets versendete Spam-E-Mails

3. Q. 4. Q. 1. Q. 2. Q. 3. Q. 4. Q. 1. Q. 2. Q.2014 2015 2016

Kelihos

Darkmailer

Gamut

Cutwail

Necurs

AndereSlenfbot

Lethic

KelihosC

Sendsafe

45 %

8 %6 %

5 %

4 %

4 %

4 %

18 %

Weltweites Botnet-Aufkommen

China Chopper Webshell

Wapomi

Muieblackcat

OnionDuke

Nitol

H-Worm

Andere

Ramnit

Maazben

Sality

3 %

3 %



In diesem Quartal erhielt die Top 10 der E-Mail-Spam-Botnets einen neuen Konkurrenten: Necurs. Dies ist gleichzeitig der Name für eine Malware-Familie und ein Spam-Botnet. Necurs verfügt über eine gewaltige Infrastruktur mit Millionen infizierten Geräte auf der ganzen Welt und verbreitet darüber die Ransomware-Kampagnen Locky und Dridex. Eine Unterbrechung Anfang Juni verlangsamte das Wachstum dieser Kampagnen. Dennoch beobachteten wir eine Rückkehr der Aktivitäten und rechnen im 3. Quartal mit einer weiteren Verbreitung von Ransomware. Das Gesamtvolumen der Botnets wuchs im 2. Quartal um 30 Prozent.

Wapomi verteilt Würmer und Downloader und wuchs im 2. Quartal um 8 Prozent. Der Exploit-Türöffner Muieblackcat, im letzten Quartal noch auf Platz 2, ging um 11 Prozent zurück.






Häufigste Netzwerkangriffe

37 %

12 %4 % 4 %

30 %

Länder mit den meisten Botnet-Kontroll-Servern

Deutschland

USA

Russland

Niederlande

Tschechische Republik

Frankreich

Südkorea

China

Australien

Andere

Kanada

2 %2 %

2 %2 %

2 %3 %

Länder mit den meisten Botnet-Kontroll-Servern

33 %

25 %

18 %

6 %

4 %

9 %

Häufigste Netzwerkangriffe

Browser

Denial-of-Service-Angriff

Brute Force

SSL

Scan

DNS

Andere

Backdoor

2 %3 %



Denial-of-Service-Angriffe nahmen im 2. Quartal um 11 Prozent zu und liegen jetzt auf Platz 1. Die Zahl der Browser-Angriffe hingegen fiel im Vergleich zum 1. Quartal um 8 Prozent.




Informationen zu McAfeeMcAfee ist eines der weltweit führenden unabhängigen Cyber-Sicherheits-unternehmen. Inspiriert durch die Stärke, die aus Zusammenarbeit resultiert, entwickelt McAfee Lösungen für Unternehmen und Privatanwender, mit denen die Welt etwas sicherer wird. Mit unseren Lösungen, die mit den Produkten anderer Unternehmen zusammenarbeiten, können Unternehmen Cyber-Umgebungen koordinieren, die wirklich integriert sind und in denen der Schutz vor sowie die Erkennung und Behebung von Bedrohungen nicht nur gleichzeitig, sondern auch gemeinsam erfolgen. McAfee bietet Schutz für alle Geräte von Privatanwendern und sichert dadurch das digitale Leben zu Hause und unterwegs. Durch die Zusammenarbeit mit anderen Sicherheitsakteuren fördert McAfee zudem den gemeinsamen Kampf gegen Cyber-Kriminelle. Davon profitieren alle.

www.mcafee.com/de

Die hier enthaltenen Informationen werden McAfee-Kunden ausschließlich für Fort- und Weiterbildungszwecke bereitgestellt. Die hier enthaltenen Informationen können sich jederzeit ohne vorherige Ankündigung ändern und werden wie besehen zur Verfügung gestellt, ohne Garantie oder Gewährleistung auf die Richtigkeit oder Anwendbarkeit der Informationen zu einem bestimmten Zweck oder für eine bestimmte Situation. McAfee und das McAfee-Logo sind Marken oder eingetragene Marken von McAfee, LLC oder seinen Tochterunternehmen in den USA und anderen Ländern. Alle anderen Namen und Marken sind Eigentum der jeweiligen Besitzer. Copyright © 2017 McAfee, LLC. 908_0816September 2016

Ohmstr. 185716 UnterschleißheimDeutschland+49 (0)89 3707 0 www.mcafee.com/de

McAfee Labs folgen

http://www.mcafee.com/de

http://www.mcafee.com/de



mcafee labs threat-report...mcafee labs threat-report, september 2016 | 2 Über mcafee labs mcafee...

Documents