Suchen

Angriffe durch Cryptominer haben sich verdoppelt Cloud-Infrastrukturen geraten stärker ins Visier der Hacker

| Autor: Elke Witmer-Goßner

Cyberkriminelle Organisationen greifen immer aggressiver mithilfe von Cryptomining-Malware an, um illegale Einnahmequellen zu generieren. Unterdessen scheinen sich Cloud-Infrastrukturen zum wachsenden Ziel von Bedrohungsakteuren zu entwickeln.

Firma zum Thema

Cryptominer-Angriffe sowie raffinierte Angriffe der Gen V auf Cloud-Infrastrukturen werden häufiger.
Cryptominer-Angriffe sowie raffinierte Angriffe der Gen V auf Cloud-Infrastrukturen werden häufiger.
(Bild: gemeinfrei © geralt - Pixabay / CC0 )

Zu diesem Ergebnis kommt Check Point Software Technologies im aktuellen „Cyber Attack Trends: 2018 Mid-Year Report“. Der Check-Point-Report liefert einen detaillierten Überblick über die Cyber-Bedrohungslandschaft in den führenden Malware-Kategorien Cryptominer, Ransomware, Banking und Mobile. Die Erkenntnisse beruhen auf Daten der Check Point ThreatCloud aus dem Zeitraum von Januar bis Juni 2018 und verdeutlichen die wichtigsten Taktiken, die Cyberkriminelle für ihre Angriffe auf Unternehmen anwenden. Check Points ThreatCloud Intelligence ist das inzwischen größte Kooperationsnetzwerk zur Bekämpfung von Cyber-Kriminalität, das Bedrohungsdaten und Angriffstrends aus einem weltumspannenden Netz von Bedrohungssensoren liefert.

Dem aktuellen Report zu Folge verdoppelte sich in der Zeit von Januar bis Juni 2018 die Anzahl der Organisationen, die von Cryptomining-Malware betroffen waren, auf 42 Prozent im Vergleich zu 20,5 Prozent im zweiten Halbjahr 2017. Cryptomining-Malware ermöglicht Cyberkriminellen, die CPU- oder GPU-Leistung des Opfers sowie vorhandene Ressourcen zu entführen, um Kryptowährung zu schürfen. Dazu werden nicht weniger als 65 Prozent der CPU-Leistung des Endnutzers genutzt. Bei den drei häufigsten Malware-Varianten, die in der ersten Jahreshälfte 2018 auftraten, handelte es sich stets um Cryptominer.

Auch Malware unterliegt Trends

Bei der Betrachtung der im ersten Halbjahr 2018 erfolgten Hackerangriffe lassen sich verschiedene Trends erkennen. So richtet sich eine zunehmende Zahl von Angriffen verstärkt gegen Cloud-Infrastrukturen. Da Organisationen größere Teile ihrer IT-Anlagen und Daten in Cloud-Umgebungen verschieben, wenden sich Kriminelle jetzt der Cloud zu, um ihre enorme Rechnerleistung auszunutzen und ihre Gewinne zu vervielfachen. Bisher wurde in diesem Jahr eine Vielzahl hochentwickelter Techniken und Tools gegen Cloud-Speicherdienste eingesetzt. Eine Reihe cloud-basierter Angriffe, hauptsächlich solche im Zusammenhang mit Daten-Exfiltration und Informationsenthüllung, waren auf schlechte Sicherheitspraktiken zurückzuführen. So wurden beispielsweise Zugangsdaten auf öffentlichen Quellcode-Repositories zurückgelassen oder schwache Passwörter genutzt.

Auf dem Vormarsch sind zudem Multi-Plattform-Angriffe. Bis Ende 2017 war Multi-Plattform-Malware eher selten. Aber die steigende Zahl vernetzter Verbrauchergeräte sowie der wachsende Marktanteil Windows-fremder Betriebssysteme führten zu einem Anstieg der plattformübergreifenden Malware. Kampagnen-Betreiber setzen verschiedene Techniken ein, um die Kontrolle über die unterschiedlichen infizierten Plattformen der Kampagne zu erlangen.

Vermehrt wurde mobile Malware über Lieferketten verbreitet. Im ersten Halbjahr dieses Jahres kam es zu mehreren Ereignissen, bei denen Malware nicht von einem bösartigen URL heruntergeladen wurde, sondern bereits im Gerät installiert war. Darüber hinaus gab es eine steigende Zahl an in App-Stores stets verfügbaren Anwendungen, bei denen es sich eigentlich um getarnte Malware handelte, beispielsweise Banking-Trojaner, Adware und raffinierte Remote-Access-Trojaner (RATs).

Und auch Kryptowährungs-Miner entwickeln sich weiter. 2018 verfügten Cryptominer um enorm verbesserte Fähigkeiten, die sie noch raffinierter und noch zerstörerischer machen. Motiviert durch ein deutliches Interesse, den Anteil an genutzten Rechnerressourcen zu steigern und noch profitabler zu werden, nehmen Cryptominer heute alles ins Visier, was sie als Hindernis wahrnehmen könnten. Sie haben sich in letzter Zeit dahin weiterentwickelt, dass sie jetzt hochkarätige Schwachstellen ausnutzen und Sandboxes und Sicherheitsprodukte umgehen können, um ihre Infektionsraten zu erhöhen.

„In der ersten Hälfte des Jahres setzten Kriminelle den Trend fort, den wir bereits Ende 2017 beobachten konnten, und nutzten die unsichtbare Malware voll aus, um ihre Einnahmen zu maximieren. Wir haben auch zunehmend raffiniertere Angriffe auf Cloud-Infrastrukturen und Multi-Plattform-Umgebungen erlebt“, erklärt Maya Horowitz, Threat Intelligence Group Manager bei Check Point. Da diese großangelegten Multi-Vektor-Angriffe der Gen V treten immer häufiger auftreten würden, sollten Organisationen eine mehrschichtige Cybersicherheitsstrategie verfolgen, die verhindert, dass durch solche Angriffe auf ihre Netzwerke und Daten zugegriffen werden könne, rät Horowitz.

Ergänzendes zum Thema
Die Top-Malware im 1. Halbjahr 2018

Der „Cyber Attack Trends: 2018 Mid-Year Report” liefert einen detaillierten Überblick über die Cyber-Bedrohungslandschaft in den führenden Malware-Kategorien Cryptominer, Ransomware, Banking und Mobile. Diese Erkenntnisse beruhen auf Daten der Check Point ThreatCloud aus dem Zeitraum von Januar bis Juni 2018 und verdeutlichen die wichtigsten Taktiken, die Cyberkriminelle für ihre Angriffe auf Unternehmen anwenden.

Cryptominer

  • Coinhive (30 Prozent) ist ein Cryptominer, der entwickelt wurde, um die Kryptowährung Monero, ohne die Zustimmung des Nutzers, online zu schürfen, sobald ein Nutzer eine Internetseite besucht. Coinhive trat erst im September 2017 auf den Plan, betraf jedoch 12 Prozent der Organisationen weltweit.
  • Cryptoloot (23 Prozent) ist ein JavaScript-Cryptominer, der entwickelt wurde, um die Kryptowährung Monero, ohne die Zustimmung des Nutzers, online zu schürfen, sobald ein Nutzer eine Internetseite besucht.
  • JSEcoin (17 Prozent) wurde als webbasierter Cryptominer entwickelt, um die Kryptowährung Monero, ohne die Zustimmung des Nutzers, online zu schürfen, sobald ein Nutzer eine Internetseite besucht.

Ransomware

  • Locky (40 Prozent) ist Ransomware, die sich hauptsächlich über Spam-E-Mails verbreitet, die einen als Word- oder Zip-Anhang getarnten Downloader enthalten, bevor Malware installiert wird, die Nutzerdateien verschlüsselt.
  • WannaCry (35 Prozent) wurde als Ransomware im Mai 2017 in einem großangelegten Angriff mithilfe eines Windows-SMB-Exploits namens EternalBlue verbreitet, um sich in und über Netzwerke hinweg weiter zu verbreiten.
  • Globeimposter (8 Prozent) hat sich durch Spam-Kampagnen, Malvertising und Exploit Kits verbreitet. Bei der Verschlüsselung hängt die Ransomware jeder verschlüsselten Datei die Erweiterung .crypt an.

Mobile Malware

  • Triada (51 Prozent) gewährt als modulares Backdoor für Android Superuser-Privilegien zum Download von Malware und hilft damit, sie in die Systemabläufe einzubetten. Triada wurde auch beim Spoofen von in den Browser geladenen URLs entdeckt.
  • Lokibot (19 Prozent) ist ein mobiler Banking-Trojaner, der Android-Smartphones angreift und sich in Ransomware verwandelt, sobald das Opfer versucht, seine Administratorrechte zu entziehen.
  • Hidad (10 Prozent) ist Android-Malware, die legitime Apps und deren Versionen für Drittanbieter Stores neu verpackt. Es ist dem Angreifer möglich, sich Zugriff auf wichtige Sicherheitselemente im Betriebssystem zu verschaffen, die ihm erlauben, sensible Nutzerdaten auszulesen.

Banking-Malware

  • Ramnit (29 Prozent) ist ein Banking-Trojaner, der Banking-Credentials wie FTP Passwörter, Session-Cookies und persönliche Daten stiehlt.
  • Dorkbot (22 Prozent) stiehlt als Banking-Trojaner Credentials des Opfers mithilfe von Web-Einschleusungen. Diese werden aktiviert, sobald der Nutzer versucht, sich auf seiner Banking-Seite einzuloggen.
  • Zeus (14 Prozent) zielt als Trojaner auf Windows-Plattformen ab und nutzt sie oft, um durch Man-in-the-Browser, Keylogging und Ausspionieren von Login-Daten auf Bankinformationen zuzugreifen.

(ID:45419812)

Über den Autor

 Elke Witmer-Goßner

Elke Witmer-Goßner

Redakteurin, CloudComputing-Insider.de