Ransomware ist noch lange nicht tot

Kryptomining ist gefährlicher als Ransomware

| Autor / Redakteur: Orli Gan / Peter Schmitz

Kryptominer machten 2018 die vier häufigsten Malware-Typen aus, aber auch Ransomware ist noch längst nicht tot. Cyberkriminelle arbeiten nur unauffälliger mit ihr.
Kryptominer machten 2018 die vier häufigsten Malware-Typen aus, aber auch Ransomware ist noch längst nicht tot. Cyberkriminelle arbeiten nur unauffälliger mit ihr. (Bild: gemeinfrei / Pixabay)

2018 war das Jahr des Kryptomining: Es hat Unternehmen zehnmal häufiger getroffen als Ransomware. Cyber-Kriminelle haben sich in Gruppen organisiert und nutzen fortschrittliche Angriffsmethoden. Sie sind Teil einer wachsenden „Malware-as-a-Service“-Industrie, die im Darknet jedem zur Verfügung steht, der bereit ist zu bezahlen.

Kryptomining ist deshalb so prominent geworden, weil Cyberkriminelle ihre Lehren aus den großen Ransomware-Wellen der letzten Jahre und den Enthüllungen in den Medien danach gezogen haben. Sie stützten sich auf Kryptomining-Malware, weil diese unauffälliger arbeitet und nur die CPU belastet, jedoch keine Daten verschlüsselt und Lösegeld einfordert.

Doch auch Ransomware ist nicht tot. Cyberkriminelle arbeiten nur unauffälliger mit ihr. Das signifikante Wachstum an unsichtbaren, komplexeren Angriffen belegt diese Einschätzung. Ransomware wird nun so konzipiert, dass sie möglichst lange unter dem Radar der Sicherheits-Abteilungen bleibt.

Ist Cryptojacking auf dem absteigenden Ast?

Malware-Trends

Ist Cryptojacking auf dem absteigenden Ast?

30.05.19 - Laut dem aktuellen McAfee Threats Report verdrängte Cryptojacking Anfang 2018 erstmals Ransomware vom Spitzenplatz der Schadsoftware-Liste. Vor einigen Wochen verkündete der bei Hackern sehr beliebte Cryptomining-Dienst Coinhive, dass er seinen Betrieb einstellen werde. Bedeutet das Ende von Coinhive auch das Ende für browserbasiertes Cryptojacking? lesen

Kryptominer machten 2018 die vier häufigsten Malware-Typen aus und betrafen 37 Prozent der Unternehmen weltweit. Trotz eines massiven Wertverlustes aller gängigen Krypto-Währungen sind nach wie vor 20 Prozent aller Unternehmen jede Woche von Kryptomining-Angriffen betroffen. In jüngster Zeit haben sich die Schadprogramme weiterentwickelt, um hochkarätige Schwachstellen auszunutzen und Sandboxing-Technologien sowie Sicherheitsprodukte zu umgehen. Als IT-Sicherheitsexperten gefragt wurden, was sie als die größten Bedrohungen für ihr Unternehmen einschätzen, sprachen nur 16 Prozent über Kryptomining. Wenig, verglichen mit DDoS-Angriffen (34 Prozent), Datenschutzverletzungen (53 Prozent), Ransomware (54 Prozent) und Phishing (66 Prozent). Das ist bedenklich, denn Kryptominer können leicht als heimliche Hintertüren fungieren, um andere Arten von Malware nachzuladen und zu starten.

Ransomware vs. Kryptomining

Warum haben wir 2018 nicht größere Wellen von Ransomware-Angriffen gesehen? In diesem Jahr ging die Nutzung von Ransomware stark zurück und betraf nur 4 Prozent der Unternehmen weltweit. Die kurze Antwort lautet daher, dass Cyber-Kriminelle versucht haben, zwei verschiedene Ziele zu erreichen: Erstens, einen Vorteil aus der aktuellen Hysterie um Blockchain und Krypto-Währungen, wie Bitcoin, zu ziehen, weil diese Ende 2017 und Anfang 2018 viel Aufmerksamkeit auf sich zogen und Wertsteigerungen zu verzeichnen hatten. Zweitens, wollten sie unentdeckt bleiben und ihre Vorteile aus einer kleineren, aber heimlichen Malware-Infektion ziehen. Eine große Infektion zwingt zwar das Zielunternehmen, sofort ein Lösegeld zu zahlen, birgt aber ein höheres Risiko, von den weltweit zusammenarbeitenden Strafverfolgungsbehörden entdeckt zu werden. Dennoch gab es auch im Jahr 2018 eine Reihe von Ransomware-Bedrohungen, die für Schlagzeilen sorgten.

Wie Emotet zur Allzweckwaffe wurde

Vom Banker zum Türöffner und Profiler

Wie Emotet zur Allzweckwaffe wurde

12.02.19 - Die Entwicklungsgeschichte von Emotet ist ein Spiegel der Untergrundwirtschaft: Die Schadsoftware, die sich früher mit der Plünderung von Bankkonten begnügte, wird heute eingesetzt, um Kommunikationsprofile zu erstellen und Daten zu kopieren. lesen

Emotet – Die Evolution einer Malware

Ein Beispiel für eine Malware, die jetzt als Malware-as-a-Service verfügbar gemacht wurde, ist das Botnet hinter Emotet. Einst als Banking-Trojaner genutzt, dient die Malware Angreifern jetzt dazu, andere Schadprogramme und bösartige Kampagnen einzuschleusen. Emotet wurde im Hinblick auf Persistenz- und Evasions-Techniken entwickelt und bedient sich mehrerer Methoden, um einer Enthüllung zu entgehen. Die Verbreitung durch E-Mails mit Betreffzeilen, Links und Anhängen rund um das Thema „Urlaub“ hat sich um 25 Prozent gegenüber dem Vorjahr erhöht.

Norsk Hydro Hack & LockerGoga Ransomware

Im Jahr 2018 waren Cyber-Angriffe zwar weniger auffällig, aber sie sind immer noch schädlich und gefährlich, wie wir an dem Angriff auf das norwegische Unternehmen Norsk Hydro im März 2019 sehen können. Dort hat die Ransomware LockerGoga einen Windows-Registrierungsserver infiziert und verschlüsselt, nachdem Cyber-Kriminelle in das Firmennetzwerk eingedrungen waren und sich solange seitlich zwischen den Netzwerken hin und her bewegten, bis sie den Zielserver gefunden hatten. Von dort aus hatten sie ihre Ransomware im Netzwerk der international arbeitenden Organisation verbreitet. Auch die US-amerikanischen Chemieunternehmen Hexion und Momentive sahen sich mit der gleichen Ransomware konfrontiert, die einen starken AES-basierten Verschlüsselungsalgorithmus verwendet.

Cyber-Kriminelle erforschen erfolgreich neue Ansätze und Geschäftsmodelle, wie Malware-Affiliate-Programme, um ihre illegalen Einnahmen zu steigern und gleichzeitig ihr Risiko zu verringern, entdeckt zu werden. Wie funktioniert ein Malware-Affiliate-Programm? Es ist ziemlich einfach. Es funktioniert wie ein gewöhnliches Marketing-Affiliate-Programm, nur mit Malware. Ein krimineller Entwickler erhält Kompensationszahlungen von Benutzern, die seine Malware verbreiten und auf einer Reihe von infizierten Computern installieren, um dann ein Lösegeld für die Entfernung zu erpressen. Der direkte Angreifer erhält einen Anteil an diesem Lösegeld als Entschädigung für sein Risiko, während der Entwickler verborgen bleibt und den Rest kassiert.

GandCrab als Ransomware-as-a-Service

Eines der besten Beispiele für den Erfolg von Ransomware-Kampagnen im Jahr 2018 war das GandCrab Ransomware-as-a-Service-Partnerprogramm. Es zeigt, wie sogar Amateure nun vom Ransomware-Erpressungsgeschäft profitieren können. Benutzer behalten bis zu 60 Prozent der von Opfern gesammelten Lösegelder, die Entwickler schieben bis zu 40 Prozent in ihre Taschen. GandCrab zählt über 80 aktive Partner und hatte innerhalb von zwei Monaten im Jahr 2018 über 50.000 Opfer infiziert, sowie zwischen 300.000 und 600.000 Dollar als Lösegeld gefordert.

Fazit

Kryptomining-Bedrohungen und die multisektoralen, schnell laufenden, groß angelegten Gen-V-Angriffe treten nun häufiger auf. Die Antwort auf diese Bedrohungen und Entwicklungen lautet, dass Unternehmen eine vielschichtige IT-Sicherheitsstrategie verfolgen müssen, die verhindert, dass diese Angriffe ihre Netzwerke und Daten in Besitz nehmen. Dank der Überprüfung und Hervorhebung dieser Entwicklungen können Unternehmen zudem ein besseres Verständnis für diese Bedrohungen entwickeln.

Über die Autorin: Orli Gan ist Head of Threat Prevention Products bei Check Point Software Technologies.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45964106 / Malware)