Gastbeitrag 16.11.2018, 08:20 Uhr

Eine blühende Industrie

Cybercrime ist ein hochprofitables Geschäft und professionell organisiert: Angriffswerkzeuge wie Exploit Kits, Cryptominer oder Ransomware sind im Web erhältlich. Teilweise werden – für weniger versierte Hacker – sogar Hotlines angeboten.
Grundsätzlich ist eine Abwehr ausgeklügelter Attacken möglich – oder man kann zumindest deren Auswirkungen stark einschränken
(Quelle: Shutterstock/Wutzkohphoto)
Moderne Malware kann die verschiedensten Formen annehmen: Erpressungstrojaner (sogenannte Ransomware), komplexe Angriffe wie Advanced Persistent Threats, IoT-Botnetze, Data Breaches, mobile Malware oder – momentan sehr «en vogue» – Cryptominer. Hierbei wird infizierten Rechnern Leistung abgezweigt, um Bitcoins oder andere Kryptowährungen zu schürfen. Alle Malware-Ansätze haben nur ein Ziel: Sie sollen möglichst hohe illegale Einnahmen generieren, um Cyberkriminelle reich zu machen. In den letzten sechs Monaten haben beispielsweise Cryptomining-Angriffe Hackern die geschätzte Summe von mehr als 2,5 Milliarden US-Dollar eingebracht. Ein anderes Beispiel: CopyCat, eine mobile Schad-Software, infizierte mehr als 14 Millionen Android-Geräte weltweit. Innerhalb von nur zwei Monaten ergaunerten die Angreifer über gefälschte Werbung Einnahmen in Höhe von rund 1,5 Millionen Dollar. Kein Wunder also, steckt eine ganze Industrie hinter diesem lukrativen Geschäft.
Die «Waffenarsenale» der Cyberkriminellen werden immer fortschrittlicher, während die Schutzmechanismen von Organisationen hinterherhinken. Es wird geschätzt, dass Angreifer weltweit rund zehnmal mehr Geld für Tools und Codes ausgeben als Unternehmen für ihre Sicherheit. Neue, hochentwickelte Hacking-Tools – manchmal sogar von Nationalstaaten entwickelt und später ins sogenannte Darknet gespeist – treiben gross angelegte, multisektorale Angriffe voran, die hohe Einnahmen für Kriminelle generieren.

Staatlich gestützt

Eine WikiLeaks-Hacktivisten-Gruppe enthüllte etwa eine Suite von Cyberangriffswerkzeugen, die – so glaubt man – zum Arsenal des US-Geheimdiensts Central Intelligence Agency (CIA) gehört. Diese Enthüllung zeigt, in welchem Ausmass nationalstaatliche Technik im Rahmen von Cyberattacken der fünften Generation anscheinend eingesetzt wurden. Mit diesem aussergewöhnlichen Arsenal von Werkzeugen verfügt dessen Besitzer über das gesamte Hacking-Potenzial der CIA. Die darin enthaltene Schad-Software sowie Dutzende hochgerüsteter Zero-Day-Exploits könnten gezielt gegen eine Vielzahl von US-amerikanischen und europäischen Produkten eingesetzt worden sein. Anfang Oktober dieses Jahres liess eine Recherche des Wirtschaftsmediums Bloomberg aufhorchen: Chinesischen Militärhackern soll es gelungen sein, Spionage-Chips in Server für Unternehmen, unter anderem Apple und Amazon, einzubauen. Die winzig kleinen Bauteile hätten es Angreifern erlaubt, die Kontrolle über die Server zu übernehmen und so Informationen abzugreifen. Beide Unternehmen hielten mit ungewöhnlich scharfen Dementis dagegen.
“Eine besonders attraktive Option für Cyberkriminelle ist unbekannte Malware„
Sonja Meindl

Es geht auch einfacher

Aber ein Angriff muss nicht zwangsläufig hochkomplex und ausgeklügelt sein. Eine besonders attraktive Option für Cyberkriminelle ist unbekannte Malware. Sie ermöglicht ihnen, mit minimalem Zusatzaufwand unglaublich viele PCs und Netzwerke zu infizieren. Darüber hinaus ist die Entwicklung unbekannter Malware für Kriminelle sehr einfach und kostengünstig. Vorhandenen Schadcode gerade so weit zu modifizieren, dass er konventionelle Antivirenprogramme umgeht, ist mithilfe günstiger, im Internet erhältlicher Standard-Tools – inklusive Hotline für Hacker – in Minutenschnelle möglich. Dies führt zu einem explosionsartigen Anstieg und der epidemischen Verbreitung unbekannter Malware: Im Durchschnitt wird alle 4 Sekunden ein unbekannter Malware-Typ in Unternehmensnetzwerke heruntergeladen. Zum Vergleich: Bei bekannter Malware sind es 81 Sekunden.

Kosten-Nutzen-Verhältnis von Malware

Bis vor wenigen Jahren waren Exploit Kits die am häufigsten genutzte Malware. Bekannte Beispiele sind etwa Nuclear oder Angler. Exploit Kits setzen auf die Ausnutzung von Schwachstellen in Soft- oder Hardware und erlauben es den Angreifern, auch ohne grosse technische Kenntnisse schwerwiegende Attacken auszuführen. Die meisten Unternehmen haben sich aber genau darauf eingestellt, sodass der Aufwand zur Anpassung und Nutzung von Exploit Kits steigt. Updates sind schneller verfügbar und werden häufiger eingespielt, dies verkürzt den Lebenszyklus einer Schwachstelle. Die virtuellen Baukästen sind damit weniger lukrativ für die Hintermänner und schwieriger zu vermarkten. Zudem gibt es immer mehr Bug-Bounty-Programme, bei denen gemeldete Schwachstellen von Herstellern und anderen Organisationen belohnt werden. Diese Massnahmen stellen eine finanzielle Alternative zur Erstellung von Exploit Kits dar. Das Kosten-Nutzen-Verhältnis hat sich somit für die Internetkriminellen erheblich verschlechtert. Darum haben Angreifer ihre Schwerpunkte hin zu anderen Tools wie Ransomware oder Cryptominern verlagert. Laut einer Erhebung unseres Research-Teams haben sich die Ransomware-Angriffe im EMEA-Raum aufgrund hochentwickelter Schad-Software, die nun auch von Hackern mit wenig Know-how verbreitet werden kann, nahezu verdoppelt. Wir erinnern uns an letztes Jahr: Im Sommer 2017 hat sich WannaCry aufgrund seiner Reichweite und der Geschwindigkeit seiner Verbreitung zu einem der bemerkenswertesten Cyberangriffe entwickelt.
“Alle vier Sekunden wird ein unbekannter Malware-Typ in Unternehmensnetzwerke heruntergeladen„
Sonja Meindl
Die Zunahme der Angriffe mit Cryptominern ist zum einen dem gestiegenen Interesse an Kryptowährungen (und damit deren Kurssteigerung) geschuldet, zum anderen aber auch den erhöhten Sicherheitsbemühungen bei der Abwehr anderer Angriffsvektoren. Bei Kryptowährungen gibt es für Cyberkriminelle mehrere Ziele. Einige «schürfen» nach Kryptowährungen, indem sie Anwendern mithilfe von Cryptominern die Rechenleistung stehlen. Wie wir feststellen konnten, erfolgt die Auslieferung über Webbrowser, die Werbeblocker verwenden, sowie über Torrent-Download-Seiten. Weiter geben Kriminelle vor, dass sie bereit sind, alle geschürften Kryptowährungen mit dem jeweiligen Anwender teilen zu wollen. In Wirklichkeit haben sie jedoch nur die Absicht, unrechtmässige, gefälschte Werbung einzublenden oder andere bösartige Aktivitäten zu entfalten.

Abwehr von Attacken

Ein Grossteil der Cyberkriminalität ist also bestens organisiert, äusserst lukrativ und darum werden sich die Angriffsmuster immer wieder ändern. Grundsätzlich ist eine Abwehr von ausgeklügelten Attacken möglich – oder man kann zumindest deren Auswirkungen auf das Unternehmen stark einschränken. Hierfür müssen Organisationen aber die Dynamik der Angreifer verstehen und ihre Sicherheitsmechanismen entsprechend aufstellen.
Organisationen sollten sich mit einer aktuellen und umfassenden Sicherheitslösung gegen Angriffe rüsten. Sie müssen ihre Netzwerke und Daten – am Endpunkt, mobil und in der Cloud – vor den verschiedensten Bedrohungen schützen. Ein umfassendes Sicherheitsmodell kombiniert Threat Prevention in Echtzeit, Shared Intelligence und die aktuellste und fortschrittlichste Sicherheit über Netzwerke, Cloud-Umgebungen und mobile Geräte hinweg. Damit die Cybersicherheitsstrategie erfolgreich sein kann, muss diese kontinuierlich weiterentwickelt werden, um mit den sich wandelnden Strategien und Technologien der Hacker Schritt zu halten. Cyberkriminelle verfeinern ständig ihre Fähigkeiten und entwickeln ihre Werkzeuge sowie Taktiken weiter. Echte Cybersicherheit erfordert einen sich entwickelnden, ganzheitlichen Ansatz, der sich auf Prävention und nicht auf Erkennung konzentriert.
Die Autorin
Sonja Meindl ist Country Manager Schweiz und Österreich bei Check Point Software Technologies.
www.checkpoint.com

Das könnte Sie auch interessieren