Bedrohung / Malware
Zur aktuellen Lage in Sachen Malware hat die <kes> eine Reihe von Verbänden, Anbietern und Beratern befragt. Die Antworten zur Entwicklung der Bedrohungen, zu Fehlern und Chancen bei der Abwehr sowie wichtigen Schritten für die Zukunft sind im vorliegenden Beitrag zusammengefasst.
Seit Längerem bestimmt Ransomware die Schlagzeilen in Sachen Malware. Als Erstes mochten wir daher wissen, ob auch weiterhin „klassische“ Schadsoftware in freier Wildbahn ihr Unwesen treibt und mehr oder minder ungezielt nach Beute sucht. Andreas Marx, Geschäftsführer von AV-TEST, sagt ganz klar ja: „Die klassischen Viren und Würmer verbreiten sich nach wie vor. Wir sprechen aktuell von etwa vier neuen Varianten pro Sekunde, also knapp 350 000 neuen Schädlingen pro Tag. Allerdings laufen die oft unter dem Radar, also quasi als ‚digitales Hintergrundrauschen‘, da Infektion und verursachte Schäden nicht immer gleich sichtbar sind.“ Einen statistischen Überblick über aktuelle Entwicklungen gibt etwa das Threat-Intelligence-Portal AV-ATLAS (https://portal. av-atlas.org) – beispielsweise zu Zahlen und Familien von Malware, den Ursprung von Spam-E-Mails oder welche Passwörter gerade auf IoT-Honeypots für Angriffe genutzt werden.
"Erpresserische Malware gehört seit Jahren zu den am meisten diskutierten Gefahren“, bestätigt Bogdan Botezatu, Director Threat Research & Reporting bei Bitdefender, „tatsächlich dominiert sie die Risikolandschaft aber nicht. Vielmehr ist sie ‚eine weitere Malware‘, mit der Cyberkriminelle in kurzer Zeit viel Geld verdienen können. Bank-Trojaner, Password-Stealer, potenziell unerwünschte Anwendungen (PUA), Phishing und generische Bots sind aber nicht passé."
Noch weiter geht Thomas Uhlemann, Security Specialist DACH bei ESET Deutschland: "Ein Blick in unsere Statistiken zeigt, dass Ransomware eher einen kleinen Teil der täglich abgewehrten Malware-Bedrohungen ausmacht. Tatsächlich schafft es kein Erpressungstrojaner in unsere monatlichen Top 10. Diese Rangliste zeigt eine bunte Vielfalt an Bedrohungen, die wirklich ‚in the wild‘ agieren: Von Bruteforce-Attacken auf RDP (Platz 3) und SMB-Protokolle (Platz 9) über HTML-basierte Bedrohungen, wie Exploits im Apache-Server (Platz 1), bis zu Phishing-Seiten und -Mails (Platz 7) reicht die Bandbreite." Aktuell sei zudem das Mozi-Botnet stark vertreten, das zielgerichtet Router (u. a. von D-Link) angreift.
„Malware außerhalb des Ransomware-Spektrums ist immer noch weit verbreitet. Es wird zahlreiche Malware entdeckt, die darauf abzielt, Zugangsdaten für Dienste wie Online-Banking, soziale Medien, Cloud-Dienste und mehr zu stehlen“, berichtet auch Jens Monrad, Director & Head of Mandiant Intelligence, EMEA bei Mandiant.
Eine wichtige Klasse von Malware-Bedrohungen stellen Remote-Access-Tools/Trojaner (RAT) dar, die sich in den Zielsystemen verankern und Angreifern fortan einen Fernzugriff ermöglichen. „Entsprechende Malware findet man auf allgemeinen Fileshares oder Websites und immer häufiger auch in den Software-Repositories von Entwicklern“, betont Markus Grüneberg, Head of Industry Solutions EMEA Central bei Okta. In der Folge können Supply-Chain-Attacks dafür sorgen, dass Anwender nicht nur eine gewünschte Software, sondern auch gleich Malware mit installieren.
„Kryptomining-Malware ist nach wie vor beliebt, um die Rechenleistung infizierter Geräte, wie Computer oder mobile Geräte, auszunutzen und auf diesen Kryptowährungen zu schürfen. Dies bleibt auch dann noch lukrativ, wenn der Wert von Kryptowährungen fällt, denn es entstehen den Kriminellen keinerlei Kosten und die befallenen Geräte generieren zuverlässig Einnahmen. Hier macht die Masse der infizierten Geräte den Einsatz von Malware für die Kriminellen attraktiv“, ergänzt Michael Weirich, Projekt Manager IT-Sicherheit beim eco – Verband der Internetwirtschaft: „Auch wird Malware gerne dazu benutzt, um in Systeme des Internet of Things (IoT) einzubrechen und sich so Hintertüren in Netzwerke zu öffnen. Auf vielen IoT-Geräten befinden sich leicht zugängliche Daten wie Nutzernamen und Netzwerkpasswörter, die einem Kriminellen oft einen Zugang zu Firmennetzwerken ermöglichen.“
„Klassische Viren und Würmer wie LoveLetter oder Conficker sind zwar selten, aber Botnetze, die auf Systeme abzielen, verhalten sich ähnlich und verbreiten sich ebenfalls automatisch“, erläutert Jeff Hamm, Director Incident Response bei der DCSO – Deutsche Cyber-Sicherheitsorganisation. Auch er betont, dass das IoT aufgrund langer Laufzeiten und schlechten Update-Managements für Angreifer besonders attraktiv sei.
Lorenz Kuhlee, Director Cyber Security & Privacy bei PwC Deutschland, unterstreicht einen positiven Aspekt: „Die klassischen Viren und Würmer gibt es noch – sie bleiben Anwendern aber oft verborgen, da Firewalls und Virenscanner diese Bedrohungen in der Regel zuverlässig aufhalten.“ Selbst klassische „Script-Kiddie“-Software sei noch im Umlauf, erzählt Eddy Willems, Director Security Industry Relationships beim EICAR – European Institute for Computer Anti-Virus Research: „Allerdings ist diese Malware weniger sichtbar und sehr beschränkt in ihren Möglichkeiten. Ein großer Teil heutiger Schadprogramme stammt hingegen von Malware- oder Hacking-Gruppen.“ Ransomware sei die auffälligste Variante, aber auch RATs und Malware- Backdoors seien noch verbreitet. „Wir sehen auch weiterhin ‚Schweizer- Taschenmesser‘-Schädlinge wie Emotet, die sehr modular aufgebaut sind und beinahe beliebige Malware- Features eingebaut haben – bis hin zu Spionage- und Wurm-Komponenten.“
„Moderne Malware weist oft Merkmale klassischer Viren und Würmer auf. Beispielsweise kommt der Einsatz von Modulen zur Verbreitung innerhalb – oder auch außerhalb – des lokalen Netzwerks einer klassischen Wurm-Komponente gleich. Dies gilt auch für Stealer, die Screenshots aufnehmen, oder Keylogger, die Tastatureingaben protokollieren, oder auch für Backdoors“, erklärt Christian Funk, Leiter des Forschungs- und Analyseteams in der Region DACH bei Kaspersky. Malware sei heute modular aufgebaut, die klassische Typenstruktur daher aufgebrochen: „Je nach Angriff oder Kampagne werden entsprechende Module nachgeladen – ‚klassische Malware‘ macht also nach wie vor einen Großteil der Angriffe und des Cybercrimes aus, allerdings geht sie in der Berichterstattung wegen der technisch geringeren Besonderheiten unter.“
Einen verringerten prozentualen Anteil klassischer Malware konstatiert Dr. Sebastian Schmerl, Director Security Services EMEA bei Arctic Wolf, und warnt: „Angreifer nutzen nach dem Initial Access fast ausschließlich ‚Living-off-the- Land‘-Techniken (LotL), bei denen legitime Betriebssystem-Tools für die Ausführung der Angriffsaktivitäten verwendet werden. Das hat für den Angreifer den großen Vorteil, dass keine eigene Software nachinstalliert werden muss und Virenscanner ohne Verhaltensanalyse die maliziösen Aktivitäten nicht erkennen können.“
Die Bezeichnung „Virus“ sei ohnehin schon lange eher zum allgemeinen Sammelbegriff für Schadcodes geworden, meint Richard Werner, Business Consultant bei Trend Micro. Viele Begriffe seien missverständlich, weswegen man Cyberbedrohungen mittlerweile eher nach der Absicht ihrer Täter betiteln sollte: „Wir sprechen beispielsweise deshalb von Ransomware, weil Technologie eingesetzt wird, um Lösegeld zu erpressen (Ransom). Besonders politische Täter sind darin erfahren, Attacken vorzubereiten und durchzuführen – die eingesetzte Technologie ist dabei einzigartig beziehungsweise neuartig, aber in ihrer Wirkungsweise kategorisierbar.“
Auch Marc Lueck, CISO EMEA bei Zscaler, stellt die Frage nach der Motivation, die Malware-Autoren zu ihren Aktivitäten treibt, in den Mittelpunkt: „Während klassische Viren oder Würmer eher auf Vandalismus abzielten oder dem Konkurrenzkampf unter Hackern dienten, bewegen wir uns heute auf dem Gebiet der Cyber-Kriminalität mit dem Ziel, Profit daraus zu schlagen. Das Gleichgewicht hat sich sehr deutlich in Richtung ‚Verkauf von Malware‘ verschoben, die von Kriminellen eingesetzt wird. Fast jegliche Malware wird deshalb als Teil der Angriffskette eingesetzt.“ Die Schlüssel zum fragwürdigen Erfolg der Angreifer seien Beharrlichkeit und Automatisierung.
Was hat sich in den letzten drei Jahren bei Malware-Attacken und ihrer Abwehr verändert? Worin sehen die befragten Experten die derzeit größte Malware-Bedrohung und welche Änderungen erwarten sie für die absehbare Zukunft? Michael Veit, Technology Evangelist und Manager Sales Engineering bei Sophos, antwortet: „Die größte Veränderung der letzten Jahre ist die Professionalisierung von Angriffen. An Ransomwareattacken sind zum Beispiel oft drei oder mehr kriminelle Gruppen beteiligt, die sich jeweils auf verschiedene Teile der Operation spezialisiert haben. Dadurch sind sie effizienter und die Anzahl der Opfer, die die Kriminellen erpressen können, erhöht sich.“ Ransomware sei momentan eindeutig die wirkungsvollste und schädlichste Bedrohung für alle Branchen und öffentliche Einrichtungen: „Ich erwarte nicht, dass sich hier in naher Zukunft allzu viel ändern wird – abgesehen von weiteren Optimierungen, um das Volumen und die Auszahlungen zu erhöhen.“
„Die weiter zunehmende Professionalisierung und die Schnelligkeit, mit der auch Sicherheitslücken in Webdiensten systematisch ausgenutzt werden, stellt gerade große Organisationen vor Herausforderungen, etwa wenn ein Patch durch interne QS verzögert ausgerollt wird“, sagt Markus Drenger, Incident Response Experte bei HiSolutions. Zudem umfasse Ransomware-as-a- Service immer mehr Features: „von speziellen Modulen für Backupsoftware bis hin zu plattformübergreifender Malware, die beispielsweise auch linuxbasierte Systeme (etwa ESXi-Server) kompromittieren“.
Ähnlich äußert sich Hamm (DCSO): „Wir erwarten mehr Ransomware, eine zunehmende Professionalisierung der Angriffe und eine schnellere Ausnutzung bekannt gewordener Schwachstellen. Für eine wirksame und effiziente Verteidigung bieten automatische und erzwungene Updates, wie sie Microsoft einführt, eine gewisse Entschärfung. Die Deaktivierung von Makros sollte ebenfalls in Betracht gezogen werden.“
„Die letzten drei Jahre waren von Ransomware-Angriffen, Spyware- Distribution, Spear-Phishing und größeren DDoS-Attacken geprägt. Die meiste Malware wird jetzt professionell innerhalb von Malware- Groups gemacht“, sagt Willems (EICAR): „Diese Gruppen sind als kleine Organisationen aufgestellt und verbreiten (Malware-) Services in der Cloud wie das auch ein normales Unternehmen täte.“ Derzeit sieht er ebenfalls Ransomware als größte Bedrohung an, aber: „In der Zukunft wird die größte Gefahr von Supply-Chain-Attacks ausgehen, die sehr schwierig zu stoppen sind.“ Der Solarwinds-Vorfall und das Log4j- Problem hätten hier einen Vorgeschmack gegeben – künftig könnten auch Cyberangriffe auf die Infrastruktur von EU-Mitgliedsstaaten problematisch werden.
Eine Zunahme von Angriffen auf die Lieferkette hat Monrad (Mandiant) bereits beobachtet: „Dabei missbrauchen Angreifer das Vertrauen zwischen zwei Organisationen, um die Infrastruktur zu kompromittieren. Angriffe und Risiken rund um die Lieferkette zu erkennen, ist sehr viel komplexer, da sie sich manchmal auf Dienste von Drittanbietern stützen und eine tiefere Kenntnis der Funktionen und Prozesse erfordern als bei direkten Bedrohungen, mit denen Unternehmen ständig konfrontiert sind.“
Weirich (eco) bestätigt die Professionalisierung von Malware- Attacken und unterstreicht: „Kriminelle verschaffen sich ein Bild über die von ihnen angegriffenen Unternehmen, bevor sie sich zu erkennen geben und Daten verschlüsseln oder sperren. Damit ist es ihnen möglich, die finanzielle Leistungsfähigkeit der angegriffenen Unternehmen genauer einzuschätzen und ‚individuelle‘ Lösegeldforderungen zu stellen.“ Grüneberg (Okta) betont die Spezialisierung von Akteuren auf unterschiedliche Angriffsphasen: „Neu ist dabei, dass sehr viel Zeit in die Reconnaissance-Phase und den Aufbau der Infrastruktur für den Angriff investiert wird. Angreifer forschen ein Ziel umfassend aus, setzen dann zum Beispiel Look-a-like-Systeme auf, die vertrauenswürdigen Anwendungen zum Verwechseln ähnlich sehen, und spielen so Schadcode oder falsche Informationen in die Ziele ein.“ Interessant sei auch, dass „bei mehr als 80 % der Attacken ein menschlicher Faktor beteiligt ist und Mitarbeitende Angriffe durch angeleitetes Fehlverhalten erst möglich machen“.
Rebecca Zinke, Managerin im Bereich Cyber and Strategic Risk bei Deloitte, ergänzt: „Die größte Malware- Bedrohung ist ein fehlendes Bewusstsein darüber, welche Angriffsvektoren tatsächlich relevant für die eigene Organisation sind und welche Risiken daraus entstehen können. Auch die Abwehr von Cyberangriffen muss smarter werden: Threat- Intelligence kann ein wichtiger Baustein sein, um eine Threat-Landscape erstellen und damit Angriffsvektoren für die eigene IT-Infrastruktur besser bewerten zu können.“
„Malwarebasierte Angriffe sind im Geschäftsumfeld mittlerweile wesentlich gezielter und werden nicht mehr so sehr mit der sprichwörtlichen Gießkanne verteilt. Ist ein lohnendes Ziel identifiziert, kennen die Angreifenden das Netzwerk oft genau so gut wie das Admin-Team, wenn nicht sogar besser“, warnt Tim Berghoff, Security Evangelist bei G DATA: „Dabei setzen Cyberkriminelle auf Programme und Werkzeuge, die kein Aufsehen erregen, und begnügen sich zunehmend mit Admin-Tools und anderen Hilfsmitteln, die sie ‚vor Ort‘ finden, was ohne entsprechendes Monitoring fast unmöglich aufzudecken ist.“
„Corona und das verstärkte Homeoffice haben Unternehmen dazu gebracht, auf Cloud-Modelle zu wechseln, um Geschäftsprozesse am Laufen zu halten. Der dadurch bedingte Ansturm auf die Cloud hat der IT wenig Zeit gelassen, um eine saubere Zugangskontrolle sowie ein Überwachen der Infrastruktur auf anfällige Applikationen und Dienste zu implementieren“, berichtet Botezatu (Bitdefender).
„Das ‚New Work‘ hat für die wohl stärkste Veränderung im Security-Design gesorgt – der Zwang zum verteilten Arbeiten hat der ‚Cloudifizierung‘ enormen Vorschub geleistet. Kriminelle haben aber in Rekordzeit erkannt, dass Cloud- Speicher und Kollaborationstools hervorragend geeignet sind, um klassische Perimeterkonzepte auszutricksen“, mahnt auch Uhlemann (ESET): „Gerade Tools wie Exchange in der Cloud oder auch Microsoft Share- Point sind immer wieder Einfallstore für Angriffe gewesen. In absehbarer Zukunft werden wir eine Zunahme an Angriffen auf diese cloudbasierten Tools sehen – wie auch vermehrt Angriffe auf die Lieferkette, beispielsweise über Fernwartungssuiten oder Standardsoftware.“ Entsprechend müssten Malware-Abwehr und andere Security-Maßnahmen auf den Prüfstand: „Nutzen wir alle notwendigen und passenden Sicherheitslösungen? Ist die Security-Architektur in sich stimmig und umfassend auf dem Stand der Technik?“
Schmerl (Arctic Wolf) fasst die Veränderungen der letzten Jahre wie folgt zusammen: „Auf der Angreiferseite sind LotL- und Fileless-Angriffstechniken zum Standard geworden – ferner wird immer stärker der ‚Faktor Mensch‘ für Angriffe ausgenutzt. Aufseiten der Unternehmen stellen veraltete Security-Controls die größte Herausforderung dar. Denn diese sind bei neuen Angriffstechniken unwirksam und führen zu falschen Risiko-Einschätzungen. Außerdem fehlen ein ganzheitliches Security- Monitoring und ein umfassendes Sicherheitsbewusstsein der IT-User.“
„Organisationen haben gelernt, dass eine lückenlose Cyberabwehr aufgrund der komplexen Infrastrukturen nicht möglich ist. Konsequenterweise lösen Unternehmen den bekannten ‚Protect & Defend‘-Ansatz durch eine Cyberabwehr im Sinne von ‚Detect & Respond‘ ab und passen zunehmend auch das Risikomanagement an die Bedarfe der digitalen Transformation an“, berichtet Kuhlee (PwC).
„Unter anderem durch die DSGVO ist der Fokus auf Analyse und Vorausschau bei der Sicherheit gewachsen“, sagt Jürgen Jakob, Geschäftsführer von Jakobsoftware, sieht aber dennoch weiterhin heikle Stellen: „Veraltete Systeme – gerade in größeren Unternehmen – sind sicherlich nicht die schlechtesten, aber sind sie auch auf einem aktuellen Stand? Patch-Management ist wichtiger denn je! Die Wahrnehmung seiner Bedeutung und die Umsetzung in ein gutes Patchmanagement gehen jedoch weit auseinander.“
Eine gute Hilfe bei der Entscheidung, was zuerst gepatcht werden muss, sieht Arntz (Malwarebytes) in der Entwicklung einer gemeinsamen Taxonomie für die Analyse und Erforschung von Cyberbedrohungen: „Nennenswerte Beispiele hierfür sind die Mitre-Att&ck-Wissensdatenbank über Taktiken und Techniken von Cyber-Angreifern sowie die CISA-Liste zu bekannten Sicherheitslücken.“
Hinweis: Den vollständigen Artikel finden Sie in der <kes>#4. Abonnenten können ihn über das Archiv abrufen. Alle Interessierten können sich entweder ein kostenloses Probeheft schicken lassen – einfach eine formlose E-Mail an abo@ mit Adresse senden – oder direkt ein Abo abschließen. kes.de