zurück zur Übersicht

Ist Kryptomining die neue Ransomware?

Angehende Cyberkriminelle beginnen oft mit „Low Risk, Low Yield“ -Angriffen, um einen leichten Einstieg zu schaffen. Ransomware war seit ein paar Jahren das Mittel der Wahl dazu. Viel Schaden wurde angerichtet, als der zerstörerische Nebeneffekt von Ransomware das kriminelle Geschäftsmodell zum kippen brachte. Das Risiko für Verbrecher hat zugenommen. Es besteht eine gute Chance, dass Ransomware ihren Platz als „Cybercrime 101“ verliert.

Kleinvieh

Was ist passiert? Obwohl Krypto-Ransomware bereits 1989 existierte, begann moderne Ransomware 2013 als Nebenprojekt der GameOver ZeuS fraud group. Genannt Cryptolocker, bekam der Initialangriff große Aufmerksamkeit von der Industrie und Presse. Die einfache Prämisse war:

  1. PC Infizieren
  2. Speichern der Bot-Kennung in C2; Erstellen eines einzigartigen, starken, privaten Schlüssels
  3. Verschlüsseln wichtiger Dateien auf dem Opfergerät
  4. Akzeptieren von BTC-Zahlungen
  5. Rückgabe des privaten Schlüssels sofort nach der Zahlung an das Opfer

Schritt 5. war immer der wichtigste. Ransomware funktionierte nur durch gute Mundpropaganda. Opfer sollten sagen: „Wow, diesen Verbrechern kann man zumindest vertrauen“. Andere bekommen das mit, beginnen zu zahlen, du verdienst etwas Geld. Die Einnahmen waren nie so hoch wie bei den risikoreicheren Kriminalitätsarten.

Kriminellen vertrauen?

Leider haben im Jahr 2017 die hochrangigen Ransomware-Angriffe, insbesondere #Wannacry und #Notpetya, die Wichtigkeit von Regel 5 vergessen. Zahlungen brachen drastisch ein, als Berichte laut wurden, dass niemand seine Dateien zurückbekam. Die Erkenntnis begann sich zu verbreiten: „Hey, das sind einige ziemlich unzuverlässige Kriminelle.“ Die Forscher fanden heraus, dass #Wannacry nicht einmal den notwendigen Code hatte, um eine Schlüsselrückgabe zu ermöglichen. Die Kriminellen konnten also die Dateien nicht zurückgeben, selbst wenn sie es gewollt hätten. #Notpetya hatte einen manuellen, defekten Prozess für die Rückgabe von Dateien. Eine E-Mail-Adresse wurde schnell gelöscht, so dass die Kriminellen keinen Schlüssel zurückgeben konnten. (Fast) niemand konnte seine Dateien durch Zahlung retten. Unzuverlässiger Haufen.

Später wurde dies natürlich in die Perspektive nationaler Motive gestellt: Sie waren nicht hinter Geld her. Sie wollten nur zerstören. Die meisten glauben jetzt, dass die Malware als Waffe benutzt wurde. Die öffentliche Meinung hat sich verschoben. Wir können Kriminellen nicht mehr vertrauen. Sie zerstören unser Zeug und bringen Krankenhauspatienten in Gefahr. Sie sind böse Leute. Wir bekommen unsere Dateien nicht zurück. Die Strafverfolgung ist ebenfalls erwacht und geht den Vergehen nach. Das Risiko für Kriminelle ist gestiegen. Die Erträge gingen zurück. Ransomware ist eigentlich durch. Heutzutage ist der Großteil der Malware, die wir in freier Wildbahn entdecken, immer noch Ransomware, aber das könnte sich sehr bald ändern.

Kryptomining – die Jagd nach Digitalwährungen

Es gibt noch einen anderen Angriffstyp, mit dem man als angehender Hacker BTC oder Monero verdienen kann, ohne mit deinen Opfern zu interagieren. Kryptomining gibt es schon seit einiger Zeit im DIY-Bereich, und Kriminelle nehmen Notiz davon. Die Prämisse ist, die Rechenleistung des Opfers zu nutzen, um die Milliarden von Berechnungen durchzuführen, die für die Suche nach einer neuen elektronischen Währung erforderlich sind. Dieser Prozess wird Kryptomining genannt.

In unseren CDCs sehen wir drei Arten von Angriffen auf dem Vormarsch:

  • Herkömmliche Angriffe mit vorhandenen Botnet-Infrastrukturen. Die Nutzlast Software zum Mining von BTC, Lightcoin oder kürzlich Monero. Letzteres scheint ein guter Kandidat zu sein, um die erste Wahl für Kriminelle zu werden, da Moneros Transaktionen viel weniger nachvollziehbar sind als, sagen wir, Bitcoin. Das wiederum ist gut für Kriminelle, um das Risiko einer Entdeckung zu minimieren.
  • Maßgeschneiderte Angriffe, die von Kriminellen durchgeführt werden, manuell oder halbautomatisch, Aufbau großer Mininginfrastrukturen in Unternehmen.
  • Während die ersten beiden definitiv „Angriffe“ sind, ist die dritte Liefermethode JavaScript-Mining im Browser. In einigen Fällen wurden diese als Ersatz für Werbung konstruiert. An dieser Stelle verlässt das Mining in gewisser Weise den schwarzen Bereich und geht in eine Grauzone über: Wir verstehen, dass Websites Geld verdienen müssen.

Es scheint, dass Kryptomining im Wesentlichen Elektrizität stiehlt. Aus Sicht des Opfers ist diese Art von Angriff viel „freundlicher“, da sie keine Daten zerstört oder stiehlt. Es entspricht dem „Low Risk, Low Yield“ -Ansatz von Cyberkriminellen.

Es ist plausibel zu prognostizieren, dass Mining Ransomware als Einstiegsangriffsansatz ersetzen wird.

In einem falschen Gefühl der Sicherheit eingelullt

Dies könnte zu einem interessanten Nebeneffekt führen. Ransomware, trotz all ihrer schlechten Eigenschaften, motivierte Vorstandschefs, in ihre Verteidigung zu investieren. Wenn ich mit einem durchschnittlichen Budget-Inhaber spreche, sind „GDPR und Ransomware“ die ersten beiden Treiber. Wenn der aggressive Angriffstyp als Anreiz durch einen opferfreundlicheren ersetzt wird, könnten sich einige in falscher Sicherheit wiegen. „Es kostet uns zusätzliche Betriebskosten, aber zumindest wurden unsere Daten nicht kompromittiert.“ Es könnte etwas werden, das eher als IT-Problem denn als Board-Problem betrachtet wird. Wir gehen vielleicht ein paar Schritte zurück in der Zeit.

Vorerst müssen wir abwarten. Abgesehen von den zusätzlichen CPU-Zyklen, die die # meltdown-Patches erfordern, könnten Coin-Mining-Angriffe einen weiteren Einbruch Ihrer Rechenleistung verursachen, und wir dürfen uns nicht davon täuschen lassen, dass das Angriffsmuster – für den Moment – relativ gutartig daherkommt.

Wird Ransomware verschwinden? Ransomware könnte für geopolitische Zwecke weiter waffenfähig gemacht werden. Aber es gibt auch nach wie vor einen kriminellen Gebrauch, da Angreifer maßgeschneiderte Erpressungskampagnen gezielt auf Unternehmen durchführen. Es gibt bereits Berichte über Ransomware, die Backup-Systeme in Visier nimmt, ein Vorgeschmack auf die Zukunft fokussierter, disruptiver Ransomwarekampagnen.

Für junge ambitionierte Hacker, die darüber nachdenken, Kriminelle zu werden, scheint Monero-Mining die beste Gelegenheit.

 

 


 

Bild: iStock/wundervisuals

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer