zurück zur Übersicht

Trügerische Sicherheit: Geschichte eines Digital-Parasiten

Schon seit dem 3. Quartal 2017 verfolgen die Cyber Defence Centers (CDCs) von SecureLink aktiv die un sich greifenden „CryptoJacking“ Malware-Infektionen. Im Januar 2018 überholte Kryptojacking sogar die Anzahl der Ransomware-Infektionen. Dieser Trend setzt sich durch das gesamte erste Quartal fort. Was bedeutet das und welche Auswirkungen hat die Infektion mit einem „Parasiten“ anstatt eines „herkömmlichen“ Virus?

Kryptojacking: Eine kurze Zusammenfassung

Vergleichen wir einmal Ransomware (das Verschlüsseln von Dateien für Erpressungszwecke) mit Kryptojacking (Ausführen eines Prozesses auf Ihrem Host, wobei Angreifer Ihre CPU-Leistug zum Kryptowährungs-Mining missbrauchen).

Ransomware ist destruktiv und verschlüsselt Ihre Dateien mit dem Versprechen, dass Sie sie nach der Zahlung zurückbekommen. Das Problem (aus Sicht der Angreifer) ist, die überwiegende Mehrheit der Opfer zahlt nicht mehr. Sie verlieren zwar möglicherweise ihre Dateien oder eben Zeit, um diese aus einem Backup wiederherzustellen. Es gibt entweder Zerstörung oder Produktivitätsverlust. Doch die medienwirksamen Wannacry & Notpetya- Angriffe haben nicht nur Dateien zerstört, sondern auch das Geschäftsmodell. Zahlende Opfer haben damals ihre Dateien nicht zurückbekommen, deshalb vertraut niemand mehr den Kriminellen (Matthias Röhr hat diesen Gedanken sehr treffend formuliert). Es ist mit Sicherheit anzunehmen, dass zukünftige Ransomware-Angriffe eher auf Zerstörung als auf Geldverdienen abzielen, das Arbeitsfeld von Aktivisten und staatlichen Institutionen, nicht der Cyberkriminalität.

Cryptojacking scheint insgesamt harmloser. Menschen mit einer positiven Einstellung werden argumentieren, dass nur CPU-Zyklen (also letztlich Elektrizität) gestohlen wird und das Ergebnis der Berechnungen an einen zentralen Hub gesendet wird.

Während Ransomware fast immer von einer traditionellen Botnetz-Infrastruktur betrieben wird, kann Cryptojacking von Botnets, vom Browser (als Ersatz für Anzeigen), von maßgeschneiderten Hacker-Angriffen und nicht zuletzt vom eigenen Personal einer Firma betrieben werden. In diesem Artikel betrachten wir die Botnet-unterstützte Variante.

Eine schnelle Zeitleiste

Vor einem Jahr schrieben wir über zufälliges Bitcoin Mining, das in Einzelfällen gesehen wurden. Davor gab es Litecoin Mining und andere Versuche, die nicht sehr fruchtbar waren. In den letzten Monaten sind die Aktivitäten in diesem Bereich rasant gestiegen. ZDNet meldet ein Botnetz von einer halben Million Knoten namens Smominru. Kriminelle bevorzugen die Währung Monero, was logisch ist, da Transaktionen nicht so nachvollziehbar sind wie, sagen wir mal, Bitcoin. Monero ist eine überlegene Geldwäschetechnologie.

Wenn wir unsere Trendlinien extrapolieren, wird Ransomware in den nächsten Monaten fast verschwinden. Das heißt, Extrapolation ist selten eine gute Vorhersage-Methode. Neue destruktive Malware-Typen wie Olympic Destroyer, die mit falschen, auf NKO hinweisenden Flags gespickt sind, geben nicht einmal vor, Ransomware zu sein. Sie macht einfach nur Systeme kaputt.

Virus gegen Parasit

Im Bewusstsein der Tatsache, dass Biologie nie mein stärkstes Fach war, ist einer der Unterschiede zwischen Ransomware und Kryptojacking natürlich die Abwesenheit von Zerstörung in letzterem. Ein Parasit benötigt den Host, um am Leben zu bleiben, und das Kryptojacking benötigt die CPU und die umgebende Hard- und Software, um die Berechnungen zu generieren und sie an den zentralen Mining-Pool zu melden.

Boardroom Aufmerksamkeit

Als die großen Ransomware-Attacken im Jahr 2017 ausbrachen, war die Aufmerksamkeit der Presse groß. Jeder in der IT-Sicherheit stand vor Kameras und Mikrofonen und erklärte der Welt, wie schlecht das alles war. Die Vorstandsetagen nahmen Notiz. Wenn ich heute CISOs frage, was ihre größten Sorgen sind, sagen sie „Ransomware und DSGVO“. Viele CISOs haben Wannacry, Notpetya und dergleichen gerne genutzt, um Executive-Zeit einzufordern und sich bessere Budgets zu sichern.

Als Smoninru passierte, haben es die Artikel gerade mal so auf Seite 18 geschafft, da die Leute das Risiko als etwas höhere Stromrechnung einstuften.

Ein falsches Gefühl der Sicherheit

Die Frage ist: Wenn Sie mit einem Parasiten infiziert sind, zucken Sie mit den Schultern und vertrauen Sie der Infektion, ihr Leben nicht zu sehr zu beeinträchtigen? Oder sollten Sie anfangen, wie ein Boss Antibiotika einzuwerfen, um die energieraubende Bedrohung aus Ihrem Körper zu beseitigen?

Vergessen wir nicht: Monero-Mining ist nur ein MO, und im Gegensatz zu einem biologischen Parasiten kann jede Malware eine neue Payload nachladen, wodurch sich ihr Verhalten komplett ändert.

Seien wir realistisch, aber lassen wir uns nicht in falscher Sicherheit wiegen, nur weil die operativen Verluste durch Malware – für den Moment – sinken.

 


Links:

https://www.cubespotter.de/cubespotter/crypto-currencies-digitales-shopping-fuer-alice/
https://www.cubespotter.de/cubespotter/cryptojacking-ein-bisschen-kooperation-bitte/
https://www.cubespotter.de/cubespotter/wannamine-meins-alles-meins/

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer