Mehr Diversität und Angriffsvektoren: Ransomware bleibt Gefahr Nummer 1

Die Abwehr von Angriffen wird immer komplexer. Krypto-Mining stellt ein zunehmend grosses Risiko dar.
 
Das Deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen Bericht zur Lage der IT-Sicherheit in Deutschland 2018 veröffentlicht. Wir haben einige Erkenntnisse für Sie herausgegriffen.
 
Im Unterschied zu den Vorjahren seien im Berichtszeitraum, der von Anfang Juli 2017 bis Ende Mai 2018 reicht, grössere Angriffswellen mit Ransomware ausgeblieben, schreibt das BSI. Dennoch bliebe Verschlüsselungs-Software eine massive Gefährdung. Ein zweites, grosses und neues Thema des Berichts ist das sogenannte Krypto-Mining, das ein signifikant zunehmendes Cyber-Risiko darstelle.
 
Diese Einschätzung lässt sich auch auf die Schweiz übertragen: So sieht man bei der Schweizer Melde- und Analysestelle Informationssicherung (Melani) Ransomware auch ohne breite Angriffswellen in jüngster Zeit weiterhin als grosse Bedrohung, wie der stellvertretende Leiter Max Klaus auf Anfrage von inside-it.ch bestätigt. Auch Fälle von Krypto-Mining würden bei der Stelle gemeldet, sie gehörten aber nicht zum Kernthema von Melani.
 
800 Millionen Schadprogramme mit hoher Diversität
Rund 70 Prozent der Unternehmen und Institutionen in Deutschland wurden in den Jahren 2016 und 2017 Opfer von Cyberangriffen. Dies geht aus einer Umfrage mit 900 Teilnehmern hervor. In knapp der Hälfte der Angriffe waren die Kriminellen erfolgreich. In rund 57 Prozent der Fälle wurden IT-Systeme mit Schadprogrammen infiziert, in 19 Prozent wurden die Betroffenen gehackt und bei fast gleich vielen Vorfällen handelte es sich um DDoS-Angriffe. Letztere haben sich im Zeitraum des aktuellen Berichts allerdings im Vergleich zum Vorjahr halbiert. Die Lage in der Schweiz dürfte auch hier ähnlich sein.
 
Rund 800 Millionen Schadprogramme seien derzeit im Umlauf, das seien 200 Millionen mehr als 2017, so das BSI. Täglich würden rund 390'000 Varianten dazu kommen. Sorgen bereitet dem Bundesamt insbesondere die Dynamik bei der Weiterentwicklung der Malware wie auch der Angriffswege. So würden bekannte Malware-Familien kontinuierlich verändert und mit zusätzlichen Schadfunktionen bewaffnet. Dies erfordere auf Seiten der Verteidiger hohe Aufmerksamkeit und Flexibilität zur Gewährleistung der Informationssicherheit, so das BSI.
 
Ransomware-as-a-Service und neue Verschleierungstechniken
Vor zwei Jahren war unter ein starker Anstieg von Angriffen mit Verschlüsselungssoftware zu verzeichnen. Unter anderem WannaCry und NotPetya richteten massive Schäden an. An dieser Front sei es nun ruhiger geworden, aber man beobachte verschiedene Entwicklungen.
 
So gebe es mittlerweile Angebote für Ransomware-as-a-Service. Angreifer müssten also nicht mehr alle Details des Angriffsvektors verstehen und könnten nach dem Baukasten-Prinzip Variationen bestehender Ransomware erzeugen. Ausserdem habe man Auftragsarbeiten für spezielle Eigenschaften beobachtet. Dies erhöht die Zahl der potentiellen Angreifer enorm und verringert deren Aufwand.
 
Desweiteren sieht das BSI eine starke Diversifizierung der Ransomware, aber auch der Opfer-Gruppen sowie der Angriffsvektoren. Die Ransomware-Familien würden zersplittert, was die Lage weiter unübersichtlich mache. Dazu komme, dass nicht nur die Angriffsverfahren aufwendiger, sondern auch die Verschleierungstaktiken immer raffinierter würden. Die Ziele der Angriffe würden ebenfalls weiterhin diversifiziert und gezielter potentiell zahlungswillige Opfer ausgesucht. Zugleich habe sich die Malware über immer mehr Kanäle verbreitet: Spam, Exploit-Kits, Drive-by-Exploits, Würmer und Fernwartungs-Software.
 
Das BSI nennt unter anderem folgende Angriffe, in denen neue Entwicklungen zum Ausdruck kamen:
  • Im Januar wurde erstmals eine neue Erpresser-Software namens GandCrab entdeckt, die neben lokal aktiven Kampagnen als erste per Exploit-Kit breit verteilt wurde.
  • Im April wurde Ransomware beobachtet, die kein Lösegeld verlangt, sondern dazu animieren soll, Computerspiele zu spielen.
  • Ebenfalls im April 2018 nutzte eine Ransomware Schwach-stellen in HPE Integrated Lights-Out, um Bitcoin-Zahlungen zu erpressen.
  • Die Ransomware SamSam attackierte über Schwachstellen öffentlich zugänglicher Softwarekomponenten auf Web-Servern oder durch das Erraten schwacher Passwörter in der verwendeten Benutzerverwaltung.
  • Die seit Mai bekannte Ransomware SynAck verwendet eine Technik namens "Process Doppelgänging", mit der dank Manipulation des Datei-Handlings Angreifer schädliche Aktionen unter dem Deckmantel legitimer Prozesse laufen lassen können. Es werden auch diverse weitere Techniken verwendet, die sowohl die Detektion als auch die Analyse erschweren: Protokolle löschen, Sprungadressen errechnen, Hash statt des Originalstrings verwenden.
  • Eine Ransomware Namens XiaoBa beinhaltet zusätzlich Software, die Krypto-Mining betreibt. Sie verändert ausführbare Programme so, dass sie Infrastrukturaufgaben für Kryptowährungen übernimmt und damit Geld verdient.
Unternehmensserver sind besonders beliebt für Krypto-Mining-Angriffe
Die Abnahme von Angriffen mit Ransomware führt das BSI auch auf eine Verlagerung und Ergänzung durch Krypto-Mining zurück. Dieses lohne sich finanziell eher und verpreche konstanten Gewinn, so das Deutsche Bundesamt. Krypto-Miner nutzen illegal die Ressourcen der befallenen Systeme, um Gewinn in Form von Kryptowährungen zu erzielen.
 
Der Befall bliebe häufig eine lange Zeit unentdeckt, da sich ausser der Performance-Einbusse und möglicherweise höherem Stromverbrauch kaum Auffälligkeiten zeigten. Es handelt sich um ein signifikant zunehmendes Cyber-Risikio, das BSI geht also von stark zunehmenden Angriffszahlen aus.
 
Dabei sieht das Deutsche Amt zwei Angriffsvektoren: Zum einen Kryptominer, die heimlich Rechenressourcen von Besuchern einer Website nutzen, und zwar mit Hilfe von JavaScript-Bibliotheken, die durch den Browser ausgeführt werden. Zum anderen handelt es sich um Schadprogramme, die betroffene Systeme als Teil eines Botnetz Kryptowährungen schürfen lassen.
 
Im Berichtszeitraum beobachtete das BSI Vorfälle nicht nur auf normalen PCs, sondern auch auf Servern, Mobil-Betriebssystemen, SmartTVs und ICS-Systemen. Besonders Unternehmensserver würden aufgrund ihrer zumeist grösseren Ressourcen und der ständigen Verfügbarkeit sehr attraktive Ziele für Kriminelle bieten, warnt das Bundesamt. Es rechnet zudem damit dass künftig auch weitere Ressource wie Webcams und SmartHome-Produkte Ziel von Angriffen werden.
 
Der Bericht, der auch die Bedrohungslage nach Sektoren aufschlüsselt und unter anderen auch die Bereiche IoT-Sicherheit, Advanced Persistent Threads sowie konkrete Lücken in Hard- und Software behandelt, kann von der Website des BSI heruntergeladen werden (PDF). Er zeigt zudem einige Schritte und Vorschläge zur Abwehr von Cyberbedrohungen auf. (ts)