Es heisst immer, die Cyber-Kriminellen seien uns stets einen Schritt voraus. Und so warnte auch Thierry Karsenti, Leiter der New Technologies Unit bei Check Point, vor der fünften Generation der Cyber-Angriffe. Die "Gen-V"-Angriffe seien gross angelegt und betreffen Unternehmen über Branchen und Landesgrenzen hinweg. Sie nutzen mehrere Angriffsvektoren – Cloud, Mobile und Netzwerk – und machen sich geleakte staatliche Hacking-Tools zunutze, wie sie etwa von der NSA verwendet werden. WannaCry sei ein anschauliches Beispiel, solch grosser Angriffe, sagte Karsenti in seinem Vortrag an der Check-Point-Konferenz CPX in Baden vor wenigen Tagen.

Im Gespräch mit inside-it.ch aber beschwichtigt Maya Horowitz, Group Manager R&D beim Security-Anbieter. Selbstverständlich blieben die Cyber-Kriminellen nicht inaktiv, aber ihre bekannten Tools würden noch ausreichen, um erfolgreiche Attacken durchzuführen. Auch hier sei WannaCry ein gutes Beispiel, denn für die ausgenutzte Lücke waren bereits Patches vorhanden. Das Problem war nicht, dass die Cyber-Kriminellen sehr ausgefeilte Technologien verwendet haben, sondern dass Unternehmen ihre Systeme nicht gepatcht haben.

Ja, es gebe jeden Tag etwas neues, aber gleichzeitig sei es dennoch Schnee von gestern, so Horowitz. Malware werde wiederverwendet, der Code leicht angepasst – recycled. Von allen Angriffen, die Check Point im Jahr 2017 verzeichnete, nutzten ein Viertel Sicherheitslücken aus, die seit zehn Jahren bekannt waren. Und statt eine On-Premise-Infrastruktur anzugreifen, versuchten die Kriminellen es über die Cloud. Phishing funktioniere immer noch sehr gut, um an Login-Daten zu gelangen. Und da Anwender bekanntlich das gleiche Passwort für verschiedene Services nutzen, erhalten Kriminelle somit Zugang auf verschiedene Plattformen.

Das heisse aber nicht, dass derzeit nichts passiere. Die grossen Trends in der Cyber-Crime-Welt seien schlicht weniger Aufsehen erregend und plakativ als die Ransomware WannaCry. Sehr aktiv seien die Kriminellen derzeit mit Cryptominern. Bei einem Drittel aller Check-Point-Kunden weltweit hätte der Security-Anbieter vergangenen Monat eine Art von Cryptominer feststellen können. Auch in der Schweiz verzeichne man beinahe wöchentlich entsprechende Angriffe.

Die Kriminellen infizieren Webseiten, um die digitale Währungen zu schürfen. Bitcoin zu minen, sei nicht mehr lukrativ aber beispielsweise Monero lohne sich noch – insbesondere, so Horowitz, wenn man dafür die CPU-Power von anderen nutze. Auf der Top-10-Malware-Liste von Check Point, die monatlich aktualisiert wird, steht denn auch der Cryptominer Coinhive auf Platz eins.

Bei Coinhive handelt es sich um eine Software, die Webseiten-Betreibern eigentlich eine Möglichkeit bieten sollte, Einnahmen zu generieren, ohne dass sie Werbung schalten müssen. Bei der korrekten Anwendung wird einem Site-Besucher eine Meldung angezeigt. Diese sagt, er könne die Site unterstützen, indem er einen Teil seiner CPU-Leistung zur Verfügung stelle, so lange er auf der Site surfe. Erst wenn er zustimmt, startet das Mining.

Nun aber werde Coinhive unerkennbar und ohne Genehmigung des Besuchers auf Websites eingesetzt, um unter Verwendung von viel Rechenpower des Besuchers die Kryptowährung zu schürfen. Laut Check Point machen Kriminellen dies sehr erfolgreich. Innert wenigen Monaten hätten sie zwei Millionen Dollar in Monero verdienen können.

In ihrem Vortrag erwähnte Horowitz einen weiteren Cryptominer. Mit Rubyminer wurden Anfang 2018 30 Prozent aller Netzwerke weltweit angegriffen, um Lücken in den Web Servern zu finden. Die Malware selbst kenne man seit Jahren und sie mache sich eine Schwachstelle zu nutze, die man schon seit 15 Jahren kenne, betont die Security-Forscherin. (Katharina Jochum)