News

Hacker schürften Millionenwerte mit Malware zum Krypto-Mining

Miner sind die neue Ransomware

Redaktion RiskNET05.03.2018, 14:11

Um Unternehmensrechner mit Mining-Malware zu infizieren, greifen Cyberkriminelle inzwischen zu ausgefeilten Methoden und Techniken, die bislang eher im Kontext zielgerichteter Angriffe bekannt waren. So fanden Kaspersky-Experten heraus, dass die erfolgreichste Gruppe im Jahr 2017 in nur sechs Monaten mindestens sieben Millionen US-Dollar erwirtschaften konnte [1]. Laut den Cybersicherheitsexperten stiegen darüber hinaus die Angriffe von schädlichen Minern gegen Privatanwender und Unternehmen im vergangenen Jahr um 50 Prozent im Vergleich zum Jahr 2016.

Kryptowährungen haben schon viele Auf und Abs erlebt, doch im vergangenen Jahr hat die phänomenale Wertsteigerung des Bitcoin nicht nur die globale Wirtschaftsordnung, sondern auch die Cybersicherheitsbranche verändert. Der Grund: Cyberkriminelle nutzen zum Schürfen neuer Kryptomünzen jetzt Mining-Software, die ein ähnliches Modell der Monetarisierung wie Ransomware verfolgt. Anwender werden zwar nicht über die Zerstörung von Daten geschädigt, doch verharrt Mining-Malware unentdeckt längere Zeit auf den PCs ihrer Opfer, um deren Rechnerleistung auszubeuten. Bereits im September 2017 analysierte Kaspersky Lab, dass sich Miner weltweit stark ausbreiten [2], und prognostizierte deren Entwicklung [3].

"Wir stellen fest, dass Ransomware wieder in den Hintergrund tritt und den Weg für Miner frei macht", erklärt Anton Ivanov, Lead Malware Analyst bei Kaspersky Lab. "Das wird von unseren Zahlen bestätigt, die ein stetiges Wachstum der Miner im Verlauf des ganzen Jahres ausweisen.

Und auch dadurch, dass Gruppen von Cyberkriminellen aktiv ihre Methoden verbessern und bereits begonnen haben, höherentwickelte Techniken bei der Verbreitung von Mining-Software einzusetzen. Diese Entwicklung kennen wir bereits, denn solche Tricks nutzten Hacker schon, als Ransomware noch boomte."

Laut den Experten von Kaspersky Lab wurden im Jahr 2017 insgesamt 2,7 Millionen Anwender von schädlichen Minern angegriffen. Das entspricht gegenüber dem Vorjahr (1,87 Millionen) einem Anstieg um fast 50 Prozent. Um die Rechner ihrer Opfer heimlich infizieren zu können, operierten die Cyberkriminellen mit Adware, gecrackten Spielen und Piraterie-Software [4]. Eine weitere Infektionsmethode lief über einen speziellen Code, der auf infizierten Webseiten platziert war. So wurde der am weitesten verbreitete Miner CoinHive auf vielen populären Webseiten entdeckt [5].

Auf Mining-Software spezialisierte Bande nutzt ausgefeilte Methoden

Die Experten von Kaspersky Lab konnten jetzt eine cyberkriminelle Bande ausmachen, die in ihr Arsenal für die Infektion mit Mining-Software Techniken aufgenommen hat, die man bisher von APTs (Advanced Persistent Threats) kannte. Sie verwendet hier erstmals Methoden der Prozess-Aushöhlung (Process Hollowing [6]), die im Kontext von Mining-Angriffen noch neu sind, aber bei anderer Malware und zielgerichteten Attacken durch APT-Akteure bereits eingesetzt werden.

Die Angreifer gehen dabei wie folgt vor: die Opfer werden zum Download und zur Installation von Adware verleitet, die einen versteckten Installer für Mining-Software in sich trägt. Der Installer legt eine legitime Windows-Utility-Software ab, dessen Hauptzweck darin besteht, den eigentlichen Miner von einem entfernten Server herunterzuladen. Nach der Ausführung startet ein legitimer Systemprozess, dessen Code mit schädlichem Code überschrieben wird. Im Ergebnis operiert der Miner anschließend in der Maske eines legitimen Tasks. Damit kann der Nutzer den Schädling nicht als Mining-Infektion identifizieren. Auch Sicherheitslösungen haben Schwierigkeiten bei der  Erkennung. Bemerkenswert ist außerdem, wie es dieser neue Prozess schafft, nicht gelöscht zu werden. Versucht der Anwender ihn zu stoppen, kommt es zu einem Neustart des Systems. So gelingt es Cyberkriminellen, ihre Verweildauer im System der Opfer zu verlängern und dort lange produktiv zu operieren.

Laut den Kaspersky-Experten schürften die Akteure hinter diesen Attacken Einheiten der Kryptowährung Electroneum. Sie konnten so in der zweiten Hälfte des Jahres 2017 nahezu sieben Millionen US-Dollar erwirtschaften – eine Summe, die mit über Ransomware erzielten Einnahmen verglichen werden kann.

Kaspersky Lab rät Anwendern, sich wie folgt zu schützen:

  • Nicht auf unbekannte Webseiten, verdächtige Banner oder Werbeanzeigen klicken;
  • Keine unbekannten Dateien von unsicheren Quellen herunterladen und öffnen;
  • Eine verlässliche Sicherheitslösung installieren. Sie sollte alle potenziellen Gefahren erkennen und damit auch vor schädlicher Mining-Software schützen.

Unternehmen sollten zusätzlich die folgenden Maßnahmen ergreifen:

  • Regelmäßige Durchführung von Sicherheits-Audits;
  • Installation von Sicherheitslösungen, möglichst auf allen Workstations und Servern. Die Lösungen müssen regelmäßig aktualisiert werden.

Quellen und weiterführende Links:

[1] securelist.com/mining-is-the-new-black/84232/

[2] securelist.com/miners-on-the-rise/81706/

[3] securelist.com/ksb-threat-predictions-for-cryptocurrencies-in-2018/83188/

[4] securelist.com/nhash-petty-pranks-with-big-finances/83506/

[5] securelist.com/mining-is-the-new-black/84232/

[6] https://attack.mitre.org/wiki/Technique/T1093

[ Bildquelle: Adobe Stock ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Machine Learning-basierte Klassifikation von Marktphasen

Krisen frühzeitig identifizieren

Dimitrios Geromichalos [RiskDataScience]23.05.2018, 12:30

Wie in der Vergangenheit immer wieder beobachtet werden konnte, verhalten sich Märkte oftmals irrational und zeichnen sich – neben dem "Normal-Zustand" – durch Phasen im Krisen- und...

Kolumne

Geopolitik und Ökonomie

Über den Einfluss politischer Krisen

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.16.05.2018, 11:45

Mehr als sonst ist in den Börsenkommentaren in diesem Jahr nicht nur von ökonomischen Faktoren die Rede. Immer mehr Raum wird den politischen Krisenherden in der Welt eingeräumt. Da geht es um Iran...

Kolumne

CFO Survey Frühjahr 2018

Fachkräftemangel und Protektionismus dominieren Risikolandkarte

Redaktion RiskNET11.05.2018, 14:32

Der Deloitte CFO Survey reflektiert die Einschätzungen und Erwartungen von CFOs deutscher Großunternehmen zu makroökonomischen, unternehmensstrategischen und finanzwirtschaftlichen Themen sowie...

Studie

Länderrisken im Überblick

Risikoweltkarte 2018

Redaktion RiskNET03.05.2018, 11:06

Das Feilschen um die von den USA angedrohten Strafzölle auf Stahl und Aluminium aus der Europäischen Union sind nur eine Ursache für die zunehmende Volatilität von Länderrisiken. Für Günther Schmid,...

Kolumne

Frühwarnindikator

Der Konjunktureinbruch ist stärker als gedacht

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.03.05.2018, 08:10

Gavyn Davies ist ein bunter Vogel unter den internationalen Ökonomen. Er war viele Jahre Chefvolkswirt von Goldman Sachs. Dann wurde er Chairman des britischen Rundfunksenders BBC. Schließlich...