Dietmar Schnabel ist Regional Director Central Europe beim IT-Sicherheitsunternehmen Check Point Software Technologies.
Check Point
Eine Untersuchung zeigt, dass Stand Dezember 2017, mehr als 20 Prozent aller Unternehmen weltweit von Kryptominern betroffen waren. Die Zunahme der Angriffe ist zum einem dem gestiegenen Interesse an Kryptowährungen (und damit deren Kursteigerung) geschuldet, zum anderen aber auch den erhöhten Sicherheitsbemühungen bei der Abwehr von anderen Angriffsvektoren.
Bis vor wenigen Jahren waren Exploit Kits die am häufigsten genutzte Malware. Bekannte Beispiele sind Nuclear oder Angler. Sie werden weiterhin in Onlineforen oder im Darknet angeboten, allerdings kam es im letzten Jahr zu einem Rückgang der Attacken, da die Angreifer ihre Schwerpunkte hin zu anderen Tools wie eben Kryptominern und auch Ransomware verlagerten.
Aufwand für Nutzung von Exploit Kits steigt für Kriminelle
Exploit Kits setzen auf die Ausnutzung von Schwachstellen in Software oder Hardware und erlauben den Angreifern, auch ohne große technische Kenntnisse, schwerwiegende Attacken auszuführen. Die meisten Unternehmen haben sich aber genau darauf eingestellt, sodass der Aufwand zur Anpassung und Nutzung von Exploit Kits steigt. Updates sind schneller verfügbar und werden häufiger eingespielt, dies verkürzt den Lebenszyklus einer Schwachstelle. Die virtuellen Baukästen sind damit weniger lukrativ für die Hintermänner und schwieriger zu vermarkten. Zudem gibt es immer mehr Bug-Bounty-Programme (Belohnung wenn Schwachstellen gemeldet werden) von Herstellern und anderen Organisationen, die eine finanzielle Alternative zur Erstellung von Exploit Kits darstellen. Das Kosten-Nutzen-Verhältnis hat sich somit für die Kriminellen erheblich verschlechtert.
Interesse an Digitalwährungen bedeutet starke Nachfrage nach Rechenleistung
Dagegen steigt das Interesse an digitalen Währungen und damit auch an deren Nutzern. Dies bedeutet, dass die nötige CPU-Leistung für das Schürfen der Zahlungsmittel immer weiter wächst. Programme zur Erstellung von Bitcoin, Monero und Co. gibt es schon seit vielen Jahren, allerdings werden diese seit 2017 verstärkt als Malware eingesetzt. Diese Entwicklung ist kein Zufall, sondern folgt einem Marktmechanismus. Durch eine steigende Nachfrage nach Rechenleistung steigt die Marge für entsprechende Schädlinge für die Kriminellen.
Der Diebstahl von Rechenleistung muss nicht immer über Malware geschehen. Angestellte oder Dienstleister können ebenfalls Rechenleistung bewusst von Unternehmen stehlen. Ein Beispiel ist der versuchte Missbrauch eines russischen Supercomputers. Hier wurden Atomwissenschaftler erwischt, wie sie den Forschungscomputer des Russischen Föderalen Nuklearzentrums (VNIIEF) zum Mining von Bitcoin einsetzen wollten.
CoinHive ist weiterhin der meistgenutzte Kryptominer, allerdings erkennt man seit kurzem den verstärkten Einsatz von Crypto-Loot. Beide Schädlinge "minen" – also schürfen – die Onlinewährung Monero für die Angreifer und nutzen dabei die Rechenleistung des Opfers.
Ransomware bleibt die meistgenutzet Schadsoftware
Weltweit haben solche Schädlinge 16 Prozent Anteil aller Cyberangriffe. Spitzenreiter mit 30 Prozent bleibt aber Ransomware – also die Verschlüsselungstrojaner.
Neben den Kryptominern und dem bewussten Missbrauch von Unternehmer-Assets zur Erstellung von Onlinewährungen werden umfangreiche Attacken auf Handelsbörsen für Kryptowährungen und andere Plattformen immer alltäglicher. Beispielsweise wurde die Kryptobörse Bitgrail angegriffen und dabei wurden 17 Millionen Einheiten der Nano-Währung gestohlen - das entspricht einem Wert von 140 Millionen Euro.
Außerdem wurde bereits 2016 eine Attacke auf Bitfinex bekannt, einem der größten Handelsplätze für Onlinewährungen. Hier wurden 120.000 Einheiten Bitcoin entwendet, damals hatten diese einen Marktwert von 66 Millionen US-Dollar. Die Angreifer konnten eine Schwachstelle in der Accountstruktur ausnutzen.
Abwehr von Attacken ist möglich
Ein Großteil der Cyberkriminalität ist hoch organisiert und daher werden sich die Angriffsmuster immer wieder ändern. Grundsätzlich ist eine Abwehr von ausgeklügelten Attacken möglich oder man kann zumindest deren Auswirkungen stark einschränken. Hierfür müssen Organisationen aber die Dynamik der Angreifer verstehen und ihre Sicherheitsmechanismen entsprechend aufstellen.