Nach den Schlagzeilen durch den Cyberangriff auf die Bundesregierung debattieren Sicherheitsexperten über wachsende Schlagkraft von ausgeklügelter Malware. In der öffentlichen Wahrnehmung scheinen keine Mittel gegen die übermächtigen Schädlinge verfügbar, doch diese Wahrnehmung entspricht nicht der Realität.
Tatsache ist, dass es wirksamen Schutz gegen Attacken gibt und dass die Hintermänner in keinem Fall über unbesiegbare Schadsoftware verfügen. Im Gegenteil, es zeigt sich, dass die genutzten Schädlinge immer wieder selbst über zahlreiche Schwachpunkte verfügen und erfolgreiche Attacken eher auf mangelhafte Absicherung und Fahrlässigkeit zurückzuführen sind.
Ein Beispiel ist die GandCrab Ransomware. Der Kryptotrojaner wurde im Januar dieses Jahrs zum ersten Mal im Dark Web entdeckt und wütete vor allem in Skandinavien und englischsprachigen Ländern. Als Angriffsvektor dienen Spam-E-Mails und die Exploit Kits Rig und GrandSoft. Charakteristisch ist die professionale Vermarktung: Die Kunden der Malware müssen dem GandCrab Affiliate Programm beitreten, durch das gewährleistet wird, dass 30 – 40 Prozent der Lösegelderlöse zu den Hintermännern zurückfließen.
Hierfür bekommen die Kunden neben der Malware Zugang zu einem umfangreichen Supportportal und technische Unterstützung. Insgesamt sind über 80 aktive Nutzer bekannt. Berichte zeigen, dass ein einziger Anwender allein in einem Monat 700 verschiedene Varianten von GrandSoft verschickt hast. Insgesamt sind über 50.000 Opfer bekannt, dies entspricht Lösegeldforderungen von 300.000 bis 600.000 US-Dollar.
Gutes Marketing für schlechte Malware
Ironischerweise ist zumindest die erste Version von GandCrab eine schlechte Entwicklung. Der Programmcode enthält mehrere Schwachstellen, dies führt unter anderem dazu, dass Opfer ihre Daten umsonst wiederherstellen können. Ermittlungsbehörden fiel der Masterserver mit dem Schlüsselmaterial in die Hände. Dadurch konnten die privaten RSA-Schlüssel online gestellt werden. Eigentlich wäre dies das Ende von GandCrab, allerdings waren die Kriminellen in der Lage, in nur wenigen Tagen eine verbesserte Version ihres Schädlings auf die Beine zu stellen.
GandCrab 2 enthält einige Updates, trotzdem gibt es immer noch Schwachpunkte. Beispielsweise wurde bei der Verschlüsselung nachgebessert. Man kann immer noch nicht behaupten, dass es sich um eine besonders potente Schadsoftware handelt, allerdings erkennt man die typische Entwicklung von Malware. In nur einer Woche können sich kriminelle Cyberorganisationen auf neue Entwicklungen reagieren. Weitere Details zu den technischen Fähigkeiten gibt es in einem Bericht von Threat Researchern.
Schlampige Malware reicht für maximalen Profit
Das wichtigste Take-Away ist der große Erfolg eines schlechten Produktes. Die Anpassungsfähigkeit zeugt von den Fähigkeiten der Kriminellen. Allerdings haushalten die Hintermänner mit ihren Ressourcen. Für maximalen Profit reicht eine zunächst schlampig geschriebene Malware. Anpassungen werden erst vorgenommen, wenn keine erfolgreichen Attacken mehr möglich sind.
Dies deutet auf die unzureichende Absicherung und mangelnde Umsetzung von Abwehrmechanismen hin. Organisationen bereiten dabei ungewollt den Marktplatz für Cyberkriminelle, den schon die Implementierung grundlegender Sicherheitstools würde einen Angriff unterbinden. Die Kriminellen bauen auf dieser Fahrlässigkeit auf und passen ihre Methoden entsprechend an.