Krypo-Miner sind die neue „Ransomware“

Zielgerichtete IT-Angriffe auf Organisationen und Unternehmen nehmen immer weiter zu: Nutzen Kriminelle bisher zum Datensdiebstahl oder zum Einschleusen von Ransomware zumeist extra auf das jeweilige Unternehmen zugeschnittene Methoden, so tritt inzwischen vermehrt Krypto-Mining-Malware in die Fußstapfen der großen Ransomware-Attacken der letzten Jahre. Somit trägt der aktuelle Kryptowährung-Boom weiter zur Verbreitung von versteckten Schürfprogrammen bei. Dabei sind unterschiedliche Angriffsszenarien verbreitet.

Über bestimmte Browser-Funktionen (z.B. Java Script) lässt sich zum einen die Rechenkapazität der jeweiligen Systeme nutzen, um im Hintergrund heimlich bestimmte Schürfprozesse ablaufen zu lassen. Dabei ist es sowohl möglich, dass der Webseitenbetreiber selbst diese Art der Monetarisierung einsetzt (und dies teilweise auch über entsprechende AGBs oder Info-Einblendungen an die Webseitenbesucher kommuniziert), oder der Betreiber wird selbst „Opfer“ einer entsprechenden Hacker-Kampagne, und ahnt selbst nichts von der in seiner Webseite versteckten Schadsoftware.

Kryptowährungen haben schon viele Auf und Abs erlebt

Die phänomenale Wertsteigerung von Bitcoin im vergangenen Jahr hat neben der globalen Wirtschaftsordnung auch die Cybersicherheitsbranche verändert. Der Grund: Cyberkriminelle nutzen zum Schürfen neuer Krypto-Münzen jetzt Mining-Software, die ein ähnliches Modell der Monetarisierung wie Ransomware verfolgt.
Anwender werden bei dieser Methode nicht durch die Zerstörung von Daten geschädigt, doch verharrt Mining-Malware unentdeckt längere Zeit auf den PCs ihrer Opfer, um durch Krypto-Mining deren Rechnerleistung auszubeuten. Im September 2017 analysierte Kaspersky Lab bereits , dass sich Miner weltweit stark ausbreiten, und prognostizierte deren weitere Entwicklung.
 
Interessant hierbei ist, dass Ransomware wieder in den Hintergrund tritt und den Weg für Miner frei macht!
Gruppen von Cyberkriminellen verbessern aktiv ihre Methoden, um höherentwickelte Techniken bei der Verbreitung von Mining-Software einzusetzen. Um die Rechner ihrer Opfer heimlich infizieren zu können, operieren die Cyberkriminellen mit Adware, gecrackten Spielen und Piraterie-Software. Eine weitere Infektionsmethode lief und läuft über einen speziellen Code, der auf infizierten Webseiten platziert war. So wurde der am weitesten verbreitete Miner CoinHive auf vielen populären Webseiten entdeckt.

Auf Mining-Software spezialisierte Bande nutzt ausgefeilte Methoden

Die Experten von Kaspersky Lab konnten aktuell eine cyberkriminelle Bande ausmachen, die erstmals Methoden der Prozess-Aushöhlung (Process Hollowing) verwendet.
Diese Technik ist im Kontext von Mining-Angriffen noch neu, wurde aber bei anderer Malware und zielgerichteten Attacken durch APT-Akteure bereits eingesetzt.
Die Angreifer gehen dabei wie folgt vor: die Opfer werden zum Download und zur Installation von Adware verleitet, welche einen versteckten Installer für Mining-Software in sich trägt. Der Installer legt eine legitime Windows-Utility-Software ab, deren Hauptzweck darin besteht, den eigentlichen Miner von einem entfernten Server herunterzuladen. Nach der Ausführung startet ein legitimer Systemprozess, dessen Code mit schädlichem Code überschrieben wird. Im Ergebnis operiert der Miner anschließend sozusagen “in der Maske” eines legitimen Tasks. Damit kann der Nutzer den Schädling nicht als Mining-Infektion identifizieren. Auch Sicherheitslösungen haben hier ihre Schwierigkeiten bei der Erkennung.

Bemerkenswert ist außerdem, wie es dieser neue Prozess schafft, nicht gelöscht zu werden: Versucht der Anwender ihn zu stoppen, kommt es zu einem Neustart des Systems. So gelingt es Cyberkriminellen, ihre Verweildauer im System der Opfer zu verlängern und dort lange produktiv zu operieren.
Laut den Kaspersky-Experten schürften die Akteure hinter diesen Attacken Einheiten der Kryptowährung Electroneum. Sie konnten so in der zweiten Hälfte des Jahres 2017 nahezu sieben Millionen US-Dollar erwirtschaften!

hahninfotec rät Ihnen, sich wie folgt zu schützen:
Nicht auf unbekannte Webseiten, verdächtige Banner oder Werbeanzeigen klicken,
keine unbekannten Dateien von unsicheren Quellen herunterladen und öffnen und
eine verlässliche Sicherheitslösung installieren! Sie erkennt alle potenziellen Gefahren und schützt damit auch vor schädlicher Mining-Software.
Zudem empfehlen wir unseren Kunden die regelmäßige Durchführung von Sicherheits-Audits und
Installation von Sicherheitslösungen, möglichst auf allen Workstations und Servern.
Die Lösungen müssen regelmäßig aktualisiert werden.

hahninfotec berät Sie gerne bei der Umsetzung!

Leave a Comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.