Wir möchten auf unserer Internetseite Dienste von Drittanbietern nutzen, die uns helfen, unsere Werbeangebote zu verbessern (Marketing), die Nutzungsweise unserer Internetseite auszuwerten (Performance) und die Internetseite an Ihre Vorlieben anzupassen (Funktional). Für den Einsatz dieser Dienste benötigen wir Ihre Einwilligung, welche jederzeit widerrufen werden kann. Informationen zu den Diensten und eine Widerspruchsmöglichkeit finden Sie unter „Benutzerdefiniert“. Weitergehende Informationen finden Sie in unserer Datenschutzerklärung.

Use #itsa365

12. - 14. Oktober 2021 // Nürnberg

it-sa Newsroom

Wachsende Bedrohung: Cyberkriminelle setzen auf Anrufe und Schläfer im Netz

Managment

Symbolbild: Binärcode, unter Lupenglas das Wort Malware
© iStock/400tmax

Ob Vermietung oder Verkauf von Malware, Angreifer kombinieren ausgefallene Tricks mit neuester Technik. Die Geschäftsmodelle krimineller Cyber-Gruppen sind dabei ausdifferenziert. Häufig lauert sogar Malware als Schläfer unbemerkt im Netz und wartet auf den Befehl zum Losschlagen.

Es kann mit einem scheinbar harmlosen Anruf im Sekretariat beginnen. Der Gesprächspartner äußert nur eine kleine Bitte: Er habe vor ein paar Tagen mit dem Chef telefoniert, der vor einem weiteren Gespräch um die postalische Übersendung einiger Unterlagen gebeten habe. Da der nächste Termin unmittelbar bevorsteht, sei dies zeitlich nicht mehr möglich. Deshalb will der Anrufer die Unterlagen für den Ausdruck vor Ort per Mail übersenden. Pech nur, dass die Mail, die kurz darauf im Sekretariat eintrifft, neben den avisierten Dokumente auch gefährliche Malware enthält. Aussteller der it-sa, die dazu befragt wurden, beobachteten bei ihren Kunden eine Zunahme solche Phishing-Angriffe gerade im Zeitraum der Corona bedingten Einschränkungen.

Multifunktionale Angriffe und lukrative Ziele aus dem Darknet

Die Kenntnis über Arbeitsweise und Geschäftsmodelle von Cyberkriminellen kann Unternehmen helfen, sich vorzubereiten. Beispielsweise werden extra Dokumente gestohlen, um sie im weiteren Verlauf eines Angriffs als Köder einzusetzen. Die Unterlagen haben so eine besonders hohe Glaubwürdigkeit und sind damit für Phishing-Attacken bestens geeignet. Haben die Opfer dann erst einmal auf den falschen Link geklickt oder infizierte Dateianhänge geöffnet, werden sie im weiteren Verlauf eines Angriffs häufig mehrfach ausgebeutet: Erst geht es darum, Informationen abzuziehen und zu verwerten, dann werden die infizierten Systeme zum Bestandteil eines Botnets, das etwa für Spamming oder DDOS-Attacken vermietet wird. Nebenbei installieren die Angreifer ein Cryptominer. Und zum Schluss (wenn zum Beispiel das Botnet aufgeflogen ist) werden die Rechner mit Ransomware verseucht, um möglichst noch Lösegeld zu kassieren.

Cyber-Gangster müssen die dafür benötigte Malware schon längst nicht mehr selber entwickeln. Diese Prozesse verlaufen arbeitsteilig; im Darknet herrscht ein reger Handel. Immer häufiger wird Software nur noch vermietet. Der Banking Trojaner Cerberus ist dafür ein Beispiel, eine Gruppe offeriert ihn für Android zum Preis von rund 2000,- US-Dollar pro Monat.

Im Darknet werden auch lukrative Ziele gehandelt. Deshalb versuchen Angreifer, prophylaktisch in Unternehmen einzudringen, so wie sich eine Chance bietet. Ist das gelungen, wird eine Backdoor installiert. Oftmals lauert der Schädling anschließend lange Zeit als Schläfer im Netz, bis er aktiviert wird, wenn ein Auftraggeber gefunden wurde. Wie das in Einzelnen funktioniert, zeigt das folgende Beispiel.

Malware als Schläfer im Netz

Bei sogenannten Supply Chain Attacks greifen Cyberkriminelle ihre Opfer nicht direkt an, sondern deren Zulieferer und Auftragnehmer. Bekanntes Beispiel ist die Gruppe Winnti, die von Malware-Analysten in China vermutet wird. Sie hat derzeit insbesondere Spielehersteller in Asien im Visier, zuvor zählten die Protestbewegung in Hongkong oder osteuropäische Botschaften zu den Zielen. Entsprechend wurden neben Teamviewer oder Ccleaner auch Internet-Spiele mit Malware verseucht. Sie dringen häufig in Build-Systeme und Sourcecode-Verwaltungsserver ein, um unbemerkt Schadcode in den Sourcecode einzufügen. Kommt der dann zur Ausführung, stiehlt der Schädling Unmengen an Informationen von den Opfer-PCs, darunter auch zahlreiche Systeminformationen. Die nebenbei installierte Backdoor lauscht am Netz und wartet auf ein bestimmtes Datenpaket. Erst wann das durch das Netz läuft, beginnt die Operation. Dieses Datenpaket besteht aus einer Sequenz, bei der lediglich in der Zeichenkette „Server: Microsoft-IIS“ ein zusätzliches Leerzeichen eingefügt wurde. Sollte auf dem PC jedoch als Systemsprache Chinesisch oder Russisch eingestellt sein, stoppt die Ausführung sofort. Die Angreifer wissen scheinbar, mit wem sie sich besser nicht anlegen.

_______________

Neuheiten rund um die it-sa und News aus der IT-Sicherheitswelt finden Sie auch im it-sa Security Newsletter.

Zur Newsletter-Anmeldung

top