{"id":20729,"date":"2021-08-25T13:34:31","date_gmt":"2021-08-25T11:34:31","guid":{"rendered":"https:\/\/blog.mi.hdm-stuttgart.de\/?p=20729"},"modified":"2023-08-06T21:41:19","modified_gmt":"2023-08-06T19:41:19","slug":"digital-ghostbusters-der-malware-auf-der-spur","status":"publish","type":"post","link":"https:\/\/blog.mi.hdm-stuttgart.de\/index.php\/2021\/08\/25\/digital-ghostbusters-der-malware-auf-der-spur\/","title":{"rendered":"Digital Ghostbusters – Der Malware auf der Spur"},"content":{"rendered":"\n
\"\"<\/a><\/figure>\n\n\n\n

Mit dem Beginn des digitalen Zeitalters haben unz\u00e4hlige Unternehmen vermehrt einen Fu\u00df in die Online-Welt gesetzt, um dort m\u00f6glichst profitabel zu agieren. Innerhalb des letzten Jahrzehnts haben wir gro\u00dfe Schritte in Richtung der vollst\u00e4ndigen Digitalisierung gemacht und mit der Einf\u00fchrung von digitalen W\u00e4hrungen auch den Umgang mit Geld deutlich ver\u00e4ndert. Mittlerweile ben\u00f6tigen wir keine riesigen Geldspeicher gef\u00fcllt mit millionen goldener Taler a l\u00e1 Dagobert Duck, sondern k\u00f6nnen ein milliardenschweres Verm\u00f6gen auf mikroelektronischen Speicherstrukturen mit bin\u00e4ren Schaltzust\u00e4nden speichern und verwalten. Seit jeher liegt es in unserer Natur, wertvolle Dinge und Verm\u00f6gen so gut wie m\u00f6glich vor Angreifern zu sch\u00fctzen und so nehmen unz\u00e4hlige IT-Security-Firmen den Kampf gegen das B\u00f6se der Neuzeit auf. Denn eines ist sicher: Wo viel Geld im Umlauf ist, ist die Kriminalit\u00e4t nicht weit entfernt.<\/p>\n\n\n\n

Nun k\u00f6nnte man davon ausgehen, dass Personen und Unternehmen ohne gro\u00dfes Verm\u00f6gen auch kein Angriffsziel f\u00fcr Cyberkriminelle darstellen, denn dort gibt es ja theoretisch auch nichts zu holen, oder nicht? Diesen Gedankengang haben leider viel zu viele und gehen daher oft leichtsinnig mit der Sicherheit ihrer digitalen Systeme um. So ist es f\u00fcr potentielle Angreifer ein Leichtes, das sogenannte \u201cdigitale Verm\u00f6gen\u201d zu ergattern. Doch zu digitalem Verm\u00f6gen geh\u00f6rt nicht nur der Zugang zu privaten E-Wallets mit einem Wert in Millionenh\u00f6he. Nicht umsonst gibt es seit einiger Zeit das Sprichwort: \u201cData is the new Oil\u201d.<\/p>\n\n\n\n

Zu diesen Daten geh\u00f6ren auch Informationen \u00fcber Personen, neue Innovationen, die finanzielle Situation von Unternehmen oder Systemstrukturen von im Unternehmen eingesetzten IT-Systemen. Sehr oft sind solche Informationen f\u00fcr Cyberkriminelle wertvoller als der direkte Zugang zu einem E-Wallet. Der Grund liegt hierbei auf der Hand: In einem E-Wallet befindet sich, genau wie auf einem Bankkonto, lediglich eine begrenzte Menge an Verm\u00f6gen. Ist dieses einmal aufgebraucht, hat der Angreifer keinen Nutzen mehr von dem Zugang. Wie in Filmen oft dargestellt wird, arbeiten Kriminelle daher mit Methoden wie Kidnapping und anschlie\u00dfender Erpressung, um so mehr Profit aus ihrem Verbrechen zu schlagen.<\/p>\n\n\n\n

Wie funktioniert digitales Kidnapping, was sind die prim\u00e4ren Hintergr\u00fcnde und wie kann man sich dagegen <\/em><\/strong>sch\u00fctzen?<\/strong><\/em><\/p>\n\n\n\n

<\/div>\n\n\n\n\n\n\n\n

REvil – der digitale Teufel<\/h2>\n\n\n\n
\"\"
Bildquelle: axel.org<\/a><\/figcaption><\/figure>\n\n\n\n
<\/div>\n\n\n\n

Die moderne Ransomware<\/strong><\/h4>\n\n\n\n

Unter Ransomware versteht man eine Art von Schadprogrammen, die den Zugriff auf Systeme und deren Daten einschr\u00e4nken oder komplett unterbinden. Meistens wird hierbei der Zugriff auf das gesamte System gesperrt oder bestimmte Nutzerdaten verschl\u00fcsselt. F\u00fcr das Entschl\u00fcsseln oder Freigeben eines von Ransomware befallenen Systems wird in der Regel ein L\u00f6segeld (englisch: Ransom) verlangt. Das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (kurz: BSI) warnt explizit vor Ransomware-Attacken und beobachtet seit 2006 vermehrt solche Angriffe, haupts\u00e4chlich auf Windows-Systeme. Grunds\u00e4tzlich kann jedoch jedes System von einer Ransomware angegriffen werden.<\/p>\n\n\n\n

Der bislang gr\u00f6\u00dfte beobachtete Ransomware-Angriff \u201cWannaCry\u201d sorgte im Mai 2017 f\u00fcr einige Schlagzeilen. WannaCry verschl\u00fcsselte in \u00fcber 150 L\u00e4ndern die Daten auf mehr als 200.000 Windows-Rechnern und das innerhalb von lediglich drei Tagen. Das BSI vermutete damals einen Befall von mehreren Millionen Computern, wovon einige jedoch durch die Aktivierung einer bestimmten Sicherheitsfunktion durch Analysten keinen Schaden anrichten konnte. WannaCry nutzte eine Windows-Sicherheitsl\u00fccke, welche von Microsoft bereits acht Wochen vor dem globalen Angriff durch einen Software-Patch geschlossen wurde. Konkret bedeutet das, dass die Infektion vieler Rechner durch ein einfaches Windows-Update h\u00e4tte verhindert werden k\u00f6nnen. Die j\u00fcngste Ransom-Attacke, welche im letzten Monat ebenfalls f\u00fcr einige Schlagzeilen sorgte, ist auf eine russische Ransomware-Gruppe namens \u201cREvil\u201d zur\u00fcckzuf\u00fchren. Die Hacker nutzten eine Schwachstelle der IT-Management Software Kaseya des gleichnamigen US-amerikanischen Unternehmens und infizierten so die Systeme mit einer Ransomware.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Was macht REvil so besonders?<\/strong><\/h4>\n\n\n\n

REvil legte die Kaseya Kundensysteme mit einem Verschl\u00fcsselungstrojaner lahm und sperrte den Zugriff auf die einzelnen Systeme. Da zu den Kunden einige IT-Unternehmen der gesamten Welt geh\u00f6ren und ebenfalls einen gro\u00dfen Kundenstamm besitzen, l\u00f6ste der Angriff eine Art Dominoeffekt aus. Sehr stark davon betroffen war die schwedische Supermarktkette Coop, welche aufgrund des Angriffs im vergangenen Monat (Juli 2021) ihre Kassensysteme nicht bedienen und somit ihre T\u00fcren schlie\u00dfen musste. Die Hackergruppe forderte \u00fcber 70 Millionen US-Dollar L\u00f6segeld in der Kryptow\u00e4hrung Bitcoin (BTC) f\u00fcr die Freigabe der Systeme. Da die Ransomware \u00fcber jedes einzelne Glied der Software-Lieferkette ausgerollt wurde, konnte REvil somit einen solchen Dominoeffekt ansto\u00dfen. Weigert sich ein Opfer das L\u00f6segeld an die Hackergruppe zu bezahlen, droht REvil mit einer schrittweisen Ver\u00f6ffentlichung interner Informationen. Die Ransomware REvil z\u00e4hlt mittlerweile zu den gef\u00e4hrlichsten Ransomware-Familien, ist jedoch nicht die Einzige. Laut Sicherheitsspezialisten von Kaspersky landet REvil auf dem dritten Platz im Ranking der aktivsten Cybergangs. Kaspersky sch\u00e4tzt, dass sich die Gesamtstatistik der REvil-Opfer auf ca. 11 Prozent bel\u00e4uft. Da jedoch nicht alle Vorf\u00e4lle gemeldet werden, ist die Dunkelziffer sehr wahrscheinlich um einiges h\u00f6her.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Was ist seit dem Verschwinden von REvil passiert?<\/strong><\/h4>\n\n\n\n

Wie bereits bekannt ist, agieren viele Ransomware-Gangs \u00fcblicherweise aus Russland. Am 2. Juli 2021, also kurz nach der globalen REvil-Attacke, wurde bekannt gegeben, dass pl\u00f6tzlich die Webseite der russischen Hackergruppe auf mysteri\u00f6se Weise Offline geschalten wurde und nicht mehr erreichbar ist. Interessanterweise hatte der US-amerikanische Pr\u00e4sident Joe Biden kurz zuvor Kontakt zum russischen Staatschef Wladimir Putin aufgenommen und ihn zu Ma\u00dfnahmen gegen\u00fcber der T\u00e4ter gedr\u00e4ngt. Das wei\u00dfe Haus teilte mit, dass die j\u00fcngsten Attacken zu einem rund einst\u00fcndigen Telefonat zwischen den beiden Politikern gef\u00fchrt hat. Biden habe Putin vermittelt, dass die Verantwortung dieser Angriffe der russische Pr\u00e4sident zu tragen hat, auch wenn diese nicht von der Regierung selbst gesteuert werden. K\u00f6nnte die russische Regierung m\u00f6glicherweise etwas mit den Ransom-Angriffen auf die US-Unternehmen zu tun haben?<\/p>\n\n\n\n

Die USA hat bereits mehrfach verschiedene Arten von Hackerangriffen aus Russland kritisiert. Hierzu geh\u00f6ren neben den Angriffen von Kriminellen, welche ungest\u00f6rt Ziele im Ausland angreifen k\u00f6nnen, auch die Machenschaften von russischen Geheimdiensten auf Ministerien, Beh\u00f6rden und Firmen der USA. F\u00fcr Furore sorgte hierzu ein Bericht der NBC, welcher offengelegt hat, dass die REvil-Ransomware so programmiert wurde, dass sie keine russischen Systeme infiziert. Die Cybersecurity-Experten von Malwarebytes waren \u00fcber diese Erkenntnis weniger \u00fcberrascht. Ihnen zufolge ist es \u00fcblich, dass Ransomware nicht auf Systemen in L\u00e4ndern der Gemeinschaft Unabh\u00e4ngiger Staaten (GUS) ausgef\u00fchrt wird. Offen bleibt hierbei, ob die Hackergruppen aufgrund ihrer Herkunft absichtlich keine landeseigenen Systeme attackiert oder einige uns nicht bekannte Vereinbarungen im Gange sind. Nachdem Biden nochmals betont hatte, dass die USA \u201cjede notwendige Ma\u00dfnahme\u201d ergreifen werden, um ihre Bev\u00f6lkerung und Infrastruktur zu sch\u00fctzen, forderte Putin im Gegenzug eindeutige Beweise f\u00fcr Russland zugeschriebene Hackerangriffe vonseiten der USA. Dar\u00fcber hinaus warnt Biden bereits seit dem Gipfeltreffen in Genf vor m\u00f6glichen Konsequenzen, sofern sich die Angriffe weiter ausbreiten. Welche Vereinbarungen hierbei in Zukunft zwischen den beiden Regierungen getroffen werden, bleibt abzuwarten.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Gestrandete Unternehmen nach dem Verschwinden von REvil<\/strong><\/h4>\n\n\n\n

F\u00fcr Unternehmen, welche durch REvil angegriffen wurden und dadurch ihre System und Daten verloren haben, bleibt nach dem Verschwinden eine wichtige Frage offen: Wie erhalten sie den Zugriff auf die Systeme und Daten zur\u00fcck, sofern die pl\u00f6tzlich untergetauchte Cybercrime-Bande komplett verschwunden ist? Sind dadurch auch die Decrypt-Schl\u00fcssel nicht mehr verf\u00fcgbar und die Systeme und Daten nun f\u00fcr immer verloren?<\/p>\n\n\n\n

Auf der einen Seite k\u00f6nnte man es durchaus f\u00fcr gut befinden, dass REvil pl\u00f6tzlich von der Bildfl\u00e4che verschwunden ist, da so von dieser Gruppe keine weiteren Angriffe mehr ausgehen. Die Opfer der vergangenen Attacken bef\u00fcrchten jedoch, nun keine Chance mehr auf eine Freigabe der eigenen Systeme und Daten zu haben. Dies w\u00fcrde bei zahlreichen Firmen mit gro\u00dfer Sicherheit einen hohen Verlust, wenn nicht sogar einen wirtschaftlichen Totalschaden anrichten.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Der Kampf gegen das B\u00f6se<\/h2>\n\n\n\n
\"\"\/
Bildquelle: it-daily.net<\/a><\/figcaption><\/figure>\n\n\n\n
<\/div>\n\n\n\n

Allein in Deutschland wird der j\u00e4hrliche Gesamtschaden von Cyberangriffen auf die Wirtschaft auf ca. 223 Milliarden Euro gesch\u00e4tzt. Die Dunkelziffer f\u00e4llt hierbei wohl um einiges h\u00f6her aus. Laut dem Gesch\u00e4ftsf\u00fchrer von Myra Security Paul Kaffsack ist der Grund daf\u00fcr, dass einige Unternehmen einen Angriff erst gar nicht wahrnehmen und somit auch nicht in den Statistiken aufgef\u00fchrt wird.<\/p>\n\n\n\n

\n

\u201eEin Blick auf unsere Daten zeigt: Tats\u00e4chlich sind zehn von zehn Unternehmen von Cyberattacken betroffen \u2013 aber eins von zehn wei\u00df es nicht\u201c<\/em><\/p>\nPaul Kaffsack (2021)<\/em><\/cite><\/blockquote>\n\n\n\n

Die Beobachtungen des Myra Security Operations Center (SOC) verzeichnen einen starken Zuwachs der Angriffe auf kritische Infrastrukturen. Bei den Schadensursachen handelt es sich meistens um Malware oder DDoS-Angriffe auf die Netzwerksysteme der Unternehmen. Laut SOC sind die Angriffe auf die Transportschicht der Infrastruktur, also Layer 3 und 4, um 100 Prozent angestiegen. Auf Anwendungsebene sind es 300 Prozent mehr Angriffe im Vergleich zum Vorjahr.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Denken wie ein Angreifer<\/strong><\/h4>\n\n\n\n

Hinter Cyberattacken stecken laut einem Bitkom-Report haupts\u00e4chlich \u201cHobby-Angreifer\u201d (40 Prozent) und kriminelle Banden (29 Prozent). Das SOC kam nach ihren Untersuchungen auf ein \u00e4hnliches Ergebnis. Oftmals handelt es sich bei den Hackern um sehr junge Angreifer im Alter von 18 bis 26 Jahren. Dies berichten zwei Journalisten in einem YouTube-Video<\/a>, welches von der Newsplatform Bloomberg ver\u00f6ffentlicht wurde.<\/p>\n\n\n\n

\n