Die Geschichte der Malware: Eine Einführung in die Entwicklung der Cyber-Bedrohungen

Malware, eine Zusammensetzung aus „Malicious Software“, bezeichnet jede Software, jeden Code oder jedes Computerprogramm, das absichtlich entwickelt wurde, um einem Computersystem oder seinen Benutzern Schaden zuzufügen. Nahezu jeder moderne Cyberangriff beinhaltet irgendeine Art von Malware. Das Ausmaß dieser schädlichen Programme variiert von äußerst zerstörerisch und kostspielig (Ransomware) bis hin zu lediglich lästig, aber ansonsten harmlos (Adware).

Jährlich gibt es Milliarden von Malware-Angriffen auf Unternehmen und Privatpersonen. Malware kann jede Art von Gerät oder Betriebssystem infizieren, einschließlich Windows, Mac, iPhone und Android.

Cyberkriminelle entwickeln und nutzen Malware für Folgendes:

• Geräte, Daten oder Unternehmensnetzwerke gegen hohe Lösegelder „als Geisel nehmen“
• Unbefugten Zugang zu vertraulichen Daten oder digitalen Ressourcen erhalten
• Um Anmeldedaten, Kreditkartennummern, geistiges Eigentum, personenbezogene Daten oder andere wertvolle Informationen zu stehlen
• entscheidende Systeme stören, auf die Unternehmen und Behörden angewiesen sind

Obwohl die Begriffe oft synonym verwendet werden, sind nicht alle Arten von Malware notwendigerweise Viren. Malware ist der Oberbegriff für zahlreiche Arten von Bedrohungen, wie zum Beispiel:

Viren: Ein Computervirus ist ein bösartiges Programm, das sich nicht ohne menschliche Interaktion replizieren kann, sei es durch Klicken auf einen Link, Herunterladen eines Anhangs, Starten einer bestimmten Anwendung oder verschiedene andere Aktionen.

Würmer: Würmer sind im Grunde genommen selbstreplizierende Viren, die sich ohne menschliches Zutun verbreiten können. Sie dringen tief in verschiedene Computersysteme ein und bewegen sich von Gerät zu Gerät.

Botnets: Ein Netzwerk infizierter Computer, die von einem einzigen Angreifer, dem sogenannten „Bot-Herder“, kontrolliert werden und im Einklang miteinander arbeiten.

Ransomware: Ransomware-Angriffe gehören zu den gefährlichsten Arten von Malware. Sie übernehmen die Kontrolle über kritische Computersysteme oder sensible Daten, sperren Benutzer aus und verlangen im Austausch für den wiederhergestellten Zugriff exorbitante Lösegelder in Kryptowährungen wie Bitcoin. Ransomware ist auch heute noch eine der gefährlichsten Arten von Cyberbedrohungen. 

Ransomware mit mehreren Erpressungen: Als wären Ransomware-Angriffe nicht schon bedrohlich genug, fügt Ransomware mit Mehrfacherpressung zusätzliche Ebenen hinzu, um entweder weiteren Schaden zu verursachen oder zusätzlichen Druck auf die Opfer auszuüben, damit sie kapitulieren. Bei doppelten Erpressungs-Ransomware-Angriffen wird Malware nicht nur zur Verschlüsselung der Daten des Opfers verwendet, sondern auch zur Exfiltration sensibler Dateien, wie z. B. Kundendaten, mit denen die Angreifer dann drohen, sie öffentlich zu veröffentlichen. Dreifache Erpressungsangriffe gehen sogar noch weiter, indem sie damit drohen, kritische Systeme zu stören oder den zerstörerischen Angriff auf die Kunden oder Kontakte eines Opfers auszuweiten. 

Makroviren: Makros sind Befehlsfolgen, die in der Regel in größere Anwendungen integriert sind, um einfache Aufgaben schnell zu automatisieren. Makroviren nutzen programmgesteuerte Makros aus, indem sie schädliche Software in Anwendungsdateien einbetten, die ausgeführt wird, wenn das entsprechende Programm vom Benutzer geöffnet wird.

Trojaner: Trojaner, die nach dem berühmten Trojanischen Pferd benannt sind, tarnen sich als nützliche Programme oder verstecken sich in legitimer Software, um Benutzer dazu zu verleiten, sie zu installieren.

Spyware: Spyware ist eine gängige Methode der digitalen Spionage, bei der sich die Software in einem infizierten System versteckt, um heimlich vertrauliche Daten zu erfassen und an den Angreifer zu übermitteln.

Adware: Adware gilt als weitgehend harmlos und wird in der Regel zusammen mit kostenloser Software gebündelt und spammt Benutzer mit unerwünschten Pop-ups oder anderen Anzeigen. Einige Adware-Programme können jedoch personenbezogene Daten abgreifen oder Webbrowser auf schädliche Websites umleiten.

Rootkit: Eine Art Malware-Paket, das es Hackern ermöglicht, privilegierten Zugriff auf Administratorebene auf das Betriebssystem eines Computers oder andere Assets zu erlangen. 

Aufgrund der schieren Menge und Vielfalt würde eine vollständige Geschichte der Malware ziemlich lang werden. Stattdessen werfen wir hier einen Blick auf einige berüchtigte Momente in der Entwicklung von Malware.

Als die ersten modernen Computer gebaut wurden, entwickelte der renommierte Mathematiker und Mitarbeiter des Manhattan-Projekts John von Neumann das Konzept eines Programms, das sich selbst reproduzieren und in einem System verbreiten konnte. Sein 1966 postum veröffentlichtes WerkTheory of Self-Reproduced Automata dient als theoretische Grundlage für Computerviren.

Nur fünf Jahre nach der Veröffentlichung von John von Neumanns theoretischer Arbeit entwickelte ein Programmierer namens Bob Thomas ein experimentelles Programm namens Creeper, das sich zwischen verschiedenen Computern im ARPANET (Link befindet sich außerhalb von ibm.com), einem Vorläufer des modernen Internets, bewegen sollte. Sein Kollege Ray Tomlinson, der als Erfinder der E-Mail gilt, änderte das Creeper-Programm so, dass es nicht nur zwischen Computern übertragen, sondern auch von einem Computer auf den anderen kopiert werden konnte. So wurde der erste Computerwurm geboren.

Obwohl Creeper das erste bekannte Beispiel für einen Wurm ist, handelt es sich streng genommen nicht um Malware. Creeper wurde als Konzeptnachweis und nicht in böswilliger Absicht entwickelt. Er hat die Systeme, die er infizierte, weder beschädigt noch beeinträchtigt, sondern lediglich die skurrile Nachricht angezeigt: „I’M THE CREEPER : CATCH ME IF YOU CAN.“ (ICH BIN DER CREEPER : FANGEN SIE MICH, WENN SIE KÖNNEN.) Tomlinson nahm seine eigene Herausforderung an und entwickelte im darauffolgenden Jahr auch Reaper, die erste Antiviren-Software, die zum Ziel hatte, Creeper zu löschen, indem sie sich auf ähnliche Weise durch das ARPANET bewegte.

Das Programm „Elk Cloner“ wurde von Rich Skrenta im Alter von nur 15 Jahren entwickelt und war als Scherz gedacht. Als Mitglied des Computerclubs seiner Highschool war Skranta unter seinen Freunden dafür bekannt, die Spiele und andere Software, die unter den Clubmitgliedern ausgetauscht wurden, zu verändern – was so weit ging, dass viele Mitglieder sich weigerten, eine Diskette von dem bekannten Spaßvogel anzunehmen.

In dem Bestreben, die Software von Datenträgern zu verändern, auf die er keinen direkten Zugriff hatte, erfand Skranta den ersten bekannten Virus für Apple-Computer. Elk Cloner, den wir heute als Bootsektorvirus bezeichnen würden, verbreitete sich, indem er das Apple-Betriebssystem DOS 3.3 infizierte und sich nach der Übertragung von einer infizierten Diskette in den Arbeitsspeicher des Computers kopierte. Wurde später eine nicht infizierte Diskette in den Computer eingelegt, kopierte sich Elk Cloner auf diese Diskette und verbreitete sich schnell unter den meisten Freunden von Skranta. Der absichtlich böswillige Elk Cloner hat dabei möglicherweise einige Disketten überschrieben und gelöscht. Er enthielt auch eine poetische Botschaft, die in etwa lautete:

ELK CLONER:

DAS PROGRAMM MIT PERSÖNLICHKEIT

ES WIRD AUF ALLE IHRE FESTPLATTEN GELANGEN

ES WIRD IHRE CHIPS INFILTRIEREN

JA, ES IST CLONER!

ES WIRD AN DIR KLEBEN WIE KLEBSTOFF

ES WIRD AUCH DEN RAM ÄNDERN

HIER KOMMT DER CLONER!

Während der Creeper-Wurm in der Lage war, sich über Computer im ARPANET zu verbreiten, wurde die meiste Malware vor der weit verbreiteten Nutzung des Internets über Disketten wie Elk Cloner weitergegeben. Während die Auswirkungen von Elk Cloner auf einen kleinen Computerclub beschränkt blieben, verbreitete sich der Brain-Virus weltweit.

Brain wurde von den pakistanischen Medizin-Software-Vertreibern und Brüdern Amjad und Basit Farooq Alvi entwickelt und gilt als erster Virus für den IBM Personal Computer. Er wurde ursprünglich entwickelt, um Urheberrechtsverletzungen zu verhindern. Das Virus wurde entwickelt, um Benutzer daran zu hindern, kopierte Versionen von Software zu verwenden. Nach der Installation zeigte Brain eine Meldung an, die Piraten dazu aufforderte, die Brüder anzurufen, um die Impfung zu erhalten. Die Alvi-Brüder unterschätzten, wie weit verbreitet das Diebstahlproblem war, und erhielten den ersten Anruf aus den USA, gefolgt von vielen, vielen weiteren aus der ganzen Welt.

Der Morris-Wurm ist ein weiterer Vorläufer von Malware, der nicht mit böswilliger Absicht, sondern als Machbarkeitsstudie entwickelt wurde. Unglücklicherweise für den Schöpfer, den MIT-Studenten Robert Morris, erwies sich der Wurm als viel effektiver als erwartet. Zu der Zeit hatten nur etwa 60.000 Computer Zugang zum Internet, hauptsächlich an Universitäten und innerhalb des Militärs. Der Wurm wurde entwickelt, um eine Hintertür in Unix-Systemen auszunutzen und sich zu verstecken. Er verbreitete sich schnell, indem er sich immer wieder selbst kopierte und insgesamt 10 % aller vernetzten Computer infizierte.

Da sich der Wurm nicht nur auf andere Computer kopierte, sondern sich auch wiederholt auf infizierte Computer kopierte, verbrauchte er unbeabsichtigt Speicherplatz und brachte mehrere PCs völlig zum Erliegen. Als erster großflächiger Internet-Cyberangriff der Welt verursachte der Vorfall Schäden, die Schätzungen zufolge in die Millionen gehen. Robert Morris war der erste Cyberkriminelle, der in den Vereinigten Staaten wegen Cyberbetrugs verurteilt wurde.

Obwohl er nicht so schädlich war wie der Morris-Wurm, zeigte Melissa etwa ein Jahrzehnt später, wie schnell sich Malware per E-Mail verbreiten kann, indem sie schätzungsweise eine Million E-Mail-Konten und mindestens 100.000 Arbeitsplatzcomputer infizierte. Der Wurm verbreitete sich damals so schnell wie kein anderer und führte zu einer erheblichen Überlastung der E-Mail-Server von Microsoft Outlook und Microsoft Exchange, was wiederum zu Verlangsamungen bei mehr als 300 Unternehmen und Regierungsbehörden führte, darunter Microsoft, das Computer Emergency Response Team des Pentagons und etwa 250 weitere Organisationen.

Not macht bekanntlich erfinderisch. Als der 24-jährige Onel de Guzman aus den Philippinen sich keinen Internet-Einwahldienst leisten konnte, entwickelte er einen Makrovirus-Wurm, der die Passwörter anderer Leute stahl und ILOVEYOU zum ersten bedeutenden Beispiel für reine Malware machte. Der Angriff ist ein frühes Beispiel für Social Engineering und Phishing. De Guzman nutzte die Psychologie, um die Neugier der Menschen auszunutzen und sie dazu zu manipulieren, bösartige E-Mail-Anhänge herunterzuladen, die als Liebesbriefe getarnt waren. „Ich habe herausgefunden, dass viele Menschen einen Partner wollen, sie wollen einander, sie sehnen sich nach Liebe“, sagte de Guzman. 

Einmal mit dem Wurm infiziert, stahl dieser nicht nur Passwörter, sondern löschte auch Dateien und verursachte Schäden in Millionenhöhe. Sogar das Computersystem des britischen Parlaments wurde für kurze Zeit lahmgelegt. Obwohl de Guzman gefasst und verhaftet wurde, wurden alle Anklagen fallen gelassen, da er keine lokalen Gesetze gebrochen hatte.

Ähnlich wie ILOVEYOU nutzte auch der Mydoom-Wurm E-Mails, um sich selbst zu replizieren und Systeme auf der ganzen Welt zu infizieren. Sobald Mydoom sich eingenistet hatte, kaperte er den Computer eines Opfers, um weitere Kopien von sich selbst per E-Mail zu versenden. Mydoom-Spam war erstaunlich effektiv und machte einst ganze 25 % aller weltweit verschickten E-Mails aus – ein Rekord, der bis heute ungebrochen ist – und verursachte am Ende einen Schaden von 35 Milliarden USD. Inflationsbereinigt bleibt es die finanziell zerstörerischste Malware, die je entwickelt wurde.

Mydoom kapert nicht nur E-Mail-Programme, um so viele Systeme wie möglich zu infizieren, sondern nutzt auch infizierte Computer, um ein Botnet zu erstellen und Distributed Denial-of-Service-Angriffe ( DDoS-Angriffe) zu starten. Trotz seiner Auswirkungen wurden die Cyberkriminellen, die hinter Mydoom stecken, nie gefasst oder auch nur identifiziert.

Zeus wurde erstmals 2007 identifiziert und infizierte PCs über Phishing und Drive-by-Downloads. Er zeigte das gefährliche Potenzial eines Trojaner-ähnlichen Virus, der viele verschiedene Arten von Schadsoftware übertragen kann. Im Jahr 2011 gelangten der Quellcode und die Bedienungsanleitung in die Öffentlichkeit und lieferten sowohl Cybersicherheitsexperten als auch anderen Hackern wertvolle Daten.

CryptoLocker, einer der ersten Fälle von Ransomware, ist bekannt für seine schnelle Verbreitung und seine leistungsstarken (für seine Zeit) asymmetrischen Verschlüsselungsfunktionen. CryptoLocker wird über vom Zeus-Virus befallene Botnets verbreitet und verschlüsselt systematisch Daten auf infizierten PCs. Wenn es sich bei dem infizierten PC um einen Client in einem lokalen Netzwerk handelt, z. B. in einer Bibliothek oder einem Büro, werden alle gemeinsam genutzten Ressourcen zuerst angegriffen.

Um wieder Zugang zu diesen verschlüsselten Ressourcen zu erhalten, forderten die Macher von CryptoLocker ein Lösegeld von zwei Bitcoins, die zu diesem Zeitpunkt einen Wert von etwa 715 USD hatten. Glücklicherweise gelang es dem Justizministerium 2014 in Zusammenarbeit mit internationalen Behörden, die Kontrolle über das bösartige Botnetz zu übernehmen und die erpressten Daten kostenlos zu entschlüsseln. Leider wird das Programm CyrptoLocker auch durch einfache Phishing-Angriffe verbreitet und bleibt eine anhaltende Bedrohung.

Der Trojaner Emotet, der einst vom Leiter des deutschen Amts für Informationssicherheit, Arne Schönbohm, als „König der Malware“ bezeichnet wurde, ist ein Paradebeispiel für polymorphe Malware, die es IT-Sicherheitsexperten erschwert, sie vollständig zu beseitigen. Polymorphe Malware funktioniert, indem sie ihren eigenen Code bei jeder Reproduktion leicht verändert und so keine exakte Kopie, sondern eine ebenso gefährliche Variante erstellt. Tatsächlich ist es sogar noch gefährlicher, weil polymorphe Trojaner für Anti-Malware-Programme schwieriger zu identifizieren und zu blockieren sind.

Wie der Zeus-Trojaner bleibt Emotet ein modulares Programm, das zur Verbreitung anderer Formen von Malware verwendet wird und häufig durch traditionelle Phishing-Angriffe verbreitet wird.

Mit der Weiterentwicklung von Computern, die sich von Desktop-PCs über Laptops bis hin zu Mobilgeräten und einer Vielzahl vernetzter Geräte erstreckt, entwickelt sich auch die Malware weiter. Mit dem Aufkommen des Internets der Dinge stellen intelligente IoT-Geräte eine riesige neue Welle von Sicherheitslücken dar. Das Mirai-Botnet wurde von dem College-Studenten Paras Jha entwickelt. Es konnte eine große Anzahl von meist IoT-fähigen CCTV-Kameras mit schwacher Sicherheit finden und übernehmen.

Ursprünglich für DoS-Angriffe auf Spieleserver konzipiert, war das Mirai-Botnet sogar noch leistungsfähiger als von Jha erwartet. Es nahm einen großen DNS-Anbieter ins Visier und schnitt riesige Teile der Ostküste der Vereinigten Staaten für fast einen ganzen Tag vom Internet ab.

Obwohl Malware bereits seit vielen Jahren eine Rolle in der Cyberkriegsführung spielt, war 2017 ein herausragendes Jahr für staatlich geförderte Cyberangriffe und virtuelle Spionage, beginnend mit einer relativ unauffälligen Ransomware namens Petya. Obwohl gefährlich, verbreitete sich die Ransomware Petya durch Phishing und war nicht besonders ansteckend, bis sie in den Wiper-Wurm NotPetya umgewandelt wurde, ein Programm, das wie Ransomware aussah, aber Benutzerdaten zerstörte, selbst wenn Lösegeldzahlungen gesendet wurden. Im selben Jahr traf der WannaCry-Ransomware-Wurm eine Reihe prominenter Ziele in Europa, insbesondere im britischen National Health Service.

Es wird angenommen, dass NotPetya mit dem russischen Geheimdienst in Verbindung steht, der den Petya-Virus möglicherweise für den Angriff auf die Ukraine modifiziert hat, und WannaCry könnte mit ähnlichen feindlichen Sektoren der nordkoreanischen Regierung in Verbindung stehen. Was haben diese beiden Malware-Angriffe gemeinsam? Beide wurden durch eine Microsoft Windows-Sicherheitslücke namens Eternalblue ermöglicht, die erstmals von der National Security Agency entdeckt wurde. Obwohl Microsoft den Exploit schließlich selbst entdeckte und gepatcht hat, kritisierten sie die NSA dafür, dass sie ihn nicht gemeldet hatte, bevor die Hacker in der Lage waren, die Schwachstelle auszunutzen.

In den letzten Jahren hat Ransomware-Malware sowohl zugenommen als auch einen Rückgang erfahren. Doch während die Fälle erfolgreicher Ransomware-Angriffe möglicherweise zurückgehen, nehmen Hacker immer prominentere Ziele ins Visier und verursachen immer größere Schäden. Ransomware-as-a-Service ist ein beunruhigender Trend, der in den letzten Jahren an Dynamik gewonnen hat. RaaS wird auf Dark-Web-Marktplätzen angeboten und bietet ein Plug-and-Play-Protokoll, bei dem professionelle Hacker gegen eine Gebühr Ransomware-Angriffe durchführen. Während frühere Malware-Angriffe ein gewisses Maß an fortgeschrittenen technischen Fähigkeiten erforderten, stehen Söldnergruppen, die RaaS anbieten, jedem zur Verfügung, der böswillige Absichten hat und über Geld verfügt.

Der erste aufsehenerregende Ransomware-Angriff mit doppelter Erpressung fand 2019 statt, als Hacker die Sicherheitsagentur Allied Universal infiltrierten und gleichzeitig deren Daten verschlüsselten und damit drohten, die gestohlenen Daten online zu veröffentlichen. Diese zusätzliche Ebene bedeutete, dass Allied Universal selbst dann, wenn das Unternehmen in der Lage gewesen wäre, seine Dateien zu entschlüsseln, dennoch einen schädlichen Datenschutzverstoß erlitten hätte. Dieser Angriff war zwar bemerkenswert, doch der Angriff auf die Colonial Pipeline im Jahr 2021 erregte aufgrund der Tragweite der impliziten Bedrohung noch mehr Aufsehen. Zu dieser Zeit war die Colonial Pipeline für 45 % des Benzin- und Kerosinbedarfs im Osten der Vereinigten Staaten verantwortlich. Der Angriff, der mehrere Tage andauerte, betraf sowohl den öffentlichen als auch den privaten Sektor entlang der Ostküste und veranlasste Präsident Biden, den vorübergehenden Notstand auszurufen.

Obwohl Ransomware-Angriffe anscheinend zurückgehen, stellen gezielte und effektive Angriffe weiterhin eine ernstzunehmende Bedrohung dar. Im Jahr 2022 kam es in Costa Rica zu einer Reihe von Ransomware-Angriffen, die zunächst das Finanzministerium lahmlegten und sogar zivile Import- und Exportunternehmen beeinträchtigten. Ein weiterer Angriff legte dann das Gesundheitssystem des Landes lahm, was potenziell jeden Bürger des Landes direkt betraf. Costa Rica schrieb damit Geschichte, da es als erstes Land den nationalen Notstand als Reaktion auf einen Cyberangriff ausrief.