Was ist Malware?

Cyberkriminalität ist eine massive Branche. Einer Schätzung zufolge (Link befindet sich außerhalb von ibm.com) wäre sie die drittgrößte Volkswirtschaft der Welt hinter den USA und China und es wird erwartet, dass sie bis 2025 voraussichtlich 10,5 Billionen USD an Kosten verursacht.  

In dieser Branche entwickeln Hacker ständig neue Malware-Stämme mit neuen Merkmalen und Funktionen. Diese einzelnen Malware-Stämme bringen im Laufe der Zeit neue Varianten hervor, um Sicherheitssoftware besser zu umgehen.Schätzungen zufolge (Link befindet sich außerhalb von ibm.com) wurden seit den 1980er-Jahren mehr als eine Milliarde verschiedene Malware-Stämme und -Varianten geschaffen. Dies macht es für Cybersicherheitsexperten schwierig, Schritt zu halten.

Hacker geben ihre Malware oft weiter, indem sie den Code als Open-Source-Software zur Verfügung stellen oder ihn an andere Kriminelle verkaufen. Malware-as-a-Service-Vereinbarungen sind unter Ransomware-Entwicklern weit verbreitet, so dass auch Kriminelle mit wenig technischem Know-how die Früchte von Cyberkriminalität ernten können.

Obwohl sich die Landschaft ständig verändert, können Malware-Stämme in einige gängige Typen eingeteilt werden.

Die Begriffe „Malware“ und „Computervirus“ werden synonym verwendet, aber ein Virus ist technisch gesehen eine besondere Art von Malware. Konkret handelt es sich bei einem Virus um bösartigen Code, der legitime Software kapert, um Schaden anzurichten und Kopien von sich selbst zu verbreiten.

Viren können nicht selbstständig handeln. Stattdessen verbergen sie Snippets ihres Codes in anderen ausführbaren Programmen. Wenn ein Benutzer das Programm startet, wird auch der Virus ausgeführt. Viren sind in der Regel darauf ausgelegt, wichtige Daten zu löschen, normale Abläufe zu unterbrechen und Kopien von sich an andere Programme auf dem infizierten Computer zu verteilen.

Die meisten der frühesten Malware-Bedrohungen waren Viren. Elk Cloner, vielleicht die erste Malware, die sich über öffentliche Geräte verbreitete, war ein Virus, der auf Apple-Computer abzielte.

Ein Botnetz ist ein Netzwerk von mit dem Internet verbundenen, mit Malware infizierten Geräten, die unter der Kontrolle eines Hackers stehen. Botnets können PCs, mobile Geräte, IoT-Geräte (Internet of Things) und mehr umfassen. Opfer bemerken oft nicht, wenn ihre Geräte Teil eines Botnetzes sind. Hacker verwenden häufig Botnets für DDoS-Angriffe, die ein Zielnetzwerk mit so viel Datenverkehr bombardieren, dass es nur noch schleppend arbeitet oder ganz zum Erliegen kommt.

Mirai, eines der bekanntesten Botnets, war 2016 für einen massiven Angriff auf den Domain Name System-Anbieter Dyn verantwortlich. Im Rahmen dieses Angriffs waren beliebte Websites wie Twitter und Reddit für Millionen von Nutzern in den USA und Europa (Link befindet sich außerhalb von ibm.com) nicht mehr erreichbar.

Bei einem Kryptojacker handelt es sich um Malware, die ohne Wissen des Besitzers die Kontrolle über ein Gerät übernimmt und es zum Mining von Kryptowährungen wie Bitcoin nutzt. Im Wesentlichen erstellen Kryptojacker Krypto-Mining-Botnets.

Das Mining von Kryptowährungen ist eine äußerst rechenintensive und teure Aufgabe. Cyberkriminelle profitieren, während Benutzer infizierter Computer mit Leistungseinbußen und Abstürzen zu kämpfen haben. Kryptojacker haben es oft auf die Cloudinfrastruktur von Unternehmen abgesehen, da sie so mehr Ressourcen für das Kryptomining bereitstellen können als bei einzelnen Computern.

Bei dateiloser Malware handelt es sich um eine Angriffsart, die Schwachstellen in legitimen Softwareprogrammen wie Webbrowsern und Textverarbeitungsprogrammen ausnutzt, um schädlichen Code direkt in den Speicher eines Computers zu injizieren. Da der Code im Arbeitsspeicher ausgeführt wird, hinterlässt er keine Spuren auf der Festplatte. Und da legitime Software verwendet wird, wird der schädliche Code oft nicht erkannt.

Viele dateilose Malware-Angriffe nutzen PowerShell, eine in Microsoft Windows-Betriebssysteme integrierte Befehlszeilenschnittstelle und ein Scripting-Tool. Hacker können PowerShell-Scripts ausführen, um Konfigurationen zu ändern, Passwörter zu stehlen oder andere Schäden zu verursachen.

Schädliche Makros sind ein weiterer gängiger Vektor für dateilose Angriffe. Apps wie Microsoft Word und Excel ermöglichen Benutzern die Definition von Makros, d. h. Befehlsgruppen, die einfache Aufgaben wie die Formatierung von Text oder die Durchführung von Berechnungen automatisieren. Hacker können schädliches Scripts in diesen Makros speichern. Wenn ein Benutzer die Datei öffnet, werden diese Skripte automatisch ausgeführt.

Computerwürmer sind sich selbst replizierende Schadprogramme, die sich ohne Benutzerinteraktion zwischen Apps und Geräten ausbreiten können. (Ein Virus kann sich hingegen nur verbreiten, wenn ein Benutzer ein gefährdetes Programm ausführt.) Während einige Computerwürmer nichts weiter tun, als sich auszubreiten, haben viele schwerwiegendere Folgen. Die Ransomware WannaCry beispielsweise, die einen geschätzten Schaden von 4 Mrd. USD verursachte, war ein Computerwurm, der seine Wirkung maximierte, indem er sich automatisch zwischen miteinander verbundenen Geräten verbreitete.

Trojaner tarnen sich als nützliche Programme oder verstecken sich in legitimer Software, um Benutzer zur Installation zu verleiten. Ein Fernzugriffstrojaner oder „RAT“ (Remote Access Trojaner, Remote-Zugriffstrojaner) erstellt eine geheime Hintertür auf dem infizierten Gerät. Eine andere Art von Trojanern, sogenannte „Dropper“, installieren zusätzliche Malware, sobald sie erfolgreich eingeschleust wurden. Ryuk, einer der verheerendsten Ransomware-Stämme der letzten Zeit, nutzte den Emotet-Trojaner, um Geräte zu infizieren.

Rootkits sind Malware-Pakete, die es Hackern ermöglichen, privilegierten Zugriff auf das Betriebssystem oder andere Assets eines Computers auf Administratorebene zu erhalten. Mit diesen erweiterten Rechten können Hacker dann praktisch alles tun, was sie möchten, z. B. Benutzer hinzufügen und entfernen oder Anwendungen neu konfigurieren. Hacker verwenden Rootkits häufig, um schädliche Prozesse zu verbergen oder Sicherheitssoftware, die sie abfangen könnte, zu deaktivieren.

Scareware verleitet Benutzer dazu, Malware herunterzuladen oder vertrauliche Informationen an Betrüger weiterzugeben. Scareware erscheint oft als plötzliches Pop-up mit einer dringenden Meldung, die den Benutzer in der Regel warnt, dass er gegen das Gesetz verstoßen hat oder dass sich ein Virus auf seinem Gerät befindet. Das Pop-up fordert den Benutzer dazu auf, eine „Strafe“ zu zahlen oder eine gefälschte Sicherheitssoftware herunterzuladen, die sich als Malware herausstellt.

Spyware verbirgt sich auf einem infizierten Computer, erfasst vertrauliche Informationen und sendet sie an einen Angreifer. Eine gängige Art von Spyware, die Keylogger heißt, zeichnet alle Tastatureingaben eines Benutzers auf, sodass Hacker Benutzernamen, Passwörter, Konto- und Kreditkartennummern, Sozialversicherungsnummern und weitere vertrauliche Daten erfassen können.

Adware spammt ein Gerät mit unerwünschter Pop-up-Werbung zu. Adware ist häufig in kostenloser Software enthalten, ohne dass der Benutzer sich dessen bewusst ist. Wenn der Benutzer das Programm installiert, installiert er damit unabsichtlich auch die Adware. Die meiste Adware nervt lediglich. Manche jedoch erfasst persönliche Daten, leitet Webbrowser auf schädliche Websites um oder lädt sogar mehr Malware auf dem Gerät des Benutzers herunter, wenn dieser auf eines der Pop-ups klickt.

Ransomware sperrt die Geräte oder Daten eines Opfers und verlangt eine Lösegeldzahlung, in der Regel in Form von Kryptowährung, um sie zu entsperren. Laut dem X-Force Threat Intelligence Index von IBM ist Ransomware mit 17 % aller Angriffe die zweithäufigste Art von Cyberangriff.

Die einfachsten Ransomware-Attacken machen Assets unbrauchbar, bis das Lösegeld gezahlt wird. Cyberkriminelle können aber zusätzliche Taktiken anwenden, um den Druck auf die Opfer zu erhöhen.

Bei einem Doppelerpressungsangriff stehlen Cyberkriminelle Daten und drohen, sie preiszugeben, wenn sie nicht bezahlt werden. Bei einem Dreifacherpressungsangriff verschlüsseln Hacker die Daten des Opfers, stehlen sie und drohen damit, Systeme durch einen DDoS-Angriff (Distributed Denial of Service) offline zu nehmen.

Die Lösegeldforderungen können zwischen Zehntausenden und Millionen USD liegen. Laut einem Bericht (Link befindet sich außerhalb von ibm.com) beträgt die durchschnittliche Lösegeldzahlung 812.360 USD. Auch wenn kein Lösegeld gezahlt wird, ist Ransomware teuer. Der Bericht „Cost of a Data Breach“ von IBM hat ergeben, dass ein durchschnittlicher Ransomware-Angriff mit Beteiligung der Strafverfolgungsbehörden 4,38 Mio. USD und ohne deren Beteiligung 5,37 Mio. USD kostet – diese Kostenangaben beinhalten nicht das Lösegeld selbst. 

Hacker verwenden Remote-Zugriff-Malware, um sich Zugang zu Computern, Servern oder anderen Geräten zu verschaffen, indem sie Hintertüren schaffen oder ausnutzen. Laut dem X-Force Threat Intelligence Index ist das Einschleusen von Hintertüren mit 21 % aller Angriffe das häufigste Ziel von Hackern.

Hintertürchen eröffnen Cyberkriminellen viele Möglichkeiten. Sie können Daten oder Zugangsdaten stehlen, die Kontrolle über ein Gerät übernehmen oder sogar noch gefährlichere Malware wie Ransomware installieren. Einige Hacker verwenden Remote-Zugriff-Malware, um Hintertürchen zu schaffen, die sie an andere Hacker verkaufen können. Dies kann jeweils mehrere tausend US-Dollar einbringen.

Manche Remote-Zugriff-Malware wie Back Orifice oder CrossRAT wird absichtlich für böswillige Zwecke entwickelt. Hacker können auch legitime Software verändern oder missbrauchen, um aus der Ferne auf ein Gerät zuzugreifen. Insbesondere nutzen Cyberkriminelle gestohlene Anmeldeinformationen für das Microsoft Remote Desktop Protocol (RDP) als Hintertür. 

Malware-Angriffe sind unvermeidlich, aber Unternehmen können Maßnahmen ergreifen, um ihre Abwehr zu stärken. Hier sind einige Schritte:

Schulungen zum Sicherheitsbewusstsein: Viele Malware-Infektionen sind darauf zurückzuführen, dass Benutzer gefälschte Software herunterladen oder auf Phishing-Betrügereien hereinfallen. Schulungen zum Sicherheitsbewusstsein können Benutzern dabei helfen, Social-Engineering-Angriffe, schädliche Websites und gefälschte Apps zu erkennen. Durch Schulungen zum Sicherheitsbewusstsein können Benutzer auch lernen, was sie tun und an wen sie sich wenden können, wenn sie eine Bedrohung durch Malware vermuten.

Sicherheitsrichtlinien: Die Verpflichtung zur Verwendung von starken Passwörtern, Multi-Faktor-Authentifizierung und VPNs beim Zugriff auf vertrauliche Assets über nicht gesichertes WLAN kann dazu beitragen, den Zugriff von Hackern auf Benutzerkonten einzuschränken. Das Einrichten eines regelmäßigen Zeitplans für Patch-Management, Anfälligkeitsbewertungen und Penetrationstests kann ebenfalls dazu beitragen, Software- und Geräteschwachstellen zu erkennen, bevor Cyberkriminelle sie ausnutzen. Richtlinien zur Verwaltung von BYOD-Geräten (Bring your own device) und zur Verhinderung von Schatten-IT können dazu beitragen, zu vermeiden, dass Benutzer unwissentlich Malware in das Unternehmensnetzwerk einschleusen.

Backups: Die Aufbewahrung aktualisierter Backups von vertraulichen Daten und System-Images, idealerweise auf Festplatten oder anderen Geräten, die vom Netzwerk getrennt werden können, kann die Wiederherstellung nach Malware-Angriffen erleichtern.

Zero-Trust-Netzarchitektur: Zero-Trust ist ein Ansatz für die Netzwerksicherheit, bei dem Benutzer nie als vertrauenswürdig gelten und stets überprüft werden. Insbesondere kommen bei Zero-Trust das Least-Privilege-Prinzip (Prinzip der geringsten Rechtevergabe), eine Mikrosegmentierung des Netzwerks sowie eine kontinuierliche anpassungsfähige Authentifizierung zum Einsatz, um sicherzustellen, dass kein Benutzer oder Gerät unbefugt auf vertrauliche Daten oder Assets zugreifen kann. Wenn Malware in das Netzwerk gelangt, können diese Kontrollen ihre Lateralausbreitung einschränken.

Notfallpläne: Die frühzeitige Erstellung von Notfallplänen für verschiedene Arten von Malware kann Cybersicherheitsteams dabei helfen, Malware-Infektionen schneller zu beseitigen. 

Zusätzlich zu den oben beschriebenen manuellen Maßnahmen können Cybersicherheitsteams mithilfe von Sicherheitslösungen bestimmte Aspekte der Malware-Entfernung, -Erkennung und -Prävention automatisieren. Zu den gängigen Tools hierfür gehören:

Antivirensoftware: Auch Malwareschutz-Software genannte Antivirenprogramme untersuchen Systeme auf Anzeichen von Infektionen. Viele Antivirenprogramme warnen nicht nur Benutzer, sondern können erkannte Malware auch automatisch isolieren und entfernen.

Firewalls: Firewalls können dafür sorgen, dass ein Teil des schädlichen Datenverkehrs gar nicht erst ins Netzwerk gelangt. Geschieht es doch, können Firewalls dazu beitragen, ausgehende Kommunikation an Hacker zu verhindern, wenn z. B. ein Keylogger Tastenanschläge an den Angreifer senden will. 

SIEM-Plattformen (Security Information and Event Management): SIEMs erfassen Informationen aus internen Sicherheitstools, aggregieren sie in einem zentralen Protokoll und melden Anomalien. Da SIEMs Warnungen aus mehreren Quellen zentralisieren, können sie es einfacher machen, subtile Anzeichen für Malware zu erkennen.

SOAR-Plattformen (Security Orchestration, Automation and Response): SOARs integrieren und koordinieren unterschiedliche Sicherheitstools und ermöglichen es Sicherheitsteams, halb- oder vollautomatische Playbooks für die Reaktion auf Malware in Echtzeit zu erstellen.

EDR-Plattformen (Endpoint Detection and Response): EDRs überwachen Endgeräte wie Smartphones, Laptops und Server auf Anzeichen für verdächtige Aktivitäten und können automatisch auf entdeckte Malware reagieren.

XDR-Plattformen (Erweiterte Erkennung und Reaktion): XDRs integrieren Sicherheitstools und -abläufe über alle Sicherheitsebenen hinweg – Benutzer, Endgeräte, E-Mail, Anwendungen, Netzwerke, Cloud-Workloads und Daten. XDRs können dabei helfen, komplexe Prozesse der Prävention, Erkennung und Untersuchung von Malware sowie der Reaktion darauf zu automatisieren, einschließlich der proaktiven Suche nach Bedrohungen.

ASM-Tools (Attack Surface Management, Angriffsflächenmanagement): ASM-Tools erkennen, analysieren, beheben und überwachen kontinuierlich alle Assets im Netzwerk eines Unternehmens. ASM kann Cybersicherheitsteams dabei helfen, nicht autorisierte Schatten-IT-Anwendungen und -Geräte, die möglicherweise Malware enthalten, zu erkennen.

UEM-Software: UEM (einheitliche Endpunktverwaltung) überwacht, verwaltet und schützt alle Endbenutzergeräte eines Unternehmens, darunter Desktops, Laptops und mobile Geräte. Viele Unternehmen nutzen UEM-Lösungen, damit die BYOD-Geräte von Mitarbeitenden keine Malware in das Unternehmensnetzwerk einschleusen.