Thought Leadership
Der jüngste Boom von Kryptowährungen treibt stellenweise bemerkenswerte Blüten. Das jüngste Vorgehen der US-Publikation „Salon“ ist ein aktuelles Beispiel dafür. Salon hat angekündigt, dass Leser, die Ad-Blocker einsetzen, keinen Zugriff auf Inhalte erhalten, es sei denn, sie stimmen zu, Salon ihren Computer für das Crypto Mining von Monero zur Verfügung zu stellen. Allerdings sind nicht alle „Schürfer“ der digitalen Währungen so transparent in ihrem Vorgehen.
Der Nachteil, der den „benutzten“ Nutzern beim Crypto Mining entsteht: Es verringert die Geschwindigkeit und Effizienz des Geräts und könnte sogar die Hardware schädigen. Es ist auch teuer für die Betroffenen: So kostet es oft mehr Strom, um Monero zu „schürfen“, als die Währung tatsächlich wert ist.
Vectra verweist zudem auf eine besonders beunruhigend ist die Tatsache: Die unwillkommenen Besucher verschaffen sich häufig durch vorhandene Backdoors oder Sicherheitslücken unbemerkt Zugang zu Systemen und Geräten. Hacker können diese systemischen Schwachstellen nutzen, um Geschäftsinformationen oder persönliche Daten zu stehlen. Sie können Netzwerke infiltrieren, um Ransomware und Botnets zu installieren. Oder sie verkaufen einfach ihren Zugriff und ihre Kontrolle an das riesige Netzwerk von Cyberkriminellen, die im Darkweb aktiv sind. Unterdessen fragen sich die Opfer, warum ihr PC neuerdings Ewigkeiten braucht, um einfache Aufgaben zu erledigen.
Hacker müssen verfolgt werden
In den letzten Monaten waren so unterschiedliche Unternehmen wie Tesla, YouTube und eine Vielzahl von Einrichtungen im öffentlichen Sektor von Kryptowährungs-Malware betroffen. Selbst das jüngste Taumeln des Bitcoin-Kurses sorgt für keine Unterbrechung des „Cryptojacking“.
Die Volatilität dieser virtuellen Währungen und die Leichtigkeit, mit der jeder kriminelle Akteur die Geräte ahnungsloser Benutzer Geräte kapern kann, macht die Sache besonders attraktiv: Die Cyberkriminellen müssen nur warten, die erwirtschafteten Beträge von Tausenden von Bot-gesteuerten Maschinen abschöpfen und dann einlösen, sobald der Kurs wieder zu steigen beginnt.
Vectra behält dieses Phänomen genau im Auge, da Crypto-Mining-Verhalten oft zusätzliche, noch gravierendere Sicherheitsbedrohungen aufdeckt. In den letzten sechs Monaten hat Vectras auf künstlicher Intelligenz (KI) basierende Plattform Cognito, die zur Erkennung und Abwehr von Bedrohungen dient, einen Anstieg beim Cryptocurrency Mining registriert, was eng mit dem Preis von Bitcoin korreliert. Dank Techniken, die KI und maschinelles Lernen mit einbeziehen, warnte Cognito die Kunden in Echtzeit vor einer Vielzahl von versteckten Hacks, deren einziger Zweck es war, die Kontrolle über Benutzermaschinen zu gewinnen. Die durch gezielte oder opportunistische Angriffe gekaperten Rechner sollten für das Mining von Bitcoin und anderen Kryptowährungen herhalten.
Im Verlauf der Forschungsaktivitäten hat Vectra festgestellt, dass einige Branchen besonders anfällig für das sogenannte Cryptojacking sind, einschließlich des Bildungs- und Gesundheitswesens. Diese Angriffe sind auf der ganzen Welt verbreitet, mit besonders hohen Erkennungsraten in wohlhabenderen, hoch entwickelten Ländern wie USA, Großbritannien, Schweiz, Deutschland, Singapur und Japan.
Zurückschlagen mit effektiver Strategie
Warum können diese Kriminellen so offenkundig ungestraft agieren, Geräte willkürlich und, ohne entdeckt zu werden, für ihre Zwecke nutzen? In der asymmetrischen Welt der Sicherheitsteams auf der einen Seite und der Kriminellen auf der anderen Seite haben oft die Kriminellen die Oberhand. Letzteren muss es nur einmal gelingen, in ein System einzudringen, um ihre illegale Arbeit zu verrichten, während die Verteidiger unzähligen Hinweisen nachjagen müssen. Heutzutage haben Hacker zudem oft den Vorteil, dass Unternehmen den größten Teil ihrer Cybersicherheitsressourcen in die Verteidigung ihrer Netzwerkgrenzen stecken. Versuche, Hacker hier zu erwischen, sind oft zum Scheitern verurteilt, weil sie so gut darin sind, Malware zu tarnen, etwa indem sie Signaturen bekannter Bedrohungen nachahmen.
Der Kampf gegen Cryptocurrency Mining – und andere Arten von Malware und „fortschrittlichen anhaltenden Bedrohungen“ (Advanced Persistant Threats, APTs) – muss auf deren dauerhafte Eindämmung ausgerichtet sein. Während Malware die Grenzen des Netzwerkrands überwinden kann, indem sie gutartigen Traffic nachahmt, muss sie sich innerhalb des Netzwerks vorhersehbar verhalten, um ihre Aufgaben auszuführen. Hierzu zählen beispielsweise die Kommunikation mit Mining-Protokollen oder ferngesteuerte Command-and-Control-Aktivitäten zu und vom Mining-Botnet-Mitglied.
Diese Verhaltensmuster stellen die entscheidende Schwäche der Angreifer dar. Wenn Unternehmen ihre verräterischen Verhaltensweisen sofort erkennen können, werden sie sie isolieren und ausmerzen können, bevor die Angreifer Chaos anrichten. Hier manuell vorzugehen, ist jedoch keine praktikable Lösung. Die Erkennung wäre viel zu langsam und das Sicherheitsteam könnte nicht diese Aufgabe nicht auf dem kompletten Unternehmensnetzwerk bewältigen.
Hier spielen KI und Automatisierung eine wichtige Rolle. Durch die Nutzung der Leistungsfähigkeit dieser Technologien können die neuesten Erkennungs- und Reaktionssysteme Bedrohungsaktivitäten innerhalb des Netzwerks finden, deren Verhalten bösartige Absichten anzeigt. Ein weiterer wichtiger Vorteil eines solchen modernen Sicherheitssystems besteht darin, dass es die Flut von Sicherheitswarnungen beseitigt, die mit herkömmlichen signaturbasierten Intrusion-Detection- & Prevention-Systemen (IDPS) verbunden sind, von denen sich viele als zeitverschwendende Fehlalarme erweisen.
Im Gegensatz dazu sorgt das neue auf KI und maschinellem Lernen basierende Bedrohungsanalyse- und -reaktionssystem innerhalb des Unternehmens für mehrfache „Stolperdrähte“. Systemadministratoren werden vor unwillkommenen Netzwerkbesuchern gewarnt und bekommen unmittelbare Einblicke, um das Verhalten von versteckter Malware zu identifizieren. Die Erfahrungen von Vectra zeigen, dass die Verwendung von KI zur Analyse des Angreiferverhaltens die Antwortzeiten im Vergleich zu herkömmlichen IDPS-Alert-basierten Methoden um etwa den Faktor 30 verbessert.
Cryptocurrency Mining an sich ist nicht das Schlimmste, was einem Unternehmen passieren kann. Die Tatsache, dass Hacker so leicht auf Unternehmensnetzwerke zugreifen, Geräte kapern und sie so lange ohne Erkennung kontrollieren können, ist ein Zeichen dafür, dass viele Unternehmen ihre eigene Sicherheit nicht im Griff haben. Und das ist ein viel größeres Risiko. Es ist an der Zeit, dass sich jedes Unternehmen gegen die Botnets wehrt, die ihre Rechenleistung und Stromrechnung belasten – und dabei erhebliche Schäden und Risiken verursachen.
www.vectra.ai
