Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Krypto-Mining

SophosLabs entdecken diverse aktive Coin-Miner-Kampagnen, die Cyberkriminellen das Mining von Kryptowährung erleichtert – auf Kosten von Unternehmen und deren Netzwerke und Server.

Die SophosLabs haben mehrere aktive und organisierte Coin-Miner-Kampagnen entdeckt, die Unternehmensnetzwerke und Lateral-Movement-Techniken nutzen. Die Kampagnen dienen Cyberkriminellen zur effizienteren und schnelleren Gewinnung von Kryptowährungen. Unternehmensnetzwerke sind ein beliebtes Angriffsziel, da sie durch den großen Pool an Rechnerleistung auf vielen ähnlich konfigurierten Maschinen ein großes Potenzial bieten, um die Machenschaften effizient durchzuführen.

SophosLabs haben einen genaueren Blick auf die Kampagnen geworfen und die Vorgehensweise der Angreifer analysiert: Wird ein Rechner kompromittiert, durchsucht ein bösartiges Skript das Netzwerk nach geeigneten Zielen und löst eine Reihe von verschiedenen Exploits oder Privilege-Escalation-Funktionen aus, einschließlich Eternal Blue Exploit oder Pass-the-Hash, um sich im Netzwerk zu verbreiten. Dabei hat sich das Coin-Mining weiterentwickelt. Dazu zählen neue Techniken wie dateifreie Skript-Ausführung, Reflective Injection und Multi-Layer-Verschleierung, um der Erkennung durch Security-Lösungen zu entgehen. Dabei behalten die dateifreien Skripte ihre Beständigkeit durch ein verdrehtes Set von mehreren geplanten Aufgaben bei.

Weg der Coin-Minter-Malware im Unternehmen

Bild 1: Weg der Coin-Minter-Malware im Unternehmen (Quelle: Sophos Technology GmbH)

Der Infektionsverlauf

Sind die bösartigen Skripte heruntergeladen, werden diese in regelmäßigen Intervallen von einer Stunde geplant ausgeführt. Das anfänglich heruntergeladene Skript wird vor der Ausführung durch einen hart-codierten Hash validiert, gefolgt von einem zusätzlichen Download des Miner & Exploitation Moduls. Von dort an verbreitet sich die Malware im Netzwerk und bietet den Angreifern die Nutzung der IT-Ressourcen für ihre Zwecke.

Derzeitige Bedrohungslage

Die Anzahl der kompromittierten Maschinen auf der Weltkarte lässt die Vermutung zu, dass der erste Ausbruch in Südostasien stattfand. Von dort aus haben sich die Coin-Miner-Angriffe weltweit verbreitet, auch in Europa. Die DACH-Region scheint momentan noch wenig betroffen zu sein.

Krypto-Mining-Kampagne Weltkarte

Bild 2: Weltweit infizierte Computer, geolokalisiert nach ihrer IP-Adresse (Quelle: Sophos Technology GmbH)

Weitere Informationen:

Wie genau sich die Coin-Miner-Kampagnen im Netz verhalten und wie sich die Skripte gestalten, ist im Dokument „Lemon_Duck PowerShell malware cryptojacks enterprise networks“ beschrieben .

www.sophos.de
 

GRID LIST
Tb W190 H80 Crop Int 5c4191ce91e5342d8e46ea25524df323

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien…
Cyber Attack

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency…
DDoS

DDoS-Angriff auf Labour Partei

Es ist bekannt geworden, dass die UK Labour-Partei auf einer ihrer digitalen Plattformen…
Hacker 2020

Sicherheitsvorhersagen für das Jahr 2020

Check Point Software Technologies Ltd. (NASDAQ: CHKP) wagt einen Ausblick auf die…
Security Meeting

Höhlen Führungskräfte die IT-Sicherheit aus?

Zwei Fragen: Wer hat die meisten Informationen in einem Unternehmen, die weitesten Rechte…
IoT Hacking

DDoS-Attacken und IoT-Geräte: Eine gefährliche Kombination

Der Missbrauch von vernetzten Geräten für DDoS-Attacken ist Realität. Die Angreifer…