Malware

2020: Regelrechte Malware-Kampagnen versetzen Unternehmen aller Branchen und Größen in Angst und Schrecken. Mithilfe von Schadsoftware legen Cyberkriminelle ganze Netzwerke und Produktionen lahm. Längst geht es hier um das ganz große Geld. Dabei begann alles ganz harmlos. Ein Rückblick.

Das erste bekannte Boot-Virus war Elk Cloner. 1982 wurde es vom damals 15-jährigen Schüler Rich Skrenta geschrieben und verbreitete sich – anders als seine Urenkel – ausschließlich über infizierte Disketten. Skrenta schrieb eine Art Huckepack-Software, die sich auf Disketten versteckte und in den Speicher jedes Computers kopierte, in den die Diskette eingeschoben wurde. So konnte sich Elk Cloner– noch ganz ohne Internet – verbreiten, in dem er alle weiteren Disketten infizierte, die im Laufwerk des befallenen Rechners landeten. Der Virus selbst blieb vom Nutzer so lange Zeit unbemerkt. Erst bei jedem 50. Disketteneinschub bekam der Nutzer ein Gedicht zu lesen, in dem der Schüler seinen Streich humorvoll offenbart.

Aus Spaß wird Ernst

Es dauerte nicht lange, bis aus Spaß schließlich Ernst wurde: In den späten 80er Jahren begannen Entwickler von Malware, Schwachstellen, die bereits in der Computerarchitektur angelegt waren, für sich zu entdecken und darauf aufbauend spezielle Angriffstechniken zu entwickeln – getrieben von krimineller Energie.

Bei der sogenannten Buffer-Overflow-Attacke, die erstmals beim Wurm „Morris“ ab 1988 zu beobachten war, wird eine fehlende Überprüfung der Speichergrenzen ausgenutzt. Dadurch wird es möglich, mehr Eingabedaten in einen vom Programm reservierten Speicherbereich zu kopieren, als das Programm dafür vorgesehen hat. Ohne die Überprüfung der Eingabelänge kann ein Angreifer auf diese Weise Steuerdaten, die hinter dem reservierten Speicherbereich liegen, überschreiben und so die Kontrolle über den weiteren Programmablauf übernehmen. So gelingt es dem Wurm, sich beispielsweise über das Netzwerk nach Belieben auszubreiten. Noch heute ist diese Technik gebräuchlich, da einige Programmiersprachen über keinerlei Schutzmaßnahmen gegen derartige Attacken verfügen.

Eine Lösung musste her: Neben der Anpassung von Computerarchitekturen gibt es seit Ende der 80er Jahre kommerzielle Antivirensoftware. Die Anbieter hatten damit begonnen, Signaturen und Hash-Werte bekannter Bedrohungen zu erfassen, um diese wiedererkennen und deren Ausführung verhindern zu können.

Die wilden 90er

Die ersten polymorphen Viren Anfang der 90er Jahre waren die Antwort. Mark Washburn entwickelte die ersten Versionen, die in der Lage waren, ihr Erscheinungsbild von Generation zu Generation zu verändern. Das Programm des Virus wurde dabei mit leicht veränderter Befehlsabfolge immer wieder neu codiert. Damit blieben diese Viren nahezu unentdeckt von Antivirensoftware, die ausschließlich nach statischen Malware-Signaturen suchte.

Andere Entwickler spezialisierten sich darauf, ihre Schadsoftware in Dokumenten zu verstecken, statt ihre Opfer mit ausführbaren Programmen anzugreifen. Mit den ersten Makroviren nutzen die Entwickler ab 1995 die Fähigkeit von Microsoft Word und Excel aus, ausführbare Dateien in Dokumente einzubinden. Mithilfe dieser Makros können zahlreiche schädliche Aktivitäten in Gang gesetzt werden, wie z. B. der Download von Schadsoftware.

Die Nullerjahre

Zur Jahrtausendwende wurde schließlich ganz viel Liebe verbreitet: Das ILOVEYOU-Virus versteckte sich in einem E-Mail-Anhang, bei dem es sich laut Benennung scheinbar um einen Liebesbrief handelte. Statt romantischer Geständnisse hagelte es allerdings entsetzte Flüche, als die Nutzer feststellen mussten, dass das Virus zahlreiche Dateien gelöscht hatte. Über das Adressbuch von Microsoft Outlook hat es sich anschließend rasant weiterverbreitet.

Einen weiteren Meilenstein in der Geschichte der Malware bildet Stuxnet aus dem Jahr 2010. Dabei handelt es sich um den ersten Computerwurm, der gezielt für Angriffe auf Industrie- und Steuerungsanlagen eingesetzt wurde. Im Fokus standen damals iranische Atomanlagen, deren Urananreicherungsanlagen mithilfe des Wurms sabotiert wurden. Infolge der Entdeckung von Stuxnet tauchte in den Medien schließlich vermehrt der Begriff „Cyberwar“ auf.

Besonders in Mode gekommen in den vergangenen Jahren sind Angriffe mit Verschlüsselungstrojanern. Dabei handelt es sich um Programme, die in der Lage sind, Dateien, Computer und ganze Netzwerke zu verschlüsseln. Bei sogenannten Ransomware-Attacken sollen die Opfer dann einer Lösegeldforderung nachkommen, um den Schlüssel zur Entschlüsselung der Dateien zu erhalten. Schlagzeilen schrieb hier vor allem WANNACRY, der sich innerhalb von 24 Stunden in über 150 Ländern auf über 230.000 Computern verbreitete, was ein bis dato nie dagewesenes Ausmaß darstellte.

Status quo

Aktuell prägt ein Name das Geschehen besonders: Emotet. Hierbei handelt es sich in der Urform um einen sogenannten Banking-Trojaner, der zunächst auf das Abfangen von Onlinebanking-Zugangsdaten spezialisiert war. Da das Schadprogramm darüber hinaus die Fähigkeit besitzt, eine Vielzahl weiterer Module nachzuladen, wird es immer öfter genutzt, um auch andere Angriffe auszuführen. Besonders perfide ist außerdem, dass jüngste Malware-Generationen die Fähigkeit besitzen, E-Mail-Kontakte auszulesen und sich in bestehende Konversationen einzuschalten. So kann die eigene Weiterverbreitung per E-Mail selbständig organisiert werden.

Im Bereich der zielgerichteten Angriffe stellen Advanced Persistent Threats (APTs) derzeit die größte Bedrohung dar. Ziel dieser besonders komplexen Cyberangriffe ist es, nach der Erstinfektion eines Rechners weiter in die IT-Infrastruktur einzudringen und möglichst viele Informationen zu sammeln oder Schritt für Schritt weiteren Schaden anzurichten. Mittlerweile konnten verschiedene APT-Gruppen identifiziert werden, deren ausgeklügelten Cyberattacken von Regierungen beauftragt oder unterstützt werden und teilweise jahrelang unentdeckt blieben.

Betrachtet man die durch Cyberkriminalität in Deutschland verursachten Schäden in den Jahren 2007 (31 Millionen Euro/BKA) und 2017 (71,8 Millionen Euro) sowie die Anzahl neuer Schadprogrammtypen in den jeweiligen Jahren (2007=0,13 Millionen; 2017= 8,40 Millionen), wird klar, welche Bedeutung Schadsoftware für den Bereich Cyberkriminalität mittlerweile einnimmt. Die Geschichte von Malware wird daher auch in den kommenden Jahren fortgeschrieben.

www.8com.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Cloud

Neue Angriffsart Cloud Snooper kommuniziert via Firewalls

Die Security-Experten der SophosLabs haben eine neue Cyberattacke namens Cloud Snooper aufgedeckt. Die Angriffsmethode verwendet eine bislang unbekannte Kombination aus Hackertechniken, um Schadsoftware den Weg frei zu machen und ungehemmt auf Servern mit…
Ransomware

Über 61 Millionen blockierte Ransomware-Angriffe im Jahr 2019

Trend Micro stellt seinen Security Roundup Report für 2019 vor. Der Bericht beschreibt die wichtigsten Entwicklungen in der Bedrohungslandschaft, um Unternehmen beim Schutz ihrer Infrastrukturen vor aktuellen und neu auftretenden Bedrohungen zu helfen.
Cybercrime Roboter

Milliarden Verluste durch ungeschützte Maschinenidentitäten

Venafi und AIR Worldwide geben die Ergebnisse eines Berichts über die wirtschaftlichen Auswirkungen schlecht geschützter Maschinenidentitäten bekannt. Dem Bericht zufolge könnten Verluste zwischen 51 und 72 Milliarden US-Dollar für die Weltwirtschaft durch…
Daten Gesundheitswesen

Datenschutzverletzungen im Gesundheitswesen

Bitglass, hat seinen sechsten jährlichen „Healthcare Breach Report“ veröffentlicht. Der aktuelle Bericht untersucht Datenschutzverletzungen im Jahr 2019, vergleicht sie mit denen früherer Jahre und gewährt Einblick in die wichtigsten Entwicklungen und…
Hacker Schloss

Cyberkriminelle zielen bei Angriffen auf Finanzdienstleister vermehrt auf APIs ab

Akamai (NASDAQ: AKAM) hat den „State of the Internet“-Sicherheitsbericht 2020: Finanzdienstleistungen – Versuche einer feindlichen Übernahme veröffentlicht. Die Forschungsergebnisse zeigen, dass sich die Angriffsstrategie von Cyberkriminellen im Zeitraum von…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!