Gut getarnte Attacken: Malware-Samples bedrohen PCs und Netzwerke im Sekundentakt

Die Technik der Antiviren-Hersteller wird immer besser und identifiziert tägliche neue Angriffe auf Unternehmensnetzwerke oder privaten PCs und Laptops. Daher sind Malware-Autoren gezwungen, ihre Schadsoftware mit raffinierten Methoden vor der Entdeckung durch Schutzprogramme zu schützen – ein ewiges Katz-und-Maus-Spiel. Im letzten Jahr entdeckten die Experten von G DATA pro Tag mehr als 13.500 Varianten von bekannten Malware-Familien - mehr als 4,9 Millionen Malware-Samples insgesamt.

Am aktivsten war mit Abstand die Ransomware „GandCrab“: Über 408.000 Versionen identifizierten die Malware-Analysten in Bochum – durchschnittlich mehr als 1.100 neue Varianten pro Tag. GandCrab nutzte verschiedene Verbreitungswege und infizierte Windows-PCs. Häufig gelangte die Ransomware über den Anhang einer Bewerbungsmail ins Unternehmensnetzwerk – getarnt in einem Zip-Archiv. Wurde der Anhang geöffnet, verschlüsselte die Malware Dateien auf dem System. Anschließend verlangten die Erpresser Lösegeld. Ein anderer Verbreitungsweg waren Exploit Kits, die über verschleierte Links, meist auf infizierten Webseiten, aktiviert wurden und Browser- oder Flash-Schwachstellen ausnutzten. Allerdings hat die Gruppe hinter der Malware bereits zum 1. Juni 2019 ihre Aktivitäten offiziell beendet. Bis zu diesem Zeitpunkt haben die Kriminellen nach eigenen Angaben mehr als 2 Milliarden US-Dollar an Lösegeldzahlungen erhalten. Obwohl CandCrab nichts mehr aktiv ist, entstehen neue Samples, weil automatische Systeme diese anfragen

Auf den Plätzen zwei und drei folgen „njRAT“ mit 208.000 und „BlackShades“ mit 193.000 Versionen. Beide gehören zu der Gruppe von „Remote Acess Trojaner“ (RAT) – einer speziellen Form von Trojanern, mit denen Cyberkriminelle die administrative Kontrolle auf dem Zielsystem übernehmen können. Als Infektionswege nutzen RATs die üblichen Methoden wie etwa das Eindringen über eine ungepatchte Schwachstelle, den infizierten E-Mail-Anhang oder das Herunterladen und Installieren manipulierter Software. Anschließend öffnet die Malware eine Art Hintertür und startet ein Programm auf dem Rechnersystem, mit dem sich der Angreifer verbinden kann. Die Arbeitsweise ähnelt einer Fernwartungssoftware – mit dem Unterschied, dass die Prozesse zur administrativen Fremdkontrolle vom Anwender nicht zu erkennen sind. Häufig bauen Cyberkriminelle mit RATs auch Botnetze auf. Aufgrund der vollständigen Kontrolle des Rechners sind den Angriffs- und Manipulationsmöglichkeiten eigentlich keine Grenzen gesetzt. Das reicht vom Aktivieren des Mikrofons oder der Webcam über Keylogging sowie vertrauliche Daten auslesen bis zum Nachladen anderer Malware, um etwa Dateien zu verschlüsseln und Lösegeld zu erpressen. Insgesamt fünf der Top 10 sind als RATs zu klassifizieren.

Die bekannteste Malware-Familie „Emotet“, über die wir schon mehrfach berichtet haben, landet in den Jahrescharts auf Platz sechs – mit über 70.800 verschiedenen Samples. Zum Vergleich: Im Vorjahreszeitraum entdeckten die Malware-Analysten rund 28.000 neue Varianten. Durchschnittlich 194 neue Versionen der Allzweckwaffe des Cybercrime erschienen pro Tag. Insbesondere zum Jahresende hat der ehemalige Banking-Trojaner Emotet wieder von sich reden gemacht. In Deutschland waren unter anderem öffentliche Verwaltungen, Hochschulen und wieder einmal Kliniken Opfer der Allzweckwaffe des Cybercrime“. Dabei fungiert der ehemalige Banking-Trojaner lediglich als Türöffner. Die initialen Spam-Mails sehen sehr authentisch aus, sodass viele Nutzer diese für echt halten und den infizierten Anhang öffnen. Die Nutzer klicken dann auf den infizierten Anhang und das Unheil nimmt seinen Lauf. Die Malware lädt automatisiert andere Schadprogramme wie Trickbot und Ryuk nach, um weitere Zugangsdaten auszuspähen und das System zu verschlüsseln. Die Folge: Ein großflächiger oder vollständiger Ausfall der IT-Infrastruktur.

Immer noch aktiv sind auch Banking-Trojaner wie „Tinba“ oder „Shifu“. Sie nutzen die „Man-in-The-Browser“-Technik, um Login-Daten für Banking-Applikation auszulesen. Über die klassischen Verbreitungswege gelangen sie ins System und richten Schaden an. Sie erzeugen ein gefälschtes Popup, um die Anmeldeinformationen für die Bank zu kopieren oder leiten Überweisungen auf das eigene Konto um – für den Nutzer ist kein Unterschied zum echten Login zu erkennen. Darüber stehlen sie Logins für die Online-Dienste von Google, Facebook, Microsoft oder anderer Web-Dienste und protokollieren außerdem alle HTTPS-Verbindungen.

Auffällig ist, dass ein Großteil der Malware schon seit mehreren Jahren im Umlauf ist. So wurden SakulaRAT und Tinba bereits 2012 erstmals entdeckt, Nanocore im Jahr 2013. Dies hängt auch mit den Verschleierungstechniken der Cyberkriminellen zusammen, mit denen sie die Schadsoftware tarnen. Die jüngste Malware in den Top 10 ist AveMariaRAT. Diesen RAT identifizierten Sicherheitsforscher im Jahr 2018 zum ersten Mal. Insgesamt sind aktuell 332 unterschiedliche Malware-Familien in den Datenbanken von G DATA klassifiziert.