In seinem aktuellen Sicherheitsbericht „Under the Radar – The Future of Undetected Malware I“ für die EMEA-Region warnt Security-Spezialist Malwarebytes, dass Angreifer nicht nur deutlich professioneller und profitorientierter vorgehen als früher: Sie richten laut dem Report neuerdings ihren Fokus darauf, möglichst lange auf kompromittierten Systemen präsent zu bleiben.

„In jüngster Zeit gab es einen spürbaren Wandel in der Methodik der Malware-Entwicklung“, heißt es im Malwarebytes-Bericht. „Die Vermeidung von Erkennung war die eine Sache, aber die Bedrohungsakteure kamen bald zu einer anderen Erkenntnis: Je länger sie den infizierten Endpunkt halten, desto höher steigt ihr Gewinn. Solange sie die Wiederherstellungsversuche überleben, können sie den Geldhahn wieder aufdrehen.“

Der Endpoint-Security-Anbieter verweist hier auf die Studie „Cost of a Data Breach“ vom Ponemon Institute und IBM aus dem Jahr 2017. Laut dieser Studie betrug die durchschnittliche Zeit zur Identifizierung einer Kompromittierung eines Unternehmens 197 Tage, während deren Eindämmung im Schnitt 69 Tage dauerte. Somit ergibt sich ein durchschnittliches Zeitfenster von 266 Tagen, in dem Angreifer Daten abziehen oder anderen Schaden anrichten können.

„Persistenz“, so Malwarebytes, „ist für Malware-Autoren heute genauso wichtig geworden wie das Vermeiden von Erkennung.“ Die Angreiferschaft versuche deshalb nicht nur, die Zeit bis zur Entdeckung möglichst hinauszuzögern, sondern sorge auch dafür, dass „ein Tentakel im kompromittierten Gerät verbleibt, um die Malware nach der Erkennung wieder nachwachsen zu lassen“.

Diese neue Klasse von Schadsoftware nennt Malwarebytes „Under-the-Radar-Malware“. Die schwer zu behebende Gruppe von Bedrohungen nehme an Komplexität und Häufigkeit zu und werde Unternehmen künftig verstärkt Sorgen bereiten. Die ausgeklügelten Angriffe, so der Report weiter, machten sich die Verbreitungs- und Anti-Forensik-Techniken komplexer nationalstaatlicher Angriffe der Vergangenheit zunutze, darunter vorrangig den Einsatz dateiloser Malware.

Traditionelle Sicherheitslösungen, so warnt Malwarebytes, seien nicht darauf ausgelegt, Malware zu erkennen und zu entfernen, die sich nur im RAM, nicht aber auf der Festplatte ansiedelt. Diese wachsende Lücke habe zu einer enormen Zunahme von Angriffen, Kompromittierungen und Datendiebstahl durch dateilos vorgehende Angriffe geführt. Den Anteil dateiloser Malware-Angriffe im Jahr 2018 schätzt der Report, wiederum mit Bezug auf eine Ponemon-Studie, auf 35 Prozent aller Angriffe.

Als Beispiel für die neue Malware-Generation nennt Malwarebytes Emotet. Diese Malware, die kürzlich auch in Deutschland rege Verbreitung fand, agiert als Banking-Trojaner, Downloader und Botnet. Malware wie Emotet oder auch TrickBot, so der Report, nutzt in erster Linie E-Mail als Verbreitungsweg für bösartige Office-Dokumente, um dann Malware nachzuladen und zu starten. Nach UK ist Deutschland laut dem Report das am stärksten von Emotet betroffene Land.

Als weitere derzeit populäre Angriffsvarianten nennt der Report die vor allem in Asien und dem Nahen Osten verbreitete Malware Sorebrecht, die Ransomware SamSam sowie PowerShell-basierte Angriffsformen.

Verbreitungsgebiete aktueller Schadsoftware. Deutschland war von Emotet besonders betroffen. Bild: Malwarebytes

Verbreitungsgebiete aktueller Schadsoftware. Deutschland war von Emotet besonders betroffen. Bild: Malwarebytes

Auch die Angreifer nutzen KI

Malwarebytes prognostiziert vor diesem Hintergrund die Nutzung künstlicher Intelligenz durch die Cyberkriminellen, um noch effektivere bösartige Softwarevarianten zu erzeugen. „Eine KI, die überwacht, was und wie bestimmte Malware erkannt wird, kann schnell Änderungen vornehmen, um der Erkennung für eine neue Generation von Malware zu entkommen“, so der Report.

Zur Abwehr solcher neuartigen Bedrohungen rät Malwarebytes zur Verhaltensanalyse von Endpunkten, um Malware gleich dort zu blocken, wo sie versucht, in das Unternehmensnetzwerk einzudringen. Dazu, so Malwarebytes, müsse die Endpoint-Protection-Lösung über einen „Selbstverteidigungsmodus“ verfügen.

Mehrstufiges Vorgehen nötig

Helge Husemann, Global Product Marketing Manager von Malwarebytes, betonte im LANline-Interview die Notwendigkeit eines mehrstufigen Vorgehens: Man müsse erstens versuchen, Bedrohungen proaktiv vom Unternehmen fernzuhalten; zweitens die oben erwähnten verborgenen Bedrohungen sichbar machen, zum Beispiel per Ausführung in einer Sandbox; und drittens mittels EDR (Endpoint Detection and Response) gezielt und schnell auf Angriffe reagieren, um den Status quo vor dem Angriff möglichst zügig wiederherzustellen. EDR sei damit also nur ein Baustein in einem Gesamtkonzept.

Als Besorgnis erregende Entwicklung bezeichnete der Malwarebytes-Fachmann den Umstand, dass Dropper (Trojaner, die Malware installieren oder nachladen) heutzutage oft nur ein einziges Mal Verwendung finden. Die Angreifer tauschen sie wie in einer Art Variantenfertigung dann jeweils durch einen neuen Dropper aus. Das erschwere die Erkennung erheblich. Ebenfalls bedenklich sei, dass Malware auch zunehmend in Deutschland entwickelt werde.

Ein weiteres Problem, das laut Husemann Verbreitung findet: Im Rahmen zunehmender Schatten-IT-Nutzung installiere manch ein Nutzer auch eigenmächtig Security-Werkzeuge, auf die er im privaten Kontext vertraut. Zwar sollte sich ein Unternehmen einerseits über sicherheitsbewusste Endanwender freuen, so Husemann, andererseits aber sei die dadurch unkontrolliert eskalierende Tool-Vielfalt nicht unbedingt im Sinne der IT-Abteilung.

„Das größte Problem am Security-Markt ist aber die Vielzahl der Hersteller“, so Husemann. Denn für Security-Teams erschwere es diese Angebotsfülle, tatsächlich wirkungsvolle Lösungen zu ermitteln – viele der Security-Tools seien nur „Snake Oil“ (also Augenwischerei). Laut dem Sicherheitsfachmann steht der Endpoint-Protection-Markt vor einer „Revolution“: „Endpoint Protection ist ein verdammt blutiges Kriegsfeld“, so Husemann.

Weitere Informationen finden sich unter www.malwarebytes.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.