Malwarebytes, Spezialist für die Abwehr von Schadsoftware, hat seinen Sicherheitsbericht „State of Malware Report” zu den wichtigsten Malware-Bedrohungen des vergangenen Jahres vorgestellt. Der Einsatz von Ransomware als Angriffswerkzeug hat sich laut dem Report gegenüber dem Vorjahr fast verdoppelt. Nun aber ist die große Ransomware-Welle abgeebbt. Zunehmend beliebt ist hingegen das Crypto-Mining. Auch Banking-Trojaner, Spyware und Adware bleiben gefährlich.

2017 war Ransomware – wie kaum zu übersehen – für Cyberkriminelle das Mittel der Wahl: Laut Malwarebytes’ globalen Telemetriedaten stieg die Zahl der entdeckten Ransomware-Angriffe auf Privatpersonen um 93 Prozent, Angriffe auf Unternehmen um 90 Prozent. Zwischen Juli 2017 und September 2017 verzeichnete man bei Ransomware sogar einen Anstieg von 700 Prozent, vor allem getrieben durch die Malware-Familien WannaCry, Locky, Cerber und GlobeImposter.

Ransomware-Angriffe auf Unternehmen haben 2017 gegenüber 2016 deutlich zugenommen. Bild: Malwarebytes

Ransomware-Angriffe auf Unternehmen haben 2017 gegenüber 2016 deutlich zugenommen. Bild: Malwarebytes

Zur Abwehr der Erpressersoftware reichen klassische Antivirenlösungen nicht aus, warnt Helge Husemann, Product Marketing Manager EMEA und Malware-Fachmann bei Malwarebytes. Erforderlich seien Anti-Malware-Lösungen, die den Rechner auch gegen Exploit-Kits abschotten können. Husemann plädiert für einen heuristischen Ansatz in Kombination mit einer Malware-Analyse, für die zunehmend AI (Artificial Intelligence) zum Einsatz kommt. Der Malware-Spezialist warnt aber davor, sich einseitig auf AI zu verlassen: Man müsse die verfügbaren Techniken vereint nutzen. Zudem sei stets der Endanwender gefordert, auf verdächtige E-Mails zu achten.

Abflauen der Ransomware-Welle
„Ransomware ist nach einer Spitze 2017 jetzt rückläufig“, erläutert Husemann. „Sie ist vom ROI-Standpunkt her nicht mehr so attraktiv, daher haben die Angreifer ihre Taktik geändert. Denn mit Crypto-Mining und Banking-Trojanern ist heute mehr Geld zu verdienen.“

Ransomware – im Bild ein Screenshot von Locky – erlebte 2017 eine regelrechte Welle. Diese ist inzwischen aber wieder abgeklungen, so Malwarebytes. Bild: Malwarebytes

Ransomware – im Bild ein Screenshot von Locky – erlebte 2017 eine regelrechte Welle. Diese ist inzwischen aber wieder abgeklungen, so Malwarebytes. Bild: Malwarebytes

Mit „nicht mehr so attraktiv“ meint Husemann allerdings nur die auf Consumer ausgerichtete, per Malspam verbreitete Ransomware. Anders sei die Lage bei Ransomware, die auf einzelne Unternehmen – etwa Behörden oder Krankenhäuser – abzielt.

Dies wird laut Husemann für die Erpressung zur Datenrückgewinnung ebenso genutzt wie für die Drohung, abgezogene Daten an die Konkurrenz weiterzugeben. Dies sei dann praktisch schon als Industriespionage einzustufen.

Zu dieser Problematik enthält der Malwarebytes-Report allerdings keine Daten, denn das lässt sich nicht anhand von Infektions-Telemetriedaten auslesen. Husemann geht davon aus, dass es hier neben veröffentlichten Zahlen eine hohe Dunkelziffer gibt. Dies sollte sich allerdings mit Einführung der EU-DSGVO im Mai dieses Jahres ändern.

Crypto-Mining im Aufwind
Kryptowährungen erfreuen sich in letzter Zeit zunehmender Popularität, allen voran Bitcoin. Es war aber letzthin auch eine ganze Reihe neu initiierter Kryptowährungen zu verzeichnen (Initial Coin Offerings, ICOs). Vor diesem Hintergrund sind Kriminelle dazu übergegangen, Tools für unerwünschtes Schürfen von Kryptowährungen zu entwickeln: Opfer fangen sich über kompromittierte Websites (Drive-by-Mining), Spam, Adware oder Exploit Kits Malware für das Crypto-Mining ein. Diese nutzt Ressourcen des befallenen Rechners heimlich, um für den Angreifer Coins zu schürfen. Malwarebytes blockierte laut eigenen Angaben allein im September 2017 täglich acht Millionen Drive-by-Mining-Versuche.

Kriminelle wenden sich verstärkt dem Crypto-Mining zu, das lukrativer zu sein verspricht als Erpressersoftware. Bild: Malwarebytes

Kriminelle wenden sich verstärkt dem Crypto-Mining zu, das lukrativer zu sein verspricht als Erpressersoftware. Bild: Malwarebytes

Weiterhin gern genutzt sind laut dem Malwarebytes-Report Bankentrojaner und Hijacker als Werkzeuge, um an Unternehmensdaten zu gelangen. So sei in der zweiten Jahreshälfte die Erkennung von Bankentrojanern um 102 Prozent angestiegen, Hijacking-Tools wuchsen um fast 40 Prozent im Vergleich zum Vorjahr.

„Spyware hat noch einmal richtig zugelegt, und Hijacker-Software hat im Business-Segment stark zugenommen“, so Husemann. Ziel der Angreifer sei es, Zugangsdaten zu stehlen, um an Unternehmensinformationen zu gelangen. Der Einstieg gelinge häufig über sogenannte PUPs (Potentially Unwanted Programs, potenziell unerwünschte Software): „PUPs schalten die Sicherheitszertifikate der Security-Hersteller aus, sind extrem aggressiv und umfassen auch Rootkit-Aktivitäten“, warnt Husemann.

Die Zahl der Hersteller von Adware ist laut Malwarebytes rückläufig, gleichzeitig steigt aber das Volumen weiter an: Adware hat im Vergleich zum Vorjahr um 132 Prozent zugelegt und ist nun nach Hijackers die am zweithäufigsten von Malwarebytes entdeckte Bedrohung. Der Hintergrund: Wenige, dafür aber hochprofessionelle Adware-Produzenten dominieren den Markt zunehmend. „Hier findet eine Marktbereinigung nach dem Prinzip ,Survival of the Fittest’ statt “, so Husemann. Deshalb werde es immer schwieriger, eine Adware-Infektion wieder loszuwerden.

Für dieses Jahr erwartet Malwarebytes eine Weiterentwicklung der Crypto-Mining-Malware, sowohl in Form neuer Malware-Arten als auch neuer Zielplattformen (iOS, Android). Da 2017 in puncto IoT-Sicherheit reletiv wenige massive Angriffe erlebte, sei 2018 in diesem Bereich mit einem Anstieg zu rechnen. Zudem warnen die Malware-Forscher vor neuen Methoden von Supply-Chain-Angriffen. Hierbei dringen Angreifer in Netzwerke ein, indem sie die Update-, Upgrade- oder Download-Mechanismen legitimer Software kompromittieren.

Für den Bericht haben die Forscher von Malwarebytes die Sicherheitsbedrohungen von Januar 2016 bis November 2017 analysiert. Der vollständige Report ist frei zugänglich unter www.malwarebytes.com/pdf/white-papers/stateofmalware.pdf.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.