21.11.2018 Kryptomining

Vorsicht vor gefälschten Mails

Von: Ina Schlücker

Wie Endnutzer durch täuschend echt gefälschte Mails oder infizierte Webseiten zum Download von Malware gebracht werden, beschreibt Georgeta Toth von Proofpoint.

Georgeta Toth, Senior Regional Director CEEMEA bei Proofpoint

IT-DIRECTOR: Frau Toth, wie funktioniert Krypto-Mining-Malware? Was wollen Cyberkriminelle damit erreichen?
G. Toth: Krypto-Mining-Malware nutzt fremde Rechner, um deren Rechenleistung möglichst vom legitimen Nutzer unbemerkt für die Errechnung neuer Krypto-Zahlungseinheiten, wie Bitcoin oder Ethereum, zu nutzen. Mit zunehmender „Geldmenge“, die sich auf dem Markt befindet, wird das Errechnen von neuen Geldwerten komplexer. Dafür benötigt man einiges an Rechnerleistung, die sich Kriminelle gerne von ihren Opfern nehmen – denn letztere bezahlen dann für Strom und die Hardware. Auch das ist Diebstahl am Opfer.

IT-DIRECTOR: Welche sind derzeit die beliebtesten Ziele für Mining-Malware-Attacken?
G. Toth: Nachdem PCs und Notebooks im Mittelpunkt von kriminellen Aktivitäten standen, rücken nun mehr und mehr auch Smartphones in den Fokus des Geschehens. Hier steht zwar je Gerät weniger Rechenleistung zur Verfügung, jedoch macht es die Masse an verfügbaren Smartphones und Tablets. Zusätzlich spielt auch der Angriff auf Geräte im Internet of Things (IoT) eine Rolle.

IT-DIRECTOR: Wie erfolgreich waren die Attacken mit Mining-Malware zuletzt? Was waren die „prominentesten“ Vorfälle?
G. Toth: Hier wäre ein Smominru, ein Miner für die Kryptowährung Monero, zu nennen, der Anfang dieses Jahres zugeschlagen hat. Er nutzte den Eternal-Blue-Exploit und pflanzte sich – untypisch für einen Krypto-Miner, durch die Windows-Management-Infrastruktur fort. Ein anderes Beispiel ist Adylkuzz, der in seiner Verbreitung sogar die Ransomware Wanna Cry hinter sich ließ.

IT-DIRECTOR: Wie läuft die Infizierung der Netzwerke oder Rechner im Detail ab?
G. Toth: Oft werden Nutzer mittels teilweise täuschend echt gefälschter Mails oder infizierter Webseiten auf den Download der Malware gebracht. Dazu sollen sie auf präparierte Links klicken. Kriminelle nutzen dafür dieselben Mechanismen, die beispielsweise im Phishing verwendet werden. Doch auch Schwachstellen im Betriebssystem können als Einfallstor für diese Art von Schadsoftware dienen.

IT-DIRECTOR: Wie bemerken Unternehmen, dass sie Opfer von Krypto-Mining-Malware geworden sind?
G. Toth: Unternehmen können, wenn sie ihren Web-Traffic beobachten, eine Häufung von Datenverkehr zu bestimmten IP-Adressen feststellen. Auch wenn Endnutzer einen Leistungsabfall ihrer Endgeräte bemerken, könnte Mining-Software im Spiel sein, da Systemressourcen beansprucht werden.

IT-DIRECTOR: Welchen Schaden können die Angreifer mittels dieser Malware anrichten?
G. Toth: Der Schaden ist durchaus ernst zu nehmen. So investieren Unternehmen ihr Budget, um eine definierte IT-Performance für ihr Tagesgeschäft zu erreichen. Falls dieses wegen Krypto-Mining nicht zur Verfügung steht, kann der Arbeitsablauf erschwert oder gar unterbrochen werden. Im schlimmsten Fall können Endgeräte nicht mehr vernünftig genutzt werden, auch die unternehmenseigene Netzinfrastruktur kann teilweise lahmgelegt werden.

IT-DIRECTOR: Mit welchen Sicherheitsmaßnahmen lässt sich unautorisiertes Krypto-Mining verhindern?
G. Toth: Es gibt zwei Komponenten, um sich gegen unautorisiertes Krypto-Mining zu wehren. Zunächst sollten Unternehmen die dafür notwendigen technischen Vorkehrungen treffen. Die meisten Bedrohungen nutzen ganz klassisch die E-Mail als Angriffsvektor. Zusätzlich sollten sämtliche Mitarbeiter im Unternehmen ausreichend für die Gefahr durch Krypto-Mining sensibilisiert werden, denn der Mensch selbst bleibt der größte Angriffsvektor.