Malware ist eine allgemeine Bezeichnung für jede Art von schädlicher Software, die ohne Wissen des Endbenutzers einem Computer, Server, Client oder Netzwerk und/oder der Infrastruktur Schaden zufügen soll.
Cyber-Angreifer entwickeln, nutzen und verkaufen Malware aus vielen verschiedenen Gründen. Am häufigsten kommt sie jedoch zum Einsatz, um personenbezogene, finanzielle oder geschäftliche Daten abzugreifen. Während ihre Beweggründe oft unterschiedlich sind, zielen Cyber-Angreifer mit ihren Methoden fast immer darauf ab, Zugang zu privilegierten Anmeldedaten und Accounts zu erhalten, um ihre jeweiligen Missionen verfolgen zu können.
Malware-Klassifizierung
Die meisten Malware-Typen lassen sich in eine der folgenden Kategorien einordnen:
- Virus: Wenn ein Computervirus ausgeführt wird, kann er sich selbst replizieren, indem er andere Programme modifiziert und seinen schädlichen Code einschleust. Es ist die einzige Malware, die andere Dateien „infizieren“ kann, und eine der am schwierigsten zu entfernenden Arten von Malware.
- Wurm: Ein Wurm kann sich ohne Beteiligung des Endbenutzers selbst replizieren und schnell ganze Netzwerke infizieren, indem er sich von einem Rechner zum nächsten bewegt.
- Trojaner: Trojaner-Malware tarnt sich als legitimes Programm und ist damit eine der am schwierigsten zu erkennenden Arten von Malware. Trojaner enthalten schädlichen Code und Anweisungen, die nach der Ausführung durch das Opfer im Geheimen agieren können. Sie kommen häufig zum Einsatz, um andere Arten von Malware in das System einzuschleusen.
- Hybrid-Malware: Moderne Malware tritt oft als „Hybrid“ oder Kombination verschiedener schädlicher Software in Erscheinung. So sind zum Beispiel „Bots“ auf den ersten Blick Trojaner und agieren dann, sobald sie ausgeführt werden, als Würmer. Sie werden häufig verwendet, um einzelne Benutzer als Teil einer größeren netzwerkweiten Cyber-Offensive anzugreifen.
- Adware: Adware dient der unerwünschten und aggressiven Werbung (zum Beispiel Popup-Anzeigen) für Endbenutzer.
- Malvertising: Malvertising nutzt legitime Werbung, um die Rechner von Endbenutzern mit Malware zu infizieren.
- Spyware: Spyware spioniert den ahnungslosen Endbenutzer aus, sammelt Anmeldedaten und Passwörter, durchsucht den Verlauf und vieles mehr.
- Ransomware: Ransomware infiziert Rechner, verschlüsselt Dateien und erpresst das Opfer, bis dieses für den benötigten Schlüssel Lösegeld zahlt. Ransomware-Angriffe auf Unternehmen und staatliche Einrichtungen nehmen zu. Ihre Kosten gehen in die Millionen, da einige die Angreifer für die Wiederherstellung wichtiger Systeme bezahlen. Cyptolocker, Petya und Loky gehören zu den häufigsten und berüchtigtsten Familien von Ransomware.
Beispiele für Malware
Nachfolgend einige Beispiele für Malware, mit der sich Cyber-Angreifer Zugang zu sensiblen Daten verschaffen:
- Pony-Malware ist die am häufigsten zum Stehlen von Passwörtern und Zugangsdaten genutzte Malware. Sie wird gelegentlich auch als Pony Stealer, Pony Loader oder FareIT bezeichnet. Pony-Malware nimmt vor allem Windows-Rechner ins Visier und sammelt Informationen über das System und die zugehörigen Benutzer. Sie kann zum Einsatz kommen, um andere Malware herunterzuladen oder um Anmeldedaten abzugreifen und an den Command-and-Control-Server zu übermitteln.
- Loki oder auch Loki-Bot ist eine Informationen stehlende Malware, die es auf Anmeldedaten und Passwörter von rund 80 Programmen abgesehen hat, darunter alle bekannten Browser, E-Mail-Clients, Remote-Clients und File-Sharing-Programme. Die Malware kommt seit 2016 bei Cyber-Angriffen zum Einsatz und ist nach wie vor eine beliebte Methode, um Zugangsdaten zu stehlen und auf personenbezogene Daten zuzugreifen.
- Krypton Stealer trat erstmals Anfang 2019 in Erscheinung und wird in ausländischen Foren für nur 100 US-Dollar in Kryptowährung als Malware-as-a-Service (MaaS) verkauft. Die Malware zielt auf Windows-Rechner ab Version 7 und höher ab und kann ohne Administratorrechte an Anmeldedaten gelangen. Außerdem hat sie es auf Kreditkartennummern und andere sensible Daten abgesehen, die in Browsern gespeichert sind, beispielsweise als Browserverlauf, Autovervollständigung, Download-Listen, Cookies und Suchverlauf.
- Die Malware Triton legte 2017 im Rahmen eines der ersten öffentlich gewordenen Malware-Angriffe dieser Art den Betrieb einer kritischen Infrastruktureinrichtung im Nahen Osten lahm. Die Malware ist nach dem System benannt, auf das sie abzielt – das Safety Instrumented System (SIS) Triconex. Diese Systeme werden benötigt, um Nuklearanlagen, Ölraffinerien oder Gaswerke im Falle eines Problems, wie Geräteausfall, Explosionen oder Feuer, abzuschalten. Triton soll diese ausfallsicheren Mechanismen außer Kraft setzen, wodurch physische Angriffe auf kritische Infrastrukturen und eine potenzielle Gefährdung von Menschenleben möglich werden.
So lässt sich das Risiko von Malware verringern
Um den Schutz und die Erkennung von Malware zu verbessern, ohne die Produktivität negativ zu beeinflussen, ergreifen Unternehmen häufig folgende Schritte:
- Einsatz von Virenschutzprogrammen, um sich vor allgemeiner und bekannter Malware zu schützen.
- Einsatz von Endpoint Detection and Response Technologie, um Malware-Angriffe und andere Cyber-Bedrohungen auf den Rechnern von Endbenutzern kontinuierlich zu überwachen und darauf zu reagieren.
- Anwendung von Best Practices zum Patchen von Anwendungen und Betriebssystemen.
- Umsetzung von Least-Privilege-Prinzip und Just-in-Time-Zugriff, um die Kontoberechtigungen für bestimmte legitime Aufgaben zu erweitern. So bleiben die Benutzer produktiv, ohne ständig über nicht benötigte Berechtigungen zu verfügen.
- Entzug lokaler Administratorrechte von Standardbenutzerkonten, um die Angriffsfläche zu reduzieren.
- Einführung einer Application Greylist auf Benutzerendpunkten, um unbekannte Anwendungen (zum Beispiel neue Ransomware-Instanzen) daran zu hindern, auf das Internet zuzugreifen und an die zur Verschlüsselung Ihrer Dateien erforderlichen Lese-, Schreib- und Änderungsberechtigungen zu gelangen.
- Einführung einer Whitelist für Anwendungen auf Servern, um die Sicherheit dieser Ressourcen zu maximieren.
- Häufige Sicherung der Daten von Endpunkten und Servern, um eine wirksame Disaster Recovery zu gewährleisten.