Malware-Angriffe: Untersuchungen und Best Practices

Erfahren Sie mehr über Malware-Angriffe und Schutzvorkehrungen vor Malware

2023 Mid-Year Threat Report

Was ist ein Malware-Angriff?

Ein Malware-Angriff ist ein geläufiger Cyberangriff, bei dem Malware (normalerweise bösartige Software) unbefugte Aktionen im System des Opfers ausführt. Die bösartige Software (alias Virus) umfasst viele spezifische Arten von Angriffen wie Ransomware, Spyware, Command und Control und mehr.

Kriminelle Organisationen, staatliche Stellen und sogar bekannte Unternehmen sind beschuldigt (und in einigen Fällen überführt) worden, Malware zu versenden. Wie auch bei anderen Arten von Cyberangriffen landen einige Malware-Angriffe aufgrund ihrer schwerwiegenden Auswirkungen in den Mainstream-Nachrichten.

Ein Beispiel für einen berühmten Malware-Angriff ist der WannaCry Ransomware-Angriff.

Arten von Malware-Angriffen

Malware will in der Regel aus drei Hauptaspekten beleuchtet werden:

  • Zielsetzung: Was die Malware erreichen soll
  • Lieferung: Wie die Malware ans Ziel gelangt
  • Vertuschung: Wie die Malware der Erkennung entkommt (dieser Punkt kann in diesen Ausführungen nicht behandelt werden)

Hier haben wir einige der bekannten Ziele und Liefermechanismen von Malware aufgelistet.

Ziele

Malware wird zweckorientiert entwickelt. Auch, wenn es stimmt, dass das Ziel bzw. der Zweck nur vom Vorstellungsvermögen des Entwicklers abhängt, befassen wir uns hier mit den geläufigsten Zielen, die bei Malware beobachtet wurden.

Diebstahl von Daten

Der Diebstahl von Daten, Zugangsdaten, Zahlungsangaben usw. ist ein Dauerthema im Bereich der Cyberkriminalität. Malware, die sich auf diese Form des Diebstahls spezialisiert, kann Einzelpersonen, Unternehmen oder Behörden finanziell extrem schädigen.

Betriebsunterbrechung

Eine aktive Maßnahme, um im anvisierten Betrieb „Probleme zu verursachen“, ist ein weiteres, häufiges Ziel von Malware. Das Ausmaß der „Unterbrechung“ kann sehr unterschiedlich ausfallen, angefangen bei einem Virus auf einem einzigen Computer, der wichtige Betriebssystemdateien korrumpiert (wodurch das System versagt), bis hin zu einer orchestrierten, physischen Selbstvernichtung vieler Systeme in einer Installation. Zudem gibt es das Szenario, in dem infizierte Systeme angewiesen werden, umfangreiche Distributed Denial-of-Service (DDOS)-Angriffe auszuführen.

Geldforderungen

Bestimmte Malware wird spezifisch mit dem Ziel verteilt, Geldzahlungen von den Betroffenen anzufordern. Scareware nutzt leere Bedrohungen (d. h. für die es keine Beweise gibt und/oder die nicht wirklich umsetzbar sind), um den Betroffenen so weit „einzuschüchtern“, dass Geld gezahlt wird. Ransomware ist eine Art von Malware, die versucht, den Zugriff der Zielperson auf die eigenen Dateien zu verhindern (in der Regel durch Dateiverschlüsselung auf dem Zielgerät), bis diese Person „Lösegeld“ gezahlt hat. Auch wenn weitläufig debattiert wird, ob Opfer von Ransomware überhaupt zahlen sollten, ist die Bedrohung durch Ransomware so weit gestiegen, dass einige Unternehmen prophylaktisch Bitcoin gekauft haben, für den Fall, dass sie Ransomware erhalten und sich entscheiden, das Lösegeld zu zahlen.

Arten von Malware-Angriffsvektoren

Es gibt drei Hauptarten von Malware-Angriffsvektoren:

  • Trojaner: Ein Programm, das sich als etwas anderes ausgibt (z. B. ein Spiel, eine nützliche Anwendung usw.), aber tatsächlich nur die Malware liefert. Ein Trojaner setzt darauf, dass der Benutzer es lädt (in der Regel aus dem Internet oder über E-Mail-Anhänge) und es auf dem Zielgerät ausführt.
  • Virus: Ein Virus ist eine Art von selbst verbreitender Malware, die über Code-Injektion andere Programme/Dateien (oder sogar Teile des Betriebssystems und/oder der Datenträger) eines Zielgeräts infiziert. Dieses Verhalten der Malware-Verbreitung durch Injektion in vorhandene Software/Daten unterscheidet das Virus vom Trojaner (der für eine spezifische Anwendung vorgesehene Malware enthält und keinen Versuch unternimmt, andere zu infizieren).
  • Worm: Malware, die sich in anderen Systemen verbreiten soll, ist ein Wurm. Während Viren- und Trojaner-Malware sich auf ein infiziertes Zielsystem beschränkt, arbeitet ein Wurm aktiv daran, andere Ziele zu infizieren (manchmal ohne jegliche Interaktion von Seiten des Benutzers).

Im Laufe der Jahre wurde beobachtet, dass Malware verschiedene Liefermechanismen oder Angriffsvektoren einsetzt. Einige mögen zugegebenermaßen akademisch wirken, aber viele Angriffsvektoren gehen bei der Kompromittierung ihrer Ziele sehr effektiv vor. Diese Angriffsvektoren verwenden in der Regel digitale Kommunikationswege wie E-Mail, SMS, anfällige Netzwerkdienste oder kompromittierte Websites, aber die Malware kann auch über physische Medien (z. B. USB-Stick, CD/DVD, usw.) verteilt werden.

Best Practices gegen Malware-Angriffe

Die folgenden Best Practices können dazu beitragen, dass ein Malware-Angriff erfolglos bleibt und/oder der Schaden des Angriffs minimiert wird. 

Kontinuierliche Benutzerschulung

Die Schulung von Benutzern in bewährten Verfahren zur Vermeidung von Malware (z. B. unbekannte Software nicht herunterladen und ausführen, „gefundene Medien“ nicht einfach in den Computer einlegen), sowie Kenntnisse, wie potenzielle Malware erkannt werden kann (z. B. Phishing-E-Mails, unerwartete Anwendungen/Prozesse, die das System ausführt), können viel bewirken, um ein Unternehmen zu schützen. Wiederkehrende spontane Übungen wie z. B. beabsichtigte Phishing-Kampagnen können dazu beitragen, dass sich die Benutzer der Gefahren bewusst sind und darauf achten. Erfahren Sie mehr über die Schulung für IT-Sicherheit.

Einsatz angesehener A/V-Software

Nach der Installation kann eine geeignete A/V-Lösung eventuell vorhandene Malware in einem System erkennen (und entfernen) und das laufende System auf potenzielle Malware-Installation oder -aktivitäten überwachen und diese mindern. Es wird wichtig, dass der Virenschutz mit den neuesten Definitionen/Signaturen des Anbieters auf dem neuesten Stand gehalten wird.

Gewährleistung eines sicheren Netzwerks

Die Kontrolle des Systemzugriffs im Netzwerk Ihres Unternehmens ist aus mehreren Gründen sehr sinnvoll. Die Verwendung bewährter Technologien und Methodik, z. B. die Verwendung einer Firewall, IPS, IDS und Remote-Zugriff nur über VPN, dienst zur Minimierung der Angriffsfläche, die Ihr Unternehmen über seine Benutzeroberflächen bietet. Die physische Systemisolation ist für die meisten Unternehmen in der Regel eine extreme Maßnahme und macht sie für einige Angriffsvektoren weiterhin anfällig.

Regelmäßige Website-Sicherheitsprüfungen

Durch regelmäßige Scans der Websites Ihres Unternehmens auf Schwachstellen (z. B. Software mit bekannten Bugs, Server/Service/Anwendungs-Fehlkonfiguration) und zur Feststellung, ob bekannte Malware installiert wurde, können Sie Ihr Unternehmen, die Kunden und Besucher auf öffentlich zugänglichen Websites schützen.

Regelmäßige, verifizierte Datensicherung

Ein regelmäßiges (d. h. aktuelles und automatisches) Offline-Backup kann der entscheidende Unterschied sein, ob nach einem destruktiven Viren- oder Ransomware-Angriff eine reibungslose Wiederherstellung erfolgt, oder ob unter Stress und Zeitdruck mit kostspieligen Ausfallzeiten/Datenverlust alles mühevoll repariert werden muss. Ausschlaggebend ist dabei, dass regelmäßige, verifizierte Backups zur erwarteten Zeit stattfinden können und sich zur Wiederherstellung des Geschäftsbetriebs eignen. Veraltete Backups haben einen geringeren Wert als aktuelle, und Backups, die keine volle Wiederherstellung ermöglichen, sind nutzlos.

Zusammenfassung

Malware tritt auf unterschiedliche Weise in vielen verschiedenen Formen und Angriffen auf. Aber mit umsichtiger Vorbereitung und mit Prozessverbesserungen sowie der kontinuierlichen Benutzerschulung kann Ihr Unternehmen eine solide Sicherheitslage gegen Malware-Angriffe einnehmen und aufrechterhalten.