Erpressungs-Trojaner: Die nächste Generation kommt bestimmt

Erpressungs-Trojaner 2.0 vor der Tür

Warum WannaCry und Co. ein Klacks sind – gemessen an künftigen Bedrohungen

Keyfacts über Crypto-Trojaner 2.0

  • Bisherige Malware verursachte verhältnismäßig geringe Schäden
  • Neue Trojaner könnten Daten-Integrität angreifen
  • Die Schadenssumme würde sich vervielfachen
Zusammenfassung lesen

Ob WannaCry, Petya oder NotPetya – in den vergangenen Monaten verging kaum eine Woche, in der nicht über die wachsende Bedrohung durch Malware berichtet wurde. Keine besonders überraschende Entwicklung, schienen doch mit dem Aufkommen von Erpressungs-Trojanern zum ersten Mal auch die Nachteile augenscheinlich zu werden, die die neue, digitale Zeit in Sachen Sicherheit eben auch mit sich bringt. Was war passiert? Crypto-Trojaner verschlüsseln Dateien und geben sie erst gegen Zahlung wieder frei. Die Zahlungen aber erfolgen in Bitcoins, dementsprechend schwer ist nachzuvollziehen, wer die Erpresser sind.

Für Unternehmen und die Betreiber staatlicher Infrastrukturen sind Malware-Angriffe gefährlich – so fiel bei der jüngsten Petya-Attacke beispielsweise ein Rechner im Kernkraftwerk Tschernobyl aus, mit dem die Reaktortemperatur kontrolliert wird. Bei anderen Angriffen wurden weltweit in mehr als 150 Ländern rund 200.000 Rechner infiziert, wie Europol schätzt. Aber: Gemessen an den bisher durch Malware-Attacken entstandenen Schäden lässt sich sagen, dass die Betroffenen glimpflich davongekommen sind. Die viel größere Gefahr dürfte künftig durch eine neue Malware-Generation drohen, welche die Daten nicht verschlüsselt und dadurch der Steuerung entzieht. Sondern stattdessen die Integrität der Daten selber über einen längeren Zeitraum angreift. Malware 2.0, quasi. Der Trojaner mit Zeitzündung. Was bedeutet das?

Dazu zunächst einen Schritt zurück. Frage: Warum verliefen die bisherigen Crypto-Attacken in den allermeisten Fällen glimpflich? Die Antwort in zwei Teilen: Zum einen, weil die Malware eher schlampig aufgesetzt war. So hatte WannaCry beispielswiese einen sogenannten „kill switch“, knapp gesagt: eine Art Notschalter im Code, mit dem sich die weitere Verbreitung effektiv stoppen ließ.

Trojanerabwehr: Alles eine Frage der IT-Sicherheit?

Aber auch die grundsätzliche Vorgehensweise von Crypto-Trojanern ermöglicht eine recht schnelle Entdeckung: Der Angriff wird sofort bemerkt, wenn die Daten nicht mehr verfügbar sind. An dieser Stelle kommen die IT-Abteilungen gut aufgestellter Unternehmen ins Spiel, die im Rahmen ihrer wirksamen Security-Awareness regelmäßige Backups der Daten erstellen. Faustregel: Mindestens ein Backup pro Tag, besser noch häufiger. Der Schaden durch eine Malware-Attacke ist dann lediglich auf die Dauer zwischen Verschlüsselung und letztem Backup begrenzt. Voraussetzung: Die Backups sollten nicht lokal, sondern gemäß der hoffentlich im Unternehmen geltenden Richtlinien auf einem Netzlaufwerk gespeichert sein. Unternehmen, die hier nicht die erforderliche Vorsicht walten lassen, haben in digitalen Zeiten schnell das Nachsehen.

200.000

Rechner in mehr als 150 Ländern wurden bei der letzten WannaCry-Attacke nach Europol-Schätzungen infiziert.

Wie wäre nun das Szenario bei einer weiterentwickelten Malware-Attacke? Vorstellbar ist eine Schadsoftware, welche über einen längeren Zeitraum an Dateien nur minimale Veränderungen vornimmt. So könnte beispielsweise jede „3“ in einem Dokument in eine „7“ geändert werden, aus jedem „a“ würde ein „e“.  Oder aber die Inhalte von Zellen gleichen Typs würden innerhalb einer Datenbank vertauscht werden. Das Ergebnis: Ein ausreichend subtiler Abgriff über einen längeren Zeitraum führt dazu, dass auch die im Backup gespeicherten Daten falsch sind. Es ist bei den meisten Dateien höchst komplex und zeitaufwändig, in der Historie die richtige, noch nicht manipulierte Version der jeweiligen Datei zu finden. Durch die späte Entdeckung kann die Datei so alt sein, dass ein Restore die Arbeit von mehreren Wochen oder Monaten zerstört – ein immenser Schaden.

Anders als derzeit würden die Erpresser dann nicht mehr die kürzlich verschlüsselten Daten freigeben. Sondern den Schlüssel zu einem lokal gespeicherten Protokoll abliefern, das alle Manipulationen der Vergangenheit enthält. Kostenpunkt: viele Bitcoins, sehr viele Bitcoins.

Backup-Konzept überprüfen

Die entscheidende Frage also: Was können Unternehmen tun? Sie sollten in erster Linie die üblichen Schutzmaßnahmen strikt befolgen: Erkennen der Malware bei Proxy oder Mail Gateway sowie Schutz und Aufklärung auf den Workstations intensivieren. Als zweite Maßnahme empfiehlt sich die Identifizierung der wichtigsten Unternehmensdaten und ihr entsprechender Schutz wie beispielsweise durch ein Security Information and Event-Management (SIEM). Natürlich: In großen Unternehmen ist das eine enorme Herausforderung, die durch risikoorientierte und dennoch intelligente Ansätze zu lösen ist. Und schließlich sollte auch das Backup-Konzept selber eine kritischen Prüfung unterzogen werden: Stimmen die Daten? Sind sie sicher gespeichert? Wie werden Änderungen bemerkt?

Der hier entstehende Aufwand ist immens. Und dürfte sich dennoch bezahlt machen, sollte ein „Integritäts-Trojaner“ tatsächlich Realität werden.

Aber wie wahrscheinlich ist das denn, fragen Sie sich? Sagen wir so: Auch Kriminelle suchen nach profitablen Business-Cases –  und die bisherigen Crypto-Trojaner haben sich dafür als mäßig erfolgreich erwiesen. Dementsprechend hoch dürfte der Innovationsdruck unter Cyber-Kriminellen derzeit sein.

Vielleicht wird die entsprechende Software in diesem Moment gerade geschrieben. Oder sie ist bereits im Einsatz, und niemand hat es bemerkt. Bis jetzt.

13. November 2017
Zusammengefasst

»'Malware 2.0' wäre ein Trojaner mit Zeitzündung. Vielleicht wird die entsprechende Software in diesem Moment gerade geschrieben. Oder sie ist bereits im Einsatz, und niemand hat es bemerkt. Bis jetzt. «

Bisherige Malware-Attacken liefen in den allermeisten Fällen glimpflich ab. Das liegt an der Struktur der Crypto-Trojaner. Künftige Angriffe auf die Datenintegrität wären bedeutend verheerender.

Hans-Peter Fischer Partner, Security Consulting
Ganzen Artikel lesen

Kommentare

Wie wirksam ist Ihre IT-Security bei Trojaner-Angriffen?

*Ihre E-Mail-Adresse wird nicht veröffentlicht

Das könnte Sie auch interessieren

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen