Im ersten Teil unserer kleinen Blogserie über die Basics von Malware haben wir uns mit der Terminologie von Viren, Würmern usw. beschäftigt. Dabei haben wir festgestellt, dass sich die Arten von Cyberattacken im Laufe der Jahre verändert haben. Herrschten vor einigen Jahren noch verhältnismäßig einfache Spamnachrichten und Viren vor, die flächendeckend nach dem Minimax-Prinzip verbreitet wurden (minimaler Aufwand bei maximaler Reichweite), sind die Angriffe heutzutage wesentlich ausgereifter und individueller.

Hornetsecurity News


Bleiben Sie informiert

Melden Sie sich für die Hornetsecurity News an, um aktuelle Informationen aus dem Bereich Cloud Security zu erhalten.

Der Grund liegt darin, dass sich die Abwehrmechanismen angepasst haben und die Erkennung von massenhaft auftretenden Spam- und Virenwellen deutlich verbessert wurde. Doch bevor wir uns in dieser mehrteiligen Reihe darum kümmern wollen, wie sich Malware analysieren und abwehren lässt, wollen wir beleuchten, wer hinter all diesen Angriffen steckt.

Die Klischeevorstellung eines Hackers sieht in etwa so aus: In einem dunklen Kellerraum sitzt ein bleicher, alleinstehender Mann, der Pizza isst, Cola trinkt und einen Kapuzenpulli trägt. Dort hackt er Code in einen Rechner ein und greift so seine Ziele an. Die Realität ist selbstverständlich wie immer wesentlich vielschichtiger.

Mittlerweile agieren die Hersteller von Cyberangriffen wie kleine Unternehmen – sie bestehen aus Teams, deren Mitglieder sich auf Teilaufgaben spezialisieren und die den Vertrieb ihrer „Ware“ professionell durchführen. Schließlich ist diese Branche ein hochlukratives Betätigungsfeld geworden, denn die Umsätze mit Cyberkriminalität sollen sogar höher liegen als im weltweiten Drogenhandel.

Mehr als nur Nerds, die in Kellern sitzen

Es gibt jedoch noch eine Vielzahl an weiteren Personengruppen im Bereich der Cyberkriminalität. Um die Auflistung thematisch zu vervollständigen, sollen daher auch Akteure aus dem Bereich Cyberwar aufgeführt werden. Sie verfolgen keine monetären, sondern andere, häufig ideologische Ziele.

In der folgenden Auflistung finden sich einige Gruppen, in die sich die meisten Cyberkriminellen einteilen lassen:

Berufskriminelle

Dieser Gruppe lassen sich all diejenigen zuordnen, die ein rein wirtschaftliches Ziel an Cyberangriffen haben. Ihnen geht es darum, einen möglichst hohen Geldbetrag zu erwirtschaften – in welcher Form auch immer. Hierzu nutzen sie neben Bankingtrojanern und Spyware auch Ransomware-Angriffe oder Cryptomining-Malware.

Daneben ist auch der Verkauf von gestohlenen Daten und Informationen zu nennen: Listen von E-Mails oder anderen persönlichen Daten, Botnetzen und anderen Inhalten, für deren Herausgabe sich teils hohe Einnahmen erzielen lassen.

Sogar der Verkauf von Malware selbst fällt in diese Kategorie: Angriffe werden als Dienstleistung angeboten, so dass auch technisch weniger erfahrene oder schlechter ausgestattete Personen Attacken durchführen (lassen) können. Das kann eine neue Ransomware sein, aber auch ein einfacher DDoS-Angriff auf Unternehmen, Organisationen und Behörden.

Staatliche Akteure

Hierbei handelt es sich um Akteure, die sich nationalen Regierungen zurechnen lassen. Eines ihrer Hauptziele ist, die Situation für das eigene Land zu verbessern, sei es durch Hackerangriffe oder auch durch Sabotageaktionen, klassische Spionagetätigkeiten oder das Infiltrieren von Gegnern. Auch wenn diese Aktivitäten von einzelnen Ländern nicht offen kommuniziert werden, ist es doch ein offenes Geheimnis.

So beschuldigen sich einzelne Länder immer wieder gegenseitig dieser Angriffe – aktuell werfen das amerikanische FBI und das britische National Cyber Security Centre (NCSC) Russland vor, für eine großflächige Cyberattacke verantwortlich zu sein, in welcher Hacker in großem Umfang Netzwerkinfrastrukturen infiltriert hätten. Zur Erläuterung ziehen die beiden Behörden übrigens die Cyber Kill Chain heran.

Zur Verbrechens- und Terrorbekämpfung setzen Behörden bestimmte Programme aktiv ein, um Zielpersonen auszuspionieren und auf diese Art ermittlungsrelevante Informationen zu erhalten – der Bundestrojaner, der angeblich bereits im Einsatz sein soll, ist ein solches Beispiel dafür. Offiziell unterliegen die staatlichen Organe der Legislative und Judikative, diese Kontrolle hat in der Realität jedoch ihre Lücken.

Manche staatliche Institutionen häufen sogar eigenes Wissen über Sicherheitslücken an, ohne diese schließen zu lassen, um sie eventuell selbst einmal ausnutzen zu können. Das Problem dabei ist jedoch , dass diese sogenannten Zero-Day-Exploits in falsche Hände gelangen und anschließend eingesetzt werden können – so geschehen bei dem Ransomware-Angriff WannaCry, bei dem ein vermutlich der NSA abhanden gekommener Exploit von nordkoreanischen Hackergruppen ausgenutzt wurde.

Aktivisten, politische Gruppen

Diese Gruppe an Cyberkriminellen, auch „Hacktivisten“ genannt, führt Cyberattacken auf Basis ihrer ideologischen Grundlagen durch. Opfer können neben privaten Unternehmen auch Politiker oder staatliche Organe sein. Das Ziel ihrer Aktionen ist der Versuch, ihre politischen, sozialen oder sonstigen Vorstellungen durchzusetzen. Dabei kommen neben klassischem Hacking auch DDoS-Angriffe zum Einsatz.

Zu Hacktivisten lassen sich die Gruppen Anonymous, WikiLeaks und LulzSec zählen.

Private Firmen

Im privatwirtschaftlichen Bereich gibt es ebenfalls Aktivitäten von Cybercrime. Verallgemeinernd mit Industriespionage umschrieben, liegt das Ziel dieser Gruppe von Angreifern darin, die Konkurrenz auszuspähen, Informationen zu erlangen und diese zum eigenen Vorteil zu nutzen.

Vandalen /„Spaßvögel“

Diese Angreifer setzen sich keine strategischen Ziele für ihre Cyberattacken – vielmehr geht es ihnen darum, ihre Neugier zu stillen, neue Ideen auszuprobieren und auch, Anerkennung für ihre Erfolge zu erlangen. Es kann auch eine reine Lust an der Zerstörung sein, die diese Personengruppe antreibt.

Sicherheitsforscher

Es gibt auch Personen, die aktiv nach Schwachstellen in IT-Infrastrukturen suchen, um die Sicherheit von IT-Systemen zu erhöhen. Diese Experten sind in öffentlichen Einrichtungen wie Hochschulen und Behörden zu finden, aber auch in Privatunternehmen in sogenannten Security Labs. Die Schwierigkeit liegt jedoch manchmal darin, dass Cyberkriminelle diese veröffentlichten Erkenntnisse für ihre eigenen Zwecke missbrauchen und ausnutzen können.

Geld ist der Hauptantrieb

Interessant ist die ungefähre Verteilung der Motive, die hinter Angriffen stecken: Laut einer aktuellen Erhebung des Telekommunikationsanbieters Verizon waren im vergangenen Jahr 76 Prozent aller Sicherheitsverstöße finanzieller Natur, gefolgt von Spionageaktivitäten, „Spaß-Motiven“ und persönlichen Abneigungen. Eine weitere sehr spannende Zahl der Verizon-Studie: 28 Prozent aller Datenschutzverletzungen gingen auf das Konto von internen Mitarbeitern zurück.

Im nächsten Teil unserer Reihe beschäftigen wir uns damit, wie die Analyse von Malware funktioniert und wie sich auf Basis dieser Erkenntnisse Verteidigungsstrategien entwickeln lassen.

Vielleicht für Sie von Interesse: