17.05.2017
Cyberattacke
Botnetz Adylkuzz ging im WannaCry-Trubel unter
Autor: Luca Perler
D-Krab / shutterstock.com
Im Aufruhr um WannaCry blieb eine ähnliche Schadsoftware komplett unentdeckt. Adylkuzz nutzt offenbar dieselbe Schwachstelle aus, agiert jedoch im Hintergrund und schließt befallene Rechner zu einem Botnetz zusammen.
Am Wochenende hat die Schadsoftware WannaCry die gesamte IT-Welt in Atem gehalten. Nun entdeckten Sicherheitsexperten von Proofpoint bereits den nächsten Angriff. Dieser soll aber angeblich schon seit zwei Wochen unbemerkt laufen, schreibt das Unternehmen. Infiziert seien weltweit bereits Zehntausende PCs, und die Zahl wachse sehr schnell.
Die Adylkuzz genannte Schadsoftware kann laut Proofpoint direkt mit dem Verschlüsselungstrojaner in Verbindung gebracht werden. Denn auch sie ziele auf jene Schwachstelle ab, welche der US-Geheimdienst NSA angeblich seit längerer Zeit geheim gehalten hatte.
Die beiden Schadprogramme unterscheiden sich jedoch grundsätzlich voneinander. "Im Gegensatz zu WannaCry läuft bei Adylkuzz alles im Hintergrund des Systems ab und die Anwender wissen nicht einmal, dass sie unfreiwillig Teil eines Verbrechernetzwerks geworden sind", sagt Monika Schaufler, Regional Director DACH von Proofpoint. Denn die Opfer werden weder erpresst, noch erhalten sie eine Botschaft der Erpresser. Im Vergleich zur neu entdeckten Malware benimmt sich die Ransomware WannaCry, die alle Dateien verschlüsselt und zur Lösegeldzahlung auffordert, also wie der Elefant im Porzellanladen. "Wir vermuten, dass WannaCry mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat", so Schaufler.
Die Adylkuzz genannte Schadsoftware kann laut Proofpoint direkt mit dem Verschlüsselungstrojaner in Verbindung gebracht werden. Denn auch sie ziele auf jene Schwachstelle ab, welche der US-Geheimdienst NSA angeblich seit längerer Zeit geheim gehalten hatte.
Die beiden Schadprogramme unterscheiden sich jedoch grundsätzlich voneinander. "Im Gegensatz zu WannaCry läuft bei Adylkuzz alles im Hintergrund des Systems ab und die Anwender wissen nicht einmal, dass sie unfreiwillig Teil eines Verbrechernetzwerks geworden sind", sagt Monika Schaufler, Regional Director DACH von Proofpoint. Denn die Opfer werden weder erpresst, noch erhalten sie eine Botschaft der Erpresser. Im Vergleich zur neu entdeckten Malware benimmt sich die Ransomware WannaCry, die alle Dateien verschlüsselt und zur Lösegeldzahlung auffordert, also wie der Elefant im Porzellanladen. "Wir vermuten, dass WannaCry mehr oder weniger versehentlich von diesem subtileren Angriff abgelenkt hat", so Schaufler.
Auch die Adylkuzz-Hacker sind scharf auf virtuelles Geld
Die Hacker hinter Adylkuzz sind laut Proofpoint zwar auch auf Geld aus, bei der neuen Angriffswelle gehe es jedoch um die Krypto-Währung Monero, eine Alternative zu Bitcoin. Die digitale Währung kann auf dem Darknet-Marktplatz Alphabay etwa dazu verwendet werden, Drogen, gestohlene Kreditkarten oder gefälschte Waren zu kaufen.
Sobald Rechner mit Adylkuzz infiziert sind, beginnen diese, virtuelles Geld zu erzeugen. Die generierten Summen seien mit wenigen Dollar pro infiziertem Rechner in der Woche zwar gering. "In der Summe ergibt die hohe Zahl der befallenen Rechner allerdings ein erzeugtes Zahlungsvolumen von Zehntausenden oder Hunderttausenden Dollar", präzisiert Monika Schaufler. Deshalb sei dieses Vorgehen wesentlich profitabler als ein Erpresserangriff wie bei WannaCry.
Schaufler stellt zudem eine interessante These auf: "Möglicherweise hat Adylkuzz die weitere Ausbreitung von WannaCry sogar verhindert." Beide Schadprogramme finden ihren Weg durch den IP-Port 445 in ungesicherte Systeme. Adylkuzz blockiert diesen allerdings, sobald er sich im Rechner eingenistet hat und verschließt so das Einfallstor für WannaCry. "Die Hintermänner sorgen damit dafür, dass ihnen der Rechner exklusiv zur Verfügung steht", so Schaufler weiter, denn das Generieren von Krypto-Währung erfordere sehr viel Rechenleistung.
Obwohl ihre Rechner nun fleißig für die Cyber-Kriminellen arbeiten, bekommen die Opfer davon nicht viel mit. "Die Anwender merken lediglich, dass ihre Systeme sehr langsam wird und dass sie auf bestimmte, gemeinsam benutzte Windows-Ressourcen nicht mehr zugreifen können", so Schaufler.
Sobald Rechner mit Adylkuzz infiziert sind, beginnen diese, virtuelles Geld zu erzeugen. Die generierten Summen seien mit wenigen Dollar pro infiziertem Rechner in der Woche zwar gering. "In der Summe ergibt die hohe Zahl der befallenen Rechner allerdings ein erzeugtes Zahlungsvolumen von Zehntausenden oder Hunderttausenden Dollar", präzisiert Monika Schaufler. Deshalb sei dieses Vorgehen wesentlich profitabler als ein Erpresserangriff wie bei WannaCry.
Schaufler stellt zudem eine interessante These auf: "Möglicherweise hat Adylkuzz die weitere Ausbreitung von WannaCry sogar verhindert." Beide Schadprogramme finden ihren Weg durch den IP-Port 445 in ungesicherte Systeme. Adylkuzz blockiert diesen allerdings, sobald er sich im Rechner eingenistet hat und verschließt so das Einfallstor für WannaCry. "Die Hintermänner sorgen damit dafür, dass ihnen der Rechner exklusiv zur Verfügung steht", so Schaufler weiter, denn das Generieren von Krypto-Währung erfordere sehr viel Rechenleistung.
Obwohl ihre Rechner nun fleißig für die Cyber-Kriminellen arbeiten, bekommen die Opfer davon nicht viel mit. "Die Anwender merken lediglich, dass ihre Systeme sehr langsam wird und dass sie auf bestimmte, gemeinsam benutzte Windows-Ressourcen nicht mehr zugreifen können", so Schaufler.
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>