WannaCry, NotPetya und BadRabbit beherrschten in den vergangenen Monaten die Schlagzeilen. Dabei sind auch einige alte Bekannte immer noch brandgefährlich. Wir zeigen Ihnen die gefährlichste Alt-Malware.
Die Regierungsbehörden und die IT-Security-Brancheziehen öfter gemeinsam an einem Strang, um aktuelleMalware-Bedrohungen zu entschärfen. Das beinhaltet im Wesentlichen die Schritte Detection, Sandboxing, Reverse Engineering und letztendlich die Liquidation der Malware. Letzteres geschieht entweder über einen Kill Switch (falls es einen gibt) oder indem die Command-and-Control-Server, über die die Schadsoftware gesteuert wird, beschlagnahmt werden. Davon ausgehend lassen sich die Domains, die zur Kommunikation zwischen infizierten Rechnern genutzt werden, unter Kontrolle bekommen.
Alt und doch brandgefährlich: Wir zeigen Ihnen die vier schlimmsten Alt-Malware-Bedrohungen für Unternehmen. Foto: Oriole Gin - shutterstock.com
Alte Malware in neuen Schläuchen
Und dennoch gibt es einige betagte Malware-Familien, die bis heute eine ernsthafte Bedrohung für Unternehmen in allen Branchen darstellen. Die Schadsoftware-Klassiker nutzen dabei in der Regel alte Sicherheitslücken oder verbreiten sich über Phishing-Mails, infizierte USB-Devices oder gefälschte, beziehungsweise infizierte Webseiten. Eine aktuelle Untersuchung des Sicherheitsanbieters Check Point führt "Conficker" und "Zeus" - beide älter als fünf Jahre - unter den Top Ten der weltweit gängigsten Malware-Bedrohungen.
Warum kann sich alte, längst bekannte Malware immer noch in Unternehmensnetzwerken verbreiten? Glaubt man Experten, liegt das in der Regel anfehlerhaftem Patching, Virenschutz mit abgelaufenem Verfallsdatum oder daran, dass es sich um Legacy-Systeme handelt, die sich weder schützen noch upgraden lassen. Healthcare-Equipment ist das beste Beispiel.
Dazu kommt, dass alte Schadsoftware des Öfteren auch einfach neu verpackt und im Darknet zum Kaufangeboten wird, wie Richard De Vere, von The Antisocial Engineer weiß: "Die Kernkomponenten alter Malware werden auch heute noch genutzt. Die Autoren der Schadsoftware kombinieren Stücke des alten Codes und nutzen ihn für aktuelle Kampagnen. Dabei wird allerdings mehr nach dem Zufallsprinzip verfahren: Wenn es zufällig funktioniert, bleibt es eben so."
Retro-Malware: Best Of
Platz 10: Yankee Doodle Dieser DOS-Virus tauchte zum ersten Mal im Jahr 1990 auf - geschrieben wurde er von einem bulgarischen Hacker. Der Virus setzte sich im Speicher fest und infizierte dort .com- und .exe-Files. Bekannt wurde er in erster Linie wegen seines Soundeffekts: einmal auf dem System, spielte er jeden Tag um 16 Uhr "Yankee Doodle". Nervte bestimmt überhaupt nicht.
Platz 9: Mars Land Das Alleinstellungsmerkmal dieses MS-DOS-Virus, der sich im Jahr 1997 über Newsgroups verbreitete, ist die coole - wenn auch etwas primitive - topographische Karte des Mars.
Platz 8: Hymn Wenn sich diese DOS-Malware per Download ihren Weg ins System gebahnt hatte, wartete der SChädling zunächst bis zu einem (einstellbaren) Zeitpunkt ab, nur um dann Daten auf dem Bootsektor zu vernichten. Um der ganzen Sache einen Hauch von Klassenkampf zu verleihen, wurde zeitgleich die Hymne der ehemaligen UdSSR abgespielt. Dabei war Hymn eine ernsthafte Bedrohung und konnte die Rechner seiner Opfer unbrauchbar machen, ohne dass dazu besondere Tools nötig gewesen wären.
Platz 7: LSD Dieses unheilvolle Werk kam in Form eines Woodstock-esken Videos auf die Rechner seiner arglosen Opfer. Während diese staunend versuchten, sich während des Hippie-Videos selbst zu finden, überschrieb der Arbeitsspeicher-unabhängige Virus sämtliche Files im betroffenen Verzeichnis. Gekrönt wurde das Ganze mit der Text-Message "Coded By Death Dealer 4/29/94".
Platz 6: Casino Dieses diabolische Exemplar ist ganz offiziell Mikko Hypponens Lieblings-Exponat im Malware Museum. Bei Befall war auf den Rechnern der Opfer folgende Nachricht zu lesen: "I have just DESTROYED the FAT on your disk!! However, I have a copy in RAM and I'm giving you a last chance to restore your preciuos data." Im Anschluss durften Betroffene fünf Runden "Jackpot" spielen - mit der vermeintlichen Chance, ihre Daten zu retten. Allerdings machte Casino in den meisten Fällen Ernst und zwang die Nutzer, ihr Betriebssystem neu aufzusetzen.
Platz 5: Walker Dieser DOS-Virus war - abgesehen von Pornobildchen in manchen Varianten - relativ harmlos. Auf die Schundbildchen zur Einführung folgte der "Walker" - ein animiertes Männchen, dass alle 30 Sekunden von rechts nach links durchs Bild läuft. Bei dem Pixeltypen handelte es sich übrigens um einen Charakter aus einem längst vergessenen Videospiel namens "Bad Street Brawler". Effekt: Während sich der Kerl über den Screen bewegte, war keine Dateneingabe möglich.
Platz 4: Crash Über diesen DOS-Virus ist relativ wenig bekannt - außer dass er mit Vorliebe .com-Files befiel. Seine Popularität unter den Malware-Museum-Exponaten verdankt er in erster Linie seinem spektakulären optischen Auftritt: Der Bildschirm füllte sich mit schwachsinnigen Zeichenfolgen und Netzhautablösungs-affinen Farben - nur zum Zweck, die betroffenen Nutzer in möglichst ausufernde Panik zu versetzen. Das bunte Happening auf dem Screen konnte man übrigens mit der Tastenkombi STRG + ALT + ENTF anhalten - nur um dann zu erfahren, dass alle Dateien kurzerhand gelöscht wurden.
Platz 3: Skynet Dieses beängstigende Stück Malware ließ sich vom Arnold-Schwarzenegger-Blockbuster "Terminator" inspirieren. Einmal im System, infizierte der Schadcode postwendend sämtliche .exe-Dateien und sorgte für dramatische Slowdowns. Wenig später begrüßte eine schicke gelbe Textmessage auf unverfänglichem roten Grund betroffene User: "Don't be afraid. I am a very kind virus." - zumindest vernichtete Skynet keinerlei Daten. Nervig dürfte der Virus für Betroffene trotzdem gewesen sein.
Platz 2: CoffeeShop Dieser - vermutlich in Schweden programmierte - DOS-Virus wurde erstmals 1992 entdeckt. Er verpasste infizierten Files den Textstring "CoffeeShop" und vervielfältigte sich selbst. Mehr nicht. Besonders populär dürfte der Oldschool-Schädling in den Download-Charts des Malware Museums wohl wegen seines aussagekräftigen Designs sein.
Platz 1: A&A Der beliebteste Retro-Virus heißt A&A, infizierte .com-Files und änderte Zeit und Datum auf dien Zeitpunkt der Infektion. Auf visueller Ebene beschränkte sich der Virus darauf, seine Opfer mit diversen, beängstigenden Screens. Erstmals tauchte der vermutlich in Russland programmierte DOS-Virus im Jahr 1993 auf. Die Erklärung für die Popularität im Malware-Museum? Unbekannt. Entweder hat es nostalgische Gründe oder es liegt daran, dass die Oldschool-Viren in alphabetischer Reihenfolge geordnet sind.
Und was sagen die CISOs?
"Für Chief Information Security Officer und ihre SOC-Teams ist das eine schwierige Situation", erklärt Chritsian Toon, CISO beim Rechtsberatungsunternehmen Pinsent Masons. "Die Geschwindigkeit, mit der die Schadsoftware lernt, traditionelle, signaturbasierte Softwarelösungen zu umgehen, deckt sich in der Regel nicht mit der Reaktionsgeschwindigkeit von Unternehmen."
Dabei geht es nicht nur um Patch Management und Antivirus-Software, sondern auch um Awareness. Denn die Evolution der Malware geht nach Aussage von Toon längst über das traditionelle Anwendungsgebiet der IT-Spezialisten hinaus, die ohnehin meist mit Ressourcenmangel und Zeitdruck zu kämpfen haben. "Weniger große Unternehmen haben einfach nicht die Kapazitäten, um sich mit der Geschichte und dem Ökosystem rund um die Bedrohung durch Malware auseinanderzusetzen. Sie beheben eben das aktuelle Problem und kümmern sich anschließend um das nächste."
Geordie Stewart, CISO und Berater bei Risk Intelligence, sieht in alter Malware ein großes Problem für viele Unternehmen: "Viele Firmen haben sich immense Security-Aufgaben aufgehalst und sind deswegen einem immensen Risiko ausgesetzt. Oft sind noch Betriebssysteme im Einsatz, die längst keine Sicherheitsupdates mehr erhalten. Die Aktualisierung dieser Systeme wird aber dennoch immer wieder wegen ihrer Komplexität aufgeschoben. Schließlich kann es ein schwieriges Unterfangen sein, alle Abhängigkeiten zwischen den Systemen zu identifizieren, bevor die Migration erfolgen kann."
Oldie-Futter für den Malware-Scanner
Das sind die vier schlimmsten, "alten" Malware-Bedrohungen für Unternehmen: