Die 5 häufigsten Verbreitungswege, wie Malware in Ihr Netzwerk gelangt

Ein erfolgreicher Malware-Angriff kann den Geschäftsalltag eines Unternehmens stark beeinträchtigen. Mit Hunderttausenden von neuen Malware-Versionen, die jeden Tag neu hinzukommen, ist es daher wichtiger denn je, im Kampf gegen Malware Eigeninitiative zu ergreifen.

In diesem Artikel erläutern wir die häufigsten Vorgehensweisen, wie Malware verbreitet wird. Außerdem geben wir Ihnen leicht umzusetzende Maßnahmen an die Hand, mit denen Sie das Netzwerk Ihres Unternehmens schützen können.

1. Phishing

Phishing ist eine Form des sogenannten Social Engineerings (also die Manipulation der Anwender). Dabei geben sich Angreifer als seriöser Absender aus, um das Opfer dazu zu bringen, vertrauliche Informationen herauszugeben oder Malware zu installieren. Phishing-Angriffe erfolgen meistens per E-Mail. Jeden Tag werden rund 3,4 Milliarden Phishing-E-Mails verschickt, aber auch Textmitteilungen, Social-Media-Apps und Telefonanrufe sind beliebte Werkzeuge.

Phishing gibt es in den unterschiedlichsten Formen. In der Regel verschicken die Angreifer eine E-Mail, die so aussieht, als würde sie von einer vertrauenswürdigen Einrichtung kommen, etwa einer Bank, einer Behörde oder einem bekannten Onlinehändler. Darin wird der Empfänger aufgefordert, auf einen Link zu klicken oder einen Anhang herunterzuladen. Indem der Benutzer dieser Aufforderung nachgeht, wird die Malware heruntergeladen und ausgeführt.

Auch die Auswahl der Opfer kann von einer Phishingkampagne zur nächsten sehr unterschiedlich sein. Bei herkömmlichen Angriffen verschicken die Kriminellen Nachrichten im Paket an Tausende oder sogar Millionen Menschen. Beim Spear-Phishing gehen die Angreifer selektiver vor und zielen nur auf bestimmte Teammitglieder einer bestimmten Einrichtung ab, um sich Zugriff auf wertvolle Daten zu verschaffen. Am spezifischsten ist dabei das Whaling. Dabei wird versucht, an hochrangige Personen zu gelangen, die auf höchster Ebene Zugriff auf vertrauliche Informationen haben.

Tipps zum Vermeiden von Phishing

• Webfilter: Einige Cybersecurity-Lösungen können Phishing vorbeugen, indem sie den Zugriff auf Websites blockieren, die bekanntermaßen bösartig sind. Emsisoft Anti-Malware pflegt beispielsweise eine riesige Datenbank aus bösartigen und gefährlichen Hosts, die über öffentliche Listen, überprüfte Einsendungen von Benutzern und ein Netzwerk aus spezialisierten Aufklärungsorganisationen zusammengestellt wurde. Sie wird kontinuierlich aktualisiert, um sicherzustellen, dass die Anwender auch vor den neuesten Bedrohungen geschützt sind. Versucht ein Benutzer auf eine bösartige Website zuzugreifen, blockiert Emsisoft Anti-Malware die Verbindung, damit kein Datenaustausch erfolgt.
• Mitarbeiterschulungen: Beim Phishing werden die Schwächen der menschlichen Natur ausgenutzt. Folglich ist die Weiterbildung des Personals eine der wirkungsvollsten Gegenmaßnahmen. Mitarbeiter auf jeder Unternehmensebene sollten darauf geschult werden, mögliche Anzeichen für einen Phishing-Versuch zu erkennen. Dazu gehören beispielsweise Rechtschreibfehler, falsch geschriebene URLs und ungefragt zugeschickte E-Mail-Anhänge. Außerdem sollten Eskalationsabläufe dokumentiert und verteilt werden, damit die Mitarbeiter wissen, wem sie verdächtige E-Mails und Phishing-Vorfälle melden sollen. Auf diese Weise können IT-Teams schneller auf derartige Bedrohungen reagieren und eventuelle Muster nachverfolgen. Da sich Phishing-Methoden ständig ändern, sollten Schulungen zudem regelmäßig durchgeführt werden. So wird sichergestellt, dass die Teams immer mit den neuesten Taktiken vertraut sind.
• E-Mail-Authentifizierung: Es gibt etliche E-Mail-Authentifizierungsprotokolle, mit denen Unternehmen die Echtheit von E-Mails überprüfen können, um sicherzustellen, dass sie von den rechtmäßigen Absendern stammen und nicht in irgendeiner Weise verfälscht wurden.
  • Sender Policy Framework (SPF): Mit diesem Verfahren können Domain-Inhaber die IP-Adressen festlegen, über die in Ihrem Namen E-Mails verschickt werden dürfen.
  • DomainKeys Identified Mail (DKIM): Bei diesem Protokoll wird anhand digitaler Signaturen überprüft, ob eine E-Mail-Nachricht von einem autorisierten Absender stammt und während der Übertragung verändert wurde.
  • Domain-based Message Authentication, Reporting and Conformance (DMARC): Das auf SPF und DKIM aufbauende Verfahren soll eine zuverlässigere E-Mail-Authentifizierung ermöglichen. Mit ihm können Domain-Inhaber festlegen, was mit E-Mails passiert, die eine SPF- oder DKIM-Überprüfung nicht bestehen.

2. Kompromittierte Zugangsdaten

Cyberkriminelle nutzen die unterschiedlichsten Methoden, um an Zugangsdaten zu gelangen. Sie kaufen beispielsweise Kennwörter über das Darknet oder legen Phishing-Seiten an, die wie die Websites vertrauenswürdiger Unternehmen aussehen, um Benutzer dazu zu bringen, ihr Passwort einzugeben. Sie könnten auch still und heimlich einen Keylogger auf einem System installieren, um automatisch alle Tastaturanschläge aufzuzeichnen. Eine weitere Möglichkeit sind Brute-Force-Angriffe. Dabei versuchen sie sich mithilfe automatisierter Tools, die systematisch alle möglichen Zeichenkombinationen ausprobieren, bis das richtige Kennwort gefunden wurde, bei Benutzerkonten anzumelden.

Wurden die Zugangsdaten einmal geknackt, können die Angreifer mehr oder weniger alles tun, wozu das gehackte Konto berechtigt war. In einigen Fällen bringen sie direkt die Malware zum Einsatz. In anderen Fällen lassen sie sich Zeit und nutzen die Berechtigungen aus, um sich lateral im Netzwerk auszubreiten und die Umgebung weiter vorzubereiten, damit ihr Angriff die größtmögliche Wirkung hat.

Tipps zum Absichern der Zugangsdaten

• Zwei-Faktor-Authentisierung (2FA): Die 2FA bietet eine zusätzliche Schutzschicht, indem Anwender zum Anmelden bei ihren Konten mindestens zwei Arten der Authentisierung verwenden müssen. In den meisten Fällen handelt ich dabei um ein Passwort und einen Code, der per Textnachricht zugeschickt oder über eine App erstellt wird. Werden die Zugangsdaten eines Mitarbeiters gestohlen, können die Angreifer ohne die zweite Authentifizierungsmethode dennoch nicht auf das Konto zugreifen.
• Passwortmanager: Den Überblick über die zahllosen Benutzernamen und Kennwörter zu behalten, die Bestandteil unseres digitalen Lebens sind, ist einfacher gesagt als getan. Folglich gehen viele Benutzer den bequemen Weg und setzen dasselbe Passwort für mehrere Konten ein. Dabei besteht jedoch das Risiko, dass beim Verlust der Daten für ein Konto die Angreifer diese auch nutzen, um auf die anderen Konten mit denselben Anmeldedaten zuzugreifen. Diese Gefahr lässt sich vermeiden, indem Sie einen vertrauenswürdigen Passwortmanager verwenden, in dem Anwender all ihre Kennwörter an einem sicheren Ort speichern können.
• Prinzip der geringsten Berechtigungen: Bei diesem Sicherheitskonzept haben Benutzer immer nur minimale Zugriffsrechte für ihre Konten. Sie haben also lediglich die Berechtigungen, die sie zum Durchführen ihrer jeweiligen Aufgabe benötigen – nicht mehr und nicht weniger. Auf diese Weise lassen sich die Auswirkungen bei einem Zwischenfall minimieren. Werden beispielsweise die Zugangsdaten eines Benutzers beeinträchtigt, können Angreifer nur auf die Systeme und Daten zugreifen, für die der Benutzer auch die Berechtigungen hat.

3. Exploit Kits

Exploit Kits sind Tools, mit denen Angreifer bekannte Sicherheitslücken in der Software aufspüren und missbrauchen, die auf den Client-Geräten installiert ist. Wurde die Schwachstelle etwa im Betriebssystem, im Browser oder in anderen Anwendungen gefunden, setzt das Tool automatisch zielgerichtete Malware ein, die speziell darauf ausgelegt ist, diese Lücke auszunutzen.

Cyberkriminelle bringen Exploit Kits häufig auf kompromittierten Websites unter. Besucht ein Benutzer diese dann, scannt das Exploit Kit dessen System automatisch auf Schwachstellen, um darüber dann Malware bereitzustellen.

Dieser Vorgang wird auch als Drive-by-Download bezeichnet. Diese Angriffsmethode ist dahingehend einzigartig, dass keine spezifische Aktion seitens des Benutzers erforderlich ist, um die Infektionskette zu starten. Allein der Besuch der kompromittierten Website reicht aus, um sich mit der Malware zu infizieren.

Tipps zum Vermeiden von Exploit Kits

• Updates ausführen: Die meisten Exploit Kits machen sich bekannte Sicherheitslücken zunutze – also solche, die bereits seitens der Hersteller behoben wurden. Schützen Sie Ihr System also aktiv mit einer guten Patchverwaltung und wenden Sie Sicherheitsupdates immer zeitnah an. Je länger Sie damit warten, einen Sicherheitspatch zu installieren, umso höher ist das Risiko, dass Sie Opfer eines Exploits werden.
• System widerstandsfähiger machen: Installieren Sie nur Software, die der jeweilige Anwender für seine Aufgaben benötigt. Überprüfen Sie die aktuell installierten Programme und entfernen Sie jegliche unnötigen Anwendungen sowie überflüssige Browsererweiterungen und Systemtools.

4. Kompromittierte Managed Service Provider

Managed Service Provider (MSPs) sind bei Cyberkriminellen ein attraktives Ziel, da sie für die Fernverwaltung der IT-Infrastruktur mehrerer Kunden verantwortlich sind. Indem sie einen einzelnen MSP erfolgreich kompromittieren, können sich Angreifer oft Zugriff auf das Netzwerk von dessen Kunden verschaffen. Außerdem können sie dessen Infrastruktur – häufig RMM-Software (Fernüberwachung und -verwaltung) – missbrauchen, um bei mehreren Zielen gleichzeitig Malware bereitzustellen.

Für MSPs können die Auswirkungen eines Vorfalls gewaltig sein. Sie müssen daher zuverlässige Sicherheitsvorkehrungen einrichten, um sich und ihre Kunden zu schützen. Dazu gehören die mehrstufige Authentisierung, die Überwachung auf ungewöhnliche Aktivitäten sowie regelmäßige Überprüfungen des Sicherheitsstatus auf Schwachstellen. Darüber hinaus sollten MSPs über einen ausgereiften Notfallplan verfügen, falls es doch einmal zu einer Sicherheitsverletzung kommt.

Tipps zum Vermeiden von Malware-Angriffen über MSPs

• Wählerisch sein: Die Software-Anbieter, mit denen Sie zusammenarbeiten, können direkten Einfluss auf die Sicherheit Ihres Betriebs, die Integrität Ihrer Daten und den Ruf Ihres Unternehmens haben. Seien Sie also ruhig wählerisch. Sprechen Sie mit den zur näheren Auswahl stehenden MSPs Bedenken an, bitten Sie um Referenzen und schauen Sie sich ihre bisherigen Erfolge an. Haben sie einen angemessenen Notfallplan? An welchen Rahmenwerken oder Compliance-Strukturen orientieren sie sich? Wie oft überprüfen sie ihre Sicherheitsprozesse? Nehmen Sie am besten alles schriftlich in Ihren Dienstleistungsvertrag auf, um sicherzustellen, dass der Anbieter die Cybersecurity-Normen einhält.
• Für RMM-Software 2FA einsetzen: Auch wenn sie nicht unfehlbar ist, so ist die 2FA dennoch eine wirkungsvolle Methode, um das Risiko einer Sicherheitsverletzung durch eine kompromittierte RMM-Software zu minimieren.

5. Raubkopien

Die Verwendung von raubkopierter Software ist nicht nur illegal, sondern auch eine häufige Quelle für Malware. Cyberkriminelle verwenden Raubkopien gern als Instrument, um die verschiedensten Malwares wie Keylogger, Ransomware, Trojaner, Hintertüren, Cryptojacker, Adware und dergleichen zu verbreiten.

In einigen Fällen funktioniert die Software wie angepriesen, während im Hintergrund allerdings der schädliche Payload ausgeführt wird. Manchmal erstellen Angreifer jedoch auch gefälschte Versionen von beliebten Programmen, die keinerlei Funktion erfüllen und die Anwender stattdessen nur mit Malware infizieren. Selbst legitime Software kann mitunter im Paket mit Malware oder potenziell unerwünschter Software bereitgestellt werden.

Tipps zum Vermeiden von Malware-Infektionen über Raubkopien

• Raubkopien vermeiden: Sie sind es einfach nicht wert. Neben dem Risiko von Malware-Infektionen erhalten Raubkopien gewöhnlich auch keine regelmäßigen Updates. Das bedeutet, dass Sie wichtige Sicherheitspatches verpassen könnten, die Ihre Anwendungen dann wiederum anfällig für Exploits machen könnten. Es gibt so viele Anwendungen, Spiele und Tools, die als Freeware oder Fremium-Version erhältlich sind, dass sich Raubkopien schlicht nicht lohnen.
• Gar nicht erst danach suchen: Websites, auf denen raubkopierte Software angeboten wird, sind häufig voller Anzeigen, die Benutzer auf bösartige Websites weiterleiten oder dazu bringen, Malware herunterzuladen und zu installieren. Halten Sie sich also am besten von derartigen Seiten fern.

Fazit

Cyberkriminelle gehen zahlreiche Wege, um Malware zu verbreiten, wie Phishing-Angriffe, gestohlene Zugangsdaten, Exploit Kits, kompromittierte MSPs und raubkopierte Software. Es ist also wichtig, diese Angriffsmethoden zu kennen und entsprechende Vorsichtsmaßnahmen zu treffen, um sein Netzwerk zu schützen.

Schützen Sie Ihr Netzwerk mit Emsisoft Anti-Malware. Hier können Sie eine kostenlose Testversion herunterladen.

Übersetzung: Doreen Schäfer