11. November 2024 Malware-as-a-Service und der Handel mit Cybercrime-Tools [Interview]

Der Cybersecurity-Experte Joe Pichlmayr erklärt im Interview, warum Malware-as-a-Service eine florierende kriminelle Branche ist und welche Gefahr davon ausgeht.

Malware-as-a-Service, abgekürzt MaaS, ist ein ausgereiftes Geschäftsmodell im Cybercrime-Business. Außerdem stellen MaaS einen signifikanten Anteil der im Umlauf befindlichen Schadprogramme. Joe Pichlmayr, Cybersecurity-Experte und Geschäftsführer von IKARUS Security Software, erklärt im Interview, warum MaaS unter den Cybercrime-Tools so erfolgreich ist.

Malware-as-a-Service im Fokus: ein Interview

Herr Pichlmayer, was versteht man unter dem Begriff „Malware-as-a-Service“?
Joe Pichlmayr: „Malware-as-a-Service“ ist ein florierendes Geschäftsmodell, bei dem Kriminelle verschiedene Schadprogramme von Anbietern mieten, kaufen oder entwickeln lassen können. Das Konzept umfasst auch unterschiedlichste Dienstleistungen, die sich individuell nach dem Kundenwunsch richten.

Welche Geschäftsmodelle gibt es bei MaaS-Anbietern?
Pichlmayr: Kunden können höchst individuelle Wünsche äußern und zum Beispiel Malware in Auftrag geben, die sich gezielt gegen bestimmte Applikationen richtet oder bestimmte Sicherheitslücken ausnutzen kann. In der Regel verlangen die Kunden, dass der „neue“ Malwarecode von keinem Virenscanner erkannt werden darf beziehungsweise auch von EDR-Systemen (Endpoint Detection and Response, Anm. d. Red.) nur sehr schwer bis gar nicht erkannt werden kann. Das Geschäftsmodell umfasst weiters auch Ransomware-as-a-Service, wo man die ganze Angriffskette vom initialen Angriffstool bis hin zum Verhandler buchen kann. Gleiches gilt für Banking-Trojaner, Key-Logger und Bot-Netzwerke.

Es ist immer wieder überraschend, wie hoch entwickelt der Support rund um Malware-as-a-Service mittlerweile ist. Vom Manual bis hin zu Foren und Chatbots, wo man direkt mit den Entwicklerinnen und Entwicklern sprechen kann, ist hier alles vorhanden. Vom Marketing über die Umsetzung bis hin zur Preisgestaltung übernehmen die Kriminellen alle Businesselemente, die es auch im legalen As-a-Service-Bereich gibt. Der Markt ist ziemlich ausgereift und eine logische Konsequenz einer langjährigen hochgradigen arbeitsteiligen Spezialisierung.

Warum ist MaaS so gefährlich?
Pichlmayr: MaaS ermöglicht ganz gezielte Angriffe auf individuelle Infrastrukturen und kann erhebliche Kollateralschäden verursachen. Jeder Angreifer steht letztlich auch unter wirtschaftlichem Druck und will mit seinem „Investment“ das Maximum abschöpfen. MaaS ist dafür das Mittel der Wahl und vergrößert sich daher sukzessive als Segment im Bereich Cybercrime.

Wie werden die Deals finanziell abgewickelt?
Pichlmayr: In der Regel mit Kryptowährungen. Denn diese sind eine universelle Währung, die keinen Vermittler wie zum Beispiel eine Bank benötigt. Dadurch können Finanztransaktionen relativ versteckt und nur schwer nachvollziehbar durchgeführt werden, das heißt ohne die Möglichkeit einer einfachen Kontrolle oder einer einfachen rückwirkenden Prüfung. Bei der Bezahlung mittels Kryptowährung werden deshalb meist verschiedene Währungen „gemixt“ und das auf verschiedene Abhebungen und Zahlungen aufgeteilt. So lässt sich das Prinzip „Follow the Money“ erschweren, das bei der Strafverfolgung in anderen Fällen sehr hilfreich ist.

Welche Rolle spielen Darknet-Marktplätze bei der Verbreitung von MaaS?
Pichlmayr: Eine gewichtige, aber mit abfallender Tendenz. Die ersten Services, die im Darknet groß geworden sind, waren Ransomware-as-a-Service-Anbieter oder -Plattformen. Seine Dienste nur im Darknet anzubieten hat jedoch den Nachteil, dass die Zielgruppe an möglichen Kunden limitiert ist. Doch auch Cyberkriminelle wollen möglichst gewinnorientiert arbeiten und ihren Service einem möglichst großen Kreis an potenziellen Kunden bekanntmachen. Aus diesem Grund findet man entsprechende Angebote immer häufiger im Clear Web, also dem allgemein zugänglichen Internet. Die Abwicklung selbst findet dann aber durchaus auch wieder im Darknet statt.

Welche gängigen Arten von Malware werden sonst noch von Cyberkriminellen angeboten?
Pichlmayr: Den größten Anteil stellen sicher MaaS und Ransomware. Bei größeren Anbietern gibt es auch sehr hybride Modelle vom kompletten Service bis hin zu Einzelkomponenten. Ebenfalls nicht zu vernachlässigen ist der Anteil der Banking-Trojaner. Onlinebanking-Systeme sind im Regelfall sehr gut geschützt. Dadurch wird der Aufwand, selbst eine Malware zu kreieren, mit der ein Onlinebanking-Prozess korrumpiert werden kann, sehr hoch. Wer die passende Malware als käuflichen Service anbietet, wird also sicher erfolgreich sein.

Botnetze haben ohnehin immer Saison. Dabei geht es weniger um PCs als um Internet-of-Things-Geräte. Früher gab es auch mehr Phishing-Kits. Dieses Segment rückt aber aufgrund der vielen Pretrainer (KI-Modell, das für bestimmte Aufgaben trainiert wird) wieder in den Hintergrund. Denn Phishing-Mail-Kampagnen lassen sich mittlerweile auch ganz einfach via ChatGPT erstellen.

Über welchen Kommunikationsweg wird Malware am häufigsten verbreitet?
Pichlmayr: Per E-Mail, und zwar als Dateianhang oder als Link mit Weiterleitung – ob als Phishing beziehungsweise Spear-Phishing getarnt oder nicht. E-Mail ist auch nach wie vor der Primär-Verbreitungsweg für „drive-by-attacken“. Ebenfalls ein hohes Risiko bergen Malvertising-Kampagnen – dabei werden Malwarecodes auf vertrauenswürdige Webseiten eingebettet. Exploit-Kits sind vor allem brandgefährlich, wenn neue Lücken bekannt werden, aber Sicherheitspatches nicht zeitnah verfügbar oder einspielbar sind.  Auch riskant und nicht zu vergessen sind herumliegende USB-Sticks oder Devices. Für eine Infektion des Systems genügt es dann, dass die Finderin oder der Finder den Stick an ein Gerät anschließt.  Supply-Chain-Attacken (Angriff auf Netzwerk über Drittanbieter-Software) werden leider ebenso häufiger wie Malware-Codes, die via Appstore verbreitet werden.

Was können Unternehmen und Organisationen tun, um sich vor MaaS-basierten Angriffen besser zu schützen?
Pichlmayr: Primär ein Bewusstsein für die Problematik entwickeln, dass gezielte Angriffe dank MaaS immer wahrscheinlicher werden und diesen Umstand in seinen Sicherheitsrichtlinien abbilden. Im Prinzip bedarf es der Umsetzung jener Sicherheitsvorkehrungen, die ohnehin unumgänglich sein sollten. Das bedeutet: Alle Patches sollten auf dem neuesten Stand gehalten und die neuesten Sicherheitskonzepte sollten umgesetzt werden. Das ist für kleine und mittlere Unternehmen aber nicht immer einfach.  

Einer der größten Sicherheitsfaktoren ist immer der Mensch hinter dem System. Phishing-E-Mails können so täuschend echt sein, dass selbst Spezialistinnen und Spezialisten darauf reinfallen können. Eine hundertprozentige Sicherheit gibt es hier nicht.

Welche Verschleierungsmethoden kommen zum Einsatz, um die Erkennung von Malware-Kampagnen zu umgehen?
Pichlmayr: Da gibt es leider einige verschiedene Tricks, um möglichst keine Warnlichter beim Verteidiger aufscheinen zu lassen. Ein Zauberwort dafür ist „Obfuscation“ – der Entwickler von Malware weiß wie Endpoint-Protection, Sandboxen, Virenscanner und andere Sicherheitssysteme funktionieren und versucht seiner „Kreation“ entsprechende Fähigkeit zu verleihen, um sich der Entdeckung oder Analyse möglichst lange zu entziehen oder – etwa bei dynamischen Verfahren – das Sicherheitssystem zu falschen Analyse-Ergebnissen zu verleiten.

Nach einer erfolgreichen Infektion mit Malware wollen die Angreifer auch sichergestellt wissen, dass Sie sicher mit ihrem „Malwarecode“ kommunizieren können, die Kontrolle über diesen nicht verlieren und keine Rückschlüsse auf sie gezogen werden können. Die Kommunikation mit dem Viruscode erfolgt daher auch verschlüsselt.

Bei einer anderen immer noch häufig zum Einsatz kommenden Methode wird der Virus mit Packern/Cryptern (Programm, um Dateien zu komprimieren) eingepackt. Einen solchen Packer kann man selbst entwickeln, so dass das Antivirenprogramm nicht in der Lage ist, das Paket auszupacken und reinzuschauen. Mit einer Sicherheitsumgebung, die nichts durchlässt, das nicht vollständig validiert werden konnte, ist man auf der sicheren Seite. Aber auch hier gibt es leider Möglichkeiten, die Sicherheitsbarrieren auszutricksen.

Eine weitere große Herausforderung für Verteidiger ist sogenannte Fileless Malware, also dateilose Malware. Dieser Typ von Schadsoftware schreibt sich nicht auf die Festplatte, sondern nutzt legitime Prozesse und bleibt im Arbeitsspeicher.