12 gängige Malware-Typen und wie man sich schützt

1. Viren

Ein Computervirus infiziert Geräte und repliziert sich über Systeme hinweg. Viren verbreiten sich durch menschliches Eingreifen. Sobald Benutzer den bösartigen Code auf ihre Geräte heruntergeladen haben - oft über bösartige Werbung oder Phishing-E-Mails - verbreitet sich der Virus in ihren Systemen. Viren können Computerfunktionen und Anwendungen verändern, Daten kopieren, löschen und exfiltrieren, Daten verschlüsseln, um Ransomware-Angriffe durchzuführen, und DDoS-Angriffe ausführen.

Der Zeus-Virus, der erstmals 2006 entdeckt wurde, wird auch heute noch von Bedrohungsakteuren eingesetzt. Angreifer nutzen ihn zum Aufbau von Botnets und als Banking-Trojaner, um die Finanzdaten der Opfer zu stehlen. Die Urheber von Zeus veröffentlichten 2011 den Quellcode der Malware, so dass Bedrohungsakteure aktualisierte und noch bedrohlichere Versionen des ursprünglichen Virus erstellen konnten.

2. Würmer

Ein Computerwurm vermehrt sich selbst und infiziert andere Computer ohne menschliches Zutun. Diese Malware schleust sich über Sicherheitslücken, bösartige Links oder Dateien in Geräte ein. Einmal in Systemen angekommen, suchen die Würmer nach vernetzten Geräten, die sie angreifen können. Würmer bleiben von den Benutzern oft unbemerkt und sind in der Regel als legitime Dateien getarnt.

WannaCry, auch eine Form von Ransomware, ist einer der bekanntesten Würmer. Die Malware nutzte die EternalBlue-Schwachstelle in veralteten Versionen des SMB-Protokolls von Windows aus. In seinem ersten Jahr verbreitete sich der Wurm in 150 Ländern. Im Jahr darauf infizierte er fast fünf Millionen Geräte.

3. Ransomware

Ransomware sperrt oder verschlüsselt Dateien oder Geräte und zwingt die Opfer zur Zahlung eines Lösegelds als Gegenleistung für den Freischaltvorgang. Obwohl Ransomware und Malware oft synonym verwendet werden, ist Ransomware eine spezielle Form von Malware.

Zu den gängigen Arten von Ransomware gehören die folgenden:

• Locker-Ransomware sperrt Benutzer vollständig von ihren Geräten aus.
• Krypto-Ransomware verschlüsselt alle oder einige Dateien auf einem Gerät.
• Bei Erpressersoftware (Extortionware) stehlen die Angreifer Daten und drohen, sie zu veröffentlichen, wenn kein Lösegeld gezahlt wird.
• Ransomware mit doppelter Erpressung verschlüsselt und exfiltriert die Dateien der Benutzer. Auf diese Weise können die Angreifer potenziell Zahlungen für das Lösegeld und/oder den Verkauf der gestohlenen Daten erhalten.
• Ransomware mit dreifacher Erpressung fügt einem Angriff mit zweifacher Erpressung, zum Beispiel einem DDoS-Angriff, eine dritte Ebene hinzu, um eine potenziell dritte Zahlung zu verlangen.
• Ransomware als Service, auch bekannt als RaaS (Ransomware as a Service), ermöglicht es Dritten, Ransomware zu mieten. Bei diesem Abonnementmodell erhält der Ransomware-Entwickler je nach Ausprägung einen Prozentsatz jedes gezahlten Lösegelds.

Datensicherungen waren lange Zeit die beste Verteidigung gegen Ransomware. Mit einer ordnungsgemäßen Sicherung konnten die Opfer ihre Dateien von einer bekannten, guten Version wiederherstellen. Mit dem Aufkommen von Erpressersoftware müssen Unternehmen jedoch andere Maßnahmen ergreifen, um ihre Ressourcen vor Ransomware zu schützen, zum Beispiel durch den Einsatz fortschrittlicher Schutztechnologien und Antimalware.

4. Bots

Ein Bot ist eine sich selbst replizierende Malware, die sich selbst auf andere Geräte überträgt und so ein Netzwerk von Bots oder ein Botnet bildet. Einmal infiziert, führen die Geräte automatisierte Aufgaben aus, die vom Angreifer befohlen werden. Botnets werden häufig für DDoS-Angriffe eingesetzt. Sie können auch Keylogging betreiben und Phishing-E-Mails versenden.

Mirai ist ein klassisches Beispiel für ein Botnetz. Diese Malware, die 2016 einen massiven DDoS-Angriff startete, zielt auch weiterhin auf IoT- und andere Geräte ab. Die Forschung zeigt auch, dass Botnets während der COVID-19-Pandemie florierten. Infizierte Verbrauchergeräte - häufige Ziele von Mirai und anderen Botnetzen -, die von Mitarbeitern für die Arbeit oder in den Netzwerken von Mitarbeitern verwendet werden, die von zu Hause aus mit firmeneigenen Geräten arbeiten, ermöglichen es der Malware, sich auf Unternehmenssysteme auszubreiten.

5. Trojanische Pferde, Trojaner

Ein Trojanisches Pferd beziehungsweise Trojaner ist eine bösartige Software, die dem Benutzer als legitim erscheint. Trojaner nutzen Social-Engineering-Techniken, um in Geräte einzudringen. Sobald sie in ein Gerät eingedrungen sind, wird die Nutzlast des Trojaners - bösartiger Code - installiert, um den Angriff zu erleichtern. Trojaner ermöglichen Angreifern den Zugriff auf ein Gerät durch eine Hintertür, führen Keylogging durch, installieren Viren oder Würmer und stehlen Daten.

Fernzugriffs-Trojaner (RAT, Remote Access Trojaner) ermöglichen es Angreifern, die Kontrolle über ein infiziertes Gerät zu übernehmen. Sobald sie die Kontrolle über ein infiziertes Gerät erlangt haben, können die Angreifer andere Geräte mit dem RAT infizieren und ein Botnetz aufbauen.

Ein Beispiel für einen Trojaner ist Emotet, der erstmals im Jahr 2014 entdeckt wurde. Obwohl er Anfang 2021 weltweit aus dem Verkehr gezogen wurde, haben Angreifer Emotet wieder neu entwickelt und er hilft den Bedrohungsakteuren weiterhin, Finanzdaten der Opfer zu stehlen.

6. Keylogger

Ein Keylogger ist eine Überwachungs-Malware, die Tastatureingaben überwacht. Bedrohungsakteure verwenden Keylogger, um die Benutzernamen und Kennwörter der Opfer sowie andere sensible Daten zu erhalten.

Keylogger können Hardware- oder Software-basiert arbeiten. Hardware-Keylogger werden manuell installiert, beispielsweise an einem USB-Port des Zielsystems. Sie speichern die ausgespähten Daten lokal oder versenden diese. Software-Keylogger hingegen erfordern keinen physischen Zugriff. Sie werden von den Opfern häufig über bösartige Links oder Anhänge heruntergeladen. Software-Keylogger zeichnen die Tastenanschläge auf und laden die Daten an den Angreifer hoch.

Passwortmanager tragen dazu bei, Keylogger-Angriffe zu verhindern, da die Benutzer ihre Benutzernamen und Passwörter nicht physisch eingeben müssen, so dass ein Keylogger sie nicht aufzeichnen kann.

7. Rootkits

Ein Rootkit ist eine bösartige Software, die es Bedrohungsakteuren ermöglicht, aus der Ferne auf ein Gerät zuzugreifen und es zu kontrollieren. Rootkits erleichtern die Verbreitung anderer Arten von Malware, darunter Ransomware, Viren und Keylogger.

Rootkits bleiben oft unentdeckt, da sie, sobald sie sich auf einem Gerät befinden, Antimalware- und Antiviren-Software deaktivieren können. Rootkits gelangen in der Regel über Phishing-E-Mails und bösartige Anhänge auf Geräte und Systeme.

Um Rootkit-Angriffe zu erkennen, sollten Cybersicherheitsteams das Netzwerkverhalten analysieren. Richten Sie beispielsweise Warnungen ein, wenn ein Benutzer, der sich jeden Tag routinemäßig zur gleichen Zeit und am gleichen Ort anmeldet, sich plötzlich zu einer anderen Zeit oder an einem anderen Ort anmeldet.

Das erste Rootkit, NTRootkit, erschien im Jahr 1999. Hacker Defender, eines der am weitesten verbreiteten Rootkits der 2000er Jahre, wurde im Jahr 2003 veröffentlicht.

8. Spyware

Spyware ist Malware, die sich ohne das Wissen des Nutzers auf ein Gerät herunterlädt. Sie stiehlt die Daten der Nutzer, um sie an Werbetreibende und externe Dritte zu verkaufen. Spyware kann Anmeldeinformationen nachverfolgen und Bankdaten und andere sensible Daten abrufen. Sie infiziert Geräte über bösartige Anwendungen, Links, Websites und E-Mail-Anhänge. Spyware für mobile Geräte, die sich über SMS und MMS verbreiten kann, ist besonders schädlich, da sie den Standort des Benutzers verfolgt und Zugriff auf die Kamera und das Mikrofon des Geräts hat. Adware, Keylogger, Trojaner und mobile Spyware sind allesamt Formen von Spyware.

9. Dateilose Malware

Bei dateiloser Malware installieren die Angreifer im Gegensatz zu herkömmlicher Malware keinen Code auf den Datenträgern der Opfer. Vielmehr nutzt sie die Vorteile legitimer und vermeintlich sicherer Tools wie PowerShell, Microsoft-Makros und WMI, um die Systeme der Opfer zu infizieren. Dateilose Malware befindet sich im Arbeitsspeicher. Ohne eine ausführbare Datei kann sie datei- und signaturbasierte Erkennungstools wie Antiviren- und Antimalwareprogramme umgehen.

Beachten Sie, dass dateilose Malware zwar Dateien enthalten kann, die Angriffe aber nach Abschluss des Angriffs keine Dateien hinterlassen, was eine Zuordnung erschwert.

10. Krypto-Jacking

Krypto-Mining - der Prozess der Überprüfung von Transaktionen innerhalb einer Blockchain - ist äußerst profitabel, erfordert jedoch eine immense Rechenleistung. Miner werden für jede Blockchain-Transaktion, die sie validieren, belohnt. Böswilliges Krypto-Mining, auch bekannt als Krypto-Jacking, ermöglicht es Bedrohungsakteuren, die Ressourcen eines infizierten Geräts - einschließlich Strom und Rechenleistung - für die Überprüfung zu nutzen. Dies kann zu einer Leistungsverschlechterung des infizierten Geräts und zum Verlust von Geld aufgrund der gestohlenen Ressourcen führen.

Coinhive, Vivin, XMRig Lucifer, WannaMine und RubyMiner sind Beispiele für Krypto-Mining-Malware.

11. Wiper Malware

Diese auch als Wiperware oder Data Wiper bekannte Malware wird oft als eine Art Ransomware eingestuft. Wie bei Ransomware besteht ihr Ziel darin, den Zugriff auf die Daten des Opfers zu blockieren. Im Gegensatz zu Ransomware werden die Daten jedoch zerstört, anstatt sie zu verschlüsseln und Lösegeld zu verlangen. Das Ziel von Wiper-Malware-Angriffen ist nicht finanzieller Gewinn, sondern die Löschung von Daten. Böswillige Akteure verwenden Wipe-Malware häufig, um ihre Spuren nach einem Angriff zu verwischen.

NotPetya, Azov, HermeticWiper und WhisperGate sind Beispiele für Wiper Malware.

12. Adware

Adware ist Software, die unerwünschte Werbung anzeigt oder herunterlädt, normalerweise in Form von Bannern oder Pop-ups. Sie erfasst den Verlauf des Webbrowsers und Cookies, um Nutzer gezielt mit Werbung anzusprechen.

Nicht jede Adware ist bösartig. Softwareentwickler verwenden - mit Zustimmung der Benutzer - legitime Adware, um die Entwicklungskosten zu decken. Bösartige Adware zeigt jedoch Werbung an, die zu einer Infektion führen kann, wenn sie angeklickt wird.

Bedrohungsakteure nutzen Schwachstellen, um Betriebssysteme zu infizieren und bösartige Adware in bereits vorhandene Anwendungen zu platzieren. Benutzer können auch Anwendungen herunterladen, die bereits mit Adware verseucht sind. Alternativ kann Adware beim Herunterladen einer legitimen Anwendung in einem Softwarepaket enthalten sein oder auf einem Gerät vorinstalliert sein, was auch als Bloatware bezeichnet wird.

Wie man Malware-Angriffe verhindert

Eine gute Cyberhygiene ist die beste Verteidigung gegen Malware-Angriffe. Die Prämisse der Cyberhygiene ist ähnlich wie die der persönlichen Hygiene: Wenn ein Unternehmen ein hohes Maß an Gesundheit (Sicherheit) aufrechterhält, vermeidet es, krank zu werden (angegriffen zu werden).

Zu den Maßnahmen der Cyberhygiene, die Malware-Angriffe verhindern, gehören die folgenden:

• Software patchen und aktualisieren.
• Verwenden Sie Firewalls und Sicherheitssoftware, wie zum Beispiel Antimalware- und Antivirus-Tools.
• Befolgen Sie die bewährten Verfahren zur E-Mail-Sicherheit.
• E-Mail-Security-Gateways einrichten.
• Das Anklicken von Links und das Herunterladen von Anhängen vermeiden.
• Implementieren Sie eine strenge Zugriffssteuerung.
• Wann immer möglich Multifaktor-Authentifizierung (MFA) einrichten.
• Wenden Sie das Prinzip der minimalen Rechtevergabe (POLP, Principle of the least Privilege) an.
• Eine Zero-Trust-Strategie umsetzen.
• Überwachung auf ungewöhnliche oder verdächtige Aktivitäten.

Führen Sie regelmäßig Schulungen zum Sicherheitsbewusstsein durch, um die Mitarbeiter über die Gefahren der verschiedenen Arten von Malware aufzuklären. Eine gute geschulte Belegschaft ist ein wichtiger Aktivposten in der Sicherheitsstrategie eines Unternehmens.