Dem Risiko Malware as a Service richtig begegnen

Wie funktioniert Malware as a Serivce?

Das MaaS-Geschäftsmodell basiert auf Malware-Entwicklern, die ihre Malware über private Chat-Kanäle, Dark-Web-Marktplätze und andere Untergrundforen erstellen und vermarkten.

Anschließend erwerben interessierte Kunden - darunter sowohl Neulinge im Bereich der Cyberkriminalität als auch erfahrene Angreifer, die ihre bestehenden Angriffe ausweiten möchten - Zugang zu den Malware-Produkten.

Malware-Gruppen können verschiedene Zahlungsstrukturen anbieten, die in der Regel Kryptowährungen wie Bitcoin erfordern, da diese schwerer zu verfolgen sind:

• Abonnement-Dienste - beispielsweise monatlich oder jährlich - bieten Cyberkriminellen eine schnelle und einfache Möglichkeit, mit der Verbreitung zu beginnen.
• Pay-per-install-Dienste basieren auf der Anzahl der erfolgreichen Malware-Installationen auf den Zielrechnern.
• Bei Diensten mit Gewinnbeteiligung erhalten MaaS-Betreiber einen Prozentsatz der Gewinne aus erfolgreichen Angriffen ihrer Kunden.
• Vollständige Käufe sind zwar technisch gesehen keine „As-a-Service“-Angebote, geben Cyberangreifern aber gegen eine einzige Zahlung dauerhaften Zugang zu Malware.

Sobald sie ein Abonnement abgeschlossen haben, verbreiten MaaS-Nutzer die Malware an ihre Opfer. Zu den üblichen Verbreitungsmethoden gehören Phishing-E-Mails mit bösartigen Anhängen oder Links, das Ausnutzen von Schwachstellen in Betriebssystemen und Bibliotheken, Malvertsing über mit Malware infizierte Werbung auf Websites, Podcasts, Videokanälen etc. sowie Social-Engineering-Kampagnen.

Welche verschiedenen Arten von MaaS gibt es?

Zu den gängigen MaaS-Optionen, die von Malware-Gruppen angeboten werden, gehören die folgenden:

• Information Stealer erbeuten über Phishing-Angriffe oder Drive-by-Downloads Anmeldeinformationen, persönliche Daten und sensible Geschäftsdaten. Die Cyberangreifer verkaufen die Daten dann im Dark Web oder nutzen sie für künftige Angriffe. Beispiele für Infostealer sind Raccoon Stealer und AZORult.
• Initial Access Broker (IAB) verschaffen sich unbefugten Netzwerkzugang zu Organisationen und verkaufen diese Einstiegspunkte, sind selbst aber meist nicht direkt in Angriffe verwickelt. IAB spielen insbesondere auch im Zusammenhang mit Ransomware eine Rolle.
• Kryptojacking-Malware stiehlt keine Daten, sondern nutzt illegal den Strom und die Rechenleistung eines Opfersystems für Krypto-Mining. Dies verringert die Systemeffizienz und kann die Kosten erhöhen. Beispiele für Krypto-Jacker sind XMRig und perfctl.
• Botnets sind Netzwerke infizierter Geräte, die für DDoS-Angriffe, Spam-Netzwerke und benutzerdefinierte MaaS-Angriffe verwendet werden. Beispiele für Botnetze sind Mirai und Emotet.
• Ransomware as a Service ist abonnementbasierte, gebrauchsfertige Ransomware. Cyberangreifer verlangen ein Lösegeld im Austausch für exfiltrierte Daten oder den Entschlüsselungsschlüssel. Beispiele für RaaS sind LockBit und Goliath.

Zu den angebotenen MaaS-Typen gehören auch Adware, Keylogger, Spyware, Würmer, Trojaner und mehr.

Wie man sich vor MaaS-Angriffen schützt

Da Malware as a Service wie gezeigt in mannigfaltiger Ausprägung feil geboten wird, gelten für die Sicherheit dieselben Regeln, mit deren Einhaltung man ohnehin gut beraten ist.

Um sich gegen MaaS zu schützen, sollten Unternehmen eine mehrschichtige, tiefgreifende Sicherheitsstrategie (Defense-in-depth) implementieren, die aus sich ergänzenden Kontrollen und Richtlinien besteht. Ziehen Sie die folgenden Punkte in Betracht:

E-Mail-Sicherheit. Implementieren Sie ausgereifte Spam-Filter, um verdächtige E-Mails zu identifizieren und unter Quarantäne zu stellen, und nutzen Sie KI-gestützte Tools, um raffinierte Phishing-Versuche besser zu erkennen.

Endpunkt-Schutz. Einsatz und regelmäßige Aktualisierung von Antiviren- und Antimalware-Software sowie von Tools zur Erkennung und Reaktion auf Endgeräte (EDR-Lösungen). Implementieren Sie eine Anwendungszulassungsliste (Application Allowlisting), um den Zugriff der Mitarbeiter auf nur genehmigte und sichere Anwendungen zu beschränken.

Netzwerksicherheit. Setzen Sie Firewalls und Systeme zur Erkennung und Verhinderung von Eindringlingen ein (Intrusion Detection und Intrusion Prevention) und implementieren Sie eine Segmentierung, um seitliche Bewegungen zu begrenzen. Verwenden Sie außerdem Zero Trust und sichere Remote-Zugangslösungen (SASE, ZTNA, VPN), um den Fernzugriff von Mitarbeitern zu sichern.

Patch- Management. Führen Sie ein aktuelles Inventar aller genutzten Systeme und Software. Implementieren Sie ein effizientes Patch-Management-Verfahren und setzen Sie Prioritäten für kritische Sicherheitsupdates.

Kontrolle des Benutzerzugriffs. Anwendung des Prinzips der geringsten Privilegien (POLP), um den Benutzerzugriff zu begrenzen. Richten Sie eine Multifaktor-Authentifizierung (MFA) ein und überprüfen Sie regelmäßig die Zugriffsberechtigungen der Benutzer.

Schulung und Sensibilisierung der Mitarbeiter. Führen Sie regelmäßig Schulungen zum Thema Cybersicherheit durch, um die Mitarbeiter über Malware-Trends und deren Vermeidung auf dem Laufenden zu halten. Führen Sie Phishing-Simulationen durch, um die Wachsamkeit der Mitarbeiter zu testen.

Sicherung und Wiederherstellung. Entwickeln und implementieren Sie eine Backup-Strategie und testen Sie regelmäßig die Wiederherstellungsprozesse von Backups. Speichern Sie Backups offline oder in abgeschirmten Systemen (Air Gapped).

Plan zur Reaktion auf Zwischenfälle (Incident Response Plan). Entwicklung und regelmäßige Aktualisierung eines Reaktionsplans und eines Kommunikationsplans für die Reaktion auf Zwischenfälle. Durchführung von Tabletop-Übungen zur Reaktion auf Zwischenfälle, um die Prozesse der Reaktion auf Zwischenfälle zu testen.

Sicherheitsbewertungen. Durchführung von Schwachstellenanalysen und Penetrationstests. Einhaltung von Industriestandards, Regularien, Verordnungen und Gesetzen sowie Durchführung von Sicherheitsprüfungen zur Bewertung der Systemsicherheit.