Malware, ein Synonym für „schädliche Software“, bezieht sich auf jede Software, jeden Code oder jedes Computerprogramm, das absichtlich dazu entwickelt wurde, einem Computersystem oder seinen Benutzern Schaden zuzufügen. Praktisch jedes moderne Cyberangriff handelt es sich um irgendeine Art von Schadsoftware. Der Schweregrad dieser schädlichen Programme kann von äußerst destruktiv bis kostspielig reichen (Ransomware) bis hin zu lediglich lästig, aber ansonsten harmlos (Adware).

Jährlich, gibt es Milliarden von Malware-Angriffen auf Unternehmen und Privatpersonen. Malware kann jede Art von Gerät oder Betriebssystem infizieren, einschließlich Windows, Mac, iPhone und Android.

Cyberkriminelle entwickeln und nutzen Malware, um:

• Halten Sie Geräte, Daten oder Unternehmensnetzwerke für große Geldsummen als Geisel
• Erhalten Sie unbefugten Zugriff auf sensible Daten oder digitale Vermögenswerte
• Anmeldedaten, Kreditkartennummern, geistiges Eigentum usw. stehlen persönlich identifizierbare Informationen (PII) oder andere wertvolle Informationen
• Stören Sie kritische Systeme, auf die sich Unternehmen und Regierungsbehörden verlassen

Obwohl die Wörter häufig synonym verwendet werden, sind nicht alle Arten von Malware unbedingt Viren. Malware ist der Oberbegriff, der zahlreiche Arten von Bedrohungen beschreibt, wie zum Beispiel:

Viren: Ein Computervirus wird als ein bösartiges Programm definiert, das sich ohne menschliches Eingreifen nicht reproduzieren kann, sei es durch Klicken auf einen Link, Herunterladen eines Anhangs, Starten einer bestimmten Anwendung oder verschiedene andere Aktionen.

Würmer: Da es sich bei Würmern im Wesentlichen um selbstreplizierende Viren handelt, ist keine menschliche Interaktion erforderlich, um sich zu verbreiten. Sie dringen tief in verschiedene Computersysteme ein und bewegen sich zwischen Geräten.

Botnetze: Ein Netzwerk infizierter Computer unter der Kontrolle eines einzigen Angreifers, der als „Bot-Herder“ bekannt ist und zusammenarbeiten.

Ransomware: Als eine der gefährlichsten Arten von Malware übernehmen Ransomware-Angriffe die Kontrolle über kritische Computersysteme oder sensible Daten, sperren Benutzer aus und verlangen im Gegenzug für den wiedererlangten Zugriff exorbitante Lösegelder in Kryptowährungen wie Bitcoin. Ransomware ist auch heute noch eine der gefährlichsten Arten von Cyber-Bedrohungen. 

Multi-Erpresser-Ransomware: Als ob Ransomware-Angriffe nicht schon bedrohlich genug wären, fügt Multi-Extortion-Ransomware zusätzliche Ebenen hinzu, um entweder noch mehr Schaden anzurichten oder zusätzlichen Druck auf die Opfer auszuüben, zu kapitulieren. Bei Double-Extortion-Ransomware-Angriffen wird Schadsoftware nicht nur dazu verwendet, die Daten des Opfers zu verschlüsseln, sondern auch sensible Dateien, beispielsweise Kundeninformationen, auszuschleusen, die die Angreifer dann mit der Veröffentlichung öffentlich zugänglich machen. Dreifache Erpressungsangriffe gehen sogar noch weiter und drohen, kritische Systeme zu stören oder den zerstörerischen Angriff auf die Kunden oder Kontakte eines Opfers auszudehnen. 

Makroviren: Makros sind Befehlsfolgen, die typischerweise in größere Anwendungen integriert werden, um einfache Aufgaben schnell zu automatisieren. Makroviren machen sich programmatische Makros zunutze, indem sie schädliche Software in Anwendungsdateien einbetten, die ausgeführt werden, wenn das entsprechende Programm vom Benutzer geöffnet wird.

Trojaner: Benannt nach dem berühmten Trojanischen Pferd, tarnen sich Trojaner als nützliche Programme oder verstecken sich in legitimer Software, um Benutzer zur Installation zu verleiten.

Spyware: Bei der digitalen Spionage kommt es häufig vor, dass sich Spyware in einem infizierten System versteckt, um heimlich vertrauliche Informationen zu sammeln und diese an einen Angreifer zurückzusenden.

Adware: Adware gilt als weitgehend harmlos und wird in der Regel zusammen mit kostenloser Software gefunden. Sie spammt Benutzer mit unerwünschten Pop-ups oder anderen Werbeanzeigen. Einige Adware-Programme sammeln jedoch möglicherweise persönliche Daten oder leiten Webbrowser auf bösartige Websites weiter.

Root-Kit: Eine Art Malware-Paket, das es Hackern ermöglicht, sich privilegierten Zugriff auf Administratorebene auf das Betriebssystem eines Computers oder andere Ressourcen zu verschaffen. 

Meilensteine ​​der Malware 

Aufgrund der schieren Menge und Vielfalt wäre eine vollständige Historie der Malware recht langwierig. Stattdessen werfen wir hier einen Blick auf einige berüchtigte Momente in der Entwicklung von Malware.

1966: Theoretische Malware

Als die allerersten modernen Computer gebaut wurden, entwickelte der Pioniermathematiker und Mitarbeiter des Manhattan-Projekts John von Neumann das Konzept eines Programms, das sich in einem System reproduzieren und verbreiten konnte. Sein 1966 posthum veröffentlichtes Werk Theorie der sich selbst reproduzierenden Automaten, dient als theoretische Grundlage für Computerviren.

1971: Kriechwurm

Nur fünf Jahre nach der Veröffentlichung von John von Neumanns theoretischem Werk erstellte ein Programmierer namens Bob Thomas ein experimentelles Programm namens Creeper, das darauf ausgelegt war, zwischen verschiedenen Computern auf dem Computer zu wechseln ARPANET, ein Vorläufer des modernen Internets. Sein Kollege Ray Tomlinson, der als Erfinder der E-Mail gilt, modifizierte das Creeper-Programm so, dass es sich nicht nur zwischen Computern bewegte, sondern sich auch selbst von einem auf einen anderen kopierte. So wurde der erste Computerwurm geboren.

Obwohl Creeper das erste bekannte Beispiel eines Wurms ist, handelt es sich eigentlich nicht um Malware. Als Beweis für das Konzept wurde Creeper nicht mit böswilliger Absicht erstellt und beschädigte oder störte die infizierten Systeme nicht, sondern zeigte lediglich die skurrile Botschaft an: „ICH BIN DER CREEPER: FANGE MICH, WENN DU KANNST.“ Tomlinson nahm seine eigene Herausforderung an und entwickelte im folgenden Jahr auch Reaper, die erste Antivirensoftware, die darauf ausgelegt war, Creeper zu löschen, indem er sich auf ähnliche Weise über das ARPANET bewegte.

1982: Elk Cloner-Virus

Das Elk Cloner-Programm wurde von Rich Skrenta im Alter von nur 15 Jahren entwickelt und war als Scherz gedacht. Als Mitglied des Computerclubs seiner High School war Skranta unter seinen Freunden dafür bekannt, die Spiele und andere Software, die von Clubmitgliedern geteilt wurde, zu verändern – bis zu dem Punkt, dass viele Mitglieder sich weigerten, eine CD von dem bekannten Witzbold anzunehmen.

Um die Software von Festplatten zu ändern, auf die er nicht direkt zugreifen konnte, erfand Skranta den ersten bekannten Virus für Apple-Computer. Was wir heute einen Bootsektor-Virus nennen würden, verbreitete sich Elk Cloner, indem er das Betriebssystem Apple DOS 3.3 infizierte und sich, sobald er von einer infizierten Diskette übertragen wurde, in den Speicher des Computers kopierte. Als später eine nicht infizierte Diskette in den Computer eingelegt wurde, kopierte sich Elk Cloner auf diese Diskette und verbreitete sich schnell unter den meisten Freunden von Skranta. Elk Cloner ist zwar absichtlich böswillig, könnte aber unbeabsichtigt einige Disketten überschreiben und löschen. Es enthielt auch eine poetische Botschaft, die lautete:

ELCHKLONER:

DAS PROGRAMM MIT PERSÖNLICHKEIT

ES WIRD AUF ALLE IHRE FESTPLATTEN ERHALTEN

Es wird Ihre Chips infiltrieren

JA, ES IST KLONER!

ES KLEBT WIE KLEBER AN IHNEN

ES WIRD AUCH RAM VERÄNDERN

SCHICKEN SIE DEN KLONER EIN!

1986: Hirnvirus

Während sich der Creeper-Wurm über Computer im ARPANET bewegen konnte, wurde die meiste Malware vor der weiten Verbreitung des Internets über Disketten wie Elk Cloner weitergegeben. Doch während sich die Auswirkungen von Elk Cloner auf einen kleinen Computerclub beschränkten, verbreitete sich der Brain-Virus weltweit.

Brain wurde von den pakistanischen Vertriebshändlern für medizinische Software und den Brüdern Amjad und Basit Farooq Alvi entwickelt und gilt als der erste Virus für den IBM Personal Computer. Er wurde ursprünglich entwickelt, um Urheberrechtsverletzungen zu verhindern. Der Virus sollte Benutzer daran hindern, kopierte Versionen ihrer Software zu verwenden. Nach der Installation würde Brain eine Nachricht anzeigen, die Piraten dazu auffordert, die Brüder anzurufen, damit sie sich impfen lassen. Die Alvis unterschätzten, wie weit verbreitet ihr Piraterieproblem war, und erhielten ihren ersten Anruf aus den Vereinigten Staaten, gefolgt von vielen, vielen weiteren aus der ganzen Welt.

1988: Morris-Wurm

Der Morris-Wurm ist ein weiterer Malware-Vorläufer, der nicht aus böswilliger Absicht, sondern als Machbarkeitsnachweis entwickelt wurde. Unglücklicherweise für den Erfinder, den MIT-Studenten Robert Morris, erwies sich der Wurm als viel effektiver, als er erwartet hatte. Zu dieser Zeit hatten nur etwa 60,000 Computer Zugang zum Internet, hauptsächlich an Universitäten und beim Militär. Der Wurm wurde entwickelt, um eine Hintertür auf Unix-Systemen auszunutzen und verborgen zu bleiben. Er verbreitete sich schnell, kopierte sich selbst immer wieder und infizierte ganze 10 % aller vernetzten Computer.

Da sich der Wurm nicht nur auf andere Computer kopierte, sondern sich auch wiederholt auf infizierten Computern kopierte, verbrauchte er unbeabsichtigt Speicher und brachte mehrere PCs zum Stillstand. Als weltweit erster weit verbreiteter Internet-Cyberangriff verursachte der Vorfall Schäden, die Schätzungen zufolge in Millionenhöhe liegen. Robert Morris war der erste Cyberkriminelle, der jemals in den USA wegen Cyberbetrugs verurteilt wurde. 

1999: Melissenwurm

Obwohl sie nicht so schädlich ist wie der Morris-Wurm, zeigte Melissa etwa ein Jahrzehnt später, wie schnell sich Malware per E-Mail verbreiten kann und schätzungsweise eine Million E-Mail-Konten und mindestens 100,000 Arbeitsplatzcomputer befallen hat. Der sich zu seiner Zeit am schnellsten verbreitende Wurm verursachte große Überlastungen auf den E-Mail-Servern von Microsoft Outlook und Microsoft Exchange, was zu Verlangsamungen bei mehr als 300 Unternehmen und Regierungsbehörden führte, darunter Microsoft, das Computer Emergency Response Team des Pentagons und etwa 250 weitere Organisationen.

2000: ILOVEYOU-Virus 

Da die Notwendigkeit die Mutter der Erfindungen ist, entwickelte der 24-jährige Onel de Guzman aus den Philippinen, der sich einen DFÜ-Internetdienst nicht leisten konnte, einen Makrovirus-Wurm, der die Passwörter anderer Leute stehlen sollte, und machte ILOVEYOU zur ersten echten Schadsoftware überhaupt. Der Angriff ist ein frühes Beispiel dafür Social Engineering und Phishing. De Guzman nutzte die Psychologie, um die Neugier der Menschen auszunutzen und sie dazu zu manipulieren, bösartige E-Mail-Anhänge herunterzuladen, die als Liebesbriefe getarnt waren. „Ich habe herausgefunden, dass viele Menschen einen Freund wollen, sie wollen einander, sie wollen Liebe“, sagte de Guzman. 

Nach der Infektion stahl der Wurm nicht nur Passwörter, er löschte auch Dateien und verursachte Schäden in Millionenhöhe, wobei er sogar das Computersystem des britischen Parlaments für kurze Zeit lahmlegte. Obwohl de Guzmán gefasst und verhaftet wurde, wurden alle Anklagen fallen gelassen, da er tatsächlich nicht gegen lokale Gesetze verstoßen hatte.

2004: Mydoom-Wurm

Ähnlich wie ILOVEYOU nutzte auch der Mydoom-Wurm E-Mails, um sich selbst zu reproduzieren und Systeme auf der ganzen Welt zu infizieren. Sobald Mydoom Fuß gefasst hatte, kaperte es den Computer eines Opfers, um weitere Kopien von sich selbst per E-Mail zu versenden. Mydoom-Spam war erstaunlich effektiv und machte einst ganze 25 % aller weltweit versendeten E-Mails aus, ein Rekord, der nie gebrochen wurde, und verursachte am Ende einen Schaden von 35 Milliarden US-Dollar. Inflationsbereinigt ist es immer noch die finanziell destruktivste Malware, die jemals entwickelt wurde.

Mydoom kaperte nicht nur E-Mail-Programme, um so viele Systeme wie möglich zu infizieren, sondern nutzte auch infizierte Computer, um ein Botnet zu erstellen und zu starten Verteilter Denial-of-Service (DDoS-Angriffe. Trotz der Auswirkungen wurden die Cyberkriminellen hinter Mydoom nie gefasst oder auch nur identifiziert. 

2007: Zeus-Virus

Zeus wurde 2007 erstmals entdeckt und infizierte PCs über Phishing und Drive-by-Downloads. Dabei zeigte sich das gefährliche Potenzial eines Virus im Trojaner-Stil, der viele verschiedene Arten von Schadsoftware übertragen kann. Im Jahr 2011 wurden der Quellcode und die Bedienungsanleitung durchgesickert und lieferten sowohl für Cybersicherheitsexperten als auch für andere Hacker wertvolle Daten.

2013: CryptoLocker-Ransomware 

Als einer der ersten Fälle von Ransomware ist CryptoLocker für seine schnelle Verbreitung und seine (für die damalige Zeit) leistungsstarken asymmetrischen Verschlüsselungsfunktionen bekannt. CryptoLocker wird über betrügerische Botnetze verbreitet, die vom Zeus-Virus erfasst wurden, und verschlüsselt systematisch Daten auf infizierten PCs. Handelt es sich bei dem infizierten PC um einen Client in einem lokalen Netzwerk, beispielsweise einer Bibliothek oder einem Büro, werden zunächst alle gemeinsam genutzten Ressourcen angegriffen.

Um wieder Zugriff auf diese verschlüsselten Ressourcen zu erhalten, forderten die Macher von CryptoLocker ein Lösegeld in Höhe von zwei Bitcoins, die damals einen Wert von rund 715 US-Dollar hatten. Glücklicherweise gelang es dem Justizministerium im Jahr 2014 in Zusammenarbeit mit internationalen Behörden, die Kontrolle über das bösartige Botnetz zu übernehmen und die Geiseldaten kostenlos zu entschlüsseln. Leider wird das CyrptoLocker-Programm auch durch einfache Phishing-Angriffe verbreitet und bleibt eine anhaltende Bedrohung.

2014: Emotet-Trojaner

Der Emotet-Trojaner wurde von Arne Schoenbohm, Leiter des Bundesamtes für Sicherheit in der Informationstechnik, einst als „König der Malware“ bezeichnet und ist ein Paradebeispiel für sogenannte polymorphe Malware, die es für Informationssicherheitsspezialisten schwierig macht, sie jemals vollständig zu beseitigen. Polymorphe Malware funktioniert, indem sie ihren eigenen Code bei jeder Reproduktion leicht verändert und dabei keine exakte Kopie, sondern eine ebenso gefährliche Variante erstellt. Tatsächlich ist es gefährlicher, weil polymorphe Trojaner für Anti-Malware-Programme schwieriger zu identifizieren und zu blockieren sind.

Wie der Zeus-Trojaner bleibt Emotet ein modulares Programm, das zur Verbreitung anderer Formen von Malware verwendet wird und häufig über herkömmliche Phishing-Angriffe weitergegeben wird.

2016: Mirai-Botnetz 

Da sich Computer ständig weiterentwickeln, vom Desktop über Laptops bis hin zu mobilen Geräten und einer Vielzahl vernetzter Geräte, entwickelt sich auch Malware weiter. Mit dem Aufkommen des Internets der Dinge stellen intelligente IoT-Geräte eine riesige neue Welle von Schwachstellen dar. Das vom College-Studenten Paras Jha gegründete Mirai-Botnetz fand und übernahm eine große Anzahl meist IoT-fähiger CCTV-Kameras mit schwacher Sicherheit.

Das Mirai-Botnetz war ursprünglich für DoS-Angriffe auf Gaming-Server konzipiert und erwies sich als sogar noch mächtiger, als Jha erwartet hatte. Das Unternehmen hatte es auf einen großen DNS-Anbieter abgesehen und sperrte praktisch einen ganzen Tag lang weite Teile der Ostküste der Vereinigten Staaten vom Internet ab.

2017: Cyberspionage 

Obwohl Malware bereits seit vielen Jahren eine Rolle in der Cyberkriegsführung spielt, war 2017 ein Rekordjahr für staatlich geförderte Cyberangriffe und virtuelle Spionage, beginnend mit einer relativ unauffälligen Ransomware namens Petya. Obwohl gefährlich, verbreitete sich die Ransomware Petya durch Phishing und war nicht besonders ansteckend, bis sie in den Wiper-Wurm NotPetya umgewandelt wurde, ein Programm, das wie Ransomware aussah, aber Benutzerdaten zerstörte, selbst wenn Lösegeldzahlungen gesendet wurden. Im selben Jahr erschien die WannaCry Erpressersoftware Der Wurm befällt eine Reihe hochkarätiger Ziele in Europa, insbesondere im britischen National Health Service. 

Es wird angenommen, dass NotPetya mit dem russischen Geheimdienst in Verbindung steht, der möglicherweise den Petya-Virus für einen Angriff auf die Ukraine modifiziert hat, und WannaCry möglicherweise mit ähnlichen gegnerischen Teilen der nordkoreanischen Regierung in Verbindung steht. Was haben diese beiden Malware-Angriffe gemeinsam? Beide wurden durch einen Microsoft Windows-Exploit namens Eternalblue aktiviert, der erstmals von der National Security Agency entdeckt wurde. Obwohl Microsoft den Exploit schließlich selbst entdeckte und reparierte, kritisierten sie die NSA dafür, sie nicht gemeldet zu haben, bevor Hacker die Sicherheitslücke ausnutzen konnten.

2019: Ransomware-as-a-Service (RaaS)

In den letzten Jahren hat Ransomware-Malware sowohl zugenommen als auch abgenommen. Doch auch wenn die Anzahl erfolgreicher Ransomware-Angriffe abnimmt, greifen Hacker immer mehr bekannte Ziele an und richten größere Schäden an. Nun ist Ransomware-as-a-Service ein besorgniserregender Trend, der in den letzten Jahren an Dynamik gewonnen hat. RaaS wird auf Dark-Web-Marktplätzen angeboten und bietet ein Plug-and-Play-Protokoll, mit dem professionelle Hacker gegen eine Gebühr Ransomware-Angriffe durchführen. Während frühere Malware-Angriffe ein gewisses Maß an fortgeschrittenen technischen Fähigkeiten erforderten, ermöglichen Söldnergruppen, die RaaS anbieten, jedem, der böse Absichten hat und Geld ausgibt, die Macht.

2021: Ausnahmezustand

Der erste aufsehenerregende Ransomware-Angriff mit doppelter Erpressung fand 2019 statt, als Hacker die Sicherheitspersonalagentur Allied Universal infiltrierten, gleichzeitig deren Daten verschlüsselten und drohten, die gestohlenen Daten online zu veröffentlichen. Diese zusätzliche Ebene bedeutete, dass Allied Universal, selbst wenn es ihnen gelungen wäre, ihre Dateien zu entschlüsseln, immer noch einen schädlichen Datenverstoß erleiden würde. Während dieser Angriff bemerkenswert war, ist der Angriff auf die Colonial Pipeline im Jahr 2021 wegen der Schwere der impliziten Bedrohung berüchtigter. Zu dieser Zeit war die Colonial Pipeline für 45 % des Benzins und Kerosins im Osten der USA verantwortlich. Der mehrere Tage andauernde Angriff wirkte sich sowohl auf den öffentlichen als auch auf den privaten Sektor entlang der Ostküste aus und veranlasste Präsident Biden, den vorübergehenden Ausnahmezustand auszurufen.

2022: Ein nationaler Notfall

Auch wenn Ransomware-Angriffe scheinbar zurückgehen, stellen gezielte und effektive Angriffe weiterhin eine erschreckende Bedrohung dar. Im Jahr 2022 erlitt Costa Rica eine Reihe von Ransomware-Angriffen, was zunächst das Finanzministerium lahmlegte und sich sogar auf zivile Import-/Exportunternehmen auswirkte. Ein darauffolgender Angriff brachte dann das Gesundheitssystem des Landes außer Betrieb, was potenziell jeden Bürger im Land direkt betraf. Infolgedessen schrieb Costa Rica Geschichte, als es als erstes Land als Reaktion auf einen Cyberangriff den nationalen Ausnahmezustand ausrief.

Entdecken Sie QRadar SIEM-Ransomware-Lösungen