Krypto-Mining

Krypto-Miner und Information Stealer laufen Ransomware den Rang ab

, München/Wien/Zürich, Palo Alto Networks | Autor: Herbert Wieler

Krypto-Miner und Information Stealer laufen Ransomware den Rang ab

Hacker Trendwende

Palo Alto Networks, hat die weltweite Nutzung des Exploit-Kits „Rig“ (Rig EK) ausgewertet und leitet daraus neue Entwicklungen ab. Die Veränderungen sind deutlich: Rig EK ist das bedeutendste Exploit-Kit und für den Großteil des EK-Verkehrs verantwortlich. Die gesamte Exploit-Kit-Aktivität ging im Jahr 2017 zurück, zudem veränderten sich die Anwendung: Weg von Ransomware und hin zu Coin-Miner- und Information-Stealer-Malware.

Die Security-Forscher von Palo Alto Networks haben beispielsweise im Januar 2017 ganze 812 Sessions mit Treffern für RigEKFflashContainer ermittelt. Im Januar 2018 waren es unter Verwendung derselben Suchkriterien nur noch 65 Sessions. Dies entspricht einem Rückgang des Rig EK um 92 Prozent.

Es gibt einige Gründe hierfür. Letztendlich haben die Festnahmen von Cyberkriminellen in Verbindung mit den laufenden Bemühungen der Anbieter, Browser und browserbasierte Anwendungen zu schützen, zu einem kumulativen Effekt geführt. Kriminelle Gruppen haben ihre Bemühungen auf andere Arten von Exploits verschoben, beispielsweise auf Schwachstellen in Microsoft Office. Andere Hacker haben sich seitdem auch auf Social-Engineering-Systeme konzentriert.

Veränderte Angriffsformen

Im Januar 2017 wurde Rig EK hauptsächlich dazu verwendet, verschiedene Arten von Ransomware zu übertragen. Die Kampagne Afraidgate nutzte Rig EK, um die Ransomware Locky zu verteilen. Die EITest-Kampagne griff auf Rig EK zurück, um CryptoMix-, CryptoShield- und Spora-Ransomware zu verteilen. Und die Pseudo-Darkleech-Kampagne verwendete Rig EK zur Verteilung von Cerber- Ransomware.

Die Veränderung bei den Angriffsformen lässt sich zusammenfassen: Im Allgemeinen ist Ransomware nicht mehr führend und wurde abgelöst durch Crypto-Miner und Information Stealer. Bei keinem der Ransomware-Typen, die mit Rig EK im Januar 2017 verteilt wurde, war dies ein Jahr später noch der Fall. Cerber, CryptoMix, CryptoShield, Locky und Spora sind nicht mehr aktiv. In einigen Fällen hat sich ihre Entwicklung in neuere Varianten verzweigt, die jetzt in einem viel kleineren Maßstab eingesetzt werden. Die Afraidgate und Pseudo-Darkleech-Kampagnen verschwanden im Mai 2017 komplett. Die Cyberkriminellen, die hinter der EITest-Kampagne steckten, sind zwar immer noch aktiv, aber haben sich Social-Engineering-Methoden wie gefälschte Browser-Plugins und Tech-Support-Scams zugewendet.

Im Januar 2018 wurde Rig EK immerhin von mindestens drei identifizierbaren Kampagnen verwendet: Fobos, Ngay und Seamless . Fobos setzte Rig EK ein, um den Bunitu Proxy-Trojaner in Umlauf zu bringen. Ngay hat Coin Miner und Information Stealer verbreitet. Seamless hat hauptsächlich einen Trojaner namens Ramnit transportiert.

Der interessanteste Aspekt bei der Rig-EK-Nutzung ist der Anstieg von Malware für das Coin-Mining. Eine Suche im Januar 2017 ergab 2.368 eindeutige Samples. Im Januar 2018 wurden bereits 65.512 Samples unter Verwendung derselben Suchkriterien gefunden. Dies entspricht einem Anstieg von 2.766 Prozent zwischen Januar 2017 und Januar 2018. Die Forscher von Palo Alto Networks erwarten, dass im Verlauf des Jahres 2018 noch mehr Coin-Mining-Malware in Erscheinung treten wird.

Netzwerkverkehr: Von Domains zu IPs

Im Januar 2017 setzte Rig EK auf seine bewährte Praxis des Domain-Shadowings für Server, die das EK hosten. Domain Shadowing wird verwendet, um Domain-Namen häufig zu ändern und dadurch eine Erkennung zu vermeiden. Im Januar 2018 nutzte Rig EK jedoch keine Domain-Namen mehr. Stattdessen werden IP-Adressen verwendet, um EK-Server zu identifizieren. Der Rig EK Traffic zeigte sich ein Jahr später dennoch relativ unverändert. Die URL-Muster sind etwas anders, aber immer noch erkennbar, um sie Rig EK zuzuordnen. Im Januar 2017 enthielten die URL-Muster erkennbare englische Wörter, im Januar 2018 wurden diese durch Base64-codierte Strings ersetzt. Diese URL-Musteränderungen weisen darauf hin, dass Rig EK versucht, eine Erkennung zu vermeiden.

Schlussfolgerung

Beim Vergleich von Rig EK im Januar 2017 mit Rig EK im Januar 2018 fällt der Kontrast deutlich auf. Rig EK verteilt jetzt eine sehr unterschiedliche Auswahl an Malware. Kampagnen, die Rig EK benutzen, haben Ransomware größtenteils aufgegeben und konzentrieren sich jetzt mehr auf Coin Mining. Rig EK ist immer noch gut erkennbar, aber stellt eine stark reduzierte Präsenz in der aktuellen Bedrohungslandschaft dar.