Crypto-Currency-Miner mit künstlicher Intelligenz enttarnen.
Ausgerechnet die Website des »Information Comissioner´s Office« (ICO) der britischen Regierung wurde Opfer einer illegalen Crypto-Cash-Kampagne. Nach Hinweisen, dass Hacker die Rechner von Besuchern der Website angreifen um illegales Mining von Kryptogeld zu starten, wurde der Internetauftritt des ICO vom Netz genommen.
Gérard Bauer, VP EMEA bei Vectra, beurteilt den Vorfall und gibt Ratschläge zur Vermeidung zukünftiger Attacken. Der Experte für die Erkennung von Cyberattacken durch den Einsatz maschinellen Lernen und künstlicher Intelligenz erklärt:
»Monero-Mining-Kampagnen wie diese häufen sich in letzter Zeit. Monero ist eine Kryptowährung, CoinHive ist ein legitimes Stück JavaScript-Code. Wenn ein Internetnutzer eine kompromittierte Website besucht, erfolgt automatisch ein »Drive-by-Download« von CoinHive. Der lokale Computer fängt an, im Hintergrund Crypto Mining zu betreiben. Cyberkriminelle missbrauchen CPU-Ressourcen, um damit Geld zu machen. Die gleichen Mechanismen, um einen Cyrpto-Miner herunterzuladen, könnten auch als Ransomware-Dropper dienen oder den Rechner für ein Botnetz rekrutieren, um Anzeigenklickbetrug, Spamversand oder Denial-of-Service-Angriffe durchzuführen. Cyberkriminelle könnten sogar einen gezielten Angriff auf ein Unternehmen durchführen, um Daten zu stehlen oder zu manipulieren.«
Der erste von vielen oder eine Anomalie? Dazu erklärt Gérard Bauer:
»Dieser Hack ist keine Anomalie, sondern ein Beispiel für das Risiko der digitalen Supply Chain. Nutzer integrieren Tools und Code, ohne genau zu wissen, was darin steckt. Gerade Entwickler sollten die Quelle des verwendeten Codes kennen, insbesondere bei der Auswahl von Open-Source-Elementen zur Integration in ihre Projekte. In diesem Fall integrierten Cyberkriminelle heimlich Coinhive in BrowseAloud, ein Bildschirmlesemodul, das einen einfacheren Internetzugang für Sehbehinderte ermöglicht. Öffentliche Einrichtungen leisten in der Regel hervorragende Arbeit bei der Unterstützung von Barrierefreiheit für ihre Online-Präsenz. Daher ist es nicht überraschend, dass ein solches Bildschirmlesemodul auf den Websites öffentlicher Institutionen, wie in diesem Fall des unter anderem betroffenen britischen Gesundheitssystems NHS, zum Einsatz kommt.«
Welche Lektion muss gelernt werden? Gérard Bauer rät:
»Es ist nicht immer leicht, diese versteckten Sicherheitsprobleme zu erkennen, insbesondere wenn keine tatsächliche Malware involviert ist. In solchen Fällen gilt es, sich darauf zu konzentrieren, subtiles Verhalten innerhalb von Systemen zu identifizieren, um einen Angriff zu lokalisieren. Dies ist manuell mit der erforderlichen Geschwindigkeit und Skalierung nicht machbar. Daher wird eine automatisierte Software mit künstlicher Intelligenz benötigt, um die »Bedrohungssuche« zu übernehmen. Dieser Angriff ist kein ungewöhnliches Ereignis. Unser Kryptowährungs-Erkennungsalgorithmus hat kürzlich registriert, dass Bitcoin-Miner in einem globalen Unternehmen ungestraft heimlich operierten. Unternehmen müssen daher sicherstellen, dass sie in der Lage sind, solche Sicherheitsbedrohungen zu erkennen und darauf zu reagieren. Gerade die Betreiber kritischer Dienste müssen das Qualitätsmanagement ihrer Software-Supply-Chain verschärfen.«
Effektivere Tarnung: Crypto-Ransomware »Locky« narrt Sandbox-Technologien
Sägen-Horror auf dem Rechner: Neue Crypto-Ransomware löscht Daten scheibchenweise