Krypto-Miner infiziert Windows-Server

Mehr als 50.000 Datenbankserver gehackt

Von in IT-Sicherheit
04
Jun
'19

Krypto-Miner sind die neuen Erpressertrojaner. Eine aktuelle Angriffswelle hat bislang wohl 50.000 Windows-Server gekapert und sorgt dafür, dass sich die Hacker eine goldene Nase verdienen.

Wie Krypto-Mining funktioniert und wie Sie Ihr Unternehmen vor der Attacke schützen können, verraten wir Ihnen.

krypto-miner

Während Sie am Computer arbeiten, nutzen andere seine Rechenleistung, um mit ihm kontinuierlich Geld zu machen. (Bild: pixabay.com/the-design_org)

Krypto-Miner – Definition & Erklärung

Immer mehr Cyberkriminelle setzen auf Krypto-Miner anstatt auf Verschlüsselungstrojaner (Ransomware). Und das nicht ohne Grund: Denn wer Geld machen will, kann mit Erpressertrojanern auch Pech haben – beispielsweise wenn die Opfer nicht zahlen. Abgesehen davon sind viele Virenscanner spätestens seit Wannacry und Co. besser auf Ransomware vorbereitet und können Attacken im Vorfeld erkennen und dadurch abwehren.

Krypto-Miner hingegen müssen lediglich nur eine Hürde nehmen: das System befallen. Ohne jegliche „Mitarbeit“ des Opfers schürfen sie dann heimlich „Krypto-Geld“ – in der Regel in Form der Blockchain-basierten Währung Monero. Dazu kapern Kriminelle die Rechenleistung des Systems, der „Lohn“ dafür ist die virtuelle Währung. Mehr dazu, wie Krypto-Mining im Detail funktioniert, können Sie hier nachlesen. Übrigens: Einer Studie des Sicherheitsanbieters Kaspersky zufolge konnten mit Krypto-Mining innerhalb eines halben Jahres 10.000 Systeme infiziert werden, die den Drahtziehern das nette Sümmchen von sieben Millionen Dollar bescherten.

Datenbankserver mit Krypto-Minern infiziert

Ein uralter Windows-Server-Bug macht es derzeit möglich, dass eine Krypto-Miner-Attacke mit Ursprung in China höchst erfolgreich ist. Die Methoden der Drahtzieher sind dabei sehr raffiniert, ihre Reichweite riesig. Mehr als 50.000 Datenbankserver auf der ganzen Welt sind angeblich bereits infiziert, täglich wächst die Zahl um bis zu 700 weitere Server. Zum Kapern der Systeme verwenden die Hacker eine neuartige Malware, die ein gültiges Zertifikat aufweist und somit von vielen Sicherheitstools nicht zu erkennen ist. Die Methode findet vermutlich bereits seit Februar 2019 Anwendung, allerdings stieß die amerikanisch-israelische Sicherheitsfirma Guardicore erst im April darauf. Dabei zeigte sich auch: Die Hacker sind durchaus auf Zack. Ungefähr 20 verschiedene Varianten der versteckten Malware konnten ihnen bereits mehr oder weniger eindeutig zugeordnet werden.

Veraltete Windows-Server angreifbar für Krypto-Miner

Die aktuelle Attacke namens Nansh0u zielt eindeutig auf ungepatchte Windows-Server ab. Und auf Unternehmen, in denen die verfügbare Rechenleistung naturgemäß um einiges höher ist als bei Privatnutzern. Bislang sollen vor allem Institutionen und Betriebe aus den Bereichen Medien, Telekommunikation, IT und auch der Gesundheit betroffen sein.

Und so funktioniert es: Mittels eines Bruteforce-Angriffs verschaffen sich die Angreifer Zugang zum System. Bruteforce bedeutet in diesem Zusammenhang, dass mit „roher Gewalt“ die in der Regel schwachen Passwörter geknackt werden. Einfach, indem die Angreifer so lange wahllos Buchstaben- und Zahlenfolgen ausprobieren, bis sie die richtige Kombination gefunden haben. Anschließend nutzen sie den Zugang zum Datenbankserver, um ein entsprechendes Skript zu erstellen, das dann den Krypto-Miner installiert, versteckt und ausführt.

Möglich ist das im dargestellten Fall aufgrund einer alten Schwachstelle im Windows-Kernel. Selbiger wurde übrigens bereits im Oktober 2014 gepatcht. Allerdings gibt es nach wie vor Tausende von Systemen, die nicht entsprechend gewartet und aktualisiert wurden.

Server-Management hochrelevant für Unternehmen

Der aktuelle Fall zeigt wieder einmal: Unternehmen, die nicht in die laufende Sicherheit ihrer Server investieren, werden früher oder später zum Opfer der Cyberkriminalität. Dabei kann es ganz einfach sein, entsprechend vorzusorgen. Externe IT-Dienstleister wie unsere Experten aus dem IT-SERVICE.NETWORK sorgen permanent dafür, dass alle Systeme optimal abgesichert sind. Ob durch die Durchführung sicherheitsrelevanter Updates oder die proaktive Erkennung von Angriffen – zahlreiche Services rund um die IT-Sicherheit können verhindern, dass Ihr Unternehmen in die Opfer-Statistik fällt.

Lena Klaus

Lena Klaus arbeitet seit 2018 als freie Content Marketing Managerin, Redakteurin und SEO-Expertin für das IT-SERVICE.NETWORK. Seit fünf Jahren kennt sie die IT-Branche und hat sich in diesem Zusammenhang auf B2C- und B2B-orientierte Content Plattformen spezialisiert.

Fragen zum Artikel? Frag den Autor

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.