Anfang 2023 ist sie erstmals entdeckt worden, seit Anfang 2024 sorgt sie vermehrt für Schlagzeilen: Die Pikabot-Malware ist eine raffinierte Bedrohung und wird durch Social Engineering verbreitet.
Wir erklären, was hinter Pikabot steckt, wie Angriffe mit der Malware ablaufen und wie sich Unternehmen schützen können.
Neue Malware auf der Cybercrime-Bühne
Es ist eine traurige Tatsache: Cybercrime ist eine ständig wachsende Bedrohung. Laut dem BSI-Lagebericht 2023 nimmt die Zahl der Cyberangriffe kontinuierlich zu, wobei täglich neue und komplexere Malware-Varianten entdeckt werden. Tag für Tag treten durchschnittlich etwa 250.000 neue Schadprogramm-Varianten auf die Cybercrime-Bühne – und bedrohen staatliche Einrichtungen, Organisationen, große Konzerne sowie kleine und mittelständische Unternehmen gleichermaßen.
Dabei sind einzelne Malware-Arten mal mehr und mal weniger präsent – oder sie verschwinden ganz. Geschuldet ist dies unter anderem der Tatsache, dass Cyberkriminelle ihre Kampagnen oft in Wellen ausspielen. Und es liegt wohl auch daran, dass die Angreifer hinter der Malware lieber einige Zeit den Ball flach halten, wenn ihre Aktivitäten zu sehr in den Fokus der (internationalen) Ermittler geraten – oder auch dann, wenn sie gerade an der Weiterentwicklung ihrer Malware arbeiten.
Anfang 2024 ist eine spezielle Schadsoftware wieder deutlich präsenter unterwegs, als es in den Wochen zuvor der Fall war: Es handelt sich um die Pikabot-Malware, die derzeit verstärkt über Social-Engineering-Taktiken verbreitet wird.
Was ist die Pikabot-Malware?
Die Malware Pikabot ist erstmalig Anfang 2023 aufgetaucht und hat schnell den Ruf einer ernsthaften Cyberbedrohung erlangt. Das liegt vor allem an ihrer Funktion als Backdoor, die es Cyberkriminellen ermöglicht, nach der Erstinfektion weitere schädliche Software – darunter vor allem Ransomware und Krypto-Malware – nachzuladen und somit einen mehrstufigen Angriff auszuführen. Zudem können die Angreifer die Malware gezielt ansteuern und ihr Befehle erteilen.
Nach einer kurzen Inaktivität Ende 2023 ist die Pikabot-Malware Anfang 2024 mit verstärkter Präsenz zurückgekehrt – mit einigen Veränderungen. In einer sogenannten „(D)Evolution“ haben die Entwickler von Pikabot zum Beispiel bewusst komplexe Verschleierungstechniken entfernt und stattdessen „Garbage Code“ oder auch „Junk Code“ eingefügt, der Abwehrsysteme verwirrt und die Identifizierung der Malware erschwert. Diese strategischen Anpassungen zeigen, dass Cyberkriminellen ihre Methoden kontinuierlich weiterentwickeln, um Entdeckungen zu vermeiden – und sie machen Pikabot zu einer besonders schwer fassbaren Bedrohung.
Die Parallelen von Pikabot zu Quakbot, einer anderen weit verbreiteten Malware, zeigen zudem auf, wie Angreifer erfolgreiche Strategien adaptieren und für ihre Zwecke nutzen. Unternehmen stehen somit vor der Herausforderung, ihre Sicherheitsmaßnahmen regelmäßig anzupassen, um sich gegen die sich ständig weiterentwickelnde Bedrohungen zu schützen.
Pikabot-Malware: Ablauf der Infektion
Die Infektionskette von Pikabot beginnt typischerweise mit einer Spam-E-Mail, die einen PDF-Anhang beinhaltet, welcher eine gefälschte OneDrive-Anmeldung vortäuscht. Das Öffnen des PDFs führt den Nutzer zu einer manipulierten Webseite, die bösartiges JavaScript enthält. Dieses JavaScript ist verantwortlich für das Herunterladen und Ausführen der Pikabot-Malware. Sobald Pikabot aktiv ist, etabliert es eine Verbindung zum Command-and-Control-Server (C2) des Angreifers, wodurch das System für weitere Instruktionen offensteht. Zu diesen kann, wie erwähnt, das Nachladen von Krypto-Malware und Ransomware gehören.
Pikabot wurde so konzipiert, dass es Informationen über den infizierten Computer sammelt. Dazu gehören Informationen wie der Name des Computers, die Bildschirmauflösung, Angaben zur CPU, zum Betriebssystem und zu laufenden Prozessen. Die Angreifer könnten diese Daten dazu nutzen, um sich durch das Netzwerk zu bewegen und weitere Systeme zu kompromittieren. Möglich ist auch, dass Pikabot versuche könnte, intern Nachrichten zu versenden – ebenfalls mit dem Ziel, weitere Rechner zu infizieren.
Angreifer nutzen Social Engineering
Die Raffinesse der Angreifer hinter Pikabot zeigt sich besonders in der Nutzung von Social-Engineering-Taktiken. Eine Methode, die bei der Verbreitung von Pikabot zum Einsatz kommt, ist das sogenannte E-Mail- oder Thread-Hijacking. Hierbei kapern Angreifer bestehende E-Mail-Konversationen und setzen diese mit täuschend echt wirkenden Nachfolge-Mails fort. Die Empfänger werden durch diese Vorgehensweise in falscher Sicherheit gewiegt, da die Nachrichten scheinbar von vertrauten Absendern stammen. Diese Form des Identitätsdiebstahls erhöht die Wahrscheinlichkeit, dass Anhänge geöffnet und Links angeklickt werden – was den Angreifern denn die Türen öffnet.
Die Taktik ist besonders tückisch, da sie auf der vermeintlichen Authentizität und dem Vertrauen zwischen den ursprünglichen Kommunikationspartnern beruht. So werden Nutzer mit sorgsam nachgeahmten E-Mail-Headern und Inhalten, die kleine, leicht übersehbare Unstimmigkeiten aufweisen, zur Interaktion verleitet. Typisch sind etwa doppelte Buchstaben im Betreff oder fehlende Umlaute – Feinheiten, die ein automatisiertes Sicherheitssystem möglicherweise nicht erkennt. Die stetige Aufklärung über solche subtilen Hinweise und das Trainieren der Security Awareness sind daher unerlässliche Bestandteile einer effektiven Sicherheitsstrategie gegen Bedrohungen wie Pikabot.
Pikabot-Angriffswelle erreicht Deutschland
Nachdem sich Pikabot-Angriffe zunächst auf Länder wie Großbritannien und Norwegen konzentrierten, scheint sich die Präsenz dieser Malware inzwischen auch auf Deutschland auszuweiten. Darauf weist eine Warnmeldung der Fernuni Hagen hin. Scheinbar sind im Umfeld der Fernuni bereits einige Phishing-Mails eingegangen, die auf die Angriffswelle mit Pikabot zurückzuführen sind. In der Meldung erklären die universitären IT-Sicherheitsdienste, was es mit den Phishing-E-Mails auf sich hat, die durch Absendernamen bekannter Kontakte sowie den Inhalt vertraut wirken und Opfer zu gefährlichen Handlungen verführen sollen. Zudem gibt die Fernuni Tipps, anhand welcher kleinen Unstimmigkeiten sich eingehende Nachrichten als Phishing-E-Mails entlarven lassen.
Das Sicherheitsteam betont dabei, wie entscheidend eine sorgfältige Prüfung eingehender Nachrichten ist – insbesondere wenn es um das Öffnen von Anhängen oder das Anklicken von Links geht. Bezeichnend für die List von Pikabot ist nämlich auch das Vortäuschen von Verbindungen zu vertrauenswürdigen Diensten wie Office 365 oder Adobe Document Cloud. Hierdurch sollen Benutzer zum Herunterladen getarnter Schadsoftware verleitet werden. Die Vorfälle an der Fernuni Hagen zeigen dabei nicht nur, wie wichtig es ist, das eigene Netzwerk über neue Cybergefahren zu informieren, sondern auch, das ein Informationsaustausch zu Phishing-Kampagnen dabei helfen kann und sollte, eine weitere Ausbreitung von Malware wie Pikabot zu verhindern.
So schützen Sie sich vor der Pikabot-Malware
Um sich vor der fortschreitenden Bedrohung durch die Pikabot-Malware zu schützen, ist ein mehrschichtiger Ansatz erforderlich. In einem folgenden Überblick haben wir einige grundsätzliche präventive Maßnahmen für Sie zusammengefasst:
- Regelmäßige Schulungen: Sensibilisieren Sie Ihre Mitarbeiter durch Schulungen kontinuierlich für Phishing-Methoden und Social-Engineering-Taktiken. Eine gut informierte Belegschaft ist weniger anfällig für betrügerische Angriffe und kann potenziell schädliche E-Mails schneller identifizieren.
- Informationskampagnen: Nutzen Sie interne Kanäle, um regelmäßig über aktuelle Bedrohungen und effektive Schutzmaßnahmen zu informieren. Solche Kampagnen erhöhen das Sicherheitsbewusstsein und fördern eine Kultur der Achtsamkeit.
- E-Mail-Überprüfung: Legen Sie Richtlinien für den Umgang mit E-Mail-Anhängen und -Links fest und weisen immer wieder auf eine gründliche Überprüfung jeder E-Mail hin. Dies minimiert das Risiko einer Infektion durch schadhafte Links oder Anhänge.
- Aktuelle Sicherheitssoftware: Sorgen Sie dafür, dass alle Systeme mit der neuesten Antivirus-Software ausgestattet und stets auf dem neuesten Stand sind, damit neue Gefahren erkannt werden können. Regelmäßige Updates sind essenziell, um Sicherheitslücken zu schließen und die Sicherheit dadurch zu gewährleisten.
- Backup-Lösungen: Implementieren Sie regelmäßige Backups, um im Falle eines Angriffs Daten wiederherstellen zu können. Die Umsetzung der sogenannten 3-2-1-Backup-Regel, bei der Daten an drei Orten, auf zwei verschiedenen Medien, mit einer Kopie außerhalb des Standorts gespeichert werden, ist hierbei besonders empfehlenswert.
- Mehrstufige Authentifizierung: Verwenden Sie, wo immer möglich, mehrstufige Authentifizierungsverfahren, um Ihre Systeme zusätzlich abzusichern. Diese Methode fügt eine zusätzliche Sicherheitsebene hinzu, indem sie eine zweite Form der Identifikation erfordert, was unbefugten Zugriff deutlich erschwert.
- Netzwerküberwachung: Überwachen Sie den Netzwerkverkehr auf Anomalien, um frühzeitig verdächtige Aktivitäten zu erkennen. Moderne Monitoring-Lösungen können dabei helfen, ungewöhnliches Verhalten schnell zu identifizieren und Gegenmaßnahmen einzuleiten.
- Restriktive Zugriffsrechte: Beschränken Sie die Benutzerrechte so, dass Software-Installationen nur mit Administratorrechten möglich sind. Dies verhindert, dass Unbefugte Malware ohne Wissen des Administrators installieren können, und schränkt die Verbreitung von Infektionen ein.
- Incident-Response-Plan: Entwickeln Sie einen klaren Plan für den Fall eines Sicherheitsvorfalls, um schnell und effektiv reagieren zu können. Ein gut vorbereitetes Response-Team kann die Auswirkungen eines Sicherheitsvorfalls minimieren und eine schnelle Wiederherstellung des Normalbetriebs ermöglichen.
Durch die Kombination dieser Schritte können Sie Ihr Unternehmen und Ihre Daten deutlich besser vor der Gefahr durch Pikabot und ähnliche Malware schützen. Sie benötigen Hilfe bei der Umsetzung dieser Maßnahmen?
IT-Experten sichern Unternehmen ab
Indem Sie sich die Dienste eines IT-Dienstleisters sichern, geben Sie sie Umsetzung der genannten Sicherheitsmaßnahmen in professionelle Hände. Die Experten aus dem IT-SERVICE.NETWORK beispielsweise bieten maßgeschneiderte Lösungen, die sowohl präventiv als auch im Krisenfall greifen und unterstützen Unternehmen mit ihrer Expertise dabei, die Bedrohung durch Pikabot und andere Malware erfolgreich abzuwehren und langfristig eine resiliente IT-Infrastruktur aufzubauen.
Dazu richten die Systemhäuser aus unserem Netzwerk wirksame Sicherheitsbarrieren ein, übernehmen das kontinuierliche Monitoring der Netzwerke und stellen sicher, dass Sicherheitssysteme immer auf dem neuesten Stand sind. Durch gezielte Schulungen sensibilisieren sie Mitarbeiter zudem für die Gefahren durch Phishing und andere Eindringversuche. Und im Ernstfall leiten sie schnelle und effektive Gegenmaßnahmen ein, um Schäden zu begrenzen und die Betriebskontinuität zu sichern. Sie möchten mehr zu den IT-Services unserer IT-Dienstleister erfahren? Dann suchen Sie sich ein Systemhaus in Ihrer Nähe heraus und lassen Sie sich informieren!
Weiterführende Informationen:
SECURITY INSIDER, Fernuni Hagen, it-daily, it-daily, kes, Zscaler
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung