Adylkuzz, the cryptocurrency mining botnet that travels in the shadow of WannaCry

Adylkuzz, ein Mining-Botnet für eine Kryptowährung, reist im Windschatten von WannaCry

Der Angriff der Ransomware WannaCry (auch als WannaCrypt, WannaCrypt0r oder WCry bekannt) am 12. Mai sorgte für viele Schlagzeilen. Diese Geschichte hat alles, was einen guter Thriller ausmacht: Ein Exploit wird von einem US-Geheimdienst für sich behalten, der dann von einer mysteriösen Hackergruppe veröffentlicht wird. Anschließend wird über diese Sicherheitslücke eine Malware eingeschleust, die weltweit unzählige Nutzer und sogar Krankenhäuser angreift. Und schließlich die Gerüchte, dass hinter diesem Angriff ein Schurkenstaat stehen soll.


Zugehöriger Artikel

https://blog.avira.com/de/wannacrypt0r-ransomware/


Aber es steckt noch mehr dahinter. Malware-Experten sind auf eine weitere, aber unauffälligere Malware gestoßen, die dieselben Sicherheitslücken wie WannaCry nutzt und auf infizierten Computern die Kryptowährung Monero erzeugt. Ransomware ist unübersehbar. Dateien werden verschlüsselt, Nutzer werden ausgesperrt und mit einem entsprechenden Text um Lösegeld erpresst. Adylkuzz hingegen bleibt unauffällig. Die Malware stiehlt heimlich Rechenleistung der infizierten Rechner und Netzwerke, erzeugt eine Kryptowährung und sendet dann die Früchte seiner Arbeit an einen mysteriösen Server.

„Warum bekommt diese Malware so wenig Aufmerksamkeit? Weil es keinen Erpresserbrief auf dem Monitor gibt und weil keine Dateien verschlüsselt werden. Es wird nur Prozessorleistung gestohlen, um im Hintergrund Bitcoins zu berechnen“, erklärt Alexander Vukcevic, Leiter des Avira Virus Lab. Eine Infektion kann daran erkannt werden, dass auf gemeinsam genutzte Windows-Services nicht mehr zugegriffen werden kann und die Leistung des PCs und Servers nachlässt.

Dasselbe Spiel, ein anderes Ziel

Adylkuzz schmuggelt sich wie WannaCry durch dieselben geleakten NSA-Sicherheitslücken ein. Nicht gepatchte Sicherheitslücken öffnen Adylkuzz Tür und Tor. Die Verbreitung dieser Malware in Computernetzwerken ähnelt dabei einem Wurm. Hierfür sind aber keine Interaktion des Nutzers und keine Social Engineering-Tricks notwendig. Adylkuzz trieb laut der Malware-Experten bereits mehrere Wochen vor WannaCry sein Unwesen. Die Öffentlichkeit und die Sicherheitsbranche hatten die Malware allerdings nicht auf dem Schirm. Einfach deshalb, weil sie die Kryptowährung Monero unbemerkt im Hintergrund erzeugt.

Effiziente Geldmaschine für Monero

Adylkuzz ist wahrscheinlich eine viel effizientere Geldmaschine als die Ransomware WannaCry, die geschätzt nur 70.000 US-Dollar einbrachte. Trotz der Infektion von mehreren Hunderttausend Geräten.

Die Kryptowährung Monero mit einem Wechselkurs von 25 Euro wird für unsichere Transaktionen verwendet, die nicht nachverfolgt werden können. Sie ist nicht so bekannt wie Bitcoin, daher kann sie angeblich einfacher über ein Botnetz infizierter Computer erzeugt werden. Malware-Experten konnten mehr als 20 Hosts ausmachen, die nach neuen Opfern suchen, sowie ein Dutzend C&C-Server, um die Angriffe zu verwalten und die neu generierten Gelder zu empfangen. Sie sind sich sicher, dass es noch mehr gibt. Die Ironie darin: Indem weitere Angriffe auf den anfälligen Microsoft Server Message Block (SMB) blockiert wurden, könnte Adylkuzz dazu beigetragen haben, dass sich die schnelle Verbreitung von WannaCry verlangsamt hat.

Sicherheit eine Sache der Einstellung

Adylkuzz und WannaCry konnten sich aufgrund einer mangelnden IT-Hygiene so gut verbreiten. Es ist wichtig, dass Nutzer aktuelle Patches installieren und ihre Rechner auf diese Weise sauber halten. Es ist recht ähnlich wie bei der Verwendung von Zahnseide: Sie verhindert die Bildung von Zahnstein. Die Verbreitung von WannaCry – und die angebliche Verbreitung von Adylkuzz – ist eine Folge des Nutzerverhaltens. Nutzer verwenden veraltete oder raubkopierte Software und installieren keine Patches.

„Eine aktuelle Sicherheitslücke ist eine starke Waffe. Cyberkriminelle können diese auf unterschiedliche Weise ausnutzen. Beispielsweise für Data Mining, die Kryptowährung per Adylkuzz, normale Ransomware oder für die nächste große Bedrohung“, betont Alexander Vukcevic. „Die Erkennung der Avira Cloud-Sicherheit blockiert diese Gefahr. Dennoch sollten Nutzer Patches immer installieren. Mit einem Software Updater ist das ganz einfach.“

Software Updater Pro ist eine einfache und schnelle Lösung, Patches zu installieren. Die Installation ist vollständig automatisch und mit einem Klick durchführbar. So wird das digitale Erlebnis wieder sicher.

Dieser Artikel ist auch verfügbar in: EnglischFranzösischItalienisch

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.