Krypto-Mining: Neue Malware nutzt Sicherheitslücke in Microsoft aus

Jena (pts031/04.10.2017/15:00) – Der europäische Security-Software-Hersteller ESET hat eine neue Bedrohung entdeckt, die Windows Web-Server infiziert und die Kryptowährung Monero „abgräbt“. Monero ist eine neuere Alternative zum digitalen Zahlungsmittel Bitcoin. Die Cyberkriminellen modifizieren die Open-Source-Mining-Software von Monero für ihre Zwecke, um eine bekannte Sicherheitslücke in Microsoft IIS 6.0 auszunutzen.

Im Laufe von drei Monaten haben sie durch die Kampagne ein Botnet von mehreren hundert infizierten Servern aufgebaut und Monero im Wert von über 63.000 US-Dollar anhäufen lassen. Microsoft hat inzwischen ein Update veröffentlicht, das die Sicherheitslücke schließt – aber noch immer sind viele Server ungepatcht.

Malware macht Geld Die Malware-Experten von ESET gehen davon aus, dass die Cyberkriminellen bereits seit Mai 2017 agieren: „Auch wenn die Kryptowährung noch nicht so verbreitet ist wie Bitcoin, gibt es mehrere gute Gründe, warum sich Angreifer auf Monero spezialisieren“, erklärt Peter Kálnai, Malware Researcher bei ESET. „Funktionen wie nicht zurückverfolgbare Transaktionen und der Proof-of-Work-Algorithmus CryptoNight, der die zentrale Recheneinheit eines Computers oder Servers bevorzugt, machen Monero zu einer attraktiven Alternative für Cyberkriminelle. Im Vergleich dazu wird für Bitcoin-Mining spezielle Mining-Hardware benötigt.“

Sicherheitslücken ausnutzen Die Angreifer fügten lediglich eine fest kodierte Befehlszeile mit ihrer Crypto-Wallet-Adresse und ihrer Mining-Pool-URL zum ursprünglichen Code der Software hinzu. Dafür benötigten sie möglicherweise nicht länger als ein paar Minuten. Das verdeutlicht, dass nur minimale Fähigkeiten und geringer Aufwand nötig sind, um mit Krypto-Mining großen finanziellen Schaden anzurichten. In diesem Fall wurde eine legitime Open-Source-Mining-Software genutzt. Zudem wurden gezielt alte Systeme angegriffen, die wahrscheinlich nicht gepatcht wurden.

Microsoft hat den regulären Update-Support für Windows Server 2003 im Juli 2015 eingestellt und den Patch für diese spezifische Sicherheitslücke erst im Juni 2017 veröffentlicht, nachdem mehrere schwerwiegende Lücken für ältere Systeme von Malware-Entwicklern entdeckt wurden. Trotz des End-of-Life-Status des Systems hat Microsoft diese kritische Sicherheitslücke nun geschlossen, um großflächige Angriffe – wie etwa bei der WannaCry-Attacke im Mai 2017 – zu vermeiden.

Dennoch ist nicht garantiert, dass automatische Updates immer einwandfrei funktionieren. „Eine erhebliche Zahl von Systemen sind immer noch verwundbar. Deshalb sollten Nutzer von Windows Server 2003 unbedingt das Sicherheitsupdate KB3197835 sowie weitere kritische Patches so schnell wie möglich installieren – nur Not manuell“, so Kálnai.

Weitere Informationen sowie technische Details gibt es im ESET Blog WeLiveSecurity unter https://www.welivesecurity.com/deutsch/2017/09/29/monero-malware-auf-der-spur .

Pressekontakt: Carolin Westphal Managing Supervisor, FleishmanHillard +49 (0) 89 230 31 692 eset-pr@fleishmaneurope.com

Michael Klatte PR-Manager DACH +49 (0) 3641 3114 257 michael.klatte@eset.de

Folgen Sie ESET: http://www.ESET.de http://www.welivesecurity.de https://twitter.com/ESET_de https://www.facebook.com/ESET.DACH

Über ESET ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.

(Ende)

Aussender: FleishmanHillard Germany GmbH Ansprechpartner: Westphal Tel.: +49 (0) 89 230 31 692 E-Mail: eset-pr@fleishmaneuorpe.com Website: www.fleishman.de