Kryptobedrohungen um 500 % gestiegen – und es geht um bares Geld
Kryptowährungen, die früher Early Adoptern und technisch versierten Verbrauchern vorbehalten waren, sind heute Mainstream – dank Technologiemogulen und prominenten Finanzinstituten, die die Führung in diesem Bereich übernommen haben.
Im vergangenen Jahr haben die rasant steigenden Kryptowährungskurse, die Einführung neuer Währungen und der offizielle Handel mit Kryptowährungen für neue Bedrohungen durch Cryptomining und Kryptowährungsbetrug gesorgt.
In diesem Blog untersuchen wir, wie sich die eskalierenden Wechselkurse und die anhaltende Einführung neuer Kryptowährungen auf die Bedrohungslandschaft auswirken – und was wir laut unseren Daten in Zukunft erwarten können.
Schädlicher Traffic von Cryptomining-Malware
In den letzten Jahren haben sich Malware-Varianten, die sowohl PCs als auch Unternehmensserver infizieren, zu einem wachsenden Trend entwickelt. Ihr Ziel ist es, die Computing-Ressourcen infizierter Geräte für Cryptomining-Aktivitäten zu nutzen. Eine Untersuchung des DNS-Traffics zwischen Januar 2020 und März 2021 zeigt eine Korrelation zwischen dem rasanten Anstieg des Datenverkehrs durch Crypto-Malware und den Preiserhöhungen sowohl bei Bitcoin- als auch bei Ethereum-Kryptowährungen.
Abbildung 1: Traffic für schädliches Cryptomining und Auswirkungen auf Bitcoin-Preis
In diesem Zeitraum stiegen der Bitcoin-Preis um über 800 %, der Ethereum-Preis um über 1.300 % und der Traffic böswilliger Cryptominer um über 200 %.
Abbildung 2: Traffic für schädliches Cryptomining und Auswirkungen auf Ethereum-Preis
Wir glauben, dass der Anstieg des schädlichen Traffics durch die erhöhte Motivation von Cyberkriminellen zur Durchführung von Cryptomining-Aktivitäten angetrieben wird. Da die Preise für Kryptowährungen steigen und die potenziellen Vorteile von böswilligen Mining-Aktivitäten zunehmen, gewinnen auch Cyberkriminelle an Dynamik.
Phishing-Angriffe auf Nutzer von Kryptowährungen
Da Phishing eine der prominentesten und am stärksten wachsenden Bedrohungen ist, haben wir uns mit den Trends bei Phishing-Angriffen befasst, die auf Verbraucher von Kryptobörsen abzielen. Bei solchen Betrugsmaschen erstellen Cyberkriminelle gefälschte Websites, die das Erscheinungsbild und die Funktionalität von Kryptobörsen-Websites imitieren, um Opfer zu täuschen, damit sie ihre Anmeldedaten eingeben. Sobald Anmeldedaten gestohlen wurden, besitzen Cyberkriminelle die Cryptowallets des Opfers und führen betrügerische Transaktionen durch.
Abbildung 3: Beispiel für eine Phishing-Website, auf der hardwarebasierte OTP-Token gestohlen werden
Akamai verfolgt umfangreiche Phishing-Betrugsversuche, die die Multi-Faktor-Authentifizierung (MFA) umgehen. Diese Betrugsmaschen zielen auch auf Kryptobörsen-Anbieter ab und versuchen, Anmeldedaten zu stehlen, die durch OTP-Token (One-Time Password, Einmalpasswort) geschützt sind.
Wir können auch eine deutliche Zunahme der Anzahl gefälschter Kryptobörsen-Phishing-URLs feststellen, auf die in freier Wildbahn zugegriffen wird – mit einem Anstieg von über 500 % zwischen März 2020 und Mai 2021.
Abbildung 4: Phishing-Angriffe auf Kryptobörsen
Ähnlich wie bei schädlichen Cryptomining-Aktivitäten haben die schnell wachsenden Kryptowährungskurse höchstwahrscheinlich die Nachfrage nach kompromittierten Kryptobörsen-Konten auf dem Schwarzmarkt erhöht, was zu einem Anstieg der Phishing-Angriffe führte.
Ransomware und Kryptowährungen
Ransomware hat im vergangenen Jahr Schlagzeilen gemacht, da Unternehmen auf der ganzen Welt erhebliche finanzielle Schäden erlitten haben. Ein bemerkenswertes Beispiel ist der jüngste Angriff auf die Colonial Pipeline, der dazu führte, dass das Unternehmen vorübergehend den Betrieb einstellen musste, wodurch der Vorfall die Aufmerksamkeit der Medien erlangte.
Im Gegensatz zu Kryptobörsen-Phishing oder Cryptomining-Angriffen motiviert Kryptowährung Cyberkriminelle nicht direkt zu Ransomware-Angriffen. Stattdessen ermöglichen Kryptowährungen Ransomware-Angriffe, bei denen sie als Zahlungsmethode verwendet werden, da sie Cyberkriminellen Anonymität bieten.
Abbildung 5: Traffic zu Malware-Websites mit Ransomware-Bezug
Ransomware-Angriffe haben im letzten Jahr an Dynamik gewonnen und wir glauben, dass Kryptowährungen diesen Trend ermöglicht und unterstützt haben. Gemäß dem untersuchten DNS-Traffic haben wir zwischen Januar und April 2021 einen zunehmenden Trend beim Datenverkehr auf Websites mit Ransomware festgestellt, wobei der Traffic um mehr als 250 % zugenommen hat.
Elon-Musk-Betrug
Ein weiterer Betrug, der kürzlich stark an Schwung gewonnen hat, ist eine Social-Engineering-Technik, die Opfer davon überzeugt, Cryptocoins an die digitalen Geldbörsen von Cyberkriminellen zu senden – mit dem Versprechen einer Rückzahlung, die doppelt so hoch ist wie der ursprüngliche Betrag.
Für diesen Elon-Musk-Betrug, der Musks Ruf als Vordenker und Teslas Ruf als Unterstützer von Kryptowährungen ausnutzt, haben wir ein gutes Beispiel entdeckt: Bei dieser Betrugsmasche wurde Opfern ein scheinbar zuverlässiges und vertrauenswürdiges Airdrop-Event, das vermeintlich von Musk und Tesla unterstützt wurde, auf einer Phishing-Website präsentiert. Ein Airdrop-Event tritt auf, wenn ein Kryptowährungsanbieter oder eine -organisation aus irgendeinem Grund entscheidet, Token oder Coins an Nutzer zu verteilen.
Laut der Phishing-Website erklärt die Zentrale von Tesla, dass sie als unterstützende Maßnahme für die Kryptocommunity jedem Teilnehmer doppelt so viel zurückzahlt, wie er ursprünglich gesendet hat. Doch wenn etwas zu schön ist, um wahr zu sein, ist es sehr wahrscheinlich auch nicht wahr: Die Opfer erhielten ihre Coins nicht zurück.
Abbildung 6: Gefälschte Elon-Musk-Phishing-Website
Bei diesem Betrugsfall wurde eine Vielzahl von Techniken genutzt, um eine vertrauenswürdige und nachhaltige Website zu erstellen, z. B. eine neu registrierte, legitim wirkende Domain, die der Phishing-Website das Erscheinungsbild einer bekannten Blogging-Plattform verleiht, einschließlich gefälschter Kommentare von gefälschten Nutzern, die angaben, dass sie gerade die versprochene Rückzahlung erhalten hatten. All diese Social-Engineering-Techniken trugen dazu bei, das Vertrauen der Opfer zu gewinnen, sodass sie eher bereit waren, das Risiko einzugehen und einige ihrer Coins zu „investieren“.
Zusammenfassung
Die gleiche Kryptowährungstechnologie, die verhindert, dass die Identität von Nutzern offengelegt wird, motiviert auch Cyberkriminelle. Das erklärt, warum Kryptowährungen eine wichtige Rolle im modernen Cyber-Ökosystem spielen. Dadurch können wir immer mehr Angriffsvektoren erkennen, wie DDoS-Erpressungen und Ransomware, die Zahlungen in Form von Kryptowährungen anfordern.
Da Kryptowährungen immer wichtiger werden, sind die in diesem Blog berichteten Trends kaum überraschend. Was jedoch überraschend ist, ist die starke Korrelation zwischen den Kryptokursen und der Anzahl der gemeldeten Angriffe – sie deutet darauf hin, dass Cyberkriminelle von kommerziellen Kräften motiviert werden.
Da einige mit Krypto verbundene Bedrohungen, wie z. B. Cryptomining- und DDoS-Angriffe, den Missbrauch von Servern oder infizierten Computergeräten beinhalten, sind die potenziellen Auswirkungen sowohl für Verbraucher als auch für Unternehmen relevant.
Um proaktive Sicherheitsüberwachung und -kontrollen anzuwenden, müssen wir die Beziehung zwischen globalen Ereignissen und der Motivation von Cyberkriminellen für ihre Betrugsversuche besser verstehen. Ereignisse, die unser Leben, unsere Wirtschaft und unsere Gesundheit beeinflussen, werden Cyberkriminelle wahrscheinlich dazu veranlassen, uns anzugreifen, indem sie diese Ereignisse ausnutzen. Solche Angriffe treten auf, wenn wir am anfälligsten für Betrugsmaschen sind.
Als InfoSec-Community müssen wir das Bewusstsein der Nutzer schärfen, unsere Schwachstellen bewerten, die Denkweise von Cyberkriminellen besser verstehen und so vorhersagen, was als Nächstes kommen könnte – und uns darauf vorbereiten.
