Zwei neuen Malware-Varianten: "SwiftSlicer" und "HeadCrab" sorgen für Unruhe
von Tina Siering
Wiper-Malware „SwiftSlicer“ verschlüsselt Daten unwiederbringlich
Im Oktober 2022 stießen Sicherheitsforscher von Eset Threat Research auf eine bis dato unbekannte Malware, die gegen ein ukrainisches Energieunternehmen eingesetzt wurde. Die „SwiftSlicer“ getaufte Malware zählt zu der Gruppe der sogenannten Wiper, einer umfunktionierten Ransomware.
Ransomware Angriffe gehen üblicherweise mit Datenverschlüsselung und Lösegeldforderung einher. Nicht so bei Wiper-Malware. Hier sind einmal verschlüsselte Daten unwiederbringlich verloren.
Schlimmer noch: Wiper-Malware belässt es nicht immer nur beim Verschlüsseln. Getreu dem englischen Wortstamm „to wipe out“ ist Wiper-Malware in der Lage, komplette Festplatten oder für den Betrieb notwendige Boot-Sektoren zu zerstören. Cyberkriminelle, die Wiper-Malware wie „SwiftSlicer“ einsetzen, handeln nicht aus finanzieller Motivation heraus. Der einzige Grund für Cyberangriffe mit Wiper-Malware ist die dauerhafte und umfassende Zerstörung der betroffenen Systeme.
Seit Anfang 2023 ist eine weitere, deutliche Zunahme von Wiper Malware festzustellen und auch während des andauernden Ukraine Krieges war die Schadsoftware 2022 bereits aktiv. Die Eset-Forscher vermuten hinter „SwiftSlicer“ die Hacker um “Sandworm”, eine auch als „Einheit 74455“ bekannte Gruppierung des russischen Militärgeheimdienstes GRU. Staatlich finanzierte Cyberangriffe als Teil einer hybriden Kriegsführung sind in diesem Zusammenhang kein unwahrscheinlicher Erklärungsansatz.
“HeadCrab” attackiert Redis-Datenbanken
Weniger destruktiv, aber dafür umso diskreter geht „HeadCrab“ ans Werk. Die neue Schadsoftware, erstmals entdeckt vom Team Nautilus, der Forschungseinheit von Aqua Security, kursiert offenbar schon seit Ende 2021.
Der Name „HeadCrab“ basiert auf einer fiktiven, parasitären Lebensform aus dem Computerspiel Half-Life. Wer den Spieleklassiker kennt, wird schnell Parallelen zwischen dem Parasiten und der Malware erkennen: Beide Versionen sind schwer zu erkennen, absolut unauffällig und Meister der Manipulation. Während es die HeadCrabs aus dem Computerspiel auf das menschliche Nervensystem abgesehen haben, zielt die Malware auf Redis-Datenbank-Server. Redis ist eine Open Source In-Memory-Datenbank mit einer einfachen Schlüssel-Werte-Datenstruktur aus der Familie der NoSQL-Datenbanken. Redis kann als Datenbank, Nachrichtenbroker oder Cache eingesetzt werden und ist der weltweit am häufigsten eingesetzte Schlüsselwertspeicher. Redis Server sind besonders schnell – und besonders verwundbar. Denn ursprünglich sollten die Server sich nicht mit dem Internet verbinden, sondern ausschließlich in geschlossenen Netzwerken betrieben werden. Eine standardmäßige Authentifizierung ist bei Redis nicht aktiviert, was sie besonders anfällig macht.
Die HeadCrab-Malware nutzt die Schwachstelle seit September 2021 weltweit aus und hat bis heute rund 1.200 Redis Server kompromittiert. Dabei bleibt HeadCrab unter dem Radar der IT-Sicherheitsbeauftragten, denn konventionelle Antivirenlösungen können das Schadprogramm nicht erkennen. Aktuell betroffen sind Redis Server in Indien, China und Malaysia sowie den USA, Großbritannien und Deutschland.
Vorgehensweise bei einem HeadCrab-Angriff: Zunächst wird ein Redis Server durch die Angreifer via Slave-of-Befehl übernommen und kontrolliert – und als Slave-Server für einen anderen Redis Server eingestellt. Dieser Master-Server initiiert dann eine Synchronisierung des Slave-Servers. Dieser lädt die HeadCrab-Malware auf den betroffenen Host herunter. HeadCrab funktioniert also "agentless".
Die Malware agiert bestmöglich getarnt und erfüllt damit genau ihren Zweck: lange unerkannt ein Botnetz aufzubauen, welches ausschließlich dazu dient, die Kryptowährung Monero zu minen.
Schutz vor Cyberattacken
„SwiftSlicer“ und „HeadCrab“ verfolgen unterschiedliche Ziele, ähneln sich aber in einem Punkt: Beide Malware Varianten sind ausschließlich unter der Verwendung von Protection-Tools nicht zu erkennen.
Mit Active Cyber Defense von Allgeier secion steht ein Managed Detection and Response (MDR)-Service bereit, der auf das frühzeitige Detektieren maliziöser Aktivitäten innerhalb von Netzwerken spezialisiert ist.
Die Cyber Analysten des externen SOC-Teams übernehmen für ihre Kunden die kontinuierliche Bedrohungsanalyse der Systeme und können Anomalien vorausschauend als Incidents identifizieren und priorisieren. Der 24/7 Full Managed Service liefert so ein hohes Maß an IT Security, da auf eine frühzeitige Angriffserkennung gesetzt wird (aktives "Cyber Threat Hunting"). Erfolgreiche Cyberangriffe werden so rechtzeitig erkannt, größere Schäden vermieden.
Überwacht werden dabei alle Endpoints innerhalb des Netzwerkes – von Desktop-Rechnern über Laptops und Mobilfunkgeräte bis hin zu IoT-Geräten, BYOD oder ICS.
Fazit
Das Jahr 2023 ist noch jung – und schon geprägt von zwei neuen und sehr aggressiven Malware-Varianten. Während „SwiftSlicer“ kompromittierte Systeme unwiederbringlich zerstört, ist „HeadCrab“ zwar weniger destruktiv, aber umso heimtückischer. „HeadCrab“ agiert unter dem Radar herkömmlicher Schutzsysteme, infiziert Redit Server und betreibt Botnetze mit dem Ziel des Krypto-Minings.
In jedem Fall bleibt es wichtig, dass Cyberattacken bereits unmittelbar nach der ersten Kompromittierung entdeckt werden. Möglich ist das mit Active Cyber Defense von Allgeier secion: Der Managed Detection and Response (MDR) Service überwacht Ihr Netzwerk rund um die Uhr und ermöglicht so den proaktiven Schutz vor Cyberattacken.