Die Ransomware- und Malware-Bedrohungslandschaft entwickelt sich ständig weiter. Besonders verwundbar sind ältere Systeme, etwa solche, die auf veraltete Softwarekomponenten setzen. Ein aktuelles Beispiel ist der vermehrte Einsatz von Exploits gegen Windows-Server, die den Internet Information Services (IIS) Webserver in der veralteten Version 6.0 betreiben. Hacker nutzen eine bekannte und bereits im Jahr 2017 veröffentlichte Sicherheitslücke, um diese Systeme zu kompromittieren und für das Mining der Kryptowährung Electroneum zu missbrauchen.
Die Konsequenzen für Unternehmen und Organisationen, die solche Server noch einsetzen, sind erheblich – sowohl aus Sicherheits- als auch aus wirtschaftlicher Sicht. Im Folgenden wird diese Bedrohung im Detail analysiert, um ein besseres Verständnis für die Risiken, die Angriffsmethoden und die Abwehrmöglichkeiten zu schaffen. Die Schwachstelle, die dieses Hackerangriffe ermöglicht, ist unter der Bezeichnung CVE-2017-7269 registriert. Sie wurde ursprünglich von Sicherheitsforschern in China entdeckt und betrifft den WebDAV-Dienst von Microsofts IIS 6.0.
Durch eine Buffer-Overflow-Lücke können Angreifer aus der Ferne Schadcode auf solchen Servern platzieren, ohne dass eine Authentifizierung notwendig ist. Da viele Unternehmen nach wie vor ältere Systeme betreiben, die aus Kompatibilitätsgründen oder aus Mangel an Ressourcen nicht aktualisiert werden, bieten sie so eine verlockende Angriffsfläche. Die Malware, die über diese Schwachstelle auf die Server geladen wird, dient dabei nicht nur der Kontrolle über die Systeme, sondern verfolgt in erster Linie das Ziel, unbemerkt Kryptowährungen zu schürfen. Im vorliegenden Fall betrifft das die Kryptowährung Electroneum, die speziell für mobile Anwendungen und einfache Nutzerfreundlichkeit entwickelt wurde. Cryptomining-Malware ist längst zu einem bedeutenden Problem in der Cyberwelt geworden.
Anstatt die kriminellen Aktivitäten direkt darauf zu richten, Daten zu stehlen oder Systeme lahmzulegen, wird hier die Rechenkraft von kompromittierten Geräten für den Bergbau digitaler Währungen benutzt. Das Mining selbst verbraucht erhebliche Systemressourcen – CPU- und GPU-Leistung sowie Stromkosten steigen drastisch – und führt zu Leistungseinbußen sowie möglicher Überhitzung der betroffenen Server. Für Unternehmen bedeutet dies nicht nur erhöhte Kosten, sondern auch eine Beeinträchtigung der Dienstqualität. Außerdem bleibt die Infektion oft lang unerkannt, da die Malware so konzipiert ist, dass sie unauffällig operiert. Der Angriff auf IIS 6.
0 Server hat eine historische Komponente. Diese Version des IIS-Webservers wurde bereits vor vielen Jahren veröffentlicht und wird seit langem nicht mehr offiziell von Microsoft unterstützt. Das bedeutet, dass keine Sicherheitsupdates oder Patches mehr bereitgestellt werden, obwohl inzwischen kritische Schwachstellen bekannt sind. Für moderne IT-Infrastrukturen gilt daher grundsätzlich, dass ein Betrieb eines so alten Systems ein gravierendes Sicherheitsrisiko darstellt. Idealerweise sollten Unternehmen auf neuere Versionen von Windows Server sowie modernere Webserver-Komponenten umsteigen, um ihre Angriffsfläche zu minimieren.
Die Infektion mit Mining-Malware via CVE-2017-7269 verläuft meist folgendermaßen: Die Angreifer scannen das Internet gezielt nach Servern mit öffentlicher WebDAV-Schnittstelle, die auf IIS 6.0 basieren. Ist ein potenzielles Opfer entdeckt, wird der Buffer-Overflow ausgenutzt, um Schadcode einzuschleusen. Diese Codestruktur lädt anschließend eine Mining-Malware herunter und startet einen Mining-Prozess im Hintergrund. Überwachungssysteme oder Administratoren bemerken oft erst dann Probleme, wenn die Systemleistung nachlässt, Server ungewöhnlich heiß laufen oder Netzwerkverkehr zunimmt.
Aufgrund der verbreiteten Nutzung älterer Systeme insbesondere in kleinen und mittleren Unternehmen, sind viele dieser Angriffe erfolgreich. Neben technischen Punkten ist auch die Motivation der Angreifer zu betrachten. Kryptowährungen bieten anonymisierte Transaktionen und sind weltweit handelbar, weshalb sie für Cyberkriminelle attraktiv sind. Durch das Mining auf fremden Systemen sparen sie Strom- und Hardwarekosten, während die Kontrolle über Distributed-Ledger-Technologien bleibt. Electroneum wurde dabei gewählt, da es eher ressourcenschonend und auf Mobilgeräte optimiert ist, was das Mining auf älteren Systemen praktikabel macht.
Für IT-Sicherheitsverantwortliche ist es daher essenziell, regelmäßig ihre Serverumgebungen zu prüfen und Schwachstellen zu schließen. Neben dem grundlegenden Betrieb aktueller Softwareversionen helfen Maßnahmen wie die Deaktivierung unnötiger Dienste, die Nutzung von Firewalls sowie das Monitoring von Netzwerk- und Systemressourcen. Auch Incident Response-Pläne sollten vorbereitet sein, um bei einem Befall schnell reagieren zu können und die Verbreitung der Malware einzudämmen. Darüber hinaus empfiehlt es sich, sämtliche Ports, die nicht zwingend benötigt werden, zu schließen. Die WebDAV-Schnittstelle, die der Angriff ausnutzt, sollte bei Servern, die sie nicht zwingend erfordern, deaktiviert sein.
Netzwerksegmentierung kann helfen, den Schaden zu begrenzen, falls infizierte Systeme innerhalb einer Organisation vorhanden sind. Ebenso kann die Zentralisierung und Automatisierung von Patch-Management-Prozessen dazu beitragen, dass kritische Updates effizient verteilt werden, auch wenn es sich um ältere Umgebungen handelt. Darüber hinaus spielt Aufklärung eine wichtige Rolle. Gerade bei kleinen und mittleren Unternehmen, in denen IT-Ressourcen begrenzt sind, bestehen häufig Wissenslücken über die Gefahren veralteter Software und Mining-Malware. Schulungen von Mitarbeitern zu Erkennung von Auffälligkeiten sowie Hinweise zur richtigen Softwarepflege können präventiv wirken.
Es ist auch unerlässlich, Backups regelmäßig zu erstellen und sicher aufzubewahren. Falls der Server kompromittiert wird, lässt sich durch Wiederherstellung aus sauberen Backups ein vollständiger Systemausfall vermeiden. Backup-Strategien sollten zudem darauf ausgelegt sein, auch Backups vor einer möglichen Verschlüsselung durch Ransomware oder anderen manipulativen Angriffen zu schützen. Die Kombination aus Sicherheitslücke in IIS 6.0 und der Mining-Malware für Electroneum stellt somit ein Geldverdienen-Model in der Cyberkriminalität dar, das klassische Ransomware-Ansätze ergänzt.
Neben den direkten wirtschaftlichen Schäden durch Stromkosten und Performanceverlust können Unternehmen auch im Vertrauen ihrer Kunden geschädigt werden, falls der Angriff bekannt wird. Datenschutzverletzungen können sich durch weitere sekundäre Angriffe auf die kompromittierten Server ergeben. Insgesamt zeigt dieser Umstand, dass veraltete Systeme mit ungepatchten Sicherheitslücken ein enormes Risiko darstellen. Die IT-Landschaft muss sich stetig an aktuelle Bedrohungen anpassen und Legacy-Systeme nach Möglichkeit ausmustern. Investitionen in moderne Infrastruktur und Sicherheitsprogramme sind daher keine kosmetischen Verbesserungen, sondern überlebenswichtige Maßnahmen in einer zunehmend komplexen Cyberwelt.
